Virus hat mir meine Rechte geklaut :(

[vasco36]

Hallo,

ich bin gestern Nacht einem Virus zum Opfer gefallen. Ich war kurz nicht am PC und als ich zurück kam war ein pseudo antivirus Fenster geöffnet das gerade mein System gescannt hat. Das programm konnte man nicht beenden und wenn ich versucht habe irgendetwas anderes zu machen, zB. ein Programm zu öffnen, oder den taskmanager oder msconfig, hat er immer gesagt, das die betroffene datei infiziert sei und nicht geöffnet werden kann. Es ging gar nichts. Dann habe ich windows im abgesicherten modus gestartet und erstmal jede menge start einträge deaktiviert, die der Virus eingerichtet hatte, das waren viele DLLs und andere Dateien mit ziemlich wahllosen Namen, also einfach viele sinnlose buchstaben. Ich habe die Dateien die ich finden konnte auch gleich gelöscht. Dann habe ich neugestartet und anscheinend eine Datei vergessen, da dann ständig ein Iexplorer fenster geöffnet wurde zu irgendeiner website, ich ich hab dann mal avira die betroffene datei scannen lassen, aber das hat nichts gefunden, also habe ich sie einfach deaktviert und gelöscht.

Dann war der Virus erstmal besiegt, doch das internet hat nur noch mit firefox funktioniert, Iexplorer und chrome kamen nicht ins internet, irgendwann hab ich dann bemerkt, dass bei denen ein proxy eingerichtet war, den ich dann entfernt habe und dann ging es wieder.

Später wollte ich dann nochmal im Appdata verzeichnis nach überbliebenen Dateien suchen, aber ich kam da gar nicht hin, weil system dateien ausgeblendet wurden, also wollte ich die ansichtsoptionen dem entsprechend verändern. Tja, ging nicht, ich bin zwar admin, aber die ansichts und ordner optionen konnte ich nicht auswählen, die war ausgegraut. Dann habe ich noch irgendwas anderes versucht, da aht mir windows gesagt, dass der admin diese option für mich deaktiviert hat und ich mich an den systemadministrator wenden soll. Ich bin aber schon admin. Jetzt hab ich ein neues Admin Konto eingerichtet, da kann cih alles machen.

Kennt jemand das problem oder kann mir jemand erklären, wie ich mir meine "rechte" zurück holen kann? Ich könnte natürlich einfach das neue konto benutzen, aber dann müsste ich alles neu einrichten und das will ich nicht,wenn ich es verhindern kann.

Ich bin für jeden tipp und jede hilfe dankbar.

 

[Hancock]

Grundregel: Virus -> Neuinstallieren
Sonst:
Systemsteuerung->Verwaltung->Lokale Sicherheitsrichtlinien Da kann man alles Mögliche Einstellen.
Sonst sich selbst mal den Administratoren hinzufügen. (Systemsteuerung->Verwaltung->Computerverwaltung->Lokale Benutzer ...->Benutzer->Selbser->Eingeschaften->Mitglied von->Hinzufügen))

 

[luckysh0t]

bist du immernoch admin in der kontoverwaltung bei dem betroffenem konto ?
wenn nein geb dem konto admin rechte mit dem anderen admin konto bzw. abgesicherter modus

und evtl über einen anderen av scanner nachdenken

 

[Antoniker]

Das klingt für mich nach einer ziemlich starken Verseuchung.
Wie hast du das denn geschafft? (Nur mal so aus Interesse )

Aber an deiner Stelle würde ich, bevor ich da jetzt ewig in den config-Files grabe, einfach das neue Konto verwenden.
Insofern niemand anderer eine Idee hätte.

Für die Zukunft würde ich mir außerdem überlegen, Backups zu machen. Via Norton Ghost zum Beispiel. Dann kannst du solche Probleme nicht mehr bekommen wenn du einfach wieder ein Backup einspielst.

 

[Black Doom]

Wenn soviel "zerfressen" wurde würde ich neu aufsetzten...

Was mich nur wundert ist deine Beschreibung:

Ich war kurz nicht am PC und als ich zurück kam war ein pseudo antivirus Fenster geöffnet das gerade mein System gescannt hat.

Also entweder wurdest du gezielt ausgesucht, was ich sehr bezweifel, oder du warst auf dubiosen Seiten

 

[spyder_1]

klingt nach dem Virus der sich über german-bash.org breit gemacht hat. Vielleicht haben sie ja jetzt ne neue Seite infiziert.

Klingt alles ziemlich bekannt. =)

Bei mir hat das Ding so viel zerstört, dass ich keine andere Wahl hatte als das System neu aufzusetzen (etliche dlls haben gefehlt)

Würde ich dir auch raten.

 

[TalBar]

bei virus immer BS neu aufsetzten. du kannst dir nicht sicher sein, dass er durch firenschutz etc 100% beseitigt wird.

 

[Timesless]

Kannst du den PC zurücksetzen mittels Wiederherstellung?

 

[luckysh0t]

was habt ihr den für av scanner wenn ich fragen darf ?

 

[vasco36]

alsooo, mein konto ist immer noch als admin eingerichtet, trotzdem habe ich nicht alle rechte.

den virus habe ich mir vermutlich dank chrome und einer uns wahrscheinlich allen bekannten seite eingefangen ("irfrei" ). es ist nur eine vermutung, ich habe nämlich vorher nichts runtergeladen oder installiert und mir ist nur beim surfen auf der seite aufgefallen, dass sich eine pop-up werbung geöffnet hat und das java symbol erschienen ist, was es sonst eigentlich auf dieser seite nicht tut. und eine stunde später ist der ganze mist halt passiert.

Bin jetzt von Avira auf AVG umgestiegen, war auch ziemlich enttäuscht von Avira, aber ich glaube AVG hat den virus auch nicht entdeckt.

die tipps werde ich gleich mal befolgen und ausprobieren, das system neuaufsetzen will ich erstmal nicht, weil es noch relativ frisch ist und ich keine lust habe alles nochmal neu zu installieren.

Ergänzung (29. Mai 2010)

Wiederherstellung geht nicht

 

[Minute|Man]

Ich persönlich nutze die Premium Security Suite von Avira, lasse aber in regelmäßigen Abständen zusätzlich den Kaspersky-Online-Scanner drüber laufen.

Die Wiederherstellung ändert nur Systemdateien, daher gibt's keine Garantie, dass der PC danach wieder virenfrei ist. Wo/wie hast du dir die denn eingefangen?

Wie schon gesagt wurde ist es am Besten, das OS neu aufzusetzen. Ich würde dir auch empfehlen jetzt möglichst keine Backups zu mehr zu machen, weil man nie sicher kann, wo der Virus ist. Ansonsten den PC in warme Wickel packen, mit Rotlicht bestrahlen und schlafen lassen... vielleicht kuriert er sich aus.

Ein Virus über German-Bash.org? Hab' ich was verpasst? Wie verbreitet der sich denn?

 

[ScoutX]

Wird wohl oder übel der aktuelle Trojaner sein, der insbesondere auf Foren und Blogs in den USA sich seit Tagen breit gemacht hat. Wie immer die gleiche Sache, ala AV-Fake.
Ganz klar, das Ding ist immer noch auf dem PC, weil es lustig Schadcode von anderen Webservern herunterlädt. Soviel ich weiß, hat der gute auch einen Timer. Du kannst also morgen früh wieder dastehen.
Aktuell sollte man sich aus Blogs raushalten.

 

[nitech]

Versuch mal den security taskmanager runterzuladen, zu installieren und zu starten.
der zeigt dir alle prozesse die gestartet sind (auch dlls usw die dir der taskmanager verheimlicht) man kann damit auch direkt die jeweiligen task killen. evt kannst du auch noch auf der seiten der großen av hersteller (z.b. trendmicro houscall) eine online virensuche starten.
ansonsten, auch wenns viel arbeit ist: neuinstallation.

 

[fel1x.]

was habt ihr den für av scanner wenn ich fragen darf ?

Kaspersky Internet Security 2010 & Brain.exe

OS (Win 7) wurde am 12.05. installiert - läuft immernoch 1a (12.05. = Wechsel von Vista zu 7)

 

[Tinpoint]

PC mal von der Boot CD scannen

http://www.free-av.de/de/tools/12/avira_antivir_rescue_system.html

ggf mal dann damit scannen

http://www.chip.de/downloads/a-squared-Free_12992945.html

 

[vasco36]

also ich glaube, dass der virus entfernt wurde, ich habe mir alle datein, die zum zeitpunkt der infektion entstanden sind genau angeschaut und alle verdächtigen erstmal gelöscht. hab jetzt auch schon verschiedene antivir und adware programme laufen lassen und alle ohne fund.

die einstellungen bezüglich der ordner ansichts option habe ich noch nicht gefunden, aber mein benutzerkonto ist schon der gruppe administrator hinzugefügt gewesen.

der security taskmanager hat eigentlich nichts auffälliges gefunden, da waren zwar paar prozesse, wo er die datei nicht finden konnte, aber ich denke und hoffe, dass das normal ist (?) die prozesse werden alle als nicht gefährlich eingestuft.

lasse jetzt gerade trendmicros housecall laufen.

Ergänzung (29. Mai 2010)

achso und ich habe seit etwa 10jahren keine derartigen probleme gehabt, ist wirklich das erstmal seit win95 das es mich erwischt hat.

 

[ScoutX]

Die Backdoor Prozesse und Rootkits siehst Du nicht.
Das erste, was solche Fake AV Dinger runterladen sind Rootkits.
Nur die Vollversionen der AV Softwaren suchen überhaupt nach speziellen Rootkits mit dürftigem Erfolg.

Ich kann Dir das aus leidiger Erfahrung sagen, dass die komplette Desinfektion von Rechnern reines Glücksspiel ist. Man bekommt vielleicht Dateien und Verzeichnisse sauber, was sich aber in der Regitry und in versteckten Ordnern ala System Volume Information abspielt, ist etwas völlig anderes.
Man wird schnell unbemerkt zum Emailspambot und Co.

 

[jodd]

In der Zeit wo du hier schreibst, hättest du deinen PC lange neu machen können. Stattdessen verteilst du das Zeug vllt. noch munter weiter. Einen einmal so verseuchten PC würde ich nicht mal mehr eine MP3 anvertrauen.

 

[vasco36]

ok, ich verstehe schon. formatieren formatieren formatieren. nachricht ist angekommen

werde trotzdem erstmal verschiedene virenscanner probieren und sehen was dabei raus kommt.

wenn ich formatiere, ist es dann zwingend notwendig alle HHDs zu formatieren? ich habe zwei HDDs auf denen nur dateien sind, aber keine programme oder systemverzeichnisse. klar ist es sicherer alles zu formatieren, aber dann habe ich ein platzproblem wegen der backups.

 

[jodd]

Das ist ja das Schlimme an der Sache, du weist nie wo sich der Mist überall breit gemacht hat. Um sicher zu sein, würde ich großflächig Sauber machen.