amilo-forum.de

[MrMmmkay]

Hi!

Hab mir gestern einige Stunden um die Ohren geschlagen um den Rechner meines Vaters wieder hinzubiegen (Windows XP Prof SP3), leider ohne Erfolg.

Folgende Symptome:
- sobald man auf eine Website gehen will die sich mit Firewalls oder Virenscannern beschäftigt wird man auf Werbeseiten umgelenkt, normales Serven klappt aber.
- alle Updateserver für Virenscanner, Firewalls, AntiSpyware Programme sind gesperrt
- Spybot lässt sich nicht starten (geht einfach nicht auf, keine Fehlermeldung o.Ä., schon komplette Neuinstallation nach Anleitung von der Homepage versucht, kein Erfolg)
- das gleiche mit Superantispyware
- Ad-Aware findet nix
- Kaspersky AV 2009 findet nix
- mit Hijack this hab ich auch nix wirklich verdächtiges gefuden
- Systemwiederherstellung geht nicht, sobald ich nen Wiederherstellungspunkt ausgewählt habe und auf "Weiter" klicken will passiert einfach nix
- hab erst gedacht das es der conficker wurm ist, hab aber auch die Anweisungen zum Entfernen des Wurms von Microsoft probiert, kein Erfolg


Neuinstallation des Systems is nur die letzte Rettung, ich kann da net alle Daten wieder beibekommen . Was kann ich noch machen? Bin langsam mit meinem Latein am Ende.

Gruß MrMmmkay

[hikaru]

Bei den Symptomen würde ich Windows nur noch plattmachen und neu installieren.
Daten kannst du ja mit einem Live-Linux sichern. Danach kannst du auch noch ein dd if=/dev/zero of=/dev/sda bs=512 count=1 über die Platte jagen um einen eventuell infizierten Bootsektor loszuwerden.

[Leonidas]

Es zwar jetzt unseriös von mir ohne Systemanalyse. Aber du kannst als aller letztes Mittel mit Combofix probieren.
http://virus-protect.org/artikel/tools/combofix.html

Deiinstallier am besten den ganzen Schrott (Spybot u.s.w.)
Führ zuerst CCleaner aus
Und dann combofix

[notebucker]

Hallo,

bei mir hats am Freitag, dem 13., - also dem letzten Freitag - auch zugeschlagen. Nach dem wie üblich routinemäßig an jedem neuen Morgen als erstes durchgeführten manuellen Updaten der Virensignaturen meldete meine Internetsecurity (GData) Sekunden nach dem Schließen dieses Programmes einen Trojaner. Danach ließ sich mit Windows (XP) nichts mehr anfangen, nicht mal der Affen-Klammer-Griff ging. Das Windows war und blieb tot, Neustart ging nicht mehr.
Dann kams noch dicker: Ich unterhalte für meinen Internet-PC zwei physikalisch und programmtechnisch identische Hds. Also nach dem ersten Katastrophenfall halt die zweite Hd rein, wieder manuell das Virenupdate ausgeführt, wieder nach dem Schließen in Sekundenschnelle dieselbe Trojaner-Meldung, und wieder war das Win-System ohne einen eigenen Tastendruck sofort derart zerstört, dass keine Bedienung und kein Neustart möglich waren.

Meine Reaktion darauf: Beide HDs sofort plattmachen, Überlegungszeit dafür 0,5 Sekunden. Es interessiert mich (fast) gar nicht, welcher Wurm gegen welchen Virus und alle zusammen gegen oder mit einem Trojaner ....oder ob's ein Programm(ierungs)fehler in den frisch runtergeladenen Signaturen war.......... mir doch (fast) egal!
Da ich Internetbanking betreibe, interessiert mich nur die Sicherheit. Und das würde ich auch anderen empfehlen.

@ MrMmmkay

Wenn eine Malware schon so raffiniert ist, den Weg an den auf Deinem PC installierten Sicherheitsprogrammen vorbei zu finden, dann gib Dich keinerlei Vorstellung hin, Du könntest mit Windows-Mitteln ( PC und Windows starten), da irgendeine Form von Sicherheit herstellen. Wenn Windows überhaupt gestartet werden muß, ist schon alles zu spät.
Also: Schlucken, alles killen, alles neu aufsetzen, und anschließend alles anders machen mit der Datensicherung !
Gruß, notebucker

[Leonidas]

@notebucker

Klingt ja wirklich übel. Den Taskmanager hättest glaub ich per Registry wieder zum laufen bekommen. Aber bei einem Kompromittierten System bleibt nichts anderes übrig.
Ich find jedoch die Softwarelösungen nicht so schlecht, da man nicht direkt gezwungen ist, gleich Neuaufzusetzen.
Man kann den Trojaner bzw. Wurm entfernen und dann die Daten in Ruhe und sauber zu sichern. Sicher bleiben jedoch die Lücken im System vorhanden.
Aber man hat so eine Verschnaufpause bis zum Nächsten Wochenende

[notebucker]

@ Leonidas,

es gibt - ganz klar - verschiedene Konzepte, rsp. Wege aus der Krise. Die hängen u.a. auch mit den vorhandenen technischen Möglichkeiten zusammen. Ich hatte z.B. unterschlagen, zu sagen, dass ich noch eine dritte identische Platte hatte, und hier noch so - sagen wir mal - der eine oder andere Computer voll betriebsbereit rumsteht. Der Aufwand für mich war letztlich gering. Nachdem ich festgestellt hatte, dass die dritte Hd freundlicherweise nicht befallen war, und/oder aber die GData-Leute ihre Virensignaturen nach ein paar Stunden in den Griff bekommen hatten, mußte ich nur mit Acronis die "heile" Hd auf die jeweils anderen klonen (habe übrigens reichlich Windows-Lizenzen). Das dauerte nur jeweils 3 Minuten, da auf meinen Inet-Hds nur das drauf ist, was wirklich fürs Inet gebraucht wird. Wer die Möglichkeiten nicht hat, sollte - und da hast Du natürlich recht - sich schon Mühe geben, erstmal die Hd irgendwie betriebsbereit zu halten, um die Daten sichern zu können.
Nur, nach allem, was ich bislang gelesen habe, und da beziehe ich mich im Wesentlichen auf Artikel in der c't, ist das Entfernen von Maleware aus einem laufenden Windowssytem entweder mit völlig irrealem Aufwand verbunden - und dann gibts immer die gute Wahrscheinlichkeit, im Gestrüpp der Windowsversion was übersehen zu haben, oder ist schlichtweg unmöglich.
Wer kann von sich sagen, alle Auto-Start-Ordner/Mechanismen seines Winsystems zu kennen, wer versteht die Registry bis in alle Verzweigungen und Schalter, und wer glaubt, dass Hilfsprogramme 100%-tig sind?
Aber nochmal, es gibt verschiedene Wege, irgendwie muß jeder den für sich passenden finden.

[peppi]

Hallo,
klingt nach dem Fehler durch GData und Bitdefender.
http://www.heise.de/newsticker/Bitdefen ... ung/132540
Hätte aber auch ein neues Windows aufgesetzt.
Grüße

[notebucker]

@ peppi

Volltreffer! Das war's, meine Gdata-ISecure meldete Trojaner in "winlogon.exe", und bei sowas faxe ich nicht rum, hier wird gekillt. Danke für den Hinweis, jetzt ist mein Glauben an die (heile) Welt wiederhergestellt. Da hatte mich eh' etwas stutzig gemacht: Ein Trojaner, der das Winsystem abschießt, ist ein Widerspruch in sich selbst. Schließlich haben die Dinger zwei Aufgaben. Einmal persönliche Daten auszuspähen, zum anderen um's Verrecken dabei nicht aufzufallen! Also ein Schmähruf nach Bochum. Und ein kleiner, verschämter an mich, weil ich auf die falsche Fehlermeldung reingefallen bin und die Datei habe killen lassen.
Gruß, notebucker

[docwindows]

Solltest du auf bestimmte seiten nicht mehr kommen, kannnst du dir mal die hosts - datei anschaun. Die liegt unter C:\windows\system32\crivers\etc. Da sollte eigendlich nur das drinne stehn

Code: Alles auswählen

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

127.0.0.1       localhost
::1             localhost

[MrMmmkay]

Hi Leute!

Danke für die rege Resonanz .

Problem ist gelöst, unglaublich aber wahr.... Microsoft hat dazu beigetragen *g*. Hab mich nochmal etwas mehr schlau gemacht was diesen conficker wurm angeht, da gibts bei MS nen schönen Artikel drüber. Also erstmal das Sicherheitsupdate installieren das die Lücke schließ durch die dier Wurm rein kam, dann das "Tool zum entfernen bösartiger Software" (was für ein geiler Titel ^^) KOMPLETT durchlaufen lassen (auf der schnellen Untersuchung hat er nämlich schön nix gefunden), und schon war der Wurm mit allen seinen Symptomen weg . Werd meinen Vater nochmal drauf ansetzen nachzugucken das die Symptome auch wegbleiben, aber da jetzt auch Spybot wieder geht denke ich mal das alles wieder heile ist.

Gruß MrMmmkay

[notebucker]

@ MrMmmkay,
tröste mal Deinen Papa! Dieser Wurm hat laut Nachrichtensprecher im Ersten auch unsere Armee teilweise außer Gefecht gesetzt. Der Wurm war/ist ja Spezialist für das Stören im Netzwerk u da hat es zahlreiche Bundeswehrnetze, rsp. Einheiten derart getroffen, das die intern vom Bundeswehrnetz aus Schutzgründen für den "heilen" Teil abgekoppelt werden mußten.
Gruß, notebucker

[MrMmmkay]

Das war das geile, ich saß vorm Rechner vom Vadder und hab überlegt was das fürn Trojaner sein kann, dann kommt in den Nachrichten das die Bundeswehr befallen ist, und die Symptome ham genau auf den Trojaner vom Vadder gepasst, deshalb bin ich auf den conficker wurm gekommen , manchmal bringt Nachrichten gucken sogar was .

Gruß MrMmmkay