Was ist das für ein Deutscher (?) Virus und wie kann ich ihn loswerden?

2

AKTUALISIEREN

Ich habe meine Lösung unten gepostet.

Dieses Ding ist am Freitag auf dem Computer eines meiner Angestellten aufgetaucht. Ich habe den größten Teil des Wochenendes damit verbracht, den Computer mit Avira AntiVir, dem Tool zum Reparieren des Avira-Bootsektors, dem Tool zum Entfernen von Kaspersky-Viren, Malwarebytes, Spybot, McAfee Stinger und etwas anderem zu scannen, was ich vergessen habe. Alle haben etwas gefunden. Insgesamt säuberten sie alle ungefähr 400 bösartige Gegenstände, mit Ausnahme dieses einen.

Dieser Bildschirm wird direkt nach dem Hochfahren des Computers und dem Anmelden des Benutzers angezeigt. Während das Betriebssystem das Profil lädt, tritt eine leichte Verzögerung auf, und danach wird dies angezeigt. Ich denke, es ist etwas in der Art eines Browser-Hack, weil ich gesehen habe, wie Firefox (3.6.18, glaube ich) kurz vor seinem Erscheinen gestartet wurde.

Ich kann STRG + ALT + ENTF drücken und den Task-Manager aufrufen, aber sobald ich das tue, überlagert der Virenbildschirm ihn.

Was ist das für ein Virus und wie kann ich es loswerden?

Bildbeschreibung hier eingeben

windows  windows-xp  virus 
Gup3rSuR4c
quelle
Rufen Sie die alliierten Nationen an. Entschuldigung, musste es sagen. :)
Keltari
2
Schauen Sie sich unseren Community-Leitfaden an und prüfen Sie, ob die dort beschriebenen Schritte hilfreich sind: Was kann ich tun, wenn mein Computer mit einem Virus oder einer Malware infiziert ist?
Slhck

Antworten:

5

Wie es immer wieder gesagt wurde, besteht die einzige sichere Möglichkeit, um sicherzustellen, dass ein Virus nicht mehr vorhanden ist, darin, den Computer zu formatieren und die Komponenten nacheinander neu zu installieren.

Das heißt, dies ist technisch gesehen kein Virus, sondern eine neue Art von Malware, die Sie für das Entfernen bezahlen lässt. Dies sollten Sie unter keinen Umständen tun, da Sie zur organisierten Kriminalität beitragen.

Mark Henderson
quelle
Ja, das ist mir schon klar. Das Problem ist, dass ich nicht derjenige war, der diesen Computer eingerichtet und gesichert, neu formatiert und die gesamte Software neu installiert hat. Ich suche nach Vorschlägen oder Tools, die ich noch nicht ausprobiert habe, um die schädliche Software zu entfernen, durch die dieser Bildschirm angezeigt wird.
Gup3rSuR4c
Wenn Sie zahlen, um es zu entfernen, werden sie normalerweise etwas anderes haben, das darauf wartet, seinen Platz einzunehmen (und dann müssen Sie zahlen, um es auch unendlich zu entfernen). Um die Verletzung noch zu beleidigen, gibt es den gesamten Kreditkartenbetrug, der normalerweise auch auf die erste Zahlung folgt - das gesamte Geschäftsmodell basiert ausschließlich auf "Take the Money and Run". = (
Randolf Richardson
1
Sie können diesem PC nicht mehr vertrauen, Zeit, ihn zu formatieren.
ZippyV
2
@Alex, leider ist deine "letzte Option" die erste, die garantiert funktioniert. Sobald ein Computer wie diese wurzelt ist es Ihren Computer nicht mehr und es gibt nur einen Weg , um sicher zu sein , dass Sie die Kontrolle über sie haben wieder und das ist es abzuwischen (Backup - Datum nur zuerst , wenn es sein muss, natürlich).
Rob Moir
Ich möchte auch darauf hinweisen, dass Sie in Ihren in @Alex aufgelisteten Schritten jetzt keine Sicherungskopie davon erstellen würden. Sie würden auch die Malware sichern. Die Backups sollten vorher gemacht worden sein ... ansonsten einfach formatieren und neu installieren. Sie könnten versuchen, durch die Rahmen zu springen, um nur Datendateien (Dokumente) abzurufen , aber Sie möchten keine Anwendungen / ausführbaren Dateien / etc. aber an diesem Punkt bin ich mir nicht sicher, ob ich es empfehlen würde.
Bart Silverstrim
4

Wie viel Zeit haben Sie bereits damit verbracht, den PC zu reparieren?

Sie werden vielleicht feststellen, dass das Booten mit einer Ubuntu-Live-CD, um alle Daten auf eine austauschbare USB-Festplatte zu kopieren, das Formatieren der Festplatte und die Neuinstallation der schnellste Weg ist, um dieses Problem zu lösen.

Ich habe es immer wieder erlebt, wenn so viel mehr Stunden darauf verwendet wurden, Viren oder Malware zu entfernen, als zum Sichern, Formatieren und erneuten Installieren erforderlich sind.

Ich weiß, dass Sie dies nicht tun möchten. Sie würden lieber ein Tool verwenden, um das Problem zu beheben, aber ich denke, Sie sparen Zeit, indem Sie eine Neuinstallation durchführen, und Sie wissen auch, dass die Malware wirklich verschwunden ist.

Ihr Computer wird wahrscheinlich schneller laufen, wie dies normalerweise bei einer Neuinstallation der Fall ist.

Stacey Richards
quelle
3

Es scheint sich um den BKA-Trojaner zu handeln (die ersten Ergebnisse sind Links zur Website der Scareware, verwenden Sie diese also nicht). Es scheint, dass der Konsens darin besteht, entweder neu zu installieren oder mehr Anti-Malware-Software zu verwenden.

Neuinstallation sollte ein letzter Ausweg sein; versuchen, es zu entfernen, ist besser. Das Schlimmste, was passieren kann, ist, dass Sie ohnehin neu installieren und einige Zeit damit „verschwenden“, etwas zu lernen.

Es mag albern / offensichtlich erscheinen, aber haben Sie versucht, Alt + F4 im Fenster zu drücken?

Ich kann vorschlagen, ein paar weitere Programme zu testen (führen Sie sie im abgesicherten Modus aus, um bessere Ergebnisse zu erzielen):

  • SUPERAntiSpyware (verwenden Sie die portable Version)
  • Autoruns (um herauszufinden, woher es kommt)
  • HijackThis (um das System gründlich zu analysieren)
  • WinSpy ++ (um das oberste Attribut aus dem Fenster zu entfernen, obwohl es möglicherweise alle paar Sekunden zurückgesetzt wird)
  • ComboFix ( Verbrannte Erde, letzter Ausweg)


Sie können auch schnell auf der Registerkarte "Prozesse" des Task-Managers nachsehen, um herauszufinden, auf welchen Prozessen der Trojaner ausgeführt wird, und versuchen, ihn zu beenden (Sie müssen ihn nicht im Task-Manager anzeigen, um ihn zu beenden) Sie können die ersten Buchstaben des EXE-Namens eingeben und Deldann Space) drücken . Stellen Sie jedoch sicher, dass die Option Immer im Vordergrund des Task-Managers ausgewählt ist. nur für den Fall.

(Randbemerkung: Ich finde es amüsant , dass der Trojaner ist mit dem Windows 7 - Logo , obwohl der Alex hat darauf hingewiesen , dass es sich um ein XP - System. Seufzen )

Synetech
quelle
Technisch gesehen ist das Schlimmste, was passieren kann, dass System-Binärdateien ersetzt werden, die weiterhin Backdoors herunterladen und installieren und Tastatureingaben erfassen, um Kennwörter zu stehlen, sie auf eine andere Site hochzuladen und dann Probleme mit Identitätsdiebstahl zu haben. Ein kompromittiertes System kann lügen, wenn Sie Binärdateien ausführen und vom Datenträger booten. Dies bedeutet, dass Sie darauf vertrauen, dass die Signaturen aktuell genug sind, um die neueste Malware abzufangen, was möglicherweise nicht der Fall ist.
Bart Silverstrim
@Synetech, ich habe auch über das Logo gelacht. Ich habe das ALT + F4 noch nicht ausprobiert. Und ich habe vergessen zu erwähnen, dass es auch im abgesicherten Modus angezeigt wird. Ich werde es ausprobieren, wenn ich den PC wieder einrichten kann.
Gup3rSuR4c
2

Nachdem ich einige Tage damit verbracht hatte, gegen dieses Ding zu kämpfen, wurde ich es endlich los. Ich bin mir ziemlich sicher, dass ich das Richtige gefunden habe, aber auf dem Weg habe ich einige verdächtige Gegenstände gefunden, die dazu beigetragen haben könnten. Hier sind die Schritte zum Aufräumen.

Als erstes überprüfte ich alle Autostart-Positionen in Windows. Ich bin diesem Artikel hier gefolgt . Die meisten Orte waren sauber, mit Ausnahme von:

  1. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • Auf diesem Schlüssel befand sich ein zweiter Pfad, der darauf zeigte C:\Documents and Settings\NetworkService\Application Data\09A52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe
  2. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • Dieser Knoten hatte einen REG_SZSchlüssel mit dem Namen, 2C508BD5-F9C6-4955-B93A-09B835EC3C64der auf die Datei msvcs.exe im UserinitSchlüssel zeigte.
  3. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
    • Dieser Knoten hatte zwei andere Knoten, die mir verdächtig erschienen. Sie wurden benannt \toldvw32und torlfsvses. Beide Knoten hatten Schlüssel, die auf eine toldvw32.dllDatei zeigten und mit einem WlStartupEventEreignis versehen waren. Das Nachschlagen bei Google ergab zu diesem Zeitpunkt noch keine aussagekräftigen Ergebnisse. Deshalb habe ich sie entfernt. Es scheint keine Probleme damit zu geben.

Das eigentliche Problem ist diese msvcs.exeDatei. Wenn es einem gelingt, zu überleben, repliziert es sich selbst in allen Benutzerprofilen auf dem Computer. Da es mit dem NetworkServiceProfil verbunden war, wurde immer sichergestellt, dass es in den anderen Profilen vorhanden war.

Es gibt drei Orte, an denen es msvcs.exeexistiert. Sie sind:

  1. {PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A
  2. {PROFILE}/Start Menu/Programs/Startup
  3. WINDOWS\Prefetch
    • Nicht 100% sicher, aber ich habe zwei verdächtige Dateien gefunden: MSVCS.EXE-0CA809BA.pfund MSVCS.EXE-301B4EC0.pf. Ich ging voran und entfernte sie ohne Probleme (zumindest soweit).

Ich hoffe das hilft jemandem in der Zukunft. Es hat bei mir funktioniert. Wenn Sie einen Computer haben, auf dem dies vorhanden ist und der mit einer Domäne verbunden ist, überprüfen Sie auch den Profilordner des Benutzers auf dem Server. Dort befindet sich auch eine Kopie. Es ist unnötig zu erwähnen , dass Sie sich nicht direkt auf dem Server in dieses Profil einloggen sollten, da Sie danach nur noch eine sehr spaßige Zeit haben werden ...

Sie können es auch nicht im abgesicherten Modus bereinigen, wenn das Profil, bei dem Sie sich anmelden, infiziert wurde. Ich habe UBCD4Win verwendet, um das aufzuräumen, was ich gesehen habe, und den Rest habe ich im abgesicherten Modus erledigt.

Nun, ich weiß, dass der allgemeine Konsens darin besteht, den Computer zu zerstören und von vorne zu beginnen, aber das ist in einem Geschäftsumfeld nicht immer möglich. Nachdem ich es bereinigt und durch mehrere Antiviren-Tools bereinigt hatte, habe ich es chkdsk /f /rauf dem Laufwerk ausgeführt, mit MyDefrag (4.3.1) defragmentiert und der Computer funktioniert einwandfrei, als ob es nie passiert wäre. Den Computer zum Atmen zu bringen, ist also nicht immer die beste Vorgehensweise, wie @Synetech auf sich selbst hinwies.

Schließlich wurde Kaspersky auf dem Computer installiert, aber irgendwie ausgeschaltet, und so kam der Virus (Malware?) Durch und tat, was er tat. Ich bin überhaupt kein Fan von Antivirensoftware, in der Tat habe ich keine auf meinen 6 oder so Maschinen, aber in einer Umgebung, in der Sie technisch anspruchsvolles Personal haben, ist es eine gute Idee, sie zu haben und es ist auch eine sehr gute Idee , um sicherzustellen , dass es tatsächlich gedreht hat auf und aktualisiert.

Das sind alles großartige Leute. Ich hoffe, dass jemand anderes in Zukunft von dieser Antwort profitieren kann.

Gup3rSuR4c
quelle
1

Dies scheint eine brandneue Scareware zu sein. Soweit ich sehe, wurde es von den Antivirus-Spezialisten noch nicht beschrieben. Es droht, den Inhalt der Festplatte zu löschen und Sie wegen der Verwendung einer illegalen Kopie von Windows zu verklagen.

Ich schlage vor, Sie schalten den infizierten Computer aus, entfernen die Festplatte und kopieren den Inhalt der Festplatte an einen sicheren Ort. Sie können dann auch einen Virenscan wiederholen, während Sie an einen anderen Computer angeschlossen sind (ohne diese infizierte Festplatte zu booten).

Persönlich würde ich die Daten sichern und eine Neuinstallation anstreben. Sobald eine Malware in einem Fenster gefunden wurde, kann nicht mehr sichergestellt werden, dass alle Spuren entfernt wurden, da sie weiterhin versuchen, sie / Ihre Daten / Ihr Bankkonto zu verwenden, sobald sie Ihren Computer gefunden haben. In solchen Fällen scheint es üblich zu sein, mehr Malware auf den Computer zu laden.

Benutzer dieses Computers sollten ihre Passwörter ändern, wenn das Banking abgeschlossen ist, ihre Bankkonten überprüfen und eine neue PIN festlegen.

Oh, und zahle nicht. Wenn Sie dies tun, werden Sie möglicherweise um Administratorrechte gebeten, um Ihr Windows zu "reparieren" und Sie dann endgültig zu rootkiten.

Posipiet
quelle
Ja, das kann ich nicht lesen, aber es ist alles das Gleiche ... Ich habe es mit der UBCD 3.60 gescannt und dann, als das nirgendwo hinkam, in meinen Desktop gesteckt und es mit anderen Tools erneut gescannt. Ich mag es wirklich nicht, den Weg der Neuformatierung gehen zu müssen ...
Gup3rSuR4c
Soweit ich sehen kann, ist die Scareware einfach zu neu oder zu selten, um von Antivirenprogrammen noch erkannt zu werden.
Posipiet
0

Die meisten, aber nicht alle Schadprogramme können manuell mit Autoruns entfernt werden .

Versuchen Sie das folgende Verfahren:

  • Laden Sie Autoruns über den obigen Link herunter und führen Sie sie direkt aus dem Zip-Archiv aus
  • lass es scannen (wenn es kann)
  • Suchen Sie nach zwei Arten von Einträgen: nach Einträgen ohne Signatur und vor allem nach Einträgen mit der Aufschrift " Datei nicht gefunden ". Die zweite Art ist typisch für Viren, die sich in verschiedene Teile des Systems einfügen, die während der Startzeit ausgeführt werden (aber beim Start entfernen sie die infizierte Datei vorübergehend und machen sie erst beim nächsten Neustart zugänglich). Durch Deaktivieren der problematischen / verdächtigen Einträge können Sie die Malware so stark lahm legen, dass sie nicht mehr im System aktiv ist (und wenn Sie die Auswahl aufheben, können Sie sie jederzeit wieder aktivieren).

Wenn Sie jetzt keine Autoruns ausführen können, die darauf zurückzuführen wären, dass der Virus ihn bereits blockiert, werden Viren dies jedoch selten tun.

Dieses Verfahren ist überraschend effizient, aber dies liegt natürlich nur an Viren, die es nicht ansprechen. Sie können es immer versuchen.

Nachdem Sie es durchlaufen haben, können Sie verwenden

  • Prozess-Explorer , um zu überprüfen, ob auf Ihrem System seltsame Prozesse ausgeführt werden
  • tcpview zum Überwachen und Überwachen Ihrer Netzwerkaktivität

Die Verwendung dieser Tools ist nicht trivial (erfordert Kenntnisse des normalen Systemverhaltens), aber in diesem Fall

  • Die reguläre Antivirensoftware erkennt die Bedrohung noch nicht und bootet auch nicht unter Linux und versucht, mit Clamav zu säubern
  • Sie möchten wirklich versuchen, es zu bereinigen und eine Neuformatierung zu vermeiden

Sie können versuchen, die Prozedur zu befolgen, die ich gegeben habe.

Unvernunft
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.