Hiho,

folgendes Problem ist bei meinem System aufgetreten:

Auf meinem Rechnker sind sämtliche *.lnk Dateien nicht mehr benutzbar, ebenso lassen sich keine .exe Dateien mehr direkt ausführen. Habe diesbezüglich eine Beschreibung im Internet gefunden die auf einen Virus/Trojaner hinweist, jedoch hätte dieser Virus von meinem Virenscanner gefunden werden müssen.

Nach einer Systemwiederherstellung über den abgesicherten Modus (und abgezogenem Netzwerkkabel) startet das System einwandfrei - stecke ich das netzwerkkabel dann wieder ein und starte den Rechner neu, stehe ich wieder in der Ausgangsposition: *.lnk nicht mehr benutzbar und *.exe nicht mehr ausführbar.

Mein Virenscanner (Norton Anitvirus mit aktuellen Virendefinitionen) und Ad-Aware Pro können nichts entdecken - dennoch steigt mein System aus. Hat irgendwer eine Idee ?

Ach ja: Formatieren und neu aufsetzen ist nicht unbedingt das was ich hören möchte ;) Muss irgendwie anders gehen ...

Danke schonmal im Voraus

Wenn du über 2 PCs verfügst, solltest du mal einen remote-scan durchführen oder die betroffene hdd als slave in den anderen pc hängen und scannen. andererseits hätte ein format den Vorteil, dass du Norton los wärst und durch ein vernünftiges app ersetzen könntest :o

NAV hab ich original als Beipack von T-Online ;)

Habe grad was gefunden, was ich nachher mal testen werde: Online-Scan von Trendmicro. Vielleicht findet der irgendwas.

Hmm, gibt es ne Möglichkeit, die Registry vor Veränderung zu schützen? weil dass die *.lnk nicht mehr funzen muss ja durch Veränderung in der Reg stattfinden ... oder ?

Naja .. klingt für mich auch so. Vermutlich was über den IE oder Outlook eingefangen, dass nun die Dateiverknüpfungen in der Registry verändert. Da es fraglich ist, ob du dein System wieder vollständig sauber bekommst (ohne überhaupt zu wissen, was denn alles komprommitiert ist) - halte ich immer noch Format-C für die sicherste Variante. Ein Netzwerk-Scan oder Scan als Slave ist den Inet-Scannern idr vorzuziehen - aber wer weiss, vll. schlägt er ja an, viel Glück :)

Dem muss ich aber teilweise wiedersprechen.
Die sichere Variante ist es, nur für Administrationsaufgaben in einen Account mit Administrationsrechten einzuloggen.
Man bekommt soviel Mist durch die Leitung gedrückt, da ist alles andere fahrlässig.
Im übrigen hört sich das gewaltig nach einem Virus an.
Was macht der Rechner denn im abgesicherten Modus mit Netzwerk?

Dem muss ich aber teilweise wiedersprechen.

Wo hast du denn den Widerspruch versteckt? Ich seh keinen. Das man grundsätzlich einen seperaten Useraccount zur normalen Nutzung des Systems verwenden sollte, ist klar... wird aber jetzt auch nicht dazu beitragen den/die Viren wieder zu entsorgen, bzw. das System wieder vertrauenswürdig einzurichten - deshalb sehe ich für die Lösung des aktuellen Virusproblems die sinnvollste Lösung in einem Format C: :)

...das es darüberhinaus sinnvoll ist, das eigene System so sicher wie möglich zu betreiben ist ja ein anderes thema... und versteht sich, so möchte man meinen, von selbst.

Was macht der Rechner denn im abgesicherten Modus mit Netzwerk?

Im Abgesichterne Modus macht er auch Ärger. Also Netzwerkkabel gezogen, Abgesichert mit EIngabeaufforderung gestartet und Wiederherstellung angestoßen. Danach im abgesicherten rein, ersten Testlauf gemacht. Anschließend Neustart ins richtige System, nochmal Testlauf gemacht. Nachdem alles klar zu sein schien, Netzwerkkabel reingesteckt und getestet, ob ich wirklich alles aktuell hab an Sacnmnern. Nach Neustart mit Netzwerk wieder der gleiche Salat.

*werbung an*

www.pc-hilfeforum.de

kleine aber gute com

*werbung aus*

So was ähnliches ist 'nem Kumpel widerfahren.
Wir haben folgendes gemacht:

1. Ein Tool organisiert, was uns sämtliche Autostart Einträge anzeigt
2. unbekannte Sachen entfernt (mit unbekannt meine ich, wir haben auf der Festplatte die entsprechenden Dateien gesucht und geschaut, was es denn nun ist)
3. einen Taskmanager (nicht unbedingt den von Win, das können sich Prozesse auch vor verstecken, geht aber auch) geöffnet und die laufenden Prozesse verglichen und ebenfalls entsprechend auf der HDD gesucht. Kam es hier zu keinem Erfolg, haben wir den Prozessnamen gegoogelt (und dabei gleich 2 Trojaner entdeckt)
4. Verdächtige Dateien gelöscht
5. Rechner neugestartet
6. Nach Neustart festgestellt, dass einer der Trojaner ein richtig mieses Ding war:
Einmal drauf, hat es sich in den Speicher geladen. Beim Beenden des Systems hat es sich auf die HDD geschrieben und einen Autostartbefehl zum Laden des Trojaners in den Speicher hinterlassen -> nicht so ohne weiteres löschbar
7. wieder den Namen gegoogelt und Hilfe gefunden :D

Es ist wie mit Dämonen: Wenn du erstmal deren Namen weißt, sind sie gar nicht mehr so schwer zu handhaben ;)

Die Symptome waren übrigens für die miese Variante die gleichen:
Ohne Internetkontakt gab es keine Probleme, doch sobald die Verbindung hergestellt war, ging gar nichts mehr!

Danke Bug, dann werd ich heute wohl noch reichlich Spaß mit meinem System haben ^^

Ich hoffe ich bekomm die Kiste wieder an den Start ohne formatieren zu müssen ... das zieht immer so einen langen Rattenschwanz mit sich *seufz*

Guck dir mal Tune Up (http://www.tuneup.de/?ap=1694) an,das kann die von Bug beschriebenen Sachen Autostart/Taskmanager und gibts als Trialversion ;) hab das schon seit Jahren laufen und leistet immer wieder hervorragende Dienste!

gruss win

NAV is wirklich seit der 2k5 Version eher nerviger FAKE eines AV, der macht alles das was du nicht brauchst... (Beim IP Refreshen, die Netzwerkkarte Sperre O_o).

Sinnvoll ist wirklich die Platte auszubauen / ein OS von einer LiveCD booten und scannen.

Sollte es danach nicht gehen und du hast dein Virus entfernt (oder so):

Probier das mal:

http://plasmastorm.info/misc/LNK.rar

Entpacken, alle Files durchgehend doppelklicken. Ich kann dir niht verprechen das es hilff, Benutzung auf eigene Gefahr.

Spybot S&D (http://www.safer-networking.org/de/home/index.html)
das kleine ding ist sehr hilfreich
allerdings sollte man nicht unbedingt der größte noob am pc sein .. sonst kann man damit auch ne menge kaputt machen kaputt machen

scannt dateien und registry auf mögliche veränderungen
überwacht permanent zugriffe auf die reg welche auch direkt verboten oder expliziet erlaubt werden können
dazu gibts ne gute übersicht über programme im autostart und laufende prozesse
und für alle von euch die noch den IE benutzen sorgt er auch hier für etwas mehr sicherheit

alles sehr übersichtlich gestaltet und recht einfach zu bedienen
aber nix für anfänger

Falls du Formatieren solltest, empfehle ich dir sone komische Festplattenkiller, die musst du im Dosmodus starten und die setzten irgendwie erst alles auf 1 dann auf 0.
Hab auch mal n Prob mit virus gehabt, nur nach 5 maliger neuinstallation lud das betirebssystem net.

Tjo ... viele der Tips ließen sich leider nicht ganz umsetzen, da das meiste die Möglichkeit der Ausführung von Dateien voraussetzt. Leider habe ich nach mehrstündigem Kampf verloren, irgendwie hat der Virus es letztendlich sogar geschafft, meine Systemwiederherstellungsdaten zu infizieren.

Eine Reparatur-Installation schlug übrigens ebenfalls fehl, während der Einrichtung der Gerätetreiber hat der Virus es sogar geschafft, das Setup-Programm am Ausführen der rundll32.exe zu hindern. Mir blieb nur noch eine komplett neue Installation.

Ich hab nun erstmal free-av installiert in der Hoffnung, dass der irgendwas taugt. Auf kurz oder lang werd ich aber wohl auf PC-Cillin umsteigen ... ist zwar nicht kostenlos, aber Trendmicro hat nen ziemlich guten Ruf was Virenbekämpfung betrifft...

irgendwie hat der Virus es letztendlich sogar geschafft, meine Systemwiederherstellungsdaten zu infizieren. Warum sollte er auch nicht? Ist ja alles auf derselben Festplatte, im gleichen Dateisystem ... . Die Virenschreiber wissen schon, wo sie was zu versauen haben, damit ihr Produkt erfolgreich ist. Die murksen sogar Virenscanner und 'personal Firewalls' ab ...

Mir blieb nur noch eine komplett neue Installation.Das ist leider IMMER und AUSNAHMSLOS die richtige Maßnahme bei Virenbefall. Aber das wolltest Du ja anfangs nicht hören/lesen.

Ich hab nun erstmal free-av installiert in der Hoffnung, dass der irgendwas taugt. Auf kurz oder lang werd ich aber wohl auf PC-Cillin umsteigen ... ist zwar nicht kostenlos, aber Trendmicro hat nen ziemlich guten Ruf was Virenbekämpfung betrifft...An Deiner Stelle würde ich mir dringend ganz andere Gedanken machen: Wie konnte der Virus auf Dein System gelangen? Und komm bitte nicht auf die Idee, dem Virenscanner die Schuld zu geben ...

btw.: http://forum.neocron.com/showthread.php?t=125400

Auf der anderen Seite: Siehe die Neuinstallation doch als Chance an, ein schlankes, schnelles und sauberes System zu erhalten. Nun weisst du ja, welche Programme du wirklich brauchst, und wie etwas konfiguriert werden muss. :)


[edit: Hervorhebung einer wichtigen Frage]

Alsowie er rauf kam ist mir ehrlich gesagt schleierhaft...

Meine Konfig unter dem Blickwinkel der Sicherheit:

Ein Windows XP SP2 (original, keine "sicherheitskopie"), mit allen aktuellen Updates
Eine Cisco PIX 515 Firewall (sone software-firewall kann da nicht mithalten)
Norton Antivirus 2006, aktuelle Updates und maximaler Schutz+Heuristik aktiviert, ebenso schutz vor spyware, adware, würmern etc ... das volle Programm halt
Ad-Aware Professional (lizensiert, daher inklusive Ad-Watch) ebenfalls auf neustem Stand
KEINE p2p wie eMule & Co - sowas gibts nicht auf meiner Kiste
Keine unseriösen Internetseiten - zumindest wüsste ich atm keine


Norton AV halten viele für untauglich, mag sein, aber bisher hat er eigentlich immer gute Dienste geleistet (zumindest war er recht zuverlässig was eMails betraf). Ich bekomme recht viel Spam, von daher wäre das eigentlich die einzige mir erklärliche Möglichkeit, dass sich da was reingemogelt hat. Allerdings wird der Spam ungelesen gelöscht und die Mails werden vorher zusätzlich durch den t-online Virenfilter geschleust.

Allerdings: Ich habe mir nochmal den Spybot runtergeladne und getestet, ebenso diesen "housecall" von Trendmicro - alle Meldungen waren jedoch ohne Befund. Was immer ich mir da eingefangen hatte, nicht ein einziger Scanner hat auch nur irgendwas gefunden. Also entweder ist das viech brandneu gewesen oder einfach raffiniert genug alle scanner auszutricksen. Ach ja: Ad-Watch hat mir zwar immer mitgeteilt wenn die Reg umgeschrieben wurde, jedoch konnte Ad-Watch das interessanterweise nicht verhindern (und das obwohl das Blocking aktiviert war). Auffällig war noch, dass die Startseite von "about:blank" auf irgend ne url umgeleitet wurde, ich schau mal ob ich das mit Glück noch irgendwo finde welche das war. Also Anhaltspunkte für nen Virus gab es definitiv, aber geändert hats an der Hilflosigkeit nichts.

Also ich bin der Ansicht, mein System schon gut abgeriegelt zu haben und eigentlich auch nicht unbedingt risikofreudig durch's Netz zu rennen. Von daher bleibt mir nur noch eine einzige Steigerung: Win XP nur noch im minimalen Umfang zu nutzen (für Spiele wie Neocron z.B.) und den Rest künftig unter Linux laufen zu lassen ... hab ja nen paar Distris hier liegen.

/€: Schlankes System kannst knicken ... ich werde wohl die nächsten Wochen damit verbringen, etliches an Treibern und Applikationen neu zu installieren. Ich arbeite mit der Kiste, entsprechend viele Programme sind da auch drauf. Allein bei dem Gedanken wird mir schon wieder ganz anders ... man gönnt sich ja sonst nichts :mad:

hm, naja .... also ... ein paar Gedanken zur Partitionierung der Festplatte machen ... 15 Minuten ..... Windows frisch installiert sind 45 Minuten. Die "echte Firewall" (vorausgesetzt: passend konfiguriert) erlaubt das problemlose Hochpatchen auf den aktuellsten Stand via Windows-Update. Danach Treiber zusammensuchen und einrichten, eventuell nochmal Windows-Update (weil mit Sicherheit wieder die WIndows-CD verlangt war). Sagen wir mal ... insgesammt max. 3 Stunden?

Danach wichtigste Applikationen installieren, liegt ja meistens als CD vor - und grundkonfigurieren. Sagen wir da mal großzügig 5 Stunden. Summe = 8 Stunden.

Danach müsste der PC wieder grundsätzlich einsatzbereit sein.

Über die nächsten Tage kommen noch ein paar kleine Applikationen dazu, diverse Editoren, meinetwegen noch Spiele, Tools, .. und etwas Systemfeintuning - alles während der Benutzung des Systems, je nach Bedarf.

Nach etwa einer Woche spätestens hat das System dann sicherlich die "persönliche Reife" erlangt. Dann ist es Zeit, sich über ein Image gedanken zu machen, z.B. via externer USB-Festplatte und Knoppix. Davor sollte man natürlich die Finger von potentiell problematischen Alt-Daten und "Scherz-Mails" und "lustigen Links" und "megageilen Homepages" lassen, auch wenn es noch so in den Fingern juckt.

*******

Sicher, anfangs ist das etwas lästig, aber ... wie gesagt, man weiss ja, wie das System auszusehen hat und woher man die benötigten Sachen holen muss. Das sollte relativ "ruck-zuck" gehen.

In ein paar Tagen steht mir dasselbe übrigens auch bevor: Neues Notebook. Die Vorinstallationen sind leider meistens vermüllt und kann man daher "in die Tonne treten". Das Programm-Menü aufgeklappt erscheint schon zweispaltig .. auf der Defaultinstallation des neuen Notebooks. Das sagt eigentlich schon alles ... 8|

http://www.winfaq.de/faq_html/tip1273.htm

ka ob dir das weiterhilft...nen versuch wäre es wert

Jou Terminator, genau jenes Problem hatte ich. Aber schau es Dir mal ganz genau an: in der reg fehlt der .exe-Eintrag, folglich sind keine .exe mehr startfähig weil das System die nicht mehr kennt. Wie startet man dann eine regedit.exe oder regedt32.exe ? ;)

Ich hatte zwei reg-fixes, eine für .lnk und eine für .exe - jedoch wurden die umgehend vom Virus wieder umgeschrieben. Naja, nu hab ich ja neu installiert ;)

nah gut...hatte nur das erste posting gelesen ^^

@Squish

wenn du mal wieder sowas hast, google nach stinger. gleich den ersten link nehmen. damit kannst du deine platte scannen lassen nach bekannten viren/würmer aus auch immer. ist ein kleiner virenscanner. brauchst du auch nicht zu installieren. nur die exe ausführen
und als anti viren prog kann ich dir bitdefender empfehlen.

und zu norton: wenn ich norton schon lese läuft es mit kalt den rücken runter, weil ich kenn einige pc die norton drauf hatten und dank norton nur probs hatten

Mach einfach das was der Typ mit seinem PC gemacht hat


http://www.break.com/index/potatogun.html

@Kaldera: Na ganz so am ende bin ich dann doch noch nicht :D

Aber wie gesagt - wenn alles nichts nützt, wird die Kiste eben auch noch auf Linux umgemünzt ... ärgerlich nur, dass viele Anwendungen und Spiele unter Linux nicht laufen ... sonst wäre ich längst umgestiegen. Und nein, damit meine ich nicht Office oder Grafik-Progs, da gibts bei Linux genug feine Dinge ;)