Virus, Trojaner oder Malware auf dem PC

Akeem

Newbie
Dabei seit
Nov. 2017
Beiträge
3
Moin Zusammen,

ich habe ein riesen Problem und das schon seit 2-3 Tagen.
Ich hatte vor kurzem meine Firewall aus da sie Origin behindert hatte.
In diesem Zeitraum hat sich wohl ein Trojaner, Virus oder eine Malware eingeschlichen.. Es öffnet sich circa jede halbe Stunde mein Google Chrome und da erscheinen irgendwelche Seiten. Auch hat sich in meinem Lesezeichen Mail.ru und zwei andere russische Links eingeschlichen.
Die Seiten die sich öffnen sind entweder Online Casino Seiten, Pornoseiten oder irgendwelche Online Spiele...
Ich habe bereits mit Luke Firewalker, Norton Security und Sophos ein kompletten Systemcheck gemacht und es wird auch was gefunden und entfernt aber nach 30 Minuten fängt es alles wieder von vorne an...
Ich habe auch alle Verknüpfungen, die ich mit diesem Virus oder was auch immer finden konnte gelöscht und in Quarantäne geschoben. Ich habe alle Prozesse und Dienste davon geschlossen.
Das Problem besteht trotzdem weiterhin... Zudem habe ich bereits 4 Malware und 2 Trojanerprogramme extra suchen lassen und die haben auch die Dateien vom Virus gelöscht aber er installiert sich immer wieder vom neuen.
Ich habe im Google Chrome Ordner die Dateien gelöscht, die für dieses Problem sind gelöscht, ich habe Google Chrome neu aufgesetzt und und und...
Es bringt alles nichts.
Habt ihr da vielleicht eine Idee oder Lösung? Ich kenne mich wirklich sehr gut aus mit PCs und habe bis jetzt auch alles hinbekommen aber bei diesem Problem stehe ich echt auf dem Schlauch...

Mit freundlichen Grüßen
Akeem
 

OnlyAnyUser

Cadet 4th Year
Dabei seit
Juli 2015
Beiträge
81
Zuletzt bearbeitet:

owned_you

Banned
Dabei seit
Sep. 2016
Beiträge
3.424
Selbst ein Virenexperte kann dir nach einer Infektion nicht 100%ig garantieren das dein System nach einer Bereinigung safe ist ... wie kommst du also auf die Idee das du das mit Hilfe eines Forums könntest?

Nur eine Formatierung bietet eine 99% Sicherheit ... 1% wegen Firmware Viren die selbst ein format c: überleben!

Lern die Begriffe Image und Backup ... dann hast du innerhalb weniger Minuten ein sauberes sicheres System, wenn es mal nötig ist!

Sollte eigentlich gar nicht nötig sein für jemand der sich:
Ich kenne mich wirklich sehr gut aus mit PCs
:evillol: :king:
 
Zuletzt bearbeitet:

chris1977ce

Ensign
Dabei seit
Dez. 2009
Beiträge
135
Analysieren wir das mal:

Ich hatte vor kurzem meine Firewall aus da sie Origin behindert hatte.
Welche "überzüchtete" Firewall setzt du ein, dass Origin (plötzlich) eingeschränkt wird?
Diese "All-in-One-Sicherheitssuiten" sind meist mehr Problembringer, als Löser, das Vorab!


In diesem Zeitraum hat sich wohl ein Trojaner, Virus oder eine Malware eingeschlichen..
So ganz von alleine schleichen sich Schadprogramme nicht ein, überlege einmal wo du dich in etwa
rumgetrieben hast im Netz, oder was du Runtergeladen bzw. installiert hast in der Zeit.
Davon mal abgesehen, ist eine Softwarefirewall ganz alleine für sich auch kein so unüberwindbares Hindernis,
wie es bei dir klingt.


Es öffnet sich circa jede halbe Stunde mein Google Chrome und da erscheinen irgendwelche Seiten. Auch hat sich in meinem Lesezeichen Mail.ru und zwei andere russische Links eingeschlichen.
Die Seiten die sich öffnen sind entweder Online Casino Seiten, Pornoseiten oder irgendwelche Online Spiele...

Klingt in der Tat nach einem Befall - da würde ich mich den Vorrednern anschließen - Formatieren und neu aufsetzen,
alles Andere ist in so einem Massiven "Befall" sinnlos und Zeitverschwendung!
Natürlich solltest du jetzt nichts mehr sichern von deinem PC, da diese Sicherung dann ggf. wieder infiziert ist und die
ganze Arbeit sinnlos ist - du würdest den "Virus" wieder mit einschleppen.



Ich habe bereits mit Luke Firewalker, Norton Security und Sophos ein kompletten Systemcheck gemacht und es wird auch was gefunden und entfernt aber nach 30 Minuten fängt es alles wieder von vorne an...
Was wird denn gefunden?

Ich habe auch alle Verknüpfungen, die ich mit diesem Virus oder was auch immer finden konnte gelöscht und in Quarantäne geschoben. Ich habe alle Prozesse und Dienste davon geschlossen.
Das Problem besteht trotzdem weiterhin... Zudem habe ich bereits 4 Malware und 2 Trojanerprogramme extra suchen lassen und die haben auch die Dateien vom Virus gelöscht aber er installiert sich immer wieder vom neuen.

Welche speziellen Antimalwareprogramme hast du denn durchlaufen lassen?
Empfehlung hier natürlich: Malwarebytes und Zemana Antimalware
Wobei das alles kein Allheilmittel ist - eine komplette Neuinstallation ist definitiv zu empfehlen!


Ich habe im Google Chrome Ordner die Dateien gelöscht, die für dieses Problem sind gelöscht, ich habe Google Chrome neu aufgesetzt und und und...
Es bringt alles nichts.
Habt ihr da vielleicht eine Idee oder Lösung? Ich kenne mich wirklich sehr gut aus mit PCs und habe bis jetzt auch alles hinbekommen aber bei diesem Problem stehe ich echt auf dem Schlauch...


Eine komplette Neuinstallation ist definitiv zu empfehlen!
Eine komplette Neuinstallation ist definitiv zu empfehlen!
Eine komplette Neuinstallation ist definitiv zu empfehlen!



Ganz böse würde ich im Fazit sagen: Pech gehabt und viel Spaß beim Formatieren und neu installieren.
 

evilnear

Commander
Dabei seit
Jan. 2013
Beiträge
2.671
naja, einzelne daten sichern würde ich schon. zumindest das wichtige und am besten über ein linux system oder so.
 

Akeem

Newbie
Ersteller dieses Themas
Dabei seit
Nov. 2017
Beiträge
3
Analysieren wir das mal:

Luke Firewalker hatte ich da am laufen also ein Standartprogramm was Virenschutz angeht. Hat auch Punkbuster also für Battlefield mal in Quarantäne geschoben.

Hatte im Hintergrund zu dem Zeitpunkt noch Google Chrome offen und da hatte sich ein PopUp Fenster geöffnet welches ich schließen wollte aber dann hat sich dadurch halt eine Seite geöffnet und ab da fing es halt an mit dem Problem.

Ja und ich Internet habe ich so auch noch keine Lösung gefunden bis auf formatieren und neu aufsetzen...


Gefunden werden zwei Dateien die auf .ru enden. Sind beide in einem Unterordner von Google Chrome. Die eine Datei heißt Mail.ru und die andere 00a4df.ru. Die gehören beide nicht zu den Standarddateien vom Google Chrome Ordner und sind auch erst seit dem 18.11.2017 in diesem Ordner also seit dem das Problem besteht

Programme habe ich ADWCleaner, JRT, Trojan Remover durchlaufen lassen und halt dann noch Luke, Norton, Sophos.
Ich werde dann wohl mal noch die beiden Programme von dir prüfen und gucken ob die es schaffen.
Und wenn alles nichts nützt neu aufsetzen...

Ich danke dir aber für deine ausführliche Antwort und vor allem eine Antwort ohne jeglichen Sarkasmus oder sonst was. Besten Dank dafür!:)
 

Radulf

Lt. Junior Grade
Dabei seit
Juni 2017
Beiträge
282
Moin,
mal ein wenig nach geg...lt: ist ein ganz netter Browserhijacker. Setzt sich selbst im Browser fest und dadurch natürlich auch immer wieder im System, wird ja bei jedem Browserstart wieder reingeschrieben. So etwas ist nicht ganz einfach zu entfernen, mal abgesehen davon, das Dein System ja ohnehin kompromittiert ist.
Das Ding scheint sich als Adresse in den Suchmaschinen der Browser einzurichten. Such mal nach smartsputnik. Wenn diese Adresse als default im Browser steht kennst Du den Übeltäter.
Nützt übrigens wahrscheinlich nichts wenn Du einen anderen Browser ausprobierst, das Teil, welches sich eine Bekannte mal einfing war jedenfalls sehr hartnäckig und hat mich 4 Stunden gekostet. Es war in jedem Browser. Du kannst versuchen mittels einer definitiv cleanen BootDVD zu booten und dann die Einträge zu löschen, aber wie gesagt, ist nicht einfach. Ohne jetzt Werbung machen zu wollen: die neue c´t Desinfec´t ist gerade herausgekommen. Sollte im örtlichen Zeitschriftenhandel zu bekommen sein. Meistens haben die auch ein rudimentäres System drauf, mit dem man zumindest die Verzeichnisse von den Dateien befreien und nötigstenfalls die Browserverzeichnisse killen kann ohne das das Teil sich davor schützen kann. Außerdem sucht die DVD aus einem sauberen System heraus mit 4 verschiedenen Scannern.
Das Mistding Mail.ru scheint übrigens derzeit recht aktiv zu sein...
Ciao, Radulf
 
Zuletzt bearbeitet:

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.491
Wenn du es noch mit Scannern probieren willst, dann mach das nacheinander mit Malwarebytes Angepasster Suchlauf und da alle Laufwerke durchsuchen lassen sowie nach Rootkits suchen lassen. Danach einen Komplett Suchlauf mit Emsisoft Emergency Kit und abschliessend einen Komplett Scan mit Eset Online Scanner. Hilft das nicht und die Symptome treten weiterhin auf, Datensicherung machen dir wichtiger Dateien wie Fotos, Musik, Videos Dokumente usw. dann mit der Windows DVD die Partitionen löschen, danach Festplatte formatieren, Partitionen danach neu anlegen wenn du mehr als nur Partition C willst. Dann Windows und Programme usw neu installieren, die gesicherten Dateien erst auf dem externen Medium mit 2 verschiedenen Scannern überprüfen und wenn die sauber sind, dann wieder aufs neu gemachte System aufspielen. Ist dein System neu gemacht, mit 2 verschiedenen Scannern wie Malwarebytes, Emsisoft Emergency Kit oder Eset Online Scanner überprüfen, danach ein Backup Programm wie Aomei Backupper Standard, Macrium Refelect Free, Easeus Todo Backup Freee oder Paragon Backup & Recovery Free installieren, dann mit dessen Assistenten das Rettungsmedium erstellen wpofür du eine leere CD oder einen leeren USB Stick brauchst und das Rettungsmedium gut aufheben. Dann eine USB Festplatte anschliessen und mit dem Backup Programm ein sog. Systembackup bzw Komplettbackup deines Systems machen bei dem alle Partitionen gesichert werden auf die besagte USB Festplatte. Und solche Backups regelmässig machen zum Beispiel mindestens 1 Mal im Monat.
 
Zuletzt bearbeitet:

Akeem

Newbie
Ersteller dieses Themas
Dabei seit
Nov. 2017
Beiträge
3
Danke für deine Hilfe, habe mich noch ein bisschen im abgesicherten Modus ohne Internetverbindung rumgetrieben und habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.
Ergänzung ()

Danke für deine Hilfe, habe mich noch ein bisschen im abgesicherten Modus ohne Internetverbindung rumgetrieben und habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.

Also scheint erstmal zu klappen. Für alle die auch mal auf dieses Problem stoßen hier eine kleine Hilfestellung:

Antivir Programm laufen lassen und gefundene Objekte in Quarantäne
CCleaner öffnen und neue Programme die ihr nicht selbst installiert habt löschen
Google Chrome, Windows Edge und Internet Explorer nach Add-Ons durchsuchen die nicht darein gehören, danach alles zurücksetzen. Gegebenfalls neu installieren. Bei Google Chrome nicht mit eurem Acc anmelden da ihr sonst die alten Add-Ons wieder installiert und somit auch das unerwünschte Add-On.
Windows im Abgesicherten Modus starten und CCleaner öffnen da dann die Fehlersuche starten und bei den gefundenen Fehlern auf den RegistrierungsCode achten. (Achtung Fehler nicht beheben) Wenn dort ein Code steht, den ihr nicht kennt oder mit .ru endet oder einfach nicht dort reingehört Suchleiste bei Windows öffnen und regedit eingeben. Dort sind dann verschiedene Ordner, diese dann mit dem Fehlerfund abgleichen und öffnen. In meinem Fall war es HKCL-IE....mail.ru. HKCL steht in diesem Fall für HKEY_CLASSES_ROOT. Begebt euch in diesen Ordner und sucht dann nach IE....mail.ru wenn ihr diesen gefunden habt, löscht den Ordner und alle Ordner die in der Verbindung damit stehen. Erkennt man leicht an dem mail.ru oder halt an der Russischen Sprache. Wenn ihr die alle gelöscht habt begebt euch zu eurem Papierkorb und entleert diesen einmal mit Rechtsklick und dann noch mit CCleaner. Danach noch einmal mit AntiVir durchsuchen und dann sollte sich das Problem beseitigt haben.
Startet den PC ganz normal neu.

Eventuell kann man sich ein oder zwei Schritte sparen aber so hat es bei mir funktioniert.
Schönen Abend noch.
Ergänzung ()

Danke für deine Hilfe, habe mich noch ein bisschen im abgesicherten Modus ohne Internetverbindung rumgetrieben und habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.

Also scheint erstmal zu klappen. Für alle die auch mal auf dieses Problem stoßen hier eine kleine Hilfestellung:

Antivir Programm laufen lassen und gefundene Objekte in Quarantäne
CCleaner öffnen und neue Programme die ihr nicht selbst installiert habt löschen
Google Chrome, Windows Edge und Internet Explorer nach Add-Ons durchsuchen die nicht darein gehören, danach alles zurücksetzen. Gegebenfalls neu installieren. Bei Google Chrome nicht mit eurem Acc anmelden da ihr sonst die alten Add-Ons wieder installiert und somit auch das unerwünschte Add-On.
Windows im Abgesicherten Modus starten und CCleaner öffnen da dann die Fehlersuche starten und bei den gefundenen Fehlern auf den RegistrierungsCode achten. (Achtung Fehler nicht beheben) Wenn dort ein Code steht, den ihr nicht kennt oder mit .ru endet oder einfach nicht dort reingehört Suchleiste bei Windows öffnen und regedit eingeben. Dort sind dann verschiedene Ordner, diese dann mit dem Fehlerfund abgleichen und öffnen. In meinem Fall war es HKCL-IE....mail.ru. HKCL steht in diesem Fall für HKEY_CLASSES_ROOT. Begebt euch in diesen Ordner und sucht dann nach IE....mail.ru wenn ihr diesen gefunden habt, löscht den Ordner und alle Ordner die in der Verbindung damit stehen. Erkennt man leicht an dem mail.ru oder halt an der Russischen Sprache. Wenn ihr die alle gelöscht habt begebt euch zu eurem Papierkorb und entleert diesen einmal mit Rechtsklick und dann noch mit CCleaner. Danach noch einmal mit AntiVir durchsuchen und dann sollte sich das Problem beseitigt haben.
Startet den PC ganz normal neu.

Eventuell kann man sich ein oder zwei Schritte sparen aber so hat es bei mir funktioniert.
Schönen Abend noch.
Ergänzung ()

Danke für deine Hilfe doch so nette Hilfe;), habe mich noch ein bisschen im abgesicherten Modus ohne Internetverbindung rumgetrieben und habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.

Also scheint erstmal zu klappen. Für alle die auch mal auf dieses Problem stoßen hier eine kleine Hilfestellung:

Antivir Programm laufen lassen und gefundene Objekte in Quarantäne
CCleaner öffnen und neue Programme die ihr nicht selbst installiert habt löschen
Google Chrome, Windows Edge und Internet Explorer nach Add-Ons durchsuchen die nicht darein gehören, danach alles zurücksetzen. Gegebenfalls neu installieren. Bei Google Chrome nicht mit eurem Acc anmelden da ihr sonst die alten Add-Ons wieder installiert und somit auch das unerwünschte Add-On.
Windows im Abgesicherten Modus starten und CCleaner öffnen da dann die Fehlersuche starten und bei den gefundenen Fehlern auf den RegistrierungsCode achten. (Achtung Fehler nicht beheben) Wenn dort ein Code steht, den ihr nicht kennt oder mit .ru endet oder einfach nicht dort reingehört Suchleiste bei Windows öffnen und regedit eingeben. Dort sind dann verschiedene Ordner, diese dann mit dem Fehlerfund abgleichen und öffnen. In meinem Fall war es HKCL-IE....mail.ru. HKCL steht in diesem Fall für HKEY_CLASSES_ROOT. Begebt euch in diesen Ordner und sucht dann nach IE....mail.ru wenn ihr diesen gefunden habt, löscht den Ordner und alle Ordner die in der Verbindung damit stehen. Erkennt man leicht an dem mail.ru oder halt an der Russischen Sprache. Wenn ihr die alle gelöscht habt begebt euch zu eurem Papierkorb und entleert diesen einmal mit Rechtsklick und dann noch mit CCleaner. Danach noch einmal mit AntiVir durchsuchen und dann sollte sich das Problem beseitigt haben.
Startet den PC ganz normal neu.

Eventuell kann man sich ein oder zwei Schritte sparen aber so hat es bei mir funktioniert.
Schönen Abend noch.
Ergänzung ()

Adw Cleaner hatte ich bereits schon probiert und zwei andere Programme. Habe es nun aber anscheinend hinbekommen. Unten steht der Lösungsweg den ich eingeschlagen habe. Aber danke für deine Antwort :3
 

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.491
Deine vermeintlichen Infektionen sind jetzt vermeintlich weg aber das bedeutet nicht das nun dein System wieder zu 100% vertrauenswürdig ist weil du nicht zu 100% sagen kannst das du alles hast restlos löschen können. Wer weiß ob der erreger nicht noch woanders als in der Registry gesessen hat und ob er womöglich Änderungen an deinem Windows vorgenommen hat die du so gar nicht mitbekommst. Ich an deiner Stelle würde das System komplett neu aufsetzen oder mich zumindest im Trojaner Board: https://www.trojaner-board.de/ anmelde und dann in dieser Sektion dort: https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/ ein Thema eröffnen in dem du beschreibst was passiert ist, was du bisher gemacht hast und das sich bitte ein Helfer dort deiner annimmt und dein System überprüft und erst wenn du dort grünes Licht von dem Helfer bekommst, solltest du sagen können das dein System wieder safe ist.
 

owned_you

Banned
Dabei seit
Sep. 2016
Beiträge
3.424
nichtmal dann! Selbst Virenexperten können das nie zu 100% garantieren!

Bestes Bespiel sind die ganzen NSA Tools, ohne Leak durch Snowden wären die nie gefunden worden ... die liefen alle unter dem Radar! Kein einziger Virensacanner hatte die davor gefunden!

Es gibt nur eine saubere Lösung bei Malware Befall und die lautet "Neuaufsetzen" ... weis man Backup und Image auch begrifflich korrekt einzuordnen ist das auch innerhalb weniger Minuten erledigt!

Man kann natürlich auch weiterhin gerne Opfer bleiben ...
 
Zuletzt bearbeitet:

GGG107

Banned
Dabei seit
Okt. 2017
Beiträge
1.765
Mach lieber blank und zieh jegliche Installer neu.

Nach dem dritten Satz folgere ich schon, dass sich alles andere nicht lohnt. Falls du doch ein Kämpfer sein solltest, würde ich ebenfalls zu einem Ad-cleaner raten. Ad-Aware war damals immer nützlich. Dazu noch eine Rettungsdisk vom Antivirenhersteller deines Vertrauens und selbstverständlich eine Sicherung deiner wichtigsten Daten.

Auf gut gelingen!
 
Zuletzt von einem Moderator bearbeitet: (Beitrag wiederhergestellt)

Serjo

Lt. Junior Grade
Dabei seit
Jan. 2014
Beiträge
413
Klingt in der Tat nach einem Befall - da würde ich mich den Vorrednern anschließen - Formatieren und neu aufsetzen,
alles Andere ist in so einem Massiven "Befall" sinnlos und Zeitverschwendung!
Natürlich solltest du jetzt nichts mehr sichern von deinem PC, da diese Sicherung dann ggf. wieder infiziert ist und die
ganze Arbeit sinnlos ist - du würdest den "Virus" wieder mit einschleppen.
Das bezieht sich doch nur auf eine Systemsicherung oder? Nicht auf Bilder, Videos etc.? Ich hatte nämlich mal gelesen, dass man in solchen Fällen nicht einmal mehr seine Dateien sichern soll weil das angeblich unsicher wäre, kann mir aber absolut nicht vorstellen was genau da die Gefahr sein soll. Selbst wenn sich irgendwo ne .exe von einem Virus eingeschlichen hätte, müsste ich die doch erst noch einmal selber ausführen damit es zu einer erneuten Infektion kommen kann, oder?
 

Dr. McCoy

Commander
Dabei seit
Aug. 2015
Beiträge
2.573
Das bezieht sich doch nur auf eine Systemsicherung oder? Nicht auf Bilder, Videos etc.?
Das bezieht sich erstmal auf alles. Viele schließen nämlich unter dem infizierten Windows direkt ihre externe Festplatte, den USB-Stick. etc. an, um dann noch Daten rüber zu kopieren. Damit ebnet man jedoch aktiver Malware den Weg, sich a) in dem Moment ebenfalls selbst auf den externen Datenträger zu kopieren, oder b), darauf befindliche Dateien z.B. zu verschlüsseln.

Ich hatte nämlich mal gelesen, dass man in solchen Fällen nicht einmal mehr seine Dateien sichern soll weil das angeblich unsicher wäre,
Dem ist auch so, zumal Daten immer im Vorfeld im Rahmen von Backups extern in Mehrfachkopie gesichert werden müssen. Als "im Nachhinein", wenn das Kind bereits in den Brunnen gefallen ist, taugen "Backups" per Definition gar nicht.

kann mir aber absolut nicht vorstellen was genau da die Gefahr sein soll. Selbst wenn sich irgendwo ne .exe von einem Virus eingeschlichen hätte, müsste ich die doch erst noch einmal selber ausführen damit es zu einer erneuten Infektion kommen kann, oder?
Nur mal abgenommen, es ließe sich darauf begrenzen: Das ist schneller geschehen, als man vielleicht denkt. Denn man will die Daten sichern, um sie irgendwann wieder zu öffnen.

Eine Infektion kann nämlich bereits beim ersten Öffnen einer Datei vom Wechseldatenträger aus stattfinden. Dazu reicht es, dass sich eine Malware die Standardkonfiguration der Windows Ordneroptionen (auch: Explorer-Optionen) zu Nutze macht. Dort sind nämlich Dateinamenerweiterungen bekannter Dateitypen ausgeblendet, versteckte Dateien und Ordner ebenso wie Systemdateien.

Also versteckt die Malware die Ordner auf dem Wechseldatenträger, indem sie als Systemordner klassifiziert werden, erstellt exe-Dateien mit Ordnersymbol unter Übernahme der jeweiligen Ordnernamen, und leitet nach Klick auf die "Ordner-Exe" zum eigentlichen Ordnerinhalt um. Du landest im Ordner, siehst Deine Daten, hast dabei jedoch eine .exe ausgeführt, ohne es zu bemerken. Solche Infektionen kommen immer wieder vor:

-> https://www.howtogeek.com/forum/topic/folder-is-turned-to-exe-and-actual-folder-is-hidden
-> https://angelcom.com/virus-changes-all-folders-to-exe-files-and-hides-folders-and-files/
-> https://www.symantec.com/connect/forums/how-remove-automatically-folderexe-files-created-w32svich
-> https://answers.microsoft.com/en-us/protect/forum/protect_other-protect_scanning-windows_8/virus-in-usb-flash-drive-hidden-folder-called/05aac88e-fc9f-4385-807f-cbfbe1edaf22?auth=1


Oder, eine Verschlüsselungsmalware verschlüsselt nach Anstöpseln der externen Festplatte alle darauf gespeicherten Daten:
-> https://www.kaspersky.de/blog/cryptolocker-bringt-arger/1948/

Zumindest bei diesen Punkten kann man für den ersten Moment gegensteuern, indem man eine "nachträgliche Datensicherung", mehr schon eine Datenrettung, über ein Live-System durchführt.

Wirklich "sauber" ist so eine Lösung letztlich auch nicht, da man ferner auch von manipulierten Dateien ausgehen muss, die ggf. Exploits zur Ausnutzung von Sicherheitslücken in verwendeter Software mitbringen.


[...] habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.
Du gehst nur von Anzeichen, von äußeren Symptomen, aus. Sowas darf man bei einem kompromittierten System nie machen.

"Scheint" und "erstmal" sind bereits zwei Einschränkungen, die, jede für sich genommen, den weiteren Einsatz so eines Systems als Produktivsystem verbieten.

Für alle die auch mal auf dieses Problem stoßen hier eine kleine Hilfestellung:
Für alle etwaigen Betroffenen, bitte diesem Weg nicht folgen, er lässt das System verantwortungsloser Weise in einem nicht mehr vertrauenswürdigen Zustand zurück.

Antivir Programm laufen lassen und gefundene Objekte in Quarantäne
Das bringt ebenfalls kein vertrauenswürdiges System zurück. Du kannst nicht eine Software, die eine Infektion zuvor schon nicht hatte verhindern können, plötzlich so einsetzen wollen, als könne sie nun nachträglich plötzlich das Relevante erkennen.

CCleaner öffnen und neue Programme die ihr nicht selbst installiert habt löschen
Also ob Malware eine offensichtliche und dann auch noch funktionierende Deinstallationsroutine mitbrächte...

Google Chrome, Windows Edge und Internet Explorer nach Add-Ons durchsuchen die nicht darein gehören, danach alles zurücksetzen.
Das bringt ebenfalls nichts, weil diese Browser auf dem kompromittierten System laufen. Was Du machst, ist Gummistiefel anziehen, in einem Boot, das sinkt.

Gegebenfalls neu installieren. Bei Google Chrome nicht mit eurem Acc anmelden da ihr sonst die alten Add-Ons wieder installiert und somit auch das unerwünschte Add-On.
Das deutet auf eine aktivierte Synchronisation hin. Sowas sollte man natürlich allenfalls auf Systemen einsetzen, die vernünftig abgesichert sind!

Windows im Abgesicherten Modus starten und CCleaner öffnen da dann die Fehlersuche starten und bei den gefundenen Fehlern auf den RegistrierungsCode achten. (Achtung Fehler nicht beheben) Wenn dort ein Code steht, den ihr nicht kennt oder mit .ru endet oder einfach nicht dort reingehört Suchleiste bei Windows öffnen und regedit eingeben.
"Code, den ihr nicht kennt" ist für Laien ohnehin kein guter Rat. Weil kaum jemand von ihnen überhaupt etwas bezüglich Registry kennt, und dann dort möglicherweise was herumlöscht, was gar nichts mit der Sache zu tun hat. Mal abgesehen davon, dass dies auf einem kompromittierten System ohnehin egal wäre, weil es ja so oder so neu aufgesetzt werden müsste.

[...] Wenn ihr die alle gelöscht habt begebt euch zu eurem Papierkorb und entleert diesen einmal mit Rechtsklick und dann noch mit CCleaner. Danach noch einmal mit AntiVir durchsuchen und dann sollte sich das Problem beseitigt haben.
Du hast, wie gesagt, damit allenfalls oberflächliche Symptome kosmetisch korrigiert. Sauber und vertrauenswürdig ist das System damit allerdings noch lange nicht:
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen

Eventuell kann man sich ein oder zwei Schritte sparen aber so hat es bei mir funktioniert.
Man kann sich alle Schritte sparen.


Wenn du es noch mit Scannern probieren willst, [...]
Wozu? Die Sache ist doch klar und eindeutig. Freilich, aus Analysegründen kann man Untersuchungen durchführen, zum Beispiel, um Rückschlüsse auf Infektionswege zu ziehen, oder neue Malware den AV-Labs zukommen zu lassen. Doch bitte nicht zum Zwecke der Wiederherstellung eines vertrauenswürdigen Zustands.

Hilft das nicht und die Symptome treten weiterhin auf,
Auch Du begehst den gleichen Fehler, und beurteilst den Systemzustand, nachdem eine Kompromittierung bereits klar ist, nach dem Auftreten oder Ausbleiben oberflächlicher Symptome.

Datensicherung machen dir wichtiger Dateien [...], die gesicherten Dateien erst auf dem externen Medium mit 2 verschiedenen Scannern überprüfen und wenn die sauber sind, dann wieder aufs neu gemachte System aufspielen.
Das nahezu grenzenlose Vertrauen in Virenscanner ist unangebracht. Wenn sie was erkennen, ist es mehr Zufall, alleine aufgrund der schieren Menge kursierender Schädlinge.

[...] ein Backup Programm wie Aomei Backupper Standard, Macrium Refelect Free, Easeus Todo Backup Freee oder Paragon Backup & Recovery Free installieren, dann mit dessen Assistenten das Rettungsmedium erstellen wpofür du eine leere CD oder einen leeren USB Stick brauchst und das Rettungsmedium gut aufheben. Dann eine USB Festplatte anschliessen und mit dem Backup Programm ein sog. Systembackup bzw Komplettbackup deines Systems machen bei dem alle Partitionen gesichert werden auf die besagte USB Festplatte. Und solche Backups regelmässig machen zum Beispiel mindestens 1 Mal im Monat.
Diesen Rat unterschreibe ich ausdrücklich. Er ist mit das wichtigste bei einer PC-Nutzung.

Für dieses System im aktuellen Zustand ist es jedoch zu spät, hier gilt nun "abreißen und neu machen".
-> https://msdn.microsoft.com/de-de/library/dn151182.aspx
 
Zuletzt bearbeitet:

Serjo

Lt. Junior Grade
Dabei seit
Jan. 2014
Beiträge
413
Das bezieht sich erstmal auf alles. Viele schließen nämlich unter dem infizierten Windows direkt ihre externe Festplatte, den USB-Stick. etc. an, um dann noch Daten rüber zu kopieren. Damit ebnet man jedoch aktiver Malware den Weg, sich a) in dem Moment ebenfalls selbst auf den externen Datenträger zu kopieren, oder b), darauf befindliche Dateien z.B. zu verschlüsseln.
Genau das mache ich schon seit mindestens 15 Jahren. Seit ich meinen ersten PC hatte, hab ich Dateien/Ordner die für mich wichtig waren immer auf den nächsten PC übernommen, somit sind selbst auf meinem aktuellen PC noch zahlreiche Ordner und Dateien die 15 Jahre alt sind, und ich kann eigentlich mit 100 prozentiger Sicherheit sagen, dass ich in der Vergangenheit, als ich noch komplett ahnungslos war und jeden Mist installiert hab, bestimmt jede Menge Virenbefall hatte. Aber trotzdem erkenne ich da ehrlichgesagt keine direkte Gefahr.

Selbst wenn sich Malware auf meine externen Platten kopiert, die ich ja u.a. für diese Backups verwendet habe (bzw. waren es Anfangs CDs statt ext. Platten), sind das ja eben reine Datenplatten, die haben kein Betriebssystem oder sonstwas. Wenn ich die also an ein sauberes System anschließe, sollte doch so automatisch garkeine Infektion erfolgen können oder? Eben weil es reine Datenplatten sind auf denen garkeine Programme - also auch keine Viren - laufen können? Ich kann mir nicht wirklich vorstellen, dass von einer angeschlossenen Datenplatte automatisch Viren auf ein sauberes System übertragen werden können, für sowas müsste ich doch selber irgendeine .exe von dieser Platte gestartet haben?

Dem ist auch so, zumal Daten immer im Vorfeld im Rahmen von Backups extern in Mehrfachkopie gesichert werden müssen. Als "im Nachhinein", wenn das Kind bereits in den Brunnen gefallen ist, taugen "Backups" per Definition gar nicht.
Naja, das Ziel der Backups ist ja, dass Daten die mir wichtig sind nicht verloren gehen, und das sind sie ja auch nicht.

Eine Infektion kann nämlich bereits beim ersten Öffnen einer Datei vom Wechseldatenträger aus stattfinden. Dazu reicht es, dass sich eine Malware die Standardkonfiguration der Windows Ordneroptionen (auch: Explorer-Optionen) zu Nutze macht. Dort sind nämlich Dateinamenerweiterungen bekannter Dateitypen ausgeblendet, versteckte Dateien und Ordner ebenso wie Systemdateien.

Also versteckt die Malware die Ordner auf dem Wechseldatenträger, indem sie als Systemordner klassifiziert werden, erstellt exe-Dateien mit Ordnersymbol unter Übernahme der jeweiligen Ordnernamen, und leitet nach Klick auf die "Ordner-Exe" zum eigentlichen Ordnerinhalt um. Du landest im Ordner, siehst Deine Daten, hast dabei jedoch eine .exe ausgeführt, ohne es zu bemerken.
Dass eine Infektion unter solchen speziellen Umständen möglich wäre verstehe ich schon. Aber solange man Dateien/Ordner die von infizierten System übernommen wurden überprüft, sollte doch alles ok sein oder nicht? Zum Beispiel sind meine 15 Jahre alten Ordner alle echte Ordner und keine .exe-Dateien, das seh ich in den Eigenschaften. Genauso sind alle Bild- und Textdateien die ich noch von damals übernommen habe in den entsprechenden Formaten. Ich nehme an solche Ordner/Dateien sollten selbst dann keine Gefahr darstellen, wenn sie von infizierten System stammen, oder?

Eine zweite Frage hätte ich auch noch zu dem Fall den du grade geschildert hast:
Mal angenommen es ist genau das passiert, eine Malware versteckt den echten Ordner und zeigt mir stattdessen eine .exe an die genauso aussieht, und ich hab die jetzt blöderweise ohne Überprüfung angeklickt. Müsste dann nicht trotzdem direkt von Windows eine Warnung kommen bevor da überhaupt etwas ausgeführt wird? Also dieses "Möchten Sie zulassen, dass xyz Änderungen an diesem Computer vornimmt?" (oder so ähnlich)?

Und eine weitere Frage fällt mir in diesem Zusammenhang auch noch ein, die bezieht sich jetzt nicht direkt auf meine ursprüngliche Frage, aber das will ich auch schon seit Ewigkeiten in Erfahrung bringen:
Kann sich ein erfolgreich installierter Virus vollständig vor dem Nutzer verstecken? Sodass er also weder im Taskmanager unter den laufenden Prozessen oder Diensten angezeigt wird, noch im Autostart, und auch nicht in der Liste der installierten Programme?
 

GGG107

Banned
Dabei seit
Okt. 2017
Beiträge
1.765
Natürlich solltest du jetzt nichts mehr sichern von deinem PC, da diese Sicherung dann ggf. wieder infiziert ist und die ganze Arbeit sinnlos ist - du würdest den "Virus" wieder mit einschleppen.
Wenn die Dateien keine Codeausführungen ermöglichen, kann man sie auch bedenkenlos sichern. Eine infizierte PNG z.B. äußert sich darin, das sie seltsam aussieht oder sich schlicht nicht öffnen lässt/garkeine PNG ist. Solang die keiner in .exe o.ä. unbenennt und ausführt, passiert da nichts. Sollte bei den ausführbaren was wichtiges bei sein, lässt sich auch die Signatur oder direkt der Hash überprüfen. Dasselbe gilt auch für externe Datenträger. Wenn Autostart und ähnliches deaktiviert ist, wird auch nichts automatisch ausgeführt. Je nach Betriebssystem und Konfiguration wird auch ein Rootkit schlechte Chancen haben.

Bei üblichen Trojanern über Webseiten wird auch nichts in den hauseigenen .docxs stecken. Also das wichtigste sollte man schon vorher sichern - wenn es denn nicht mit wenig Aufwand wieder zu holen ist. Das Backup kann man ja später ebenfalls nochmal überprüfen lassen.

Zum restlichen: Stark verallgemeinert, aber für den DAU schon ganz gut zusammen gefasst.

Ansonsten für den TE nochmal einen Tipp:
Wenn schon auf seltsamen Seiten unterwegs: uBlock Origin. Bei irgendwelche ominösen Installer/"Patcher" vorher 3 mal überlegen und erst überprüfen lassen. z.B: https://www.virustotal.com/de/ Wenn fast jeder anschlägt, weißt du schon Bescheid. Im Zweifelsfall lieber sein lassen oder mal in einer Sandbox testen.
 
Zuletzt von einem Moderator bearbeitet: (Beitrag wiederhergestellt)

purzelbär

Admiral
Dabei seit
Feb. 2012
Beiträge
7.491
Für dieses System im aktuellen Zustand ist es jedoch zu spät, hier gilt nun "abreißen und neu machen".
-> https://msdn.microsoft.com/de-de/library/dn151182.aspx
Die Option mit den genannten Scannern und dem Gang zum TB nannte ich ihm mit dem Hinweiß das seine bisherigen Säuberungsaktionen kein 100% vertrauenwürdiges System garantieren können, nachdem er angedeutet hatte das er sein System wohl nicht neu aufsetzen wolle.
Diesen Rat unterschreibe ich ausdrücklich. Er ist mit das wichtigste bei einer PC-Nutzung.
Tja ich weiß warum ich mir vor ein paar Jahren eine 1 TB USB Festplatte zugelegt habe die nur für Backups genutzt wird und ^die immer offline ist wenn ich keine Backups mache oder mittels Paragon Boot CD Backups einspiele. Nicht umsonst ist das alles drauf:
 

Oli_P

Captain
Dabei seit
Mai 2006
Beiträge
3.573
Ich hatte vor kurzem meine Firewall aus da sie Origin behindert hatte.
In diesem Zeitraum hat sich wohl ein Trojaner, Virus oder eine Malware eingeschlichen.. Es öffnet sich circa jede halbe Stunde mein Google Chrome und da erscheinen irgendwelche Seiten. Auch hat sich in meinem Lesezeichen Mail.ru und zwei andere russische Links eingeschlichen.
Die Seiten die sich öffnen sind entweder Online Casino Seiten, Pornoseiten oder irgendwelche Online Spiele...
Ich verstehe nicht, was das mit der Firewall zu tun hat? Welche Firewall hast du ausgeschaltet? Die von Windows, die im Router? Warum behindert die Origin? Aber Firewall ausschalten, nur weil ein Programm nicht damit funktioniert? Halte ich für fahrlässig. Aber selbst dann? Kann doch nicht sein, daß dein Rechner direkt verhunzt ist, nur weil du mal die Firewall abstellst? Was macht ihr mit euren Rechnern?

Ich hätt jetzt auch keinen Bock auf komplizierte Rettungsaktionen. Mach die Kiste platt und spiel dein Backup zurück. Denn
Ich kenne mich wirklich sehr gut aus mit PCs
@Purzelbär: So sollte man das tun. Idealerweise sollte man noch ein Notfall-Backup irgendwo haben, wenn die externe Festplatte mal plötzlich nicht mehr funktioniert (sowas solls geben). Ich habe gar 3 Kopien von meinem System-Backup auf 3 verschiedenen Speichergeräten abgelegt. Aber 2 Kopien sollten es auch tun, mach das nur weil ich die Möglichkeit dazu habe :) Eigentlich hab ich noch viel mehr Backup-Kopien, nämlich auch von verschiedenen Zeitpunkten. Ich weiss, das kann man ins Unendliche steigern bzw. solang der Speicherplatz reicht :D Mittelfristig plane ich die Anschaffung von mehr Speicherplatz. Aber im Moment reichts noch dicke :)
 
Zuletzt bearbeitet:
Top