SecurityTool.exe (Daten auf exHDD gesichert)

[Eselsbrücke]

Hallo,
Gestern habe ich mir zum ersten Mal einen Virus eingefangen.
Es handelt sich um den Virus 'SecurityTool', welcher einem vorgaukeln will, dass das System komplett zerstört ist. (siehe Anhang)

Nun, da ich erstmal geschockt war, habe ich sicherlich nicht alles richtig gemacht.
Ich habe folgendes getan:

1) SecurityTool.exe per Taskmanager gestoppt und per CCleaner aus dem Autostart entfernt
2) Neustart
3) Kompletten System Scan mit Avira Antivir
(8x java agent.2212 irgendwo in Benutzer\AppData\Java gefunden ->Quarantäne)
[komischerweise wurde SecurityTool.exe von Antivir nicht als Virus eingestuft, warum nur?]
4) SecurityTool.exe aus Benutzer\AppData\Local und aus Startmenü gelöscht.
5) CCleaner + ClearProg Reinigung

und danach war wieder alles in Ordnung.
Danach habe ich alle meine wichtigen Daten (Videos, Musik, Bilder,Setup Dateien von Programmen die ich oft nutze etc), welche sowohl auf der Windows Partition als auch auf einer anderen Partition waren, auf eine externe 1 TB HDD kopiert, um sie als Backup zu haben.

Nun meine erste wichtige Frage hierzu: Sind die Daten sicher, die ich nun auf die externe HDD als Backup kopiert habe? Ich meine es waren ja 'nur' Bilder, Musik, etc und der Virus wird wohl eher Systemdateien (wenn überhaupt) infiziert haben, oder?Außerdem hatte ja Avira bei diesen ganzen Daten keine Malware gefunden.


Danach habe ich nach dieser Anleitung: http://www.bleepingcomputer.com/virus-removal/remove-security-tool mit malwarebyte mein Sytem gereinigt.

Eigentlich scheint alles wieder in Ordnung zu sein. Dennoch will ich mein System neu aufsetzten und die Festplatten formatieren.

Dazu meine zweite wichtige Frage: Wie genau muss ich vorgehn bei der Formatierung?
Soll ich einfach im Explorer die Festplatte anwählen, Rechtsklick -> Formatieren... wählen?
Kann ich danach dann Windows neu installieren?

 

[real_general]

Daten sind normalerweise unkritisch.
Also, wie schon richtig vermutet, diese alle sichern und dann von ganz neu aufsetzen.
Dazu einfach Windows-CD rein, die formatiert auch für dich. Im laufenden Betrieb geht das nicht.

 

[Eselsbrücke]

Also bei den Daten waren auch einige exe Dateien (zB von Minispiel Moorhuhn Remake oder der Freeware FormatFactory o.ä) oder auch fonts, die ich aus dem Internet habe.
Also alles mögliche an Daten und Dateiendungen sind jetzt auf der externen HDD gesichert. Aber alles nur Daten, die von mir persönlich waren. (persönlich in dem Sinne, dass es keine Systemdateien waren)

Wenn ich das nächste Mal die externe HDD anschließe wäre es dennoch ratsam sie komplett auf Viren zu überprüfen.

zur Fomatierung: Ist dann so meine Vorgehensweise richtig?
1) PC herunterfahren
2) PC hochfahren
3) Windows CD rein
4) mit Hilfe der Windows CD Festplatten formatieren und dann Windows neu installieren

Ich habe noch nie Windows selber neuinstalliert, deshalb die Frage wie das funktioniert.

 

[Whiterose]

zur Fomatierung: Ist dann so meine Vorgehensweise richtig?
1) PC herunterfahren
2) PC hochfahren
3) Windows CD rein
4) mit Hilfe der Windows CD Festplatten formatieren und dann Windows neu installieren

So einfach ist es dann auch nicht aber fast so einfach

1. PC herunterfahren
2. Mit Enf oder F1 ( Kann auch noch eine andere Taste sein) in Bios gehen
3. Im Bios die Bootreihnfolge ändern sodass dein CD/DVD Laufwerk als erstes Bootmedium eingestellt ist
4. Mit der Windows DVD den PC starten
5. Partion über den Button erweiter komplett löschen und eine oder mehrere neu/e erstellen
6. Installieren Lassen und Glücklich Sei

 

[Eselsbrücke]

Besteht nicht die Gefahr, dass sich die Windows Installations CD auch infiziert, wenn man das System nicht vorher platt macht?

 

[KainerM]

Jo. Eventuell musst du im BIOS noch die Bootreihenfolge ändern, damit die CD auch zum Booten genommen wird. Und die CD am besten schon beim Runterfahren reintun, dann hast du nicht so eine Hektik damit

Ansonsten ist die Windows Installation relativ simpel.

Ja nach Windows würde ich allerdings noch mit dem alten Win die neuesten Version vom Virenscanner, Gerätetreiber sowie die Service Packs herunterladen. Im Fall von Windows XP brauchst du SP 2 +3, bei Vista sollte SP 2 reichen. Eventuell ist auf deiner CD schon ein Servicepack vorinstalliert, dann kannst du dir die SP bis dahin sparen.
Während der Installation keine Internetverbindung haben! Gerade bei WinXP kann es sonst sein, dass du beim ersten Boot einen Virus abfängst. Am besten einfach den Stecker ziehen.

Installation dann in der Reihenfolge System -> Treiber -> Service Pack -> Virenscanner.

Erst wenn der Virenscanner installiert ist eine Internetverbindung herstellen, Virenscanner und Windows sofort updaten.

Danach kannst du die restlichen Programme ganz normal installieren.

mfg

edit: nein, kann nicht passieren, wenn du beim Installieren eine Formatierung machst (Schnellformatierung!). Der CD selbst kann sowieso nichts passieren.

 

[Whiterose]

Nein es ist eine CD und somit kein Beschreibares Medium

 

[Eselsbrücke]

Okay das ist gut, dass das kein Problem für die Windows CD darstellt.
Also kann ich davon ausgehen, dass durch die Formatierung der Festplatten und Neuaufsetzen des Systems der Virus endgültig entfernt ist und ich mir keine Sorgen mehr machen muss?

 

[Whiterose]

Ja aber wie gesagt entferne auch die Partion.
Es gibt viele Rootkits die sich im MBR ein nisten.

Wenn du eine Anleitung haben willst.

Die könnstes du dir auch Ausdrucken.

 

[Eselsbrücke]

Danke für die Anleitung.
Die werde ich ausdrucken und auch die Partitionen löschen (und neue erstellen).
Danach werde ich dann alle Treiber und Updates installieren und meine gesicherten Daten von der externen HDD überprüfen und wieder benutzen.

 

[Whiterose]

Genau so und nicht anders

 

[Eselsbrücke]

Danke

Edit: Habe noch etwas vergessen:
- Wenn ich dann die externe HDD prüfen lassen, wie und mit welchen Programm mache ich das am Besten? Mit Antivir? Oder gibt es da spezielle Tools für?
- Irgendwo habe ich gelesen, dass die auch gefährlich sein kann, wenn der Virus sich schon auf der externen HDD verbreitet hat. Und deshalb sollte man beim Anschließen der HDD Shift drücken, damit die autorun.inf nicht ausgeführt wird? Stimmt das?

 

[Whiterose]

Ja die kannst du mit Anit-Vir oder Avast! Prüfen.

Und das mit der autorun.inf, Ja das gibt es und es wäre nicht verkehr wenn du es mit der Shift methode machst

 

[Eselsbrücke]

Ich habe mein System noch nicht neu aufgesetzt, da ich hier etwas erschreckendes gelesen habe:
http://forum.chip.de/viren-trojaner-wuermer/faq-thinkpoint-entfernen-1443209.html

Zitat: ''Daher sind damit einhergehend weithin Infektionen des MBR (Master Boot Record) der Festplatte zu beobachten. Daraus folgt, dass das Löschen von einzelnen Dateien, z.B. im Systemverzeichnis, nicht zum gewünschten Erfolg führen kann, den Schädling restlos zu eliminieren - er müsste zusätzlich erfolgreich aus dem MBR entfernt werden; auch eine alleinige Formatierung der Systempartition reicht also bei Weitem nicht aus.''

In dem Link wird von Viren gesprochen, die man 'Scareware' nennt und ein Fake-Antivirenprogramm darstellt und viele Fake-Warnmeldungen per Popups einblendet.
Also genau das, was bei mir mit dem Virus SecurityTool.exe passiert ist.
(siehe Bilder oben im Anhang)

Heißt, dass das ich auch eine MBR-Infektion haben könnte und das somit eine Formatierung der Systempartition nicht ausreichen wird?

Ergänzung (17. November 2010)

Wie kann man herausfinden, dass man eine MBR Infektion hat?

 

[real_general]

Mach ihn einfach platt, wenn du sowieso formatierst macht das keinen Unterschied.

 

[Whiterose]

Du erstellst eine neue MBR wenn du wie ich geschrieben deine Prationen erst löscht und dann
neue anlegst.

Das ist der Grund warum ich es geschrieben habe ^^

EDIT: Wegen dem MBR Check

MBRCheck:
http://ad13.geekstogo.com/MBRCheck.exe
führe die datei aus, auf dem desktop wird eine mbrcheck(datum).txt erstellt, inhalt posten.

 

[KainerM]

Jo. Wenn du die Partition löscht ist auch der MBR weg und damit der Virus. Daher neue Partition machen, dann ist der Virus weg.

mfg

 

[Eselsbrücke]

Okay, dann mache ich es so, um den MBR zu löschen:

1) mit Vista-CD booten
2) vorhandene Partitionen löschen
3) neue Partitionen erstellen
4) Vista installieren

Und wenn ich dann Vista neuinstalliert habe, werde ich ja früher oder später merken, ob der Virus noch da ist oder nicht