Hilfe
Neues Thema
Antworten
Hallo,
ich habe auf meinem Desktop-PC seit kurzem eine fiese Malware-Ausgeburt, die ich nicht wegbekomme.
Symptome:
1, Browser-Hijack (Betroffen sind alle von mir getesteten Browser - IE, FF, Opera)
-- a, google.de-Suchergebnisse werden falsch verlinkt. Klickt man auf ein Suchergebnis, öffnet sich ein neues Fenster und in diesem per Zufall irgendwelche Pornoseiten, Warezseiten usw. (auf die gewünschte Seite kommt man jedenfalls nie)
-- b, so gut wie alle Webseiten bekannter Anti-Malware- und Anti-Viren-Produkte sowie Online-Viren-Scanner usw. können nicht aufgerufen werden ("Seite kann nicht angezeigt werden" - als wären die Seiten nicht existent; auf anderen Systemen funktionieren die exakt selben Adressen aber tadellos)
2, Anti-Malware-Programme lassen sich nicht installieren/starten. Die Prozesse laufen zwar im Task-Manager, aber das gewünschte Programm öffnet sich nicht (u.a. probiert mit Spypot, SDFix, Malwarebytes' Anti-Malware).
... und wer weiß, was es noch macht
1b und 2 sind die beiden Faktoren, die die Beseitigung des Problems so erschweren. 1b kann ich umgehen, indem ich entsprechende Programme von einem anderen Rechner aus herunterlade und dann auf den infizierten PC übertrage. Aber Punkt 2 lässt sich somit nicht umgehen.
HiJackThis läuft. Installieren konnte ich es zwar nicht (siehe Punkt 2), aber ich konnte es starten, nachdem ich eine bereits vorhandene Installation auf den infizierten Rechner kopiert habe (diese Taktik hat aber bisher nur bei HJT funktioniert).
Folgender schädlicher Eintrag wird gefunden:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
ntos.exe soll schädlich sein. Vielleicht ist es die Quelle allen Übels. Ich weiß, wo sich der Eintrag in der Registry befindet, aber ich kann den Teil mit ntos.exe nicht löschen, weil er sich sofort reproduziert (auch im abgesicherten Modus).
Was kann ich tun? Ich bin langsam am verzweifeln und bekomme immer mehr eine Heidenwut auf die Leute, die "sowas" programmieren.
Aber vielleicht hatte das Problem auch mal jemand und hat es irgendwie lösen können.
Danke!
Seite 1 von 1
Malware (u.a. Google-browser-hijack) Lässt Sich Nicht Löschen
#1
G701R 
- Gruppe: aktive Mitglieder
- Beiträge: 448
- Beigetreten: 02. Oktober 04
- Reputation: 0
- Geschlecht:Männlich
geschrieben 01. März 2009 - 23:38
Nach oben
#2
XiLeeN2004
- Gruppe: aktive Mitglieder
- Beiträge: 584
- Beigetreten: 16. Juni 04
- Reputation: 50
- Geschlecht:Männlich
- Wohnort:Ahrensburg
- Interessen:Aikidō (Godan), Schwimmen, Motorradfahren ('35er Indian Four, noch von meinem Vater), Dampfmodellbau, Kino
geschrieben 02. März 2009 - 01:03
Mit Punkt 1a durfte ich mich gerade letzte Woche bei meinem Vater abärgern... Erfolg bracht in dem Fall Blacklight von F-Secure.
Zu 1b mal die Datei Hosts (c:\windows\system32\drivers\etc) überprüfen.
Zum Rest kann ich nicht viel sagen, außer das die beiden Tools Process-Explorer und Process-Monitor (Sysinternals Process Utilities) sehr hilfreich sind, um dem Spuk auf die Fährte zu kommen. So findet man z.B. relativ schnell raus, welcher Prozess den Eintrag in der Registry erzeugt.
Grundsätzlich sollte man aber eine Neuinstallation in Erwägung ziehen, ein befallenes System ist einfach nicht mehr vertrauenswürdig. Dürfte zudem auch noch die schnellste Problemlösung sein.
Zu 1b mal die Datei Hosts (c:\windows\system32\drivers\etc) überprüfen.
Zum Rest kann ich nicht viel sagen, außer das die beiden Tools Process-Explorer und Process-Monitor (Sysinternals Process Utilities) sehr hilfreich sind, um dem Spuk auf die Fährte zu kommen. So findet man z.B. relativ schnell raus, welcher Prozess den Eintrag in der Registry erzeugt.
Grundsätzlich sollte man aber eine Neuinstallation in Erwägung ziehen, ein befallenes System ist einfach nicht mehr vertrauenswürdig. Dürfte zudem auch noch die schnellste Problemlösung sein.
Dieser Beitrag wurde von XiLeeN2004 bearbeitet: 02. März 2009 - 01:46
#3
G701R
- Gruppe: aktive Mitglieder
- Beiträge: 448
- Beigetreten: 02. Oktober 04
- Reputation: 0
- Geschlecht:Männlich
geschrieben 02. März 2009 - 11:34
Hallo,
danke erstmal für die Antwort.
Blacklight habe ich ausprobiert. Läuft auch, aber es findet nichts bösartiges.
Generell würde ich sagen, dass es sich bei dem Problem nicht um mehrere Infektionen handelt, sondern um eine, die eben verschiedene Dinge bewirkt.
Mit Process Explorer habe ich nach "ntos" gesucht und einen Handle in winlogon gefunden. Ich dachte, wenn ich den irgendwie beende, kann ich den Eintrag aus der Registry entfernen. Ich kann den Handle zwar enfernen, aber der Registry-Eintrag wird trotzdem immer wieder sofort reproduziert.
Mit Process Monitor habe ich auch nach "ntos" gesucht und mehrmals folgendes gefunden:
Process Name: winlogon.exe
PID: 776
Operation: RegQueryVaule
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
Result: SUCCESS
Detail: Type: REG_SZ, Length: 126, Data: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
Was ich damit jetzt anstellen kann, weiß ich aber nicht. Dier Eintrag taucht jedenfalls sehr oft auf, mehrmals pro Sekunde.
Eine Neuinstallation wäre vielleicht nicht das Schlechteste. Das System ist schon seit 2005 aufgesetzt. Bisher hatte ich aber keine Probleme.
Im Falle einer Neuinstallation würde ich meine privaten Dateien auf eine externe Festplatte o.ä. sichern und dann wieder aufspielen. Oder kann sich so eine Infektion in solchen Dateien absetzen und kann dann wieder auftauchen?
Trotzdem möchte ich vorerst noch versuchen, das Problem zu lösen. Denn eine Neuinstallation, ein Backup von vielen GB Größe zu erstellen usw. ist auch nicht unaufwendig.
Was kann ich noch tun?
danke erstmal für die Antwort.
Blacklight habe ich ausprobiert. Läuft auch, aber es findet nichts bösartiges.
Generell würde ich sagen, dass es sich bei dem Problem nicht um mehrere Infektionen handelt, sondern um eine, die eben verschiedene Dinge bewirkt.
Mit Process Explorer habe ich nach "ntos" gesucht und einen Handle in winlogon gefunden. Ich dachte, wenn ich den irgendwie beende, kann ich den Eintrag aus der Registry entfernen. Ich kann den Handle zwar enfernen, aber der Registry-Eintrag wird trotzdem immer wieder sofort reproduziert.
Mit Process Monitor habe ich auch nach "ntos" gesucht und mehrmals folgendes gefunden:
Process Name: winlogon.exe
PID: 776
Operation: RegQueryVaule
Path: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit
Result: SUCCESS
Detail: Type: REG_SZ, Length: 126, Data: C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
Was ich damit jetzt anstellen kann, weiß ich aber nicht. Dier Eintrag taucht jedenfalls sehr oft auf, mehrmals pro Sekunde.
Eine Neuinstallation wäre vielleicht nicht das Schlechteste. Das System ist schon seit 2005 aufgesetzt. Bisher hatte ich aber keine Probleme.
Im Falle einer Neuinstallation würde ich meine privaten Dateien auf eine externe Festplatte o.ä. sichern und dann wieder aufspielen. Oder kann sich so eine Infektion in solchen Dateien absetzen und kann dann wieder auftauchen?
Trotzdem möchte ich vorerst noch versuchen, das Problem zu lösen. Denn eine Neuinstallation, ein Backup von vielen GB Größe zu erstellen usw. ist auch nicht unaufwendig.
Was kann ich noch tun?
#4
Black-Dragon
- Gruppe: aktive Mitglieder
- Beiträge: 210
- Beigetreten: 08. Januar 06
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Da wo zu DDR-Zeiten der Schultaschenrechner hergestellt wurde
- Interessen:Der PC.<br />Alles sammeln, was mit Drachen zu tun hat.<br />SIMSON schrauben und fahren.
geschrieben 02. März 2009 - 11:49
Wer langsam fährt, wird länger gesehen.....
#5
G701R
- Gruppe: aktive Mitglieder
- Beiträge: 448
- Beigetreten: 02. Oktober 04
- Reputation: 0
- Geschlecht:Männlich
geschrieben 02. März 2009 - 14:52
Danke für den Link, aber ich habe die dort genannten Tipps nicht ausprobiert und mich jetzt dafür entschieden, das System neu aufzusetzen. Jemand fragte mich, ob ich nicht getrennte Partitionen für Windows und die restlichen Daten hätte und da fiel mir erst wieder auf, dass dem ja so ist und ich entsprechend gar nicht viel Mühe in irgendwelche Dateisicherungen stecken muss.
So ists wahrscheinlich am besten, denn auch wenn man ntos.exe und Co. löschen kann, weiß man wohl nie wirklich, ob auch alles vernichtet wurde.
Oder kann sich so ein Virus auch auf meiner Datenpartition (Bilder, Spiele, Software etc.) ausgebreitet haben und von dort seinen Weg zurück ins neu aufgesetzte System finden?
So ists wahrscheinlich am besten, denn auch wenn man ntos.exe und Co. löschen kann, weiß man wohl nie wirklich, ob auch alles vernichtet wurde.
Oder kann sich so ein Virus auch auf meiner Datenpartition (Bilder, Spiele, Software etc.) ausgebreitet haben und von dort seinen Weg zurück ins neu aufgesetzte System finden?
#6
Übertakter
- Gruppe: aktive Mitglieder
- Beiträge: 139
- Beigetreten: 04. Januar 08
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:D:\Music\Kool Savas
- Interessen:GFX'en ; C++ coden ; Forum und mein Laptop :)
geschrieben 08. März 2009 - 03:57
Prinzpiell wäre es möglich dass ein Virus sich ausbreitet bzw. bestimmte Dateiarten infiziert.
Deshalb wäre eine Absicherung nötig.
Bedeutet / Keine Internetverbindung aufbauen bis nich alles sorgfältig geupdatet ist \
Gruß.
Deshalb wäre eine Absicherung nötig.
Bedeutet / Keine Internetverbindung aufbauen bis nich alles sorgfältig geupdatet ist \
Gruß.
Übertakter grüßt (:
- ← Fremde Logindaten In Meinem Browser
- Sicherheit
- Wie Notebook Mit Fritz Box über Wi-fi Protected Setup(wps) Verbinden? →
Thema verteilen:
Seite 1 von 1