gelöst Wildes Pferd - Virus Protector

Mitglied: Markowitsch

Markowitsch (Level 2) - Jetzt verbinden

04.03.2010 um 21:26 Uhr, 8622 Aufrufe, 5 Kommentare

Virus Protector legt PC komplett lahm und musste neu aufgesetzt werden

Hallo alle Miteinander

Ich hatte heute mit einem ganz besonderen Virus - Trojaner zu kämpfen.

Eine Kundschaft hat sich auf dem PC ( Windows XP Pro / SP3 ) den Trojaner "Virus Protector" eingefangen und leider auch installiert. (siehe Google)
Normaler weise lässt sich der Trojaner wieder entfernen, indem man ihn erstmal aus der Registry rausnimmt oder mit msconfig deaktiviert.
Anschließend löscht man noch diverse DLL Dateien und lässt verschiedene Programme wie smitfraud.exe ect. drüberlaufen....dann sollte der Störenfried so
einigermaßen entfernt sein.

Bei der Version des "Virus Protectors" mit der ich heute zu tun hatte, ging aber gar nichts mehr.
Die Schadsoftware wurde beim Windows Start mitgestartet, konnte weder geschlossen noch minimiert werden.....
Der Taskmanager war gesperrt, es war keine Startleiste vorhanden und diverse Tastenkombis wie etwa "Windows Taste" + E für Explorer usw. haben nicht funktioniert.

Jetzt denkt Ihr sicher, dann starte doch den abgesicherten Modus.....hab ich auch, aber das ding startete sich immer noch mit......ich konnte garnichts dagegen machen.

Nach einigen malen Neustart der Kiste habe ich den abgesicherten Modus mit Eingabeaufforderung gestartet.....da ging wenigstens die Command Shell (cmd)
und ich konnte manuell die msconfig starten. ( C:\WINDOWS\PCHealth\HelpCtr\Binaries\msconfig.exe ).

Leider war aber kein Eintrag im Reiter Systemstart über Virus Protector.
Registry war leider wie der Taskmanager immer noch von dem Virus gesperrt. genauso wie die Taskleiste fehlte.....also versuchte ich in der msconfig alles auszuschalten was nur iergendwie geht.

Aber jetzt ist der Virus deaktiviert.......hätte ich jedenfalls gehoft.

PC neu gestartet, abgesicherter Modus und der Virus startet schon wieder.....sch***e !!!

Tja, die Kaspersky Hotline wusste leider auch keinen Rat, also hab ich die Festplatte ausgebaut und an einem anderen PC drangehängt und mal gesucht.

Da fand ich dann einige Dateien in diversen Ordner ( c:\windows , c:\windows\system32 , c:\windows\driver ) die allesamt ein gleiches Erstellungsdatum hatten (um die Zeit als der Virus den PC übernahm) und verdächtig gleich groß waren und zwar 1161 KB......oder so ähnlich, aber alle genau gleich groß.

Ich hab die ganzen Dateien wegkopiert und die Platte wieder zurückgebaut, und siehe da, der Virus startete nicht mehr; aber es fehlte die Taskleiste, sämtliche Desktop Symbole, usw.
Der Taskmanager funktionierte zwar wieder, und ich konnte auch sonst alle Programme starten, aber iergendwie war der Virus noch da.

Ich fand weder in der Registry Einträge, noch in der msconfig.....Smitfraud brachte keinen Erfolg und div. andere Software auch nicht.

Nach insgesammt 2,5 Stunden herumprobieren, hab ich den PC kurzerhand neu aufgesetzt.......hat zwar dann den restlichen Tag gedauert bis wieder alles lief ( Buchhaltung ect. ), aber dafür ist der Virus jetzt sicher weg.

Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal das Vergnügen mit dem Ding hab.

Danke schon mal im Vorraus

Schönen Abend

Markowitsch
Mitglied: mrtux
04.03.2010 um 21:31 Uhr
Hi !

Zitat von Markowitsch:
Meine Frage dazu lautet jetzt......was kann man in so einem Fall versuchen um das Drecksteil zu entfernen....falls ich wiedermal
das Vergnügen mit dem Ding hab.

In dem Du sowas in/auf einem laufenden OS gar nicht erst versuchst, sondern ein sauberes System (z.B. von einer CD/DVD) bootest und von da aus das Ding verabschiedest...

mrtux
Bitte warten ..
Mitglied: StefanKittel
04.03.2010 um 22:19 Uhr
Hallo,
wir hatten schonmal die Diskussion ob es überhaupt sicher möglich ist einen Virus zu entfernen.

Mittlerweile gibt es ja schlaue viecher die sich einfach 7 Tage schlafen legen. Bloß weil das AV-Programm nichts mehr findet und der PC sich normal verhällt muss dass leider noch nichts heißen.
Auch kann man nie sicher sein, dass das böse Programm nicht irgendwas in Windows beschädigt hat was einem später das Kreuz bricht.

Wenn man sich also nicht 110% sicher ist: immer letztes Image zurückspielen oder neu aufsetzen.

Stefan

PS: der letze fiese Kundenvirus hatte sich als Soundkarte im Gerätemanager getarnt. Und das sogar ziemlich gut. Polymorpher komprimierter Code.
Bitte warten ..
Mitglied: maretz
05.03.2010 um 07:40 Uhr
Moin,

es ist ein Kunde von dir. Du gehst hin und "reparierst" den Rechner für 2,5 Std - und grad ein Rechner in der Buchhaltung. Selbst wenn du den Trojaner "X" entfernt hast - stehst du dafür grade das wirklich NICHTS mehr auf der Kiste läuft was da nicht hingehört (und ggf. die Zugangsdaten zum Online-Banking übermittelt - was bei der BuHa ja durchaus ein naheliegendes Programm ist!)?

Bei sowas hätte ich kein wirklich gutes Gefühl. Ich würde hier IMMER den Rechner neu aufsetzen... Bevor da richtig was "inne büx" geht hab ich doch dann lieber die Sicherheit das es alles so funktioniert wie es soll. Auch wenn das eben dann nen ganzen Tag dauert!
Bitte warten ..
Mitglied: stani
08.03.2010 um 11:14 Uhr
Hallo Markowitsch,

das Virus hat offenbar die lokale Gruppenrichtlinie verändert. Wenn du gpedit.msc startest, kannst du die Änderungen wieder rückgängig machen.

Grundsätzlich würde ich ihn aber auch neu aufsetzen.

Grüße!
stani
Bitte warten ..
Mitglied: H41mSh1C0R
17.03.2010 um 07:52 Uhr
Gerade wenn sich ein Programm was nicht auf den Rechner gehört in die Registry eingräbt um als z.b. als kernelmode treiber geladen zu werden, sämtliche Sachen deaktiviert werden usw usw usw. gibt es durchaus die Möglichkeit daran zu kommen.

Es gibt genügend Tools im Netz mit der man Live Bootet und dann in der Registry rumfuhrwerken kann.

Da bei KundenPCs kein regelmäßiger Dump der Registry gemacht wird kann man natürlich da auf keinen "alten" Stand zurückgreifen bzw. diesen Benutzen um Einträge zu finden die da auf Garantie nicht reingehören.

Ansonsten bleibt da nur der Saure Apfel, wenn man sich in der Registry nicht so gut auskennt und setzt die Kiste komplett neu auf, was du ja auch getan hast. =)

Dazu kommt noch das du deinem Kunden mal kräftig auf die "Finger" hauen/belehren solltest nicht alles zu starten nur weil das die Endung .exe hat. xD

Soweit ich das sehen kann, handelt es sich bei Virus-Protector um sogenannte Scareware, die muss nicht unbedingt mit einem Virus/Trojaner versehen sein. Da kann alles drin stecken gibt ja genügend Beispiele zu Scareware im Netz.

Bei den meisten Scareware Paketen geht es aber im Grunde nur darum den "Kunden" zum Kauf von vermeintlichen Sicherheitsprodukten zu verleiten und somit auf diese Weise Geld zu verschenken.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Adventskalender 2020
LochkartenstanzerInformationOff Topic18 Kommentare

Was haltet ihr von einer Sammlung von Adventskalendern? (Hier im Thread z.B.) Ich fang mal mit dem Heise-Kalender an: ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing17 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Netzwerke
Router1, Router2 + Repeater untereinander erreichbar machen (OpenWrt)
WinstarFrageNetzwerke15 Kommentare

Guten Abend! Kurz vorweg ja, ich weiß dass es hier bereits eine Anleitung gibt, wie man verschiedene Netzwerke zusammen ...

DSL, VDSL
Router für getrenntes Heim- und Gästenetzwerk (Pension)
GoldkindlFrageDSL, VDSL14 Kommentare

Hallo zusammen, wir sind Endverbraucher und haben durch Google dieses Forum in der Hoffnung gefunden, dass uns jemand weiterhelfen ...

Hardware
Verwertung alter Hardware
quin83FrageHardware13 Kommentare

Hallo zusammen, bei uns liegt immer mehr Hardware im Lager, welche eigentlich nicht alt ist, aber bei uns keine ...

Ähnliche Inhalte
Viren und Trojaner
Deviceconfigmanager - Virus- Trojaner?
gelöst freshman2017FrageViren und Trojaner4 Kommentare

Liebe Gemeinde, leider plage ich mich gerade mit dem Virus / Trojaner -> deviceconfigmanager .exe herum. Der verschiebt bei ...

Viren und Trojaner
Virus gefunden Mailanhang
MartyMcFlurry90FrageViren und Trojaner12 Kommentare

Hallo zusammen, sind eine kleine Firma und mein Virenschutz hat mir heute diese Meldung als Report geliefert. Meiner Recherche ...

Erkennung und -Abwehr
Virus GrandCrab 5.0.4
gelöst Viktor007FrageErkennung und -Abwehr13 Kommentare

Guten Abend , ich habe jetzt schon seit längerem ein problem und hoffe das Ihr mir hier helfen könnt. ...

iOS
Virus auf iphone
jensgebkenFrageiOS17 Kommentare

hallo gemeinschaft, habe einen virus auf meinem iphone es kommen zwei meldungsfenster 1. online-2018-software-free.win 2. wpform.com - please click ...

Datenschutz

Hoster verlangt root-Logindaten - Halb so wild oder schon sehr ungewöhnlich?

gelöst ToVictoryFrageDatenschutz10 Kommentare

Hallo an alle, ich habe einen virtuellen Server inklusive Backupspeicher bei einem Hoster gemietet. Auf den Backupspeicher wird über ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

FrankIMHOInternet10 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud