PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win 7 x64 - Virus finden und entfernen.


Geldmann3
2011-08-21, 04:18:56
Hallo, habe einen Rechner mit einem Virus den ich gerne finden und entfernen würde. (Ich weiß, ich sollte das System eigentlich neu aufsetzen blablabla)

Aber ich frage das auch aus Interesse, weil ich mich von diesem Stück Software verarscht fühle.

Der Virus wird alle paar Minuten in den Temp Ordner kopiert. (Eine .exe Datei deren Name aus einer 7 stelligen Zufallszahl besteht.) Dort wird er dann ausgeführt und startet den Rechner neu+zerstört den MBR.
LOL:freak:

Wie kann ich herausfinden was die .exe in den TEMP Ordner kopiert?
Wenn ich während des Kopiervorgangs im Taskmanager nachsehe, ist genau diese .exe im TEMP Ordner aktiv. Doch sie wird sich ja wohl kaum zur Laufzeit an eine andere Stelle kopieren können oder?
Ca. 1 mal pro Stunde wird dann der Rechner zerstört. (MBR nach Neustart kaputt gemacht)

Habe ich überhaupt eine Chance den Virus zu finden?

Kein aktuelles Antivirenprogramm erkennt den Virus ansatzweise.

Eine Idee wäre, den Virus in eine virtuelle Umgebung zu bringen und dort zu checken was er macht. Sandboxie würde es vielleicht auch tun.

Hat jemand noch andere schlaue Ideen?
Aus purem Interesse, wie kommt man so was bei, es gibt doch bestimmt eine schlaue Lösung den Virus zu kriegen oder? (Außer Virtualisierung)

Ich meine, er wird immerhin aktiv, und ich sehe sogar wo....
Klar er könnte alles Mögliche kompromittiert haben.

+Alle Systemdateien im Windows Ordner auf Integrität zu prüfen hilft nicht.
+Nichts im Autostart
+Systemwiederherstellung ist zwecklos

Natürlich habe ich das alles nicht mit dem Original OS probiert, weil dieses mich verarschen könnte, sondern mit einer BootCD auf die Partition zugegriffen.

Vikingr@Gast
2011-08-21, 05:51:54
hört sich für mich nach "Security Tool" an. Kann man u.a. mit Remove Fake Antivirus entfernen. Das Ding hatte meine Mutter auch mal auf Ihrem PC...ziemlich nervig dieses Teil...

Vikingr
2011-08-21, 05:55:49
Hier der Link dazu..
http://freeofvirus.blogspot.com/2009/12/security-tool-removal-guide.html

Als ich las, exe Datei, deren name aus zufälliger 7 stelliger Zahl besteht, musste ich daran denken..

sei laut
2011-08-21, 11:09:34
@Geldmann: Nur so aus Interesse, welche UAC-Einstellungen sind bei dir aktiv?

Hacki_P3D
2011-08-21, 11:45:46
Lad ma die EXE hier hoch..würd mich ma interessieren was dabei rauskommt

http://www.virustotal.com/

http://virusscan.jotti.org/de

qiller
2011-08-21, 13:19:34
Die .exe-Datei im Temp-Ordner wird von einem anderen, kompromittierten, aktiven oder einmalig per Autostart gestarteten Dienst/Programm erstellt/runtergeladen und gestartet. Du musst die Ursache finden, die .exe-Datei ist nur ein Symptom.

Und das "finden" ist dann meist das Problem vor allem wenn die verwendeten AV-Proggis keine aktuellen Signaturen dafür haben. Theoretisch müsste man jetzt jede Datei extern (also über ein 2. Betriebssystem oder Live-CD) mit seinem "Original" vergleichen. Anfangen würde man dann erstmal an den "Autostart"-Stellen (und das allein sind schon ne Menge), also Registry importieren und alle Stellen erstmal nach ungewöhnlichem absuchen. Wenn man damit durch ist, gehts dann weiter mit den Treibern und am Ende macht man sich dann an die Windows-Dateien selber ran. Wenn diese allerdings kompromittiert sind, kann sich das ganze eigt nur noch um ein Rootkit handeln, da normalerweise der Windows-Dateischutz anspringen müsste bzw ab Vista wird das glaub ich sogar durch die UAC verhindert. Das Rootkit könnte aber Veränderungen an Windows-Dateien vor dem Dateischutz verbergen.

Ohne nützliche Zusatzsoftware ist das "Finden" fast eine unmöglich lösbare Sache. Das "Beheben" (meist ist es eh nur ein Löschen/Austauschen von Dateien und Registry-Schlüsseln) ist dann dagegen ein Klaks.

mfg Olli

Geldmann3
2011-08-21, 14:24:25
Bei VirusTotal.com wird der Virus nicht erkannt.
UAC ist soweit oben, dass jedes Programm was Admin Rechte will nachfragen muss. Der Virus hat aber nie gefragt.

Hacki_P3D
2011-08-21, 15:12:30
@qiller

stimmt, hatte ich jetzt garnicht bedacht.


@Geldmann3

Lass uns mal von den AV Proggs weggehen und schauen was GMER sacht:
http://www.gmer.net/

Prevx (Free) wäre auch noch ne Idee:
http://www.prevx.com/freescan.asp

Edit
Weiter gehts hiermit:
http://support.kaspersky.com/faq/?qid=208283363

Mit Anleitung:
http://support.kaspersky.com/de/faq/?qid=207620123

Falls du dir die aktuellste Version von TDL4 eingefangen hast, dann gibts eh keinen Weg zurück. Anscheinend gibts noch kein Mittel dagegen..
http://www.wilderssecurity.com/showpost.php?p=1865875&postcount=2984

Allgemeine Infos:
http://www.viruslist.com/de/analysis?pubid=200883742

Lokadamus
2011-08-21, 16:02:43
Bei VirusTotal.com wird der Virus nicht erkannt.
UAC ist soweit oben, dass jedes Programm was Admin Rechte will nachfragen muss. Der Virus hat aber nie gefragt.mmm...

Du kannst die exe, die erzeugt wird, mal den einzelnen Herstellern senden.
http://analysis.avira.com/samples/

newvirus@kaspersky.com
http://support.avast.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=199&nav=0,1
http://forums.avg.com/de-en/avg-free-forum?sec=thread&act=show&id=397

:| Warum sollte der Virus auch nachfragen? Das Problem ist doch immer wieder, dass in Windows so viele Löcher sind, womit die Rechte umgangen werden können, dass die Viren/ Schädlinge sich selber alle notwendigen Rechte holen.

Geldmann3
2011-08-21, 17:15:03
Warum sollte der Virus auch nachfragen?
Ein Gentleman fragt nach :wink:
Auch beim Upload zu den einzelnen Herstellern wird nichts gefunden. Selbst die AviraRescue CD findet nichts.

Lokadamus
2011-08-21, 18:11:38
Ein Gentleman fragt nach :wink:
Auch beim Upload zu den einzelnen Herstellern wird nichts gefunden. Selbst die AviraRescue CD findet nichts.mmm...

Du erhältst später eine Email von den Herstellern, nachdem sie es untersucht haben. Zumindest Avira meldet sich immer und Kaspersky hatte sich damals auch immer gemeldet.

Hacki_P3D
2011-08-21, 18:55:41
@Geldmann3

die AV Software findet deswegen nix, weils kein Virus ist..
Lass ma die Rootkit Scanner laufen..

Geldmann3
2011-08-21, 19:43:43
AviraAntiVir sucht ebenfalls nach Rootkits....
GMER findet nichts.

Marscel
2011-08-21, 20:03:46
HijackThis (http://www.trendsecure.com/portal/de/tools/security_tools/hijackthis) versuchen und Log posten/auswerten lassen.

Sonst, passiert etwas im abgesicherten Modus?

Phantom1
2011-08-22, 11:36:53
versuch mal malwarebytes (findet meist schon malware die andere programme noch nicht kennen): http://www.computerbase.de/downloads/sicherheit/malwarebytes-anti-malware/

tam tam
2011-08-22, 22:43:55
Computerverwaltung --> Ereignissanzeige --> administrative Ereignisse, und Windwos Protokolle --> Sicherheit, da guggn, wer/was sich da alles angmeldet hat(inkl. RechteVergabe). Dann Benutzer überprüfen, und genauso die Gruppen.

Mit ProcessMonitor kannst Du viell. sehen, was besagte *.exe macht.

Für den Temp-Ordner die Rechte neu vergeben/erzwingen(dabei auch Deine eigenen Rechte annulieren). Irgendwann wird irgendwer sich melden und meckern.

Wenn Usprung bekannt ist Backup machen, Win neu starten, MBR reppen, Backup aufspielen, DosMode oder WinRepConsole starten, mit Befehl "del" besagte Datei löschen. Windows normal starten und vom Rest säubern.

Hacki_P3D
2011-08-22, 22:58:41
Oder ein einfach: Image von der Partition ziehen und Win neu installieren..

tam tam
2011-08-22, 23:50:57
Oder ein einfach: Image von der Partition ziehen und Win neu installieren..


Entweder RegistryEintrag löschen oder besagte Datei. Beim Image ist noch beides vorhanden.

Djudge
2011-08-23, 00:56:08
Microsoft Security Essentials 2 und nen LiveCD (Unbuntu/Knoppix), dagegen ist schwer anzukommen, alles andere ist Müll (Kosten, Ressourcen, Heuristik, ect.)

Hacki_P3D
2011-08-23, 07:31:45
Entweder RegistryEintrag löschen oder besagte Datei. Beim Image ist noch beides vorhanden.


Ich wollte damit nur sagen, dass sich der Aufwand nicht lohnt.

Das Image könnte er ja irgendeinem AV Lab zukommen lassen, lässt sich ja virtualisieren..