Hatte Virus: Wie Restschäden Beseitigen?
#1
geschrieben 29. Juli 2008 - 16:23
Ich hatte trotz KIS2009 (Kaspersky) und SPI-Firewall im Router einen Virus... ich weiss noch nicht genau warum, vermute aber mal das war ein gemountetes .iso was ich mir von torrent geholt hab :/
Nach einigen Stunden hab ich jetzt soweit das gröbste wieder hinbekommen. Langsam ist er immer noch, aber ich kann zumindest zu meinen Daten um sie am Server zu kopiern. DER ist nämlich gsd nicht betroffen *aufholzklopf*
Jetzt hab ich aber noch Probleme..
Es steht neben der Uhrzeit "hh:mm: VIRUS ALERT!"
Dann steht bei den Sys.Eigenschaften "Registriert für: ...[Mein Name][zeil][zeil][zeil]VIRUS ALERT!"
Wenn ich auf eine FTP Site mit dem Browser gehe, kann er mir die Zeit neben der Datei nicht hinschreiben... es steht "19.10.2005 00:00: VIRUS ALERT!" die Zeit wird auch falsch angezeigt.
Sonst ist mir bis jetzt nichts aufgefallen. Der Virus oder eigentlich Malware oder so ging letztendlich mit einem Vollständigen Systemscann, dem Spybot und einem manuellen löschvorgang diverser Malware-Verzeichnisse wieder weg... wie er geheisen hat weiss ich jetzt leider nicht mehr, es war so eine Art pseudo Virenscanner der auch den Hintergrund in eine Actice-Web-Hintergrundseite wechselt
Danke schon mal im vorraus
Anzeige
#3
geschrieben 29. Juli 2008 - 16:33
Wirklich sicher löschen kannst du ihn durch das Vernichten aller betroffenen Dateien, und das geht am besten, indem du die Festplatte und sämtliche betroffenen Sicherungsdateien löscht bzw. formatierst.
Hier auch noch ein bisschen Lesestoff dazu:
Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
In Deutsch.
Achso: Wenn du einen Server auf Windows-Basis hast, musst du jetzt nach deinen Kopieraktionen auch davon ausgehen das dieser befallen ist.
Dieser Beitrag wurde von Samstag bearbeitet: 29. Juli 2008 - 16:35
#4
geschrieben 29. Juli 2008 - 16:52
Zitat (Samstag: 29.07.2008, 17:33)
Wirklich sicher löschen kannst du ihn durch das Vernichten aller betroffenen Dateien, und das geht am besten, indem du die Festplatte und sämtliche betroffenen Sicherungsdateien löscht bzw. formatierst.
Hier auch noch ein bisschen Lesestoff dazu:
Was Microsoft zu Kompromittierung sagt und wie man sein System wieder sauber bekommt
In Deutsch.
Achso: Wenn du einen Server auf Windows-Basis hast, musst du jetzt nach deinen Kopieraktionen auch davon ausgehen das dieser befallen ist.
kommt drauf an, was ich kopier und wie ichs kopier - oder nicht?
per FTP und einem log file sollte das kein problem sein, weil ich genau sehe was er wirklich transferiert
#5 _m.i.s.t.e.r.x_
geschrieben 29. Juli 2008 - 17:11
da gibt es einige ( und noch viel mehr ! )
http://img46.imagesh...nbenannt4lf.jpg
http://www.bullguard.com/forum/attach.aspx...rus%20alert.JPG
http://img317.images...74/virusjo8.jpg
http://virus-protect...der/center3.png
eines haben alle gemeinsam , sie sind eine Art pseudo Virenscanner wollen die nur
vor Täuschen was du für Gefährliches drauf hast , was du natürlich nur runter bekommst
wenn du ihr Profukt Kaufst .
Im Prinzip sind das pseudo Virenscanner , die über den Windows Nachrichten Dienst rein kommen
das Perverse daran , diese pseudo Virenscanner halten sich zum teil manchmal 2 - 3 Tage zurück
so das man denkt man hätte sie los , weit gefehlt die meisten kommen aber dann wieder mit
ihren Nerv infos an .
am Besten ist neu Installation
nach der Nexten Windows Installation
auf den Arbeitsplatz mit rechts klicken und auf verwaltung gehen , auf dienste und anwendungen
dann auf dienste , und dann den Nachrichten dienst deaktivieren , dann ist ruhe mit den Käse .
ganz Hilfreich kann das tool sein ( 100 % kein schädlings Tool ) findet einiges was andere nicht finden
http://www.arovaxantispyware.com
mfg mister x
Dieser Beitrag wurde von m.i.s.t.e.r.x bearbeitet: 29. Juli 2008 - 17:12
#6
geschrieben 29. Juli 2008 - 17:15
Zitat (m.i.s.t.e.r.x: 29.07.2008, 18:11)
dann auf dienste , und dann den Nachrichten dienst deaktivieren , dann ist ruhe mit den Käse
Das würde ich dir glauben, wäre ich nicht einer der von Haus aus nur die notwendigsten Dienste aktiviert hat... also bei mir ist Nachrichtendienst auf deaktiviert!!!
Es is von der Symbolik her auch keiner von den 4 von dir geposteten, aber sowas in der Art hatte ich, ja..
*Edit
Ich hab mal näher gegoogled und gefunden wie er aussieht und heisst..
SmitFraud
Dieser Beitrag wurde von yahlov bearbeitet: 29. Juli 2008 - 17:19
#7 _m.i.s.t.e.r.x_
geschrieben 29. Juli 2008 - 17:25
ich sagte ja ( und noch viel mehr ! )
den den du drauf hast habe ich schon mal gesehen und einiges darüber gelesen da hast du
ein echtes Problem . viele kommen eben über den nachrichten dienst rein , muss nicht jeder
sein kann , der glaube ich kommt auch irgendwie über die schiene rein .
lange rede Kurzer sinn du merkst es bald selber neu Installation , wird dir nicht erspart bleiben
mfg mister x
#8
geschrieben 29. Juli 2008 - 17:44
Zitat (yahlov: 29.07.2008, 17:52)
per FTP und einem log file sollte das kein problem sein, weil ich genau sehe was er wirklich transferiert
Nö. Wenn die Malware inzwischen den Dateinamen von dem angenommen hat, das du eh kopieren wolltest, oder sich einfach in den Code der vorhendenen Datei eingeschrieben hat, wie willst du dann erkennen das es tatsächlich die benötigte Datei war bzw. das die Datei noch nicht verändert wurde?
Hast du Checksummen aller Dateien von vor dem Befall angelegt?
#9
geschrieben 29. Juli 2008 - 18:09
Zitat (Samstag: 29.07.2008, 18:44)
Hast du Checksummen aller Dateien von vor dem Befall angelegt?
Gut das ich dualboot eingerichtet hab. Gibts irgendwelche Tools für Ubuntu mit dem ich XP "säubern" kann?
Kopieren würde ich aber dann eh über Ubuntu auf den Fileserver... hoffe halt das nix in den Datein is, das wär schlecht.
Was mich sehr beschäftigt ist, wie ist der reingekommen. Firewall war immer an, Dienste waren immer aus... das einzige was mir passiert ist war bein XP-Slipstream erstellen, das ich diese vom XIB erstellte regtweak.reg ausgeführt hab.... oder eben dieses gemountete image, dass das nicht sauber war.... :/
#10 _m.i.s.t.e.r.x_
geschrieben 29. Juli 2008 - 18:21
wie der kamm rein ?
Offene Ports hat MS ja einige .
IE Explorer , ist Löchrig wie Schweizer Käse
MS Automatisch Updates , wieder so ein Offenes loch
Mozzilla ist ja auch nicht dicht
E-mail wär auch denkbar
Programm Installiert das den schädling drin hatte .
mfg mister x
#11 _tank2346_
geschrieben 29. Juli 2008 - 18:26
Wenn du einen PC mit einer PC Wächterkarte hast, kannst du es auch da probieren .
#12
geschrieben 29. Juli 2008 - 18:59
Im Ernst, pass bloss auf das du keinen Virus auf deinen Server kopierst. Mach am besten vorab einen Scan mit einer LiveCD, bevor du irgendwas kopierst
Edit:
Wenn du ein Image gemountet hast, und dein Benutzeracc. Admin Rechte hatte. Reicht eine manipulierte autorun.inf um dein Sys zu killen
Dieser Beitrag wurde von bb83 bearbeitet: 29. Juli 2008 - 19:08
#13
geschrieben 29. Juli 2008 - 19:36
Zitat (m.i.s.t.e.r.x: 29.07.2008, 18:11)
auf den Arbeitsplatz mit rechts klicken und auf verwaltung gehen , auf dienste und anwendungen
dann auf dienste , und dann den Nachrichten dienst deaktivieren , dann ist ruhe mit den Käse .
Der Nachrichtendienst wird mit ServicePack 2 schon standardmäßig deaktiviert.
Nimm das Leben nicht so ernst, du kommst eh nicht lebend raus.
#14
geschrieben 29. Juli 2008 - 19:58
#15
geschrieben 29. Juli 2008 - 22:32
Zitat (Computer: 29.07.2008, 20:58)
Wie um himmelswillen geht das? Muss ich mein Verhalten am PC so stark einschränken, dass mir im Endeffekt nichts mehr bleibt? Da spar ich mir lieber das viele Geld was mich das ganze Klumpat (Hardware, Software) kostet, inkl den Laufenden kosten (Strom, Internet, Virenscanner, sonstige Programme, etc) und hab keinen ärger...
- ← Hd Gehimmelt, 2. Betriebssystem Loswerden
- Windows XP & Windows Media Center Edition
- Probleme Mit Dll Registrierung →