ComputerBase Menü
Aktuelles

Virus nicht löschbar und abgesicherter Modus defekt

Ein Tipp dazu am Rande: sobald du dein Windows neu aufgesetzt und eingerichtet hast, fang damit an regelmässig Systembackups davon zu machen. Geht ganz easy und leicht zum Beispiel mit Paragon Backup & Recovery Free: http://www.paragon-software.com/de/home/br-free/
http://www.chip.de/bildergalerie/Paragon-Backup-Recovery-2013-Free-Galerie_61260709.html (ich würde die Erweiterte Oberfläche öffnen/starten, finde ich gelungener als die normale)und was wichtig ist: brenn dir gleich die Paragon Boot/Rettungs CD sobald du das Programm installiert hast.
Was Avast anbelangt: es ist ein gutes Freeware Virenschutz Programm aber die jetzige Version 8 wird laut Avast Foren Ende Oktober von Avast Free Antivirus 2014 abgelöst die eine andere GUI hat und nur noch 3 "Hauptschilde" in denen jeweils mehrere Schutzfunktionen untergebracht sind. Ausserdem entfällt mit Version 2014 bei der Free der Verhaltenschutz und die Autosandbox und die Module werden durch DeepScreen ersetzt. Eine anschauenswerte Alternative wäre die erst kürzlich erschienene AVG Antivirus 2014 Free Version.
 
Kann mit den Details die du da erwähnt hast leider nicht so viel anfangen. Kenne mich mit den Umfängen der Antivirenprogramme nicht aus. Avira war bei mir halt nur schon seit Ewigkeiten drauf.
Also wird das freie Avast in seinen Funktionen quasi beschränkt, oder "schlechter", wenn ich das richtig verstehe?
Wenn AVG genauso gut ist, ziehe ich mir das ;)
 
Nein schlechter oder beschränkter wird es nicht sondern man fasst die jetzigen vielen Schilde(8 oder so)zusammen und packt die quasi in 3 Hauptschilde die glaube ich Dateisystemschutz, Webschutz und E-Mailschutz heissen. Was AVG betrifft: wenn du das nimmst(ist meiner Meinung nach gleichwertig mit Avast Free)dann installier das auf jeden Fall ohne die AVG Nation Toolbar und schaue dir nach der Installation die Erweiterten Einstellungen an die ich gemacht habe: https://www.computerbase.de/forum/t...virenschutz-prog.1228886/page-5#post-14388317 (Die Screenshots in Posting 87 vergleichen mit den Standareinstellungen bei dir und übernehmen was du übernehmen magst).
 
Btw.: Eine Neuinstallation wäre nicht notwendig gewesen. In diesem Fall hätte es gereicht, mit Tools wie ERD Commander das Windows auf einen früheren Wiederherstellungspunkt zurück zu setzen und dann mit Tools wie Malwarebytes, Malwarebytes Anti-Rootkit und/oder AVG Anti-Rootkit und ADW-Cleaner das System zu säubern.
Leider verbieten einige der aktuellen Ukash-Infektionen eine "Vorbehandlung" im "Abgesicherten Modus mit Eingabeaufforderung" und Kaspersky-Rescue-Disk versagt oft leider auch (selbst mit allen Updates), aber eine Rücksetzung des System ist i.d.R. möglich, wenn von einem passenden Bootmedium gestartet wird.
 
Leider verbieten einige der aktuellen Ukash-Infektionen eine "Vorbehandlung" im "Abgesicherten Modus mit Eingabeaufforderung" und Kaspersky-Rescue-Disk versagt oft leider auch (selbst mit allen Updates)
Zum Vergrößern anklicken....
Und wie schaut es aus bei Systemen auf denen schon Malwarebytes installiert ist? kann man auf diesen Systemen Malwarebytes im Abgesicherten Modus mit Eingabeaufforderung starten und einen Scan starten? Bzw. wie schaut es denn aus mit Systemen mit mehr als einem Benutzerkonto? kann man da nicht das System im Abgesicherten Modus mit Netzwerktreibern booten, das nicht betroffene Benutzerkonto auswählen und von dort aus meinetwegen Malwarebytes runterladen und installieren und dann eine Bereinigung starten? Letzteres wurde mir kürzlich gesagt das das ginge bei befallenen Systemen die 2 oder mehr Benutzerkonten haben. Aber ob das auch klappt mit den von dir genannten neuen Ransom Varianten?
 
Oftmals leider nicht. Sobald Du im "Abges. Modus mit Eingabeauff." starten willst, folgt ein Reboot noch vor der Benutzer-Anmeldung. Im normalen Modus kann man zwar den User wählen, aber kurz nach dem Desktop taucht der Ukash-Screen dann auf und nix geht mehr.
 
@emlyn d.
Gut das der TE auf dich gehört hat und das System neu aufgesetzt hat denn bei ZeroAccess Infektionen würde ich auch keinen Scannern wirklich glauben wollen und würde ein Systembackup zurückspielen.
Zu den Ransom File das ich von dir bekam(Danke ;) ) als ich das Ausführen wollte reagierte Online Armor(und ich beim ersten Bild)so: und das System wurde nicht infiziert, hab hier ein ganz normal laufendes Windows.
Und die gerade bei VirusTotal durchgeführte Auswertung: https://www.virustotal.com/de/file/...66dbc51260ec85e74cccca38/analysis/1381530697/ nur 2 Virenscanner dort erkennen bis jetzt das File. Hätte ich nur AVG an gehabt, bzw bei Online Armor auf Erlauben geklickt, wäre mein System infiziert geworden. Aber selbst mit BitDefender, Norton usw. würden sich User die an das File gerieten, ihre Systeme infizieren.
 
Zuletzt bearbeitet:
Da hast Du aber die wunderbare Chance auf ein Bundeskanzlerin+Bundespräsident-Bild mit runterlaufender Uhr vertan:rolleyes:
 
Auf das "herrliche" Bild kann ich gerne verzichten:D und selbst wenn ich dieses "herrliche" Bild hätte sehen dürfen, das letzte Systembackup der Partition C ist gerade mal ein paar Stunden alt und wäre in ca. 25 Mnuten eingespielt gewesen.
Interessant gewesen wäre auch ob und wie die von SLE beschriebenen Schutzmechanismen von Kaspersky: http://www.rokop-security.de/index.php?s=&showtopic=11768&view=findpost&p=376836 bei dem File reagiert hätten oder ob es dem Ransom gelungen wäre Kaspersky zu umgehen und das System zu infizieren.
 
Zuletzt bearbeitet:
emlyn d. schrieb:
@kammerjaeger1:
Dir ist offensichtlich entgangen, dass es hier nicht um Ukash geht, sondern um ZeroAccess.
https://www.computerbase.de/forum/t...sicherter-modus-defekt.1263314/#post-14638257
Das System war hochgradig kompromittiert, in solchen Fällen ist es alles andere als sinnvoll, Tools bis zum geht nicht mehr drüberzujagen.
Zum Vergrößern anklicken....

1. Dein Link führt zu "x.exe", nicht zu der von Dir genannten "fifa 14.exe".
2. Nur 9 von 48 Scannern erkennen überhaupt einen Schädling, der von manchen nur "möglicherweise" als Zero-Access aufgrund bestimmter Verhaltensweisen gewertet wird.

Glaub mir, ich hab auch täglich mit solchen "Babies" zu tun, bisher ist mir bei genau dieser Art der Infektion noch kein echter Zero-Access untergekommen, was es aber nicht zu 100% ausschließen soll. Aber das sollte sich selbst im ungünstigsten Fall recht schnell zeigen, wenn man sein System ein wenig "beobachtet"... ;)

Btw.: Eine echte ZeroAccess-Infektion wird i.d.R. nicht Dein System unbrauchbar machen, indem es jegliche Arbeit am PC unterbindet. Denn so hat der Trojaner keine Zeit/Möglichkeit, seiner eigentlichen Aufgabe nachzukommen. Die allermeisten Ukash-Infektionen haben nur das Ziel, den Leuten Geld aus der Tasche zu ziehen. Nur das interessiert sie!
 
Hey,
soo, AVG Free Antivirus ist installiert, und ein paar erweiterte Einstellungen habe ich auch übernommen. Naja, eigentlich alle, die Purzelbär da laut den Images auch aktiviert hat. Ich vertraue einfach mal drauf, dass das ganz gut ist. ;)

Naja, zumindest bin ich mit dem Neuaufsatz von Windows auf der sicheren Seite. Wer weiss, wo der Virus/Trojaner sich da verewigt hat.
Als ich die fragwürdige Datei geöffnet habe, hat sich ja erstmal n schwarzes Fenster geöffnet, in dem stand, er würde sich Adobe Reader oder Direct X oder sowas downloaden, was ja an sich schon Quatsch war, weil die Datei ein Programm öffnen sollte.
Richtig los ging es ja erst nach dem Neustart. Beim starten von Windows hat sich sofort irgend son DOS Fenster geöffnet. Da hats mir dann auch langsam gedämmert, dass irgendwas nicht stimmt. Dann habe ich den Task Manager geöffnet und habe die Anwendungen und Prozesse überprüft. Hab bissl die Anwendungen überprüft und mal den Dateipfad von einer, die mir vom Namen her merkwürdig vorkam, geöffnet. Dann hat er mir halt den Pfad geöffnet und ich habe noch ein paar sekunden die beiden Dateien gesehen, die ich anfangs gedownloadet hatte. Dann hat Windows sich plötzlich einfach heruntergefahren.

Edit: Achja, nach dem Neustart waren die beiden Dateien, deren Dateipfad ich vorher geöffnet hatte übrigens nicht mehr im alten Pfad zu finden.

Nach dem hochfahren startete sich natürlich wieder die besagte DOS Box. Dann habe ich einfach mal n paar Prozesse gekillt, die ich für unnötig hielt und habe n bissl aufm Computer rumgeguckt. Dann ist mir der google Ordner aufgefallen, der genau das selbe Installationsdatum/Änderungsdatum hatte wie die beiden gezogenen Dateien. Der liess sich aber halt partout nicht löschen. Weder normal in Windows, noch über die als Administrator geöffnete cmd, noch liess sich die Datei von Avira löschen oder in Quarantäne verschieben.
Dann wollte ich den Pc halt beim Start im abgesicherten Modus starten. Aber leider rebootete er immer ungefähr wenn der Anmeldebildschirm kam. Dann dachte ich mir, stelle ich es halt in Windows (Ausführen/msconfig) ein, dass er mit minimalen Prozessen startet. Ich dachte, dann macht er es vielleicht doch. Das Ende vom Lied war halt, dass er weder im abgesicherten Modus richtig hochfahren wollte, noch Windows normal startete, was ich ja mittlerweile quasi auch zum abgesicherten Modus gemacht hatte.
Der Trojaner hat sich wohl irgendwo tief eingenistet oder irgendwelche Systemdateien geändert, beschädigt oder gelöscht.
Kaspaersky hatte dann zwar 4 mit Trojanern befallene Dateien gefunden und gelöscht, aber starten konnte ich Windows immer noch nicht.
Deswegen war ich mit nem Neuaufsatz von Windows auch ganz zufrieden. :)

Wollte es nur noch mal ausführlich berichten. Ihr scheint euch ja für sowas zu interessieren.

Und danke für die Hilfe nochmal. :)
 
Zuletzt bearbeitet:
Find ich gut das du alles ausführlich geschildert hast ;) und jetzt denk dran: Fang damit an regelmäßig Systembackups/images zu machen, hatte ich ja schon einmal erwähnt ;)
 
@kammerjaeger1:
Oh, da ist also Überzeugungsarbeit nötig.
Mache ich für Dich gerne haarklein.

Schon die Problematik mit dem Google-Ordner war ein erster Hinweis auf ZeroAccess, siehe z.b. hier http://nakedsecurity.sophos.com/201...lware-revisited-new-version-yet-more-devious/.
Diesem Verdacht galt es nachzugehen.

Ich habe den Hilfesuchenden um einen Link gebeten.
Im Detail handelt es sich um ein Archiv, das eine 55MB große Datei namens Fifa 14.exe beinhaltet.
Diese Datei habe ich auf einem meiner Testsysteme ausgeführt.
Nach wenigen Sekunden betätigte sich die Fifa 14.exe via xvidmovies.in als Downloader für eine weitere Datei, ZeroAccess.
Ich habe ihr in Wireshark den Namen x.exe verpasst.

Diesbezüglich interessant sind im FRST-Log:

HKCU\...\Run: [Google Update*] - [x] <===== ATTENTION (ZeroAccess rootkit hidden path)
ZeroAccess:
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Google\Desktop\Install

Auch hier https://malwr.com/analysis/YTkwNWRkMDMyYjg1NDM1ZDkwZjQ1OGZlNmIyYzQwODg/ findest Du unter "Files" typische ZeroAccess-Einträge.
Zusammen mit dem Virustotal-Ergebnis sollte meine Mission, Dich zu überzeugen, erfolgreich sein.

Wenn Du Interesse hast, hier http://www.file-upload.net/download-8171817/kj-samples.zip.html das "gedownloadete" und zwei etwas ältere, auch echte:rolleyes: ZeroAccess-Samples(Pw:ZA).

Inwieweit beim Hilfesuchenden noch weitere Schädlinge vorhanden waren und wie sich ZeroAccess bei ihm genau verhalten hat, ist Spekulation.
 
Zuletzt bearbeitet:
@emlyn d.
Die Reaktion von AVG Free auf die 3 Files in dem Zip Ordner als ich diese entpacken wollte: ;)
Der darauf erfolgte Scan von mir mit Malwarebytes Anti Rootkit(neueste Version)ergab:
 
Zuletzt bearbeitet:
@ emlyn d.
Es behauptet ja auch niemand, dass es keine gefährlichen ZeroAccess-Infektionen gibt. Aber die beschriebene Aktivität des TE ließ nunmal den Schluss zu, dass es hier doch um einen "minder schweren Fall" geht, dies zeigen jedenfalls meine Erfahrungen aus der täglichen Praxis! Und dass man nach erfolgreicher Entfernung weiter wachsam sein muss, sollte auch klar sein. ;)


@ purzelbär
Danke, das bestätigt nur meine Vermutung...
 
Ich fürchte, Du hast meine Intention missverstanden.
Ich wollte nur drei echte:rolleyes: ZA-Samples zur Verfügung stellen
Zum Vergrößern anklicken....
Meinst du mich jetzt? ich hab doch die 3 ZA Files getestet und du hast gesehen wie AVG reagiert hat oder ;)
@ purzelbär
Danke, das bestätigt nur meine Vermutung...
Zum Vergrößern anklicken....
kammerjaeger1, ich mach das von mir aus und wenn emlyn d solche Files zur Verfügung stellt, trau ich mich da halt schon mal ran ;) im schlimmsten Fall(Infektion)hätte ich halt nach meiner Paragon Boot CD gegriffen.
Noch ein echtes, relativ neues(https://www.virustotal.com/de/file/d...is/1381618652/) findest Du hier:
http://www.file-upload.net/download-..._F4CG.exe.html
Zum Vergrößern anklicken....
Die Reaktion darauf als ich es Ausführen wollte: und wenn ich auf Blockieren gehe kommt wieder so ein Windows Fenster das besagt das das File/die Datei nicht zur Verfügung stehe. Versuche ich abermals das noch vorhandene File Auszuführen zeigt mir Online Armor Free das an: Ist das okay für dich?
 
Zuletzt bearbeitet:
Das sind drei ältere Samples, da ging es mir nicht um die Erkennung, aktuell ist z.b. das zuletzt verlinkte.
 
Zuletzt bearbeitet:
Jetzt siehst du ja die Reaktionen meiner beiden Programme bei allen 4 Files ;) Zufrieden?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Virus eingefangen? - Programme und Prozesse werden automatisch geschlossen
2
Antworten
22
Aufrufe
1.637
BFF
BFF
J
Möglicher Virus pc zurücksetzen
2
Antworten
30
Aufrufe
1.755
andy_m4
andy_m4
R
Virus gefangen
Antworten
19
Aufrufe
1.265
Dr. McCoy
Dr. McCoy
Riker-
Virus auf USB-Stick wie windows sicher neu installieren?
2 3
Antworten
41
Aufrufe
2.095
Riker-
Riker-
S
Win11 kein abgesicherter Modus
Antworten
3
Aufrufe
661
secondsight
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz