[gtown]

Hallo,
vorweg,die suche habe ich benutzt aber wohl nicht die richtigen wörter eingetippt(kommt mir auch spanisch vor )

zum problem:
hab den laptop von ner freundin hier,der scheinbar mit einem virus/malware (oder sonstiges) inifziert ist. Zumindestens würde ich als Viren-leihe,das so sehen den im normalen Betrieb springen irgendwan Casino/viagra/XXX PopUps auf. Auch gehen manche Programme nicht mehr(man kann sie nicht öffnen)

Ich wurde bisher zum glück von viren verschohnt,habe aber sonst bei freunden das System einfach neuinstalliert. Aber es muss doch auch ohne diese "Harte" Programm gehen. OK wenn der Virus zu weit im system ist,dann hilft wohl nur noch eine neuinstallation,aber ich weiß ja aktuell noch gar nicht wie weit der Wurm/Virus im System drinne ist. also will ich ertsmal die Softe variannte mit aufspühren&vernichten probieren.

Nur wie?

Sie hat zwar Avira AntiVir 10 (letztes update 19.5 ok naja) drauf,aber der hat bisher wohl nicht angeschlagen sagt sie,ich mache nun mal ein voll scan,wenn es geht.

Edit: kaum avira gestartet schon findet er sdra64.exe
laut internet ein malware mit eventuellem rootkit (mhh )

also such ich mir nun im netz ne anleitung wie ich das ding wieder runter bekomme.

Dieser Beitrag wurde von gtown bearbeitet: 26. Mai 2010 - 08:29

[SoniX]

Wenn Du den Rechner wirklich wieder sauber haben willst hilft wohl nur formartieren und Windows neu installieren.

[TI-User]

100% sicher kann man sich nicht sein, wenn nachher das Antiviren Programm nicht mehr läuft, oder sogar Daten ausgespäht werden.

Ein Backup zurückzuspielen wäre die einfachste Variante, ansonsten kann ich mich nur meinem Vorposter anschließen.

[chris19756]

hey mit ein bisschen googeln hättest du es gleich gefunden bei kaspersky lab

Die Hauptmerkmale einer Infektion mit Trojan-Spy.Win32.Zbot

1. In den Ordnern %windir%\system32 und %AppData% erscheinen folgende Dateien (eine oder mehrere):
* ntos.exe
* twex.exe
* twext.exe
* oembios.exe
* sdra64.exe
* lowsec\\local.ds
* lowsec\\user.ds

Information%windir%\system32 und %AppData% sind Systemornder des Betriebssystems Microsoft Windows. Abhängig von der installierten Version des Betriebssystems kann der Pfad zu diesen Ordnern abweichen.
Beispielsweise sehen die Pfade zu diesen Ordnern unter Windows Vista folgendermaßen aus: C:\Windows\System32 und C:\Users\<Profilname>\AppData. Unter Windows XP Professional: C:\WINDOWS\system32 und C:\Documents and Settings\<Profilname>\Application Data.
2. Links auf die oben genannten Dateien erscheinen in folgenden Schlüsseln des Systemverzeichnisses:
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Methoden zur Desinfizierung

Zur Desinfizierung der Systeme, die von Trojan-Spy.Win32.Zbot infiziert wurden, verwenden Sie das Tool ZbotKiller.exe.

* Es führt eine schnelle Untersuchung des Systems auf eine Infektion durch.


* Es erkennt und löscht den bösartigen Code der bekannten Varianten von Trojan-Spy.Win32.Zbot.


* Es beseitigt die Rootkit-Funktionalität, die zum Verstecken von bösartigen Dateien und Prozessen verwendet wird.


* Es löscht bösartige Dateien und reinigt das Systemverzeichnis von der Aktivität der Trojaner aus der Familie Trojan-Spy.Win32.Zbot.

Das Tool ZbotKiller.exe kann unmittelbar auf dem infizierten Computer oder zentral über das Kaspersky Administration Kit gestartet werden.

Lokal:

1. Laden Sie das Archiv ZBotKiller.zip herunter und entpacken Sie es in einen Ordner auf dem infizierten (oder potentiell infizierten) Computer.


2. Starten Sie die Datei ZbotKiller.exe.

InformationNach der Untersuchung kann das Fenster der Befehlszeile aktiv bleiben. Damit sich dieses Fenster automatisch schließt, starten Sie das Tool ZbotKiller.exe mit dem Parameter -y.
3. Warten Sie bis zum Ende der Untersuchung und Desinfizierung ab. Der Neustart des Computers nach der Desinfizierung ist nicht erforderlich.

Hier der Link zum Programm ZbotKiller.exe: http://support.kaspersky.com/de/downloads/.../zbotkiller.zip

Dieser Beitrag wurde von chris19756 bearbeitet: 26. Mai 2010 - 09:48

[zwutz]

wobei natürlich längst weiterer Schadcode nachgeladen worden sein kann.

[Kirill]

Zum Säubern eignen sich prinzipbedingt Livesysteme am Besten von der CT gab es da Knoppicilin, das ist ein Superding. Allerdings Hände weg von der frei runterladbaren Version, aufgrund von Lizenzgequarke ist da nur ClamAV dabei. Es lonht sich, sich ein Heft nachzubestellen, bei dem eine DVD dabei ist, dort ist eine nettere Auswahl an Virenscannern dabei.

Dieser Beitrag wurde von Kirill bearbeitet: 26. Mai 2010 - 10:19

[schlaflos]

... einer kommt nur selten alleine.

Es wäre schön und wünschenswert das mal eben so einfach mit einem Programm aus der Welt zu schaffen.

Ich habe schon von aufwendigeren Prozeduren gehört, gelesen und durchgeführt, die nicht immer erfolgreich waren. Das gemeine daran ist, dass man es oft erst viel später bemerkt.

Hier eine/meine äußerst rigerose Methode um halbwegs sicher zu sein.

- alle Daten sichern und auf einem sauberen Rechner mit Software verschiedener Hersteller scannen.

- den MBR der befallenen Festplatte löschen, und nach dem Vorgang das Datenkabel direkt ziehen

- das BIOS überschreiben

- den MBR nochmal löschen

Es gibt durchaus ganz hartnäckige, die sich immernoch auf der ersten Spur der Festplatte befinden können. Zum Glück ist das aber eher selten.

Nach meinen Erfahrungen ist das so recht sicher und relativ schnell.

Zur Vorbereitung erstellst man sich vorher, natürlich auch auf einem sauberen Rechner, eine bootable CD mit nem kleinen DOS, mit z.B. killmbr, passender BIOS Datei und z.B. Partition Magic.

[Twisty]

schlaflos sagte:

- alle Daten sichern und auf einem sauberen Rechner mit Software verschiedener Hersteller scannen.

Du kämst besser, die Hashsummen abzugleichen. Keine Software kann dir beim Scannen garantieren, alle möglichen Schädlinge entdeckt zu haben. Bei einem Abgleich mit den Hashsummen vom sauberen System ist das auffälliger, da der Hash verfälscht wird. Zu dem ist der Abgleich schnell angehandelt und man sparrt sich Abhängigkeiten von Programm xy.

[gtown]

also hab nun schon 3 viren durchläufe und er sgat immer noch viren drauf.

falls ich nun zum harten schnitt mit der neu installation von Win Vista greifen sollte, will die dame natürlich gerne ihre bilder und alles retten(sie hat nur 1 partition) aber wie das machen?

ich kann zwar einfach alle wichtigen sachen auf eine externe platte spielen
und dann?

an meinem hauptrechner anschließen und dann nochmals mit viren scanner suchen->ne dann hab ich sie ja auch gleich

oder ich schließ sie an ein 2 rechner an,überprüfe dort alles,und installiere dort auf dem 2 rechner danach einfach das windows neu

ah oder auf eine externe 3,5" platte die wichtigen daten spielen,danach in einen pc fest installieren (direkt an die/sata) und dann von liveCD booten und alles durchleuchten & gegenfalls löschen

[Kirill]

Wenn du nur scannst aber nichts ausführst, hast du die Viren nicht gleich.

[gtown]

Zitat

Wenn du nur scannst aber nichts ausführst, hast du die Viren nicht gleich.

mit avira antiVir gescannt und am ende hat er mir vorschläge gemacht die ich ausgeführt habe

werde wohl um eine neu installation nicht drum rum kommen,vorallem weil er immer wieder was findet.
aber hab gerade mal geschaut so viele private daten hat die gute dame gar nicht,seltsam eig.

aber wie bekomme ich die am einfachsten sauber da runter?
Siehe meinen obrigen beitrag

[timmy]

Ich würde die Daten, Lesezeichen, Mails, Mailkonteneinstellungen.......
auf eine externe Festplatte packen, oder auf CD/DVD brennen.
Das System neu einrichten und alles auf den neusten Stand bringen.
Anschl. kannst du die gesicherten Dateien ja mal scannen.

[schlaflos]

@Twisty

Zitat (Twisty: 26.05.2010, 14:58)

Du kämst besser, die Hashsummen abzugleichen. Keine Software kann dir beim Scannen garantieren, alle möglichen Schädlinge entdeckt zu haben. Bei einem Abgleich mit den Hashsummen vom sauberen System ist das auffälliger, da der Hash verfälscht wird. Zu dem ist der Abgleich schnell angehandelt und man sparrt sich Abhängigkeiten von Programm xy.

Wenn Du mir das mal näher erläutern könntest ...

@I Luv Money

Zitat (I Luv Money: 27.05.2010, 12:20)

Format C:

Bei allen anderen, kannste dir als Laie nicht wirklich sicher sein das _alles_ restlos entfernt wurde.

Ich hänge mal ein Bild an, ist entstanden nachdem die gesamte Festplatte gelöscht wurde und das OS neu installiert werden sollte.
Sehr sicher scheint es nicht, nur das C Laufwerk zu formatieren.

Ich fand es sehr nett vom Urheber gleich bescheit zu sagen, dass seine Schadsoftware noch vorhanden ist. Besser als würde man es erst merken, wenn alles wieder hergestellt ist.

Angehängte Miniaturbilder

• 

[ibaxx]

Hallo,

wir hatten spamversand in der Firma, was auf ein Rootkit hindeutet.
Wir haben alle Rechner mit einer Avira Boot CD gescant und säubern lassen.
Bei Rechnern die mehr als 3 Malwares besaßen haben wir formatiert und neu aufgesetzt.

Ansonsten haben wir eine Linux Firewall aufgesetzt um den traffic zu scannen.

Das Ergebnis ist Ruhe

MfG
Ibaxx