Virus sperrt alle Schutzprogramme inkl. Firewall!

Archon2k5

Lieutenant
Dabei seit
Okt. 2006
Beiträge
964
Hi!

Hab mir ein nettes Prog aus dem Inet eingefangen!
War auch zu dumm, dass ich es geöffnet habe, aber die Neugier!
Vermutlich irgendein Trojaner ...
Auf jeden Fall wollte er einen Reboot, bzw. hat ihn sich selbst gegeben, also vermute ich dass es was größeres ist.

Hab mich im Prinzip auch schon damit abgefunden, dass es keine Hilfe gibt und ich neu installieren muss.
Aber so einfach gebe ich nicht auf!

Der PC verhält sich folgendermaßen:
CPU-Auslastung pendelt zwischen 20 und 60%, verursacht vom Leerlaufprozess.
Hab mal Hijackthis installiert. Das Prog lässt sich nicht starten und es erscheint die Fehlermeldung, dass es keine zulässige WIN32-Anwendung sei.
Ebenso sieht es mit Spybot aus.
Antivir wird beendet, nach einem Neustart wird es erst gar nicht mehr geladen. (Ereignisanzeige -> System: Der Dienst AntivirGuard wurde nicht gestartet ... ist keine zulässige Win32-Anwendung)
Die Windows-Firewall wird beendet. (Dienst nicht gestartet)
Will ich in den abgesicherten Modus, dann kommt ganz kurz nen Bluescreen und die Kiste startet neu.

Das was ich da auf dem Rechner hab ist einfach grandios!
Es verhindert von vorneherein, dass es nur die geringste Möglichkeit gibt entdeckt zu werden.

Ich will es aber genauer wissen und frag euch mal was man tun könnte?
 

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
Neu installieren, ist immer am besten!
Bevor die unbekannten Dateien ausführst, diese immer auf www.virustotal.com überprüfen lassen.

Du kannst mit einem Live Virenscanner das System überprüfen lassen.
Kaspersky RescueDisk
Avira AntiVir Rescue System
ISO als Image brennen, dann von dieser CD booten.
Ein Virenscanner kann veränderte Dateien nur löschen, wurde aber wichtige Systemdateien verändert, wird das OS danach ev. nicht mehr richtig funktionieren.
 
H

Housechen

Gast
Also ich denke mal du hast alles drauf von, Backdoortrojaner, Keylogger, Rootkits, Viren, uswusw.

--->Plattmachen
Und vorher nirgendwo anmelden mit dem PC, sonst sind deine Passwörtet futsch.
 

Archon2k5

Lieutenant
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
964
Interessanterweise ist die CPU-Auslastung auf meinem 2. Account normal, aber ich kann trotzdem kiene Schutzprogramme ausführen.
 

BeneTTon

Lt. Commander
Dabei seit
Apr. 2008
Beiträge
1.722
ich hoffe du warst während des experimentes net dauernd mit dem inet verbunden, sonst sind deine vertraulichen daten wahrscheinlich schon in die weiten des inets gelangt.

nja wie du schon selber gesagt hast formatieren.

und wenn du wirklich noch bissl rumprobieren willst, dann bitte offline!

gruß
 

Vulpecula

Commander
Dabei seit
Nov. 2007
Beiträge
2.176
Klingt stark nach nem Rootkit. Wenn es kein Removal-Tool dafür von einen der Namhaften AV-Firmen gibt (natürlich müsste man dann auch wissen, was genau man sich eingefangen hat), dann ist ein Neuaufsetzen des Systems meistens die einzige Lösung.
 

Tweak4U

Banned
Dabei seit
Dez. 2004
Beiträge
392
Format C:\
alle andere ist Zeitverschwendung und grober Leichtsinn

und in Zukunft niemals mit Adminrechten ins Internet !!!
 

werkam

Alter Meckermann
Dabei seit
Okt. 2001
Beiträge
63.367
Versuch es im abgesicherten Modus mittels Highjack, der startet auch abgesichert, natürlich als Administrator und dann mittels msconfig auch alle autostartenden Programme deaktivieren, alles. Neu im abgesicherten Modus starten und dann alles säubern, auch alle Registryeinträge, viel Spass, neuinstall geht einfacher.
 

Trackballfan

Vice Admiral
Dabei seit
Mai 2007
Beiträge
6.415
Mach die Kiste platt und setze neu auf, alles andere ist nur filckschusterei.
 

Archon2k5

Lieutenant
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
964
Danke für eure kompetente Hilfe!
Neu installieren würde ich auch empfehlen!

Ich will der Sache aber vorher noch etwas auf den Grund gehen, sonst würde ich euch Profis nicht fragen!

Folgendes:
Die Datei die ich angeklickt habe, trägt den eigentlichen Namen "HiSoft.exe v.1.0.0.1"!
Wenn ich danach im Net suche ist die versprechendste Info diese:
The most common objects with the name of HISOFT.EXE have yet to be classified as safe by our research department.

If you are concerned that your PC might be infected why not try our Free Prevx Scanner. It will thoroughly check your PC for millions of active Spyware and malware infections and takes less than 2 minutes. Don't put your confidential data, or your identity at risk, check your PC now with Prevx.

Und dann die Info, dass man diesen Virenscanner (PrevX), der auch auf deutschen Seiten empfohlen wird, downloaden soll.
Unter anderem gibts den hier bei CB!
Ich hab noch nie was davon gehört ... :)
Der findet dann auch infizierte Dateien mit dem Anhang "High Risk"!
Entfernen kann man den Kram aber nur, wenn man mindestens ein Monatsabo für 14,90€ kauft!

Schon lustig, wenn alle Virenprogramme nicht mal in der Lage sind das Ding zu identifizieren, geschweige denn zu finden und dann ein 08/15 Virenscanner daher kommt, der das kann.
Mir ist das alles ein wenig suspekt.
Ich hoffe ihr versteht was ich meine ...
Stichwort "Schutzgeld"! :D
 

Boogeyman

Vice Admiral
Dabei seit
März 2005
Beiträge
6.783
Die Datei die ich angeklickt habe, trägt den eigentlichen Namen "HiSoft.exe v.1.0.0.1"!
Das ist nicht sehr aussagekräftig, jeder kann eine Datei so benennen wir er will. Wenn du wirklich Informationen dazu möchtest, dann überprüfe sie auf www.virustotal.com
Auch gibt dir Virustotal Aufschluss, welche Scanner die Datei finden und löschen können.
Unter anderem gibts den hier bei CB!
Ich hab noch nie was davon gehört ..
Wenn es auf Computerbase angeboten wird, ist das Programm seriös. Auch solltest du das Programme nur von Seiten runter laden, die du kennst und seriös/vertrauenswürdig sind. Andere (dubiose/unseriöse) Seiten verknüpfen das gerne mit einem Abo (Opendownload lässt grüssen), oder in das Programm wird noch Malware hinein gebastelt.
 
Zuletzt bearbeitet:

Archon2k5

Lieutenant
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
964
Jo jo, weiß schon bescheid!

Die Live-Virenscanner funktionieren nicht, weil ich ein Raid-System habe und die Images bzw. Programme keinen Treiber dafür mitbringen.

War mit der Kiste seit der Infaktion noch ca. 3h online und hab schon 71 Infektionen gesammelt. :kotz::
Soviel zu ungeschütztes Surfen!

Nächstes Prob!
Wie kann ich format C: machen?
Die Win Installation kann die Partition nicht formatieren, weil noch ein Sys drauf ist.
Im Dos-Modus format C: geht nicht, weill der Treiber für Raid nicht installiert ist und deshalb die Partition gar nicht auftaucht.
Tipps?
 

werkam

Alter Meckermann
Dabei seit
Okt. 2001
Beiträge
63.367
Windows XP Prof / Vista Business x64
Sind die beide auf dem Raid und infiziert, musst Du auch beide löschen, formatieren, Du hast alles sauber und Deine Daten gesichert?
 

Archon2k5

Lieutenant
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
964
Wenigstens ließt einer meine Signatur! ;)

Nee, hab nichts sauber!
Wie denn auch?
Die 15,-€ für den PrevX will ich nicht ausgeben!

Hatte vor die C:-Partition einfach zu formatieren und gut is!
Alle Probs die mir angezeigt werden kommen aus C:, 80% aus Benutzer/Anwendungsdaten, die anderen aus System32!
Das Vista is nimmer aktuell und ich hab immo nur noch XP!

Die einzige Sorge die ich habe ist, dass mein USB-Stick zur Datensicherung was abbekommen hat.
Nachdem ich den Virus entdeckt hatte, hab ich noch schnell ne Sicherung der Outlook-Einstellungen/Mails und Eigen Dateien vorgenommen.
Mit so nem Programm von Transcend.
Irgendwie wurde mir das auch als infiziert angezeigt.
Muss aber nicht heißen, dass es auch auf dem Stick ist.
Am besten nach der Neuinstallation erst mal scannen lassen ...
 

werkam

Alter Meckermann
Dabei seit
Okt. 2001
Beiträge
63.367
Dann starte von der Vista CD die Installation und lösche die Partition C, dann erstelle eine neue Partition mit der Install-CD von XP und formatiere sie, solange Vista noch aktiv ist, wirst Du wohl die C Platte nicht formatiert bekommen, da es die aktive Systemplatte ist die zum Booten benötigt wird. Kannst natürlich auch versuchen mit Knoppix oder Gparted die Platte fertig zu machen, dann musst Du nicht erst Vista deinstallieren.
USB Sticks sind für Angriffe sehr gut geeignet, deshalb wird der auch wohl verseucht sein.
 

Archon2k5

Lieutenant
Ersteller dieses Themas
Dabei seit
Okt. 2006
Beiträge
964
USB Sticks sind für Angriffe sehr gut geeignet, deshalb wird der auch wohl verseucht sein.
Mach mir keine Angst! :)
Brauche meine Mails, Kontakte und Termine wieder ...

Mit dem Format C: seh ich echt ein Problem.
Vermutlich muss ich den ganzen Array auflösen und dann alles komplett neu machen.
Ahh, was eine Arbeit und das ganze Zeugs was dann weg ist ... :kotz:
 

stas_mueller

Lieutenant
Dabei seit
Juni 2004
Beiträge
857
hi, also die arbeit machst du selber. ich würd einfach von allen wichtigen sachen nen backup machen. und eigentlich ist das neuaufsetzen auch kein stress. seitdem win7 immer wieder aktualisiert wird, muss ich jeden monat win neuinstallieren. kann alle einstellungen schon auswendig.
 

werkam

Alter Meckermann
Dabei seit
Okt. 2001
Beiträge
63.367
@stas_mueller
Es geht ja nicht um W 7 sondern um Windows XP Prof / Vista Business x64. Und was nutzt Dir ein Backup von Virenverseuchten Daten?

@Archon2k5
Da sich ja wohl die meisten Viren per Mail einschleusen, wird der Stick mit Sicherheit auch verseucht sein, also wenn die Daten wieder auf Platte kommen, hast Du die Viren auch wieder. Verstehe gar nicht, dass Du mit dem System immer noch arbeitest und ins Netz gehst, wahrscheinlich auch noch Mailst und allen Kumpels die Viren auch noch sendest.
Als erstes solltest Du mal im abgesicherten Modus die Systemwiederherstellung auf allen Laufwerken deaktivieren, sonst holen sich auch bereits entfernte Viren evtl noch was wieder aus den Punkten um sich wieder zu aktivieren.
 
Top