Viren Problem

**bingbongman** · 22.08.2006, 09:42

Hallo erstmal,

Ich habe ein Problem also ich besitze das Programm Avast (Viren Programm) und ich habe damit gestern einmal wieder meinen PC durchsucht,dabei fand das Programm einige Viren ,die ich alle gelöscht habe.Alles war in Ordnung bis dann plötzlich eine Virenmeldung angezeigt wurde obwohl der PC gerade durchsucht wurde.Ich klickte auf "Datei löschen" ,doch da steht das avast die datei nicht bearbeiten kann.Dann wollte ich die Datei per Hand löschen ( C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files ) doch immer wenn ich auf den Ordner klicke und nach unten scrolle stürtst die Explorer.exe ab also meine Taskleiste und das Fenster ist weg.
Nur wie lösche ich das Virus jetzt?

Achja Avast sagt es handelt sich um ein Troyanisches Pferd.

Hoffe ihr könnt mir helfen ;p

**Myxim** · 22.08.2006, 10:04

dl dir einmal dieses tool für verwaltung der registry in bezug auf start von prg's.

http://www.mlin.net/StartupCPL.shtml

-> checken und überprüfen welche prg's beim booten gestartet werden. entsprechende unbekannte *.exe datein in google recherchieren. entsprechende Reg-einträge für Malware löschen.

=> im Taskmanger prüfen ob die INTERNETEXPLORER.exe läuft, ohne das du ihn auf hast und task beenden.
=> entsprechend gefundene prg's mit og. prg in ../System32/ löschen

--> nachdem die reg einträge gelöscht und prg(s) gelöscht, Os im abgesicherten Modus starten.
--> mit explorer in ../temp IE verzeichnis wechseln
==> alle Ordner mit strg+klickt makieren und dann mit shift+entf löschen.

---> internet settings für activeX und Java elemente verbessern, alle nicht benötigten dienste deaktivieren.

**Bur7on** · 22.08.2006, 10:06

Ad-Aware DL

Spybot DL

Beide ziemlich gut und bekommen zumindest bei mir den ganzen Mist den McAfee nicht wegbekommt gelöscht. Hoffe es hilft auch dir =).

**Aether** · 22.08.2006, 10:20

Nach einer Viren- (und vor allem Troyaner-)infektion ist das System kompromittiert... das heisst es ist nicht mehr sicher, egal wie viele Antivirenprogramme Du installierst oder Scans durchführst. Desweiteren musst Du damit rechnen das sämtliche Passwörter nun offen gelegt sind, sei es von EMail-Konten, Guild Wars, oder alles was mit dem Computer oder Internet zu tun haben kann. Von persönlichen Daten reden wir mal lieber nicht, bevor es zu einer Depression kommt.

Einzige vernünftige und logische Lösung: Das System komplett neu aufsetzen (dazu die Tips beachten die hier im Forum ja schon so oft genannt wurden). Danach sämtliche Passwörter ändern.

Das ist eine Heidenarbeit, aber anders kommst Du nicht mehr auf die sichere Seite.

**Myxim** · 22.08.2006, 11:20

Zitat:

Original geschrieben von Aether
Nach einer Viren- (und vor allem Troyaner-)infektion ist das System kompromittiert... das heisst es ist nicht mehr sicher, egal wie viele Antivirenprogramme Du installierst oder Scans durchführst. Desweiteren musst Du damit rechnen das sämtliche Passwörter nun offen gelegt sind, sei es von EMail-Konten, Guild Wars, oder alles was mit dem Computer oder Internet zu tun haben kann. Von persönlichen Daten reden wir mal lieber nicht, bevor es zu einer Depression kommt.

Einzige vernünftige und logische Lösung: Das System komplett neu aufsetzen (dazu die Tips beachten die hier im Forum ja schon so oft genannt wurden). Danach sämtliche Passwörter ändern.

Das ist eine Heidenarbeit, aber anders kommst Du nicht mehr auf die sichere Seite.

Wenn man mit einem Trojaner infiziert wurde ist es nicht zwingend notwendig das system neu zu machen. ein trojaner öffnet einen port, welcher von außen erreichbar sein muss. dies bedeutet aber auch das dieser port im router forwarded sein muss, oder in der firewall freigegeben sein muss.
wenn es sich um eine trojaner variante mit aktiver verbindung handelt, muss das entsprechende prg. in firewall frei gegeben sein, um 'durchgelassen' zu werden. daher werden die meisten trojaner auch in den mru/mtu des IE eingetragen.
entferne ich diese einträge und das entsprechende prg, ist mein system erstmal relativ wieder safe. admin passwörter des lokalen logins sind unrelevant, es sei denn ich bin so blöd und habe remote freigaben/ administration auf einem standalone oder / prv lan. einer der ersten dienste die man unter windoof deaktiviert, selbe gilt für netmessages. grundsätzlich um eine basis sicherheit unter windoof zu schaffen. alle nicht benögtigten dienste und rpc-dienste deaktivieren .

selbst keylogger sind relativ 'harmlos' wenn man weiß was sie eigentlich nur machen.

ein virus allerdingst kann dazu führen das man das system neu machen muss, da hierbei system dateien nicht reparabel zumeist infiziert werden.

die einzige vernünftige lösung bei solchen dingen ist es, sich einmal ein wenig über howtos und tutorials (google hilft) zu informieren wie man sich im inet relativ sicher bewegt. sicherheit gibt es nicht. jedes system ist angreifbar aufgrund des user vorm pc und seinem sicherheits verhalten. hierzu gehören browse- und mail-verhalten zb.

es ist auch egal wieviele av-prg's ich verwende.... wenn das av-prg den virus nicht kennt, wird es ihn nicht finden. hier sei mal erwähnt das innerhalb jeder stunde, ca. 10-20 'neue' malwares weltweit endeckt werden. die dunkelziffer der tatsächlich erscheinenden liegt ein vielfaches höher.

**Aether** · 22.08.2006, 12:45

http://de.wikipedia.org/wiki/Technis...mpromittierung

**Lyta** · 22.08.2006, 13:06

Wenn man keine Windows-Boot CD hat, würde ich das System löschen und neu aufspielen.

Mit Boot CD: http://www.nu2.nu/pebuilder/

kann ich zumindest alle Dateien, die ich will, auf der Platte löschen. Ich kann Registry Zweige importieren und Autostarts überprüfen, sowie die zugehörigen Dateien direkt löschen. Ein Virenscanner, der sich über Router verbindet und updated kann von der CD aus ungestört scannen. Rootkits kann ich auch sehen, sofern ich weiss, wonach ich suche. Es gibt aber welche, da ist es nicht so einfach.

Trotzdem weiss man nie, ob man nicht was übersehen hat.

**bingbongman** · 22.08.2006, 13:26

Ist das denn viel arbeit?Also ich habe glaueb ich eien Windows Boot CD ,doch als ich mir damals meinen PC gekauft habe hat mein Vater WIndows drauf gespielt,ist das viel arbeit und sind dann alle meine Daten/Spiele ect. weg?

**b!w0** · 22.08.2006, 14:35

das formatieren, und Windows installieren is nich viel arbeit

vllt ne sache von 1std oder so, jenachdem wie groß deine festplatte is! das sichern, bzw neu draufpacken der sicherungen nimmt da sehr viel mehr zeit in anspruch!
Würd ich dir allerdings auch empfehlen....nach som virus....

**Razkur** · 23.08.2006, 14:39

außerdem lass es doch auch einfach deinen Vater machen

**N. Wolvenheart** · 23.08.2006, 15:10

Wenn du wirklich überhaupt keinen Plan von PCs/Windows hast, würde ich mit formatieren eher vorsichtig sein, für einen ungeübten kann das nämlich durchaus sehr kompliziert erscheinen und es sind vorher viele Dinge zu beachten (z.B. ob du auch alle Treiber/ServicePacks etc. auf CD hast, ungeschickt wenn man das erst feststellt, wenn der PC schon platt gemacht ist und man nicht mehr ins internet kommt).

Ich würd erstmal folgendes probieren:
Starte den PC neu, in dem Moment wo Windows anfängt zu laden drückst du F8. Dort wählst du den Abgesicherten Modus aus. Dann versuch nochmal die verseuchte Datei per Hand zu löschen, die Chancen das das jetzt klappt sind im abgesicherten Modus deutlich höher).
Dann kannst du auch die Systemwiederherstellung von Windows kurz deaktivieren und wieder aktivieren, dadurch gehen zwar die alten Wiederherstellungspunkte verloren, aber manchmal verstecken sich gerade in diesen noch Viren, die die Antivir-Programme zwar erkennen, aber durch den Windows-Dateischutz nicht entfernen können.

Die Programm-Tipps von den Leuten über mir (Spybot/Adaware etc..) würd ich auch unbedingt runterladen und immer mal wieder durchlaufen lassen, viel Glück.

**Myxim** · 24.08.2006, 10:50

das entfernen der datei alleine reicht zu 98% nicht. kleiner ausflug in die welt der gegenwärtigen aktuellen trojaner varianten.....

der trojaner wird via browser oder email über activex/ java elemente ins system gebracht. die original malware datei wird irgendwo hin geschreiben ( zumeist ../system32/ ) und entsprechende einträge in der registry für start während des initialisierens des os eingetragen. nach dem ersten start der malware wird eine kopie von sich selber gemacht mit einem anderem filenamen. dieser wird auch in der registry eingetragen. gestartet wird das ganze zumeist als ein system oder IEXPLORER.exe task.

bei der initialisierung des os wird nun einfach geprüft ob eine kopie vorhanden und ob dieser gestartet ist. wenn nicht fängt der process wieder von vorne an.

malware muss gestartet werden damit sie effektiv ist, dies wird über die registry wie beschrieben realisiert, oder es werden system dateien infiziert, welche so oder so gestartet werden müssen.

hier einmal original einträge eines trojaners+dns changer variante, eines bereits alten bekannten erstmalig aufgetaucht 11/2005. dies sind einträge von 05/2006, da der trojaner modifiziert wurde.

Registry:

Code:

- HKCU/Software/Microsoft/Internet Explorer/Explorer Bars/C4EE31F3-4768-11D2-BE5C-00AC9A83DA1/FilesNamedMRU/hgqhp.exe
- HKLM/software/Microsoft/Windows/Run/C:\Winnt\System32\hgqhp.exe
- HKU/Software/Microsoft/Internet Explorer/Explorer Bars/C4EE31F3-4768-11D2-BE5C-00AC9A83DA1/FilesNamedMRU/hgqhp.exe

- HKCU/Software/Microsoft/Internet Explorer/Explorer Bars/C4EE31F3-4768-11D2-BE5C-00AC9A83DA1/FilesNamedMRU/bndmod.exe
- HKU/Software/Microsoft/Internet Explorer/Explorer Bars/C4EE31F3-4768-11D2-BE5C-00AC9A83DA1/FilesNamedMRU/bndmod.exe



The DNS entries in Registry are been changed to: 
- 85.255.113.109
- 85.255.112.212

die bndmod.exe ist die original datei. die hgqhp.exe die kopie. ein löschen der erkannten hgqhp.exe datei bringt nichts. nach dem nächstem reboot des systems ist sie wieder vorhanden, vielleicht sogar mit anderem namen. je nachdem wie flexible man dies programmiert.

**Ashantara** · 24.08.2006, 12:39

Zitat:

Original geschrieben von bingbongman
Hoffe ihr könnt mir helfen ;p

Du musst erstmal den Namen des Virus' bekanntgeben, sonst können wir Dir auch nicht helfen.

Es rentiert sich in einem solchen Fall nämlich immer, auf den Fachseiten nachzulesen, wie genau der besagte Virus fkt. und wie man die Registry diesbzgl. handhaben muss, um das Teil loszuwerden.

Und für die Zukunft:

Firewall installieren:
http://www.zonelabs.com/store/conten...try=DE&lang=de

Gutes Antiviren-Tool installieren:
http://www.free-av.de/

Adware-Detectionprogrammm installieren:
http://www.download.com/Ad-Aware-SE-...bj=dl&tag=top5

Adware-Schutztool installieren:
http://www.safer-networking.org/de/mirrors/index.html

Autostart-Manager installieren:
http://www.winload.de/download/13882...ager-1.42.html

Damit sollte es keine Virenprobleme mehr geben.

Und natürlich immer die neusten Windows- (und Internet Explorer-)Sicherheitspatches installieren!

**bingbongman** · 24.08.2006, 18:33

So ich habe jetzt meinen PC formatiert (hui war da viel müll drauf ;p ) jetzt habe ich ein Problem und zwar wie kriege ich die Lautstärke Regler (also das Symbol) in die Taskleiste? Hoffe auch hier könnt ihr mir helfen ;p