Thema: Hilfe Virus!

[Lord Verminaard]

Scheiße, ich hab mir nen Virus eingefangen. Seit gestern öffnen sich ständig MS Explorer Fenster, obwohl das gar nicht mein Standardbrowser ist, und mein Rechner will, dass ich irgendwelche MS Antivirensoftware installiere, weil angeblich ein Spyware-Zugriff entdeckt wurde. Antivir findet einen Torjaner namens TR/Dldr.Zlob.yne und hängt sich bei dem Versuch, ihn zu löschen, auf, sodass ich immer wieder auf löschen klicke und immer wieder das gleiche Fenster kriege und sonst nichts machen kann.

Wie werde ich das Scheißding los??

Danke im Voraus.

[Pilger]

Vielleicht kann SpyBot Dir helfen - so oder so recht nützlich.

[Monkey McPants]

Scheiße, ich hab mir nen Virus eingefangen. Seit gestern öffnen sich ständig MS Explorer Fenster, obwohl das gar nicht mein Standardbrowser ist, und mein Rechner will, dass ich irgendwelche MS Antivirensoftware installiere, weil angeblich ein Spyware-Zugriff entdeckt wurde. Antivir findet einen Torjaner namens TR/Dldr.Zlob.yne und hängt sich bei dem Versuch, ihn zu löschen, auf, sodass ich immer wieder auf löschen klicke und immer wieder das gleiche Fenster kriege und sonst nichts machen kann.

Wie werde ich das Scheißding los??

Danke im Voraus.

Windows im Secure Safe Mode starten (IIRC F5 beim hochfahren gedrückt halten. Oder so. Am besten googlen.) und dann nochmal versuchen den Virus zu erkennen.

Wenn das nicht klappt, vielleicht eine der diversen Rescue-Live-CDs mit Virenscan booten um so das Teil zu entfernen.

Well alles nicht klappt: Windows Install CD rein und drübergebügelt.

[Plansch-Ente]

Gibt mehrere möglichkeiten.

A: Versuchen im Sicherheitsmodus von Windows zu starten (ich glaube es ist F8...bin mir aber nicht sicher)
B: Einen Systemwiderherstellungspunkt widerherstellen

geht über "Start -> Programm -> Zubehör -> Systemprogramme -> Systemwiederherstellung"

[killedcat]

Gibt mehrere möglichkeiten.

A: Versuchen im Sicherheitsmodus von Windows zu starten (ich glaube es ist F8...bin mir aber nicht sicher)
B: Einen Systemwiderherstellungspunkt widerherstellen

geht über "Start -> Programm -> Zubehör -> Systemprogramme -> Systemwiederherstellung"

DAS ... ist keine Hilfe. Der Systemwiederherstellungspunkt ist kein komplettes Image sondern nur die Rettung einiger wichtiger Systemdateien, die ebenfalls ungesichert auf der Platte liegen. Der abgesicherte Modus läd zwar nur Basistreiber, aber a) können auch die verseucht sein b) entfernt das den Virus nicht und c) gibt es z.B. auch Bootsektorviren.

Spybot Search and Destroy war ein guter Tipp. Ebenso kann ich Adaware und diverse Virenscanner empfehlen. Grundlage ist: boote von einem sicheren Medium (Part PE, Boot-Disk, Linux-Rettungs-Cd oder eine Boot-Disk eines kommerziellen Virenscanners). Scanne danach zuerst die Systempartition. Komplett! Das ist die Mindest-Grundlage!! Sollte der Virus erkannt und entfernt worden sein informiere dich über das Ding!!! Eventuell hat es auch Netzlaufwerke infiziert oder ungefragt Mails verschickt. Hast du in letzter Zeit Daten gespeichert? Könnten diese infiziert worden sein?

Im Zweifel - mach deine Kiste platt. Das heißt mindestens eine Formattierung (sollte wirklich reichen, bei Paranoia hilft eine Repartitionierung  ). Lieber ein Ende mit Schrecken als ein Schrecken ohne Ende. Das meine ich wirklich, denn wenn der Virus überlebt vernichtet er eventuell noch weitere wichtige Daten.

[8t88]

Es ist wohl kein "Virus" sondern Spamprogramme...
Die sind , wenn Du pech hast auch mit den Programmen nicht weg zu bekommen.

Stell Dir vor Du hast ne Wohnung die Du noch nicht ganz renoviert hast weil Du vorher die Einweihungsfete machen Willst.
Max geht in die Stabile Seitenlage und Kotzt auf die Bodendielen... ok Flüssigkeit  geht und Trocknet auch wenn Sie in die Ritzen zwischen die Dielen läuft... das geeeeeht. Aber niemand bemerkt Max, und der beginnt aus langeweile die Stückchen in die Ritzen zwischen die Bodendielen zu drücken.
Dann is Bodenaufreissen angesagt.

Oder Kurz:
Wenn die Programme es nicht bringen:
-Sichere schnell Deine Daten
-Lösche alles
-Installiere neu

[Dom]

Was meiner Erfahrung nach gut hilft: Knoppicilin besorgen und benutzen. Dabei handelt es sich um eine Linux-Distribution, die von CD gebootet wird und Virenscanner für Windows drauf hat. Als Benutzer kommt man aber gar nicht mit dem Linux in Berührung, sondern bedient einfach nur die Anti-Viren-Programme.

Vorteil: Du versuchst keine Selbst-Reparatur, sondern gehst von außen an das ausgeschaltete System ran, d.h. der Trojaner ist gerade nicht aktiv und kann seine Entfernung nicht verhindern.

PS: Da sich die Viren-Scanner beim Booten der CD übers Internet die neuesten Signaturen besorgen, sollte Knoppicilin auch nicht hoffnungslos veraltet sein.

[Plansch-Ente]

DAS ... ist keine Hilfe. Der Systemwiederherstellungspunkt ist kein komplettes Image sondern nur die Rettung einiger wichtiger Systemdateien, die ebenfalls ungesichert auf der Platte liegen. Der abgesicherte Modus läd zwar nur Basistreiber, aber a) können auch die verseucht sein b) entfernt das den Virus nicht und c) gibt es z.B. auch Bootsektorviren.

KANN aber helfen. Ich hab so nen Virus weggekriegt...zumindest ist er seitdem nicht mehr aufgetaucht.

[Boba Fett]

Vermi - hör auf Dom.
Ansonsten kann ich Dir zukünftig den Kaspersky Virenscanner empfehlen, weil der besser ist, als AntiVir.
Kostet aber auch ein bissche Geld.

[Crujach]

eine Freundin von mir hatte das selbe Problem und hat es mit Spybot Search und Destroy entfernen können...

[der.hobbit]

Schließe mich den Vorrednern an, in dieser Reihenfolge vorgehen:

* Windows im abgesicherten Modus (während dem Start ständig auf F8 hämmern) starten, dann einen vollständigen Virenscan anstoßen. Die meisten Viren werden im abgesicherten Modus nicht aktiv und können daher so entfernt werden. Da der Virus schon erkannt wird, kriegst du auch mit, ob er entfernt wurde oder nicht.

* Falls es nicht geklappt hat, mit Knoppix starten und das gleiche Spiel noch einmal. Dann sollte der Virus wirklich platt sein.

* Auf jeden Fall danach deine privaten Dateien sichern. Einfach weil man das sowieso ständig machen sollte. DVD-Rs sind inzwischen zum Glück günstig.

* Der Trojaner scheint mir relativ neu zu sein. Falls das alles nicht klappt, kannst du auch wagen, 2 Wochen bis einen Monat mit dem Trojaner zu leben und dann das Ganze noch mal zu machen. Allerdings solltest du in dieser Zeit nicht ins Internet gehen, da Trojaner den Rechner nicht nur verseuchen, sondern auch manipulieren. Trojaner können z.B. benutzt werden, um dein Konto zu erleichtern, indem sie iTANs ausspähen. Oder Passwörter mitspeichern.

Dieser Thread könnte für dich interessant werden.

[JS]

erst spybot versuchen.
dann: knoppicilin hat avg und bitdefender drin, es gibt von der ct auch eine spezielle linux-bootdisk zur virenbekämpfung. hilft großartig. danach spybot über das system laufen lassen.
wenn alles wieder ok ist: spybot teatimer in den autostart, firewall sowieso und für firefox das feine noscript benutzen. notfalls auch ein online access scanner, wenn er nicht viele ressourcen frißt (z.b. bitdefender).

schlimmstenfalls hat der virus was am system zerstört. das war bei meinem dad vor kurzem der fall. virus weg, system instabil. neuinstallation.

[BoltWing]

Ich glaube ich kann... etwas... helfen. Dreht es sich um die angeblichen Virensoftare um den AntiVir2009? Ich habe gestern den ganzen Tag an einem Rechner einer Kollegin gesessen die das gleiche Problem hat(te) und es handelt sich dabei um einen relativ neuen Virus.

SpyBot und die meisten Virenscanner nutzen bei dem so gut wie garnicht. Es gibt eine Anleitung im Netz (weiss die Seite leider nicht mehr; Google mal), wie du das Manuell und mit welchen Virenscanner du das ding entfernen können solltest. Ich habe es erst Manuell und danach noch mit den Scannern gemacht. Er kam aber kurze Zeit später.
Ich wollte gestern noch die Platte formatieren, aber er hat wohl auch den MBR infiziert. Ich habe ihn bereinigt, habe aber immer noch Probleme damit. (letzteres KÖNNTE aber am RAID-System liegen).

Installiere die Kiste lieber neu. Spart nerven!

[Lord Verminaard]

Danke euch allen! Virenscan und Spybot im Safe Mode hat jedenfalls was gefunden und entfernt, mal abwarten, ob's weiterhin Probleme gibt. Äh, wie bootet man denn von CD? *keineahnunghab*

[Ein]

Es muss eine bootfähige CD sein. Im BIOS muss Boot von CD eine höhere Priorität als von Festplatte haben. Im Zweifel muss man noch eine Taste drücken, wenn er fragt ob man wirklich von CD booten will.

[Bitpicker]

Diese Ausprägung des Zlob-Trojaners ist erst seit gestern in den Definitionsdateien von Avira enthalten. Er könnte aber schon länger auf deiner Platte sein, was bedeutet, dass er schon so manches im Hintergrund heruntergeladen haben könnte. Du solltest mal Folgendes machen:

Geh auf http://www.f-secure.com/linux-weblog/

Scrolle diese Seite herunter, bis du in der Navigation links den Punkt "Rescue CD 3.00 ZIP" findest. Lade diese ISO-Datei herunter und brenne daraus eine CD (CD über Image brennen, dafür sollte dein Brennprogramm eine Funktion haben; sorry, falls das für dich völlig klar ist... )

Diese CD ist, wie Knoppicillin, eine auf Linux basierende Live-CD mit Virenscanner. Du kannst davon booten, indem du die CD einfach im Laufwerk lässt und dein System neu startest. Falls es dann nicht von CD bootet, mach was Ein gesagt hat: geh ins BIOS, such die Boot-Reihenfolge und stell das CD-Laufwerk als erste Bootoption ein. Alternativ ist es bei einigen Rechnern möglich, das Boot-Gerät durch Druck auf eine Taste am Anfang aus einem Menü zu wählen (häufig F12).

Wenn du von dieser CD gebootet hast, führt sie dich durch ein Menü; allerdings kann es sein, dass die Tastatur, falls du sie mal brauchst, auf Englisch eingestellt ist, also brauchst du 'z', falls es nach 'y' für 'yes' fragt. Am Ende scannt der F-Secure Scanner deine Festplatte.

C: ist vermutlich /dev/sda1, D: ist /dev/sda2 usw. Es kann auch hda statt sda heißen. Ich benutze diese CD nicht so oft, daher weiß ich nicht genau, wie sie abläuft.

Wenn das nächste Mal in der c't eine Knoppicillin ist, werde ich das hier verkünden, denn diese CD hat meistens mehrere Virenscanner mit Update für eine gewisse Zeit. Das ist natürlich noch einen Schritt besser.

Insgesamt ist es sinnvoller, von so einer Boot-CD nach Viren zu suchen, weil Viren auf einem sich selbst scannenden System ausweichen können. Wenn das Windows selbst nicht läuft, sind auch die Viren machtlos. Jeder Windows-Benutzer sollte also solche CDs haben.

Robin