Hallo zusammen,
dank meiner eigenen Dummheit hab ich mich mir neulich nen Virus eingefangen, namentlich den Hupigon 13, und dann mit einiger Anstrengung auch wieder (erfolgreich) entfernt.

Zumindest findet mein Avast Virenscanner nichts mehr, Spybot nichts, Blacklight nichts,laufende Prozesse sind alle sauber, Hijack-Log ist auch clean.

Mein Problem ist nun folgendes: Leider hat der Virus irgendwas Fieses mit meinem Taskmanager angestellt. Wenn ich Strg+Alt+Entf drücke, passiert gar nichts. Die DisableTaskMgr-Option in der Registry hab ich abgecheckt, sie war nicht mal vorhanden. Genausowenig ist in den Gruppenrichtlinien die Kombi deaktiviert?! (wieso passiert also GAR NICHTS?)
Wenn ich versuche, direkt über C:\Windows\System32\Taskmgr.exe zu starten, kommt folgende Fehlermeldung:
"C:\Windows\System32\Taskmgr.exe" konnte nicht gefunden werden. Blala..." Genau das gleiche passiert, wenn ich den Taskmanager von woanders ausführe. Wenn ich die Datei allerdings in Taskmgr_.exe umbenenne, geht er problemlos -_-

Der dumme Virus hat da also irgend nen fiesen Trick angewendet, der wohl bestimmte Dateinamen "sperrt". Der Virus ist aber definitiv tot! Habt ihr ne Ahnung, wo sowas gemacht werden könnte? Bzw wie ich wieder nen Taskmanager über Strg+Alt+Entf aufrufen kann?

Grüße Sinner

(Bitte nicht empfehlen neu aufzusetzen, dazu hab ich momentan weder Zeit noch Lust :( )

Process Explorer
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx

Interessiert nicht ob du keine Lust zum Neuaufsetzen hast. Tu es. Keiner kann dir sagen ob das der einzige Virus auf deinem System war, und was genau das Ding angestellt hat. Plattmachen. Ende der Diskussion.

(Bitte nicht empfehlen neu aufzusetzen, dazu hab ich momentan weder Zeit noch Lust :( )

Ich habe auch keine Lust die Spammails und Angriffe, - die von deinem Rechner ausgehen, abzuwehren. Sei nicht so egoistisch und installiere neu.

Die einzig sichere Möglichkeit um wieder einen vertrauenswürdigen Zustand herzustellen wäre ein Neuaufsetzen des System mit anschliessender Absicherung.
http://www.cidres-security.de/neuaufsetzen.html

Process Explorer
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx
Danke für den Tipp, ihn kann ich mit dem klassischen Strg+Alt+Entf aufrufen :)
Wobei ich immer noch gerne diese Manipulation rückgängig machen würde!

An die anderen Gäste: Ja, ist mir bewusst, dass mein System nun kompromittiert ist. Werde es auch neu aufsetzen, aber habe die nächsten 2 Monate keine Zeit dazu, da hilft alles nichts. Daher würde ich mein System nun gerne in einen möglichst guten Zustand zurückversetzen!


Ich habe auch keine Lust die Spammails und Angriffe, - die von deinem Rechner ausgehen, abzuwehren. Sei nicht so egoistisch und installiere neu.

Ööhm, selbst wenn meine Software-Firewall, die ein- und ausgehende Verbindungen kontrolliert, nun manipuliert sein sollte, wäre da immer noch mein Router dazwischen, also keine Angst ;)

ja. Denn ein Router kann auch unterscheiden welche Verbindungen vom User gewollt sind, und welche von Viren/Malware geöffnet werden. Hast nen coolen Router. Meiner kann sowas nicht. Und auch jedes andere mir bekannte Routermodell nicht.

Seit wann kontrolliert ein Router den ausgehenden Traffic?
Eine Nat Firewall kontrolliert den eingehenden Datenverkehr und blockt was nicht von deinem Rechner angefordert wurde.

Das war grob gesehen der Inhalt meines Beitrages. Nur in leichten Sarkasmus verpackt.

Neuinstallieren und Einrichten ist nicht unbedingt spaßig, das kann ich verstehen - trotzdem, würdest du wichtige Daten und sensible Informationen einem OS anvertrauen wollen, welches von Schadsoftware kompromittiert wurde?

Seit wann kontrolliert ein Router den ausgehenden Traffic?
Eine Nat Firewall kontrolliert den eingehenden Datenverkehr und blockt was nicht von deinem Rechner angefordert wurde.

Ja, ich habe auch nichts anderes behauptet, war lediglich auf die Software-Fw bezogen, und ich weiß dass diese keinen zuverlässigen Schutz bietet.

Und lieber Gast, ich möchte mich auch nicht mit dir streiten!

Mir geht es eigentlich nur um die Lösung des oben beschriebenen Problems, also wie es kommen kann, dass eine Datei derart blockiert ist?

Nein es geht nicht um das Problem. Das ist nicht das Problem, sondern ein Symptom des eigentlichen Problems.
Um es mal etwas deutlicher Auszudrücken: Dein PC hat Lungenkrebs, und du fragst mit welchem Hausmittelchen man das Husten unterdrücken kann.

ja. Denn ein Router kann auch unterscheiden welche Verbindungen vom User gewollt sind, und welche von Viren/Malware geöffnet werden. Hast nen coolen Router. Meiner kann sowas nicht. Und auch jedes andere mir bekannte Routermodell nicht.

Hallo,

also wenn es nach mir gehen würde, wäre es (gesetzlich) verboten so einen Rechner nicht neu zu installieren, da hilft auch keine Ausrede.

Zwecks Router, mein CISCO könnte das zwar, aber ich würde da neu installieren.

Außerdem wenn ich meine Rechner neu installiere dauert da 2 h bis das OS OK ist und nochmal 2 bis 3 h bis alle Daten wieder drüben sind.

Also nicht meckern sondern machen, eine Software Firewall kannst du in so einem Fall gleich vergessen.

Das Problem ist nie der Virus (da dieser gefunden wird) sondern der nachgeladene Schadcode und die Veränderungen im System.

Kein (!) laufendes kann sich aus eigener Kraft von Viren befreien, da der Virus die Erkennung manipulieren kann (könnte), Stichwort Rootkit.

mfg

Schau unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

ob es einen Eintrag zur taskmgr.exe gibt. Wenn ja, lösche ihn komplett.

Schau unter

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

ob es einen Eintrag zur taskmgr.exe gibt. Wenn ja, lösche ihn komplett.
Tausend Dank! Es gab nen Eintrag, aber jetzt kann ich sogar wieder den original Taskmanager benutzen. Das ist ja ne interessante Einstellung, scheint öfters von Malware missbraucht zu werden.

@Gast: Ja, ich werd den Rechner neu aufsetzen! Gegen Rootkits hab ich zwar auch gescannt, aber jetzt ist es mir schon nicht mehr geheuer. Und für Internet werd ich solang mein Linux benutzen, da hat man wenigstens nicht so nen Stress :frown: (hab btw auch nen Cisco-Router :D )

hab btw auch nen Cisco-Router :D

Na dann, mach NBAR an und gut.

was für einen (nur aus Interresse)?

mfg

Was ist NBAR? Hab den WRT54G

Die Definition steht bei Wikipedia und das Vorhandensein derselben dürfte sich auf die "etwas" größeren Router beschränken ;).

Was ist NBAR? Hab den WRT54G

Hallo

NABR - Network Based Application Recognition

link: www.cisco.com/web/go/nbar/

Das geht nur auf CISCOs, ein Linksys ist kein CISCO.

Linksys ist "nur" die Billigenmarke für den Heimgebrauch.

mfg