ComputerBase Menü
Aktuelles

Virus - Reader_S; MSword98; yv8g67 - das volle Programm :(

ChipCrusher

ChipCrusher

Ensign
Registriert
Nov. 2002
Beiträge
232
Hallo Leute,

hab voll ins Klo gegriffen und mir nen fetten Virus zugelegt... :headshot:

Also, angefangen hat es beim Rechnerneustart, als beim Login die Datenausführungsverhinderung die Userinit.exe blokiert hat. Kurz darauf kam mein AVG Virenscanner mit einer infizierten Msword98.exe und ntfs.sys... Beides flux gelöscht und neugestartet. Töröööö ntfs.sys nicht gefunden und damit kein Start mehr möglich :freak:
Aber nix Problem, Win CD rein und rüber kopiert - startet wieder! Dann mal in den Taskman geschaut und 2x Reader_s gefunden - komisch... gegoogelt und BINGO! Hauptgewinn :D:D

So, dann mal in diversen Foren rumgelesen und folgende Tips ausprobiert:
1) Avenger laufen lassen, um Reg zu cleanen und diverse Dateien zu löschen
2) CClean laufen lassen, um... siehe oben
3) Malwarebytes' Anti-Malware laufen lassen, um... siehe oben

Fazit: diverse Verzeichnisse und Dateien gelöscht und registry größtenteils sauber gemacht

ABER - und jetzt wird's lustig:
- registry: local machine\soft\MS\WinNT\current v\winlogon\taskman - hier steht ein link in die C:\Recylcer\1234567\yv8g67.exe, den ich nicht dauerhaft löschen oder ändern kann!

Ich hab mal in meinen Zweitrechner geschaut, da gibt es taskman dort gar nicht! Also müßte ein Löschen kein größeres Problem sein... Nur, wenn ich die Registry wieder aufmache, steht das wieder drin! Auch die Änderung auf C\Win\sys32\taskman.exe bringt nix... Irgend ne Idee?

Auch kann ich im Recycler Verzeichnis die ominöse yv8g67.exe nicht löschen, da sie zum einen nicht angezeigt wird und zum anderen ich kein Zugriffsrecht habe... Nichtmal unter der Reparatrurumgebung der WinCD...

2. Problem, auch wenn MBAW nur noch den Taskman Link in der registry als Problem identifiziert, sobald ich das System nicht im abgesicherten Modus laufen lasse, kommt nach einer Weile mein AVG wieder mit infizierter Msword98.exe und ntfs.sys... Grrrr Also irgendwo ist noch eine Datei, die sich dann aktiviert und erneut einnistet...


Na dann bin ich mal gespannt, ob hier jemand einen anderen Tip zur Problemlösung hat als das System neu aufzusetzen :)

Danke!!
CC
 
Würde es mal mit einem Bootfähigen Virenscanner versuchen und mal eine etwas bessere Software einsetzen wie Kaspersky, Gdata, ... ;-) kanst ja die 30 tage testversion verwenden und danach wieder auf AVG umsteigen.

Wen das System allerdings so stark angeschlagen ist machste wirklich lieber ne Formatierung.
 
Hi Puma, hab ich schon - mit Avira Antivir... Aber da ist jetzt Ruhe... Ich probier mal noch ein paar, aber die registry werden die auch nicht ändern :(
Alle Google Ergebnisse sind relativ neu - ich vermute mal da hab ich mir was "frisches" eingefangen!

VG,
CC
 
ChipCrusher schrieb:
Ich hab mal in meinen Zweitrechner geschaut, da gibt es taskman dort gar nicht! Also müßte ein Löschen kein größeres Problem sein... Nur, wenn ich die Registry wieder aufmache, steht das wieder drin! Auch die Änderung auf C\Win\sys32\taskman.exe bringt nix... Irgend ne Idee?
Zum Vergrößern anklicken....
die "echte" Datei heißt "taskmgr.exe" und startet den altbekannten strg+alt+entf Taskmanager.

ChipCrusher schrieb:
Auch kann ich im Recycler Verzeichnis die ominöse yv8g67.exe nicht löschen, da sie zum einen nicht angezeigt wird und zum anderen ich kein Zugriffsrecht habe... Nichtmal unter der Reparatrurumgebung der WinCD...
Zum Vergrößern anklicken....
das erinnert mich daran, wie sich der "RootkitRevealer" von Microsoft selbst für Schadsoftware unsichtbar macht: Indem er eine *.exe von sich selbst erstellt, die aber einen willkürlichen Namen hat. Dadurch kann keine Malware auf "durchsichtig" schalten, wenn sie den Prozess erkennt (denn sie kann ihn ja nicht kennen). Wahrscheinlich hast du eine andere *.exe auf dem Rechner, die sich dieses Mechanismus' bedient. Die vom Rootkitrevealer erstellten Pseudo-*.exes haben auch Namen wie "yv8g67.exe".

ChipCrusher schrieb:
2. Problem, auch wenn MBAW nur noch den Taskman Link in der registry als Problem identifiziert, sobald ich das System nicht im abgesicherten Modus laufen lasse, kommt nach einer Weile mein AVG wieder mit infizierter Msword98.exe und ntfs.sys... Grrrr Also irgendwo ist noch eine Datei, die sich dann aktiviert und erneut einnistet...
Zum Vergrößern anklicken....
Angesichts dessen könntest du mal Microsofts "AutoRuns" runterladen. Dort wird wirklich alles aufgelistet, was Windows startet, inkl. aller Treiber, Dienste usf. Wenn sich etwas in den Autostart oder als Service eingetragen hat, kannst du das hier leicht deaktivieren/ löschen (90% aller Einträge sind eh von Microsoft und die restlichen 10% kann man normalerweise leicht zurordnen. D.h., man sollte auffällige Einträge gut erkennen).

Außerdem könnte es sich um ein rootkit handeln: Lad dir Microsofts "Rootkitrevealer" (funzt nur unter XP, Vista geht nicht) runter, und such mal nach dem Scan im zugehörigen Sysinternals-Forum nach den gelisteten "discrepancies".

Auch nett: Lad dir Spybot Search & Destroy herunter und aktiviere den "Teatimer". Der macht dich auf versuchte Änderungen in der Registry aufmerksam (und kann sie verbieten). Das gleiche kann auch Kasperskys Programmkontrolle in KIS 09 und KIS2010. Lad dir doch mal die 30-Tage-Version runter. KIS loggt auch alle Zugriffe und kann jedem Programm einzeln Zugriffsrechte für die Registry und Systemrechte zuordnen! Diese ganzen ominösen *.exes würden auf einem Kaspersky-System gar keine Zugriffsrechte kriegen!

Ich persönlich hätte aber keine Ruhe deswegen und würde neu aufsetzen!

EDIT:
2x Reader_s gefunden
Zum Vergrößern anklicken....
heißt die Datei wirklich "reader_s.exe" oder "reader_sl.exe"? Denn letzteres ist bloß der "speed launcher" vom Adobe Reader und damit ein vollkommen vertrauenswürdiges Programm (die Adobe-Datei befindet sich allerdings nicht unter Windows\System32, sondern im Verzeichnis des Readers)
 
Zuletzt bearbeitet:
So, kurzes Update:

Mit Muppy Linux konnte ich die yv8g67.exe aus dem Recycle Verzeichnis löschen und anschließend konnte ich auch den "Taskman.exe" Eintrag in der Registry bereinigen!
Jetzt laß ich ich einen Linux-basierten F-Prot Virenscanner drüber laufen - toll, 13% Fortschritt nach 1h!!!! :(

@Schweineweltname - wenn der Rechner dann mal morgen fertig ist, schau ich mir mal Deine Vorschläge an! Danke! :)

Und es war die "Reader_s.exe"...
 
Zuletzt bearbeitet:
Kleines Update: Ich hab kapituliert! Trotz Bereinigung der Registry, Austausch sämtlicher *.exe, *.dll, *.sys im Windows Verzeichnis und Einsatz diverser Reinigungssoftware, kam nach dem Neustart alles nach und nach wieder... Hab nun alles platt gemacht und scheen isses weider :D

VG, CC
 
Ja, aber dabei lernt man doch nix! :) Neu machen kann jeder und ist ja sowas von langweilig ;)

Manchmal muß man sich auch ein bissl anstrengen, dann klappts auch mit dem Nachbarn :D
 
Ich mache mal diesen Thread wieder auf, da sich mein Problem wohl um denselben Virus dreht. Da es sich um eine Ferndiagnose des Rechners meiner Schwester handelt, kann ich nicht mit systemrelevanten Daten dienen.

Gefundener Virus reader_s.exe.

Mir ist nach einstündiger Recherche nun auch klar, dass das System neu aufgesetzt werden muss. Ich habe aber auf einigen Seiten gelesen, dass der Virus sich bei angeschlossener externer Festplatte auch auf diese installiere.
Was ist da dran und wie koennte man das prüfen, ohne den Rechner erneut zu infizieren?
Beim Sichern von Dateien auf dem infizierten Rechner, gibt es Dateien, die man nicht sichern kann, weil sie u.U. infiziert sind?

Danke für die Mühe

netfinder
 
Hi, viel kann ich dir nicht sagen, außer dass Du lieber die wichtigen Daten auf einer zweiten Partition speichern solltest und die Systempartition platt machen kannst. Dann kannst Du probieren das System auf der Partition neu aufzusetzen und solltest im Anschluß gleich einen Virenscanner installieren und die komplette Platte nochmal scannen... Die Chance ist 50/50...

Alternativ die wichtigsten Daten auf USB Stick oder ext. Platte speichern - aber die Gefahr besteht dass die kontaminiert wird... Ich denke mal die normalen Office Dateien werden nicht befallen...

Viel Erfolg!
CC
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Z
Das volle Programm-- C2D, BSOD, Blackscreen...
Antworten
7
Aufrufe
856
ZuseZ3
Z
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz