ralle 
Amarok
Dabei seit: 26.01.2005
Beiträge: 4.124
 |
|
Kann mir evtl. jemand helfen? Ich habe mir am Osterwochenende den Trojaner „TR/kazy.mekml.1“ eingefangen trotz aktuellem Virenscanner (hatte sich kurz vorher erst aktualisiert). Das Problem: Der Trojaner zeigte einen Warnhinweis bzgl. einer „malware“, die ich mit Klick entfernen könnte. Problem ist, dass dieser Warnhinweis wirklich so aussah, als wenn man Virenscanner mal ein Problem meldet, daher habe ich die Option „Entfernen“ gewählt, was aber wohl der Start allen Übels war.
Auswirkungen: Meine Programme werden nicht mehr angezeigt, sind aber noch vorhanden. Habe ein „unhide“-Programm laufen lassen, aber bei der nächsten „Fehlermeldung“ des Trojanders waren die verschwunden.
Ein Virenscan wird abgebrochen bevor er den Trojaner lokalisieren kann.
Es werden dann immer wieder „Fehlermeldungen“ angezeigt wie z.B.: „Festplattencluster beschädigt, private Dateien können in Gefahr sein.“ oder „Problem mit DIE SATA Festplatte festgestelllt“.
Nachdem ich danach mit einem anderen PC gegoogelt habe, bin ich relativ schnell durch andere Einträge in Foren darauf gestossen, dass es sich um o. g. Trojaner handelt. Es gibt auch Hinweise, wie der zu entfernen ist, aber das ist alles etwas nebulös (man soll irgendwelche LOGs auslesen, einen Report erstellen lassen, diesen dann an einen User senden und der schickt einem dann einen Download-Link, mit dem man alles bereinigen kann).
Gestern Abend war ich längere Zeit mit einem Freund daran am arbeiten, aber wir haben es nicht hinbekommen. Als wir letztlich den PC formatieren und das Betriebssystem neu aufsetzen wollten, hat der PC den Vorgang immer wieder abgebrochen und ist einfach ausgegangen.
Da die besagten Foreneinträge alle in letzter Zeit verfasst wurden (um Ostern herum) scheint es ein aktuelles Problem zu sein.
Ist evtl. hier auch jemand betroffen bzw. weiß eine (praktikable) Lösung?
Danke für Eure Hilfe!
P.S.: Mein Betriebssystem ist Windows XP.
|
|
26.04.2011 07:37 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
in der c't 08/2011 gab es eine notfall-dvd mit der software "desinfec't", mit der kann man ein linux-derivat nebst antivirenscannern booten, das ding geht sogar ins internet und aktualisiert die signaturen der scanner. wenn du nicht in dessen besitz bist, und dich auch scheust, die anleitungen aus dem trojaner-board zu befolgen, wird dir das nix nützen...
ich habe mal eben etwas hinter dem trojaner hinterhergegoogelt, die praktikable lösung scheint wirklich zu sein, neu aufzusetzen 
. hast du alle deine wichtigen dateien gesichert? usb-stick oder externe festplatte sind ideal.
wenn ja, starte den rechner mit einer (windows) bootdiskette, wenn du über ein disketten-laufwerk verfügst. wenn du nicht über eine solche diskette verfügst, macht es auch das hervorragende tool "xfdisk" http://www.mecronome.de/xfdisk/deutsch.php es sollte imho auch mit einem usb-stick funktionieren. dazu muß allerdings im bios die bootreihenfolge umgestellt werden (entweder von floppy disk, meist laufwerk A:\, oder eben usb, glaube es ist B:/). dann partition C:\ löschen, neu anlegen, aktivieren, formatieren. die aktivierte C:\ nennt sich auch primäre partition. dateisystem NTFS!
das aktivieren der partition ist wichtig, damit das bios weiß, daß das betriebssystem auf der aktivierten partition C:\ liegt, und es darüber booten soll.
tip: wenn die festplatte groß genug ist, leg dir 2 partitionen an. auf der ersten C:\ installierst du das os, auf die zweite partition D:\ lagere deine wichtigen dateien aus. im notfall kannst du C:\ plattmachen, ohne daß dir auf D:\ daten verloren gehen. fürs C:\ bist du mit 15 gb auf der sicheren seite, den rest vergebe dann an D:\.
wenn das alles nicht geht, kann man auch von einer win xp betriebssystem cd / dvd booten, auch hier muß evtl das bios umgestellt werden, damit das bios zuerst auf das dvd-laufwerk zugreift. der bootvorgang ist selbsterklärend, imho läßt sich dort die reparaturkonsole laden (sorry, lange her, daß ich das gemacht habe), und von dort aus läßt sich C:\ formatieren bzw partitionieren. genau das würde ich machen: die komplette partition C:\ löschen, danach neu anlegen, in vorgegebener größe, aktivieren, und danach formatieren.
das partitionieren sorgt dafür, daß der mbr (master boot record) der festplatte neu angelegt wird, und dort evtl enthaltene schädlinge plattgemacht werden.
danach dürfte windows ohne probleme neu installiert werden können. wenn du die online-verbindung eingerichtet hast, mache am besten sofort alle updates bei m$, und richte das os erst danach nach deinem gusto ein. wenn du damit fertig bist, gibt es möglichkeiten, ein backup davon anzulegen, welches man nach bedarf recht flott wieder aufspielen kann. nero z.b. kann das, aber auch viele andere kostenfreie programme, einfach mal suchen (empfehlung: heise.de).
sorry, daß ich keine einfache lösung habe, aber diese art von scareware ist echt räudig 
.
alternativ tuts sicher auch der pc-händler deines vertrauens, da mußt du schätzungsweise mit 50-100 euro kosten rechnen. am besten vorher fragen.
|
|
|
26.04.2011 11:07 |
|
|
Tanzbär
Amarok
Dabei seit: 29.07.2008
Beiträge: 2.172
|
|
Ralle wenn Du noch etwas Zeit hast..... würde ich eventuell noch mal einen oder zwei Tage warten.
Der scheint ja noch richtig frisch zu sein. Vielleicht kommen dann noch bessere Vorschlage - oder Tools der einschlägigen Anti-Viren Software Hersteller raus.
__________________
Am Ende des Regenbogens sehen wir uns wieder.
|
|
|
26.04.2011 11:43 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
gute idee 
.
|
|
|
26.04.2011 11:55 |
|
|
ralle
Amarok
Dabei seit: 26.01.2005
Beiträge: 4.124
|
|
Ja, erstmal danke für die Tipps! Das ist wirklich räudig. Ich frage mich echt, was das bringen soll, so eine Sch*** Software herzustellen? Haben die Leute keine bessere Verwendung für ihre Talente bzw. ihre Zeit?
Ich werde heute abend nochmal danach gucken.
@GruftiHH: Daran habe ich auch schon gedacht, das könnte auch noch eine Möglichkeit sein.
Was mich auch irritiert: Dieser Trojaner hat ja meinen PC auf den Kopf gestellt, aber hat er noch mehr angestellt? Z. B. evtl. irgendwelche Passwörter (ebay, amazon usw.) ausgelesen?
|
|
|
26.04.2011 11:56 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
gute frage. vielleicht solltest du alle passwörter präventiv von einem sauberen pc aus ändern.
|
|
|
26.04.2011 12:02 |
|
|
ralle
Amarok
Dabei seit: 26.01.2005
Beiträge: 4.124
|
|
Aber wenn der schon am 13.4. entdeckt wurde, warum hat mich dann mein Antivir mit Aktualisierungsdatum 24.04., also 1,5 Wochen später, nicht dagegen geschützt?
|
|
|
26.04.2011 13:56 |
|
|
blinky
Head Over Heels
Dabei seit: 20.03.2009
Beiträge: 1.165
|
|
Also nach meinen bescheidenen Erfahrungen ist avira gerade bei der Entfernung von Viren u.a. eher mäßig zuverlässig.
Probier doch mal ,malwarbytes'. Entfernt Viren sehr zuverlässig auch in Fällen wo avira versagt. Das Programm bietet als Freeware nur einen Scanner / Virenentferner, aber das sollte hier für Deine Zwecke reichen.
http://www.chip.de/downloads/Malwarebyte...e_27322637.html
__________________
What’s got three bottles, five eyes, no legs and two wheels?
|
|
|
26.04.2011 19:23 |
|
|
typewriter
Crises
Dabei seit: 29.08.2003
Beiträge: 1.112
|
|
es gibt wirklich schlechteres als avira. meine erfahrung mit eigentlich ALLEN AV-Programmen (ich darf das als IT-Admin mit 10 Jahren Berufserfahrung auf dem Buckel mal sagen): Schlussendlich ist und bleibt sauberes Entfernen IMMER Handarbeit. Mal mehr mal weniger!
"Vorbeugung/Prophylaxe" ist eigentlich das Stichwort. Aber das hilft auch keinem, der akut erwischt ist. Es gibt zig- Tips, wie man sein System halbwegs sicher halten könnte, wenn man nur einige Regeln befolgt, aber, mal an einem anderen Beispiel erklärt: Mein Krankengymnast sagt mir auch, dass ich Beschwerdefrei sein kann, wenn ich täglich morgens nach dem Aufwachen und Abends vor dem Schlafengehen diese 13 Übungen für sämtliche Nackenmuskeln jeweils 12 Mal und dann auch für je 30 Sekunden durchführen würde....man macht das 2 Tage lang...danach verliert es sich ;-)
Ach ja. So isset numma!
|
|
|
26.04.2011 20:14 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
| Zitat: |
Original von ralle
Aber wenn der schon am 13.4. entdeckt wurde, warum hat mich dann mein Antivir mit Aktualisierungsdatum 24.04., also 1,5 Wochen später, nicht dagegen geschützt? |
dafür gibt es mehrere gründe: es gibt noch keinen schutz gegen diesen trojaner. die av-hersteller müssen jeden virus erstmal analysieren, um festzustellen, was genau er macht, bevor er in die signaturen-datenbank eingetragen werden kann. dann erst erkennt das av-programm aufgrund des verhaltens des schadcodes, daß da etwas unheil anrichten will.
es ist eine mutierte bzw veränderte version im umlauf, dessen signaturen, wie oben gesagt, erst analysiert werden müssen.
der av-hersteller behält sich "sofortige" hilfe für die zahlende klientel (vollversion) vor.
also, bevor ein av-programm alarm schlagen kann, muß der virus oder der trojaner whatever in der signaturen-datenbank des programmes bekannt sein, sonst geht nix.
es ist bekannt, daß alle av-programme probleme mit der "heuristischen" erkennung haben. die heuristik (früher bei manchen av-herstellern treffenderweise "watchdog" genannt) überwacht eingeschleusten fremdcode (der auch beim internetsurfen auf präparierten seiten auf den rechner gelangen kann) auf dessen verhalten, vergleicht mit bekannten mustern, und schlägt entsprechend alarm. der nachteil sind fehlalarme (insbesondere javascript von webseiten). es gibt heuristische programme, die zusätzlich zu einem herkömmlichen av-scanner operieren, z.b. ThreatFire http://www.threatfire.com/de/ welches kostenfrei zu haben ist.
der einsatz dieses programmes empfiehlt sich nur auf sauberen rechnern.
ich bin gespannt, seit ein paar tagen habe ich, nachdem ich mit der performance der frei erhältlichen, natürlich permanent im hintergrund laufenden av-scanner sehr unzufrieden war, ein professionelles av-programm zu laufen, es heißt ESET NOD32 Antivirus 4, bei o.g. zeitschrift c't gab es eine kostenlose einjährige lizenz. zusammen mit ThreatFire soll das recht zuverlässig funktionieren.
ein ähnlich gut funktionierender av-scanner ist laut c't Microsoft Security Essentials 2.0, es läuft ressourcenschonend und soll laut c't sehr solide sein. nachteil: es funktioniert nur mit einer gültigen betriebssystem-lizenz 
. auch dazu kann man parallel ThreatFire laufen lassen.
übrigens habe ich meine derzeitige installation win xp schon seit 7 jahren zu laufen, und es hat es noch nie ernsthaft erwischt, aber ich bin als vielsurfer und onlinejunkie höchst alarmiert.
|
|
|
26.04.2011 21:07 |
|
|
markm
Crises
Dabei seit: 11.05.2003
Beiträge: 1.086
|
|
Trojaner? Kein Problem:
| Dateianhang: |
 pv86.jpg (54,12 KB, 189 mal heruntergeladen)
|
|
|
|
26.04.2011 22:35 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
|
|
27.04.2011 17:12 |
|
|
ralle
Amarok
Dabei seit: 26.01.2005
Beiträge: 4.124
|
|
Ich habe meinen PC jetzt wieder zuhause. Habe den zu einem Fachmann gegeben und 47 Euro gezahlt, das finde ich ok. Nun bin ich dabei das Gerät langsam wieder meinen Wünschen anzupassen.
|
|
|
02.05.2011 11:00 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
ein sehr fairer preis! absichern nicht vergessen 
.
|
|
|
02.05.2011 13:30 |
|
|
ralle
Amarok
Dabei seit: 26.01.2005
Beiträge: 4.124
|
|
Ja, ich ziehe sowieso immer Sicherheitskopien, daher ist es auch nicht so schlimm, dass das Betriebssystem "plattgemacht" werden musste. 
|
|
|
02.05.2011 16:15 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
|
|
07.05.2011 17:34 |
|
|
anorak
Administrator
Dabei seit: 09.02.2002
Beiträge: 5.322
|
|
gestern abend hats mich erwischt (win xp pro), und nach einigem herumfrickeln und fluchen (das teil hat sogar tastatur und maus blockiert, sodaß man nicht in den abgesicherten modus konnte, geschweige denn eine rescue-cd starten konnte. taskmanager war auch blockiert) hab ich es endlich hingebogen bekommen.
ursache war das surfen auf einem nicht seriösen bilderhoster 
, und eine veraltete java-version auf meinem rechner. dadurch hat der trojaner sich recht tief ins system gepflanzt. drei verschiedene programme probiert, nur teilerfolge gehabt, bis ich dieses tool entdeckt habe, welches dem fiesen teil den garaus machte:
Microsoft Safety Scanner
Trojan:Win32/Reveton.A
fünf stunden gefrickel, obwohl ich mich sehr gut abgesichert wähnte.
|
|
|
17.04.2012 01:15 |
|
|
ralle
Amarok
Dabei seit: 26.01.2005
Beiträge: 4.124
|
|
Das mit Java habe ich neulich auch schon gelesen.
Wie aktualisiert man seine Java-Version? 
|
|
|
18.04.2012 09:50 |
|
|
|
