ComputerBase Menü
Aktuelles

Ersuche Hilfe, möglicher Trojaner?

N

Nicht-Natan

Banned
Registriert
Apr. 2004
Beiträge
1.226
Hallo Ihr Lieben,

tja, ich habe seit wenigen Stunden ein ganz großes Problem, vielleicht könnt Ihr mir helfen.

Nach dem Öffnen einer Datei haben sich mein Antivursprogramm, Windows Defender und auch Systemwiederherstellung quasi "abgemeldet". Außerdem ist kein Zugang zum Internet über WLAN mehr möglich.

Ich bin mir sicher, daß cih mir einen VIrus eingefangen habe. Bitte um schnelle Hilfe, falls möglich.

Danke,

Nat
 
das klingt nach einem typischen cia BdT obwohl auch neuere BdTs sowas haben aber bei cia ist es am ehesten anzutreffen. ich würde mal sehen ob der taskmanager,cmd und die regedit noch funzt...
 
Taskmanager und Redit funktionieren. Ich habe wohl den sog "Bagle" Wurm... und spiele mit dem Gedanken, Windows neu aufzusetzen.

Sämtliche (zugegebenermaßen eher laienhafte) Säuberungsversuche sind fehlgeschlagen bisher. Das Wiederherstellen der Daten ist aber bei 2,5 TB eine Qual :(((

Bagle konnte sicht trotz mehrfacher und profesioneller Abwehr (teure Sophos Lösungen) einnisten.
 
Zuletzt bearbeitet:
wie schon mehrfach erwähnt bietet ein av und fw nicht den schutz den man gerne hätte. verlass dich niemals darauf! ich war eh nie ein freund von einer bezahlten av version. bringen oftmals nicht mehr als ein kostenloses av (schon gar nicht für das was man bezahlt). ok wenn diese noch funzen dann sieht es dannach aus. viel spass beim reinigen^^ und ich denke das sollte dir klar machen das man keine dateien aufm hauptsystem öffnet die man gekriegt oder runtergeladen hat...
 
@natan
Bist du dir sicher das du dir den Bagle-Wurm gefangen hast? Wenn ja, bist du selbst schuld, der Wurm verbreitet sich als Email-Anhang.

Sophos Bedrohungsanalyse:
http://www.sophos.de/security/analyses/w32bagleqw.html

Dort sind auch Ratschläge zur Desinfizierung verlinkt.

Hast du schon einmal ein HiJackThis Log erstellt und analysiert um potentiell gefährliche Dateien im Systemverzeichnis und Registryeinträge zu identifizieren?
http://www.hijackthis.de/

Hast du einmal einen Online Virenscan gemacht?
http://support.f-secure.de/ger/home/ols.shtml
http://www.kaspersky.com/de/virusscanner

Einzelne verdächtige oder befallene Dateien bitte auf ihren Befall hin untersuchen.
http://virusscan.jotti.org/de/
http://www.virustotal.com/de/

Besteht die Möglichkeit einen Systemwiederherstellungspunkt vor der Infizierung wiederherzustellen? Oder steht ein Image als Backup zur Verfügung?

Du solltest in Betracht ziehen, das System neu aufzusetzen.
 
Spielkind schrieb:
@natan
Bist du dir sicher das du dir den Bagle-Wurm gefangen hast? Wenn ja, bist du selbst schuld, der Wurm verbreitet sich als Email-Anhang.
Zum Vergrößern anklicken....

Naja, Counterspy meldet einen "w32.bagle.at"... leider. "Selbst schuld" bin ich allerdings nicht unbedingt.

Was war passiert? Die online versendete Update-Datei eines Kollegen zu einem Projekt ist anscheinend befallen. (Klasse... aber wie ich erfuhr, haben die gerade auch ihr System verloren.)

Hijack habe ich durchgeführt, werde aber nicht wirklich daraus schlau. Wenn aber schon "Counterspy" bagle meldet, dann ahbe ich nicht mehr viel Hoffnung.

Alle anderen Virenprogramme sind nicht mehr einsetzbar (da vom Wurm außer Gefecht gesetzt). Wiederherstellung geht nicht mehr, bei Neustart des Rechners nach der Wiederherstellung<wird die Meldung ausgegeben "Rechner konnte nicht wiederhergestellöt werden".(Also ist das auch vom Wurm anscheinend außer Gefecht gesetzt.)

Online kann ich momentan mit dem befallenen Rechnerverbund nicht mehr gehen. (WLAN außer Gefecht gesetzt.)

Oder steht ein Image als Backup zur Verfügung?

Du solltest in Betracht ziehen, das System neu aufzusetzen.
Zum Vergrößern anklicken....

Leider, leider steht kein Image zur Verfügung, aber sämtliches kritisches Datenmaterial ist 3-mal abgesichert (zum Glück...). Da ich den Rechnerverbund beruflich nutze, kann ich mir ein Backdoor-Programm auch nicht wirklich leisten.

Schade.. das wird wieder dauern, das aufsetzen :(
 
@Natan
Schau mal da
https://www.computerbase.de/2008-02/avira-mit-kostenlosem-rescue-kit/

Vielleicht ist das die Rettung für dein System?!
...Da ich den Rechnerverbund beruflich nutze,...
Zum Vergrößern anklicken....
Dann ist es wohl wirklich besser, um wieder einen vertrauenswürdigen Zustand herzustellen, das System neu aufzusetzen. Ich würde dir zukünftig empfehlen, regelmäßige Systembackups, z.B. mit Acronis True Image zu erstellen. Ich mach das auch mit meinem privaten Rechner... hier ist aber Faulheit der Grund :rolleyes:
 
Nein, das ist es ja gerade. Bevor eine Datei auf den Haupt-Rechner gelangt, wird sie auf 2 verschiedenen Rechnern zunächst auf ihre Integrität überprüft. Unter anderem von einer Sophos Enterprise Lösung und von GData (beides Bezahl-Versionen).

Der Befall wurde nicht erkannt!

Viele dank für die Virustotal-Adresse.

Jesus, das ist echt zum Weinen. Für so etwas habe ich eigentlich keine Zeit. :(

Edit: @Spielkind :

Danke für den link, ich schaue es mir mal an! Vielleicht bestehet ja temporär zumindest Hoffnung.

Edit2: Denke daß das nichts nutzen wird, Spielkind. Zumal ich schon das System neu übersepitl habe (nicht neu aufgesetzt!), da ich jetzt auch BSOD erhielt.
Nach Neuaufspielen wurde der Virus jedoch immer noch gefunden und auch eine Datei "Khalmprn.exe" wurde bei jedem Neustart neu erstellt.
Internet über WLAN funktioneirt auch immer noch nicht auf dem Rechner...


Edit 3:

Naja für die Zukunft: Welche Datenackupsoftware könnt Ihr mir denn empfehlen, die im Notfall wirklich ein Image des kompletten Systemes aufspielt, so daß ich nichts mehr neu aufzusetzen habe? (Möglichst von externer Festplatte). Das Neuaufsetzen des Systemes kostet erfahrungsgemäß 2-3 Tage a 12 Stunden...
 
Zuletzt bearbeitet:
Zumal ich schon das System neu übersepitl habe (nicht neu aufgesetzt!), da ich jetzt auch BSOD erhielt.
Zum Vergrößern anklicken....

Hast du eine Reparatur Installation gemacht ? Eine Rep. Install ist zur Malware Entferung nicht geeignet.

Kritsche Dateien sollten zuerst auf virustotal.com überprüft werden und danach erst in einer virtuellen Umgebung (Sandboxie oder Virtual Pc) getestet werden.

http://www.sandboxie.com/

Virtual PC 2007
 
Zuletzt bearbeitet:
Eine Reparatur-Installation wird den Virus nicht entfernen.

Es hilft a) nur ein Neuaufsetzen des Systems oder b) das Suchen und löschen aller befallenen Dateien von Hand sowie das Editieren der Registry. Es ist wahrscheinlich, das du mit Neuaufsetzen schneller bist.

Und ja, es ist eine Gebetsmühle: Nicht gesicherte Daten (und da gehört das System imo auch dazu) sind verlorene Daten. Ich verwende zum Sichern meiner Daten seit längerer Zeit Acronis True Image. 1x Neuaufsetzen dauert dann ~10 Minuten. 30 Euro die sich imo lohnen:
http://www.acronis.de/homecomputing/products/trueimage/
http://www.edv-buchversand.de/acronis/url.php?cnt=trueimage11
 
Jepp, Reparatur-Installation. (Zumindest kann ich jetzt überprüfen, ob das letzte Backup wirklich noch aktuell ist, was es zum Glück zu sein scheint.)

Ja, in Zukunft werde ich virustotal.com einsetzen. Danke nochmals für den Tipp.
Wie siehts mit einem guten Backup-Programm aus? Gibts da Empfehlungen? (Image-Datei von externer Festplatte etc.)

edit:

Mit der Bezahl-Version von Acronis kann ich also auch ein befallenes System von ext. HD wiederherstellen, selbst wenn das System selbstständig nicht mehr bootet?
 
Zuletzt bearbeitet:
Als Backup Programm kann ich Acronis True Image empfeheln,Version 10 und 11 läuft auch unter Vista. Version 10 ist schon für ca. 20,- € bei eBay zu haben.
 
Zuletzt bearbeitet:
das beste was ich je gelesen hab...
"schonmal an einen online scan gedacht?"
schon klar wenn sein netz nicht mehr geht
tzzz -.-
 
Ja, ich habe davon ja auch gutes gehört (Acronis). Nur muß es eben in der Lage sein, daß gesamte System (inklusive Windows Installation) wiederherzustellen, von einer externen Festplatte und auch dann, wenn das System selbst nicht mehr bootbar ist.

Kann Acronis das?
 
Soweit ich weiss ja, die CD ist Bootfähig.
 
Na dann... die Sicherheit meiner Daten ist mir weitaus mehr als 30€ wert. Meine Daten sind schon 3-fach abgesichert, nur das Aufsetzen des Systemen möchte ich eben in Zukunft vermeiden können.

Und da sind 30€ für diese Zeitersparnis gar nichts.
 
jep mit acronis true image ist sowas möglich... allerding irre teuer und nimmt irre viel platzt für die images ein
bei externer festplatte bestimmt kein prob

ne gute sache ist übrigens Ultimate Boot CD for Windows...
Absolutes muss und gehört in jede Standartausrüstung!

Mit ihr kann man PWs herstellen Regestry Fixen, Wiederherstellungen etc
Hat auch Antiviren Programme und Antimalware etc integriert

mal ne überlegung wert
 
najiumi schrieb:
jep mit acronis true image ist sowas möglich... allerding irre teuer und nimmt irre viel platzt für die images ein
bei externer festplatte bestimmt kein prob
Zum Vergrößern anklicken....

Hm, "Irre teuer"? 45€, soweit ich jetzt sehen kann. Ich würde ehrlich gesagt das 100-fache ausgeben. Meine Daten sind so viel viel viel mehr wert.

Platz ist kein Problem. (10 x 1 TB HDs vorhanden...)


Edit: Sehe, daß die Enterprise Lösungsn von 200-1000€ variieren. Aber selbst das ist gerechtfertigt, wenn dieses Backup-Programm zuverlässig funktioniert.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

E
Bladabindi-Trojaner nach Libreoffice Download von Computerbild
Antworten
12
Aufrufe
4.726
Sas87
Sas87
N
Trojaner Win32/Uwamson.A!ml ...
Antworten
10
Aufrufe
18.405
Naxxi
N
species_0001
  • Angepinnt
Leserartikel Der ideale Office-Laptop
9 10 11
Antworten
216
Aufrufe
142.391
species_0001
species_0001
Arjab
[Erfahrungsbericht] Virtualisierung mit PCI-Passthrough auf Manjaro Linux
2 3
Antworten
59
Aufrufe
24.592
Xenophon61
X
|Moppel|
Linux ≠ Windows | Warum sollte Linux mich wollen?
30 31 32
Antworten
631
Aufrufe
66.411
Randnotiz
Randnotiz
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz