[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Gut, dass ich Pepos Artikel kannte .....
Heute traf mich ein BKA- bzw. GVU Trojaner[/COLOR][/SIZE][/FONT][FONT=Trebuchet MS][SIZE=3] [COLOR=Navy]. [/COLOR][COLOR=Navy]Für wenige Sekunden war ein Fenster (von F-Secure AntiVirus?) zu sehen, das anzeigte, dass ein Virus entfernt worden sei und der Computer bis zum Neustart gesperrt bliebe. Dann legte sich das bildschirmfüllende Fenster über meinen Monitor – und nichts ging mehr. Der Task Manager war inaktiv. Alle paar Minuten erschien ein Fenster der Benutzerkontensteuerung (s.Bild),[/COLOR][/SIZE][/FONT][INDENT][SIZE=3][COLOR=Navy]
[/COLOR][/SIZE][/INDENT][FONT=Trebuchet MS][SIZE=3][COLOR=Navy]das mich aufforderte, die Frage "Möchten Sie zulassen, dass durch das folgende Programm Änderungen an diesem Computer vorgenommen werden?" zu bejahen oder zu verneinen. Ich blieb standhaft und verneinte.
Ein normaler Neustart behob das Problem nicht.[/COLOR][/SIZE][/FONT][SIZE=3][FONT=Trebuchet MS] [COLOR=Navy]
Dann startete ich im „abgesicherten Modus“ und kopierte persönliche Dateien auf eine externe FP.[/COLOR][/FONT] [COLOR=Navy]
[FONT=Trebuchet MS]Als ich anschließend Windows wieder normal startete, war der Spuk verschwunden – tatsächlich? endgültig?[/FONT][/COLOR][FONT=Trebuchet MS] [COLOR=Navy]
Ich recherchierte und fand die von der Benutzerkontensteuerung aufgeführte Datei (wgsdgsdgdsgsd.dll – s. [/COLOR] [/FONT][COLOR=Navy][FONT=Trebuchet MS]Bild)auf meinem Rechner; und zwar im Hauptverzeichnis „User“. [/FONT]
[/COLOR][/SIZE]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Im Verlauf des Viren- und Spyware Scanning fand ich Hinweise auf die Infektion und die Aktion „Neustart erforderlich“ (s. Bild).[/COLOR][/SIZE][/FONT][INDENT] [SIZE=3][COLOR=Navy]
[/COLOR][/SIZE] [/INDENT][FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Außerdem fand ich in der Quarantäne von F-Secure eine htm-Datei (s. Bild).[/COLOR][/SIZE][/FONT][INDENT][SIZE=3][COLOR=Navy]
[/COLOR][/SIZE][/INDENT][FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Dann habe ich mit F-Secure AntiVirus 2013 ein vollständigen Scan desComputers durchgeführt. Schadsoftware wurde nicht gefunden. Danach habe ich den PC nicht mehr hochgefahren.
Meine persönlichen Daten liegen nicht auf „C“ sondern auf „D“. Kann ich mich beruhigt zurücklehnen, oder könnten Daten beschädigt sein, obwohl es nicht den Anschein hat?[/COLOR][/SIZE][/FONT][SIZE=3][FONT=Trebuchet MS] [COLOR=Navy]
Die Systemwiederherstellungsfunktion ist ausgeschaltet – warum kann ich nicht sagen.[/COLOR] [/FONT][COLOR=Navy][FONT=Trebuchet MS]
[/FONT]
[FONT=Trebuchet MS]Ein Image der Systempartition datiert vom September 2012 und ist relativ aktuell.[/FONT][/COLOR][FONT=Trebuchet MS] [COLOR=Navy]
Ich stelle mir vor, die Datei aus der Quarantäne und die dll-Datei im User-Verzeichnis zu löschen; weiter mit einem Spezialtool nach derGVU(BKA)-Schadsoftware zu suchen. Wenn dann nichts gefunden würde – könnte ich den PC weiter in diesem Status benutzen, oder soll ich besser das Image verwenden?[/COLOR] [COLOR=Navy]
Könnt Ihr mir ein anderes/weiteres Vorgehen raten?[/COLOR][/FONT][/SIZE]
Die Systemwiederherstellungsfunktion würde ich für Laufwerk c: auf jeden Fall wieder EINschalten. Damit kann man z.B. einen verschlimmbesserten Treiber wieder auf den alten Zustand zurücksetzen.
Zu dem eigentlichen Virus möchte ich nicht sagen, das können die Experten tun. ???
Reinhold, RG 600
Also ich würde auf jeden Fall Reinholds Tipp beherzigen und dann noch den Rechner durch eine Scan-CD, VON DER AUCH GEBOOTET WURDE, untersuchen lassen.
Ciao
Pepo
M5543, Schriftführer und Leiter der RG600 im AUGE e.V.
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Eine Anleitung zur Erstellung einer Kaspersky Rescue Disk hatte ich mir im Netz angesehen. Sie hatte mich aber total verschreckt.[/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Da sich auch Bernd mit diesem Thema ausweislich seines Kommentars vom 01.09.2012 beschäftigt hatte, fragte ich ihn ebenfalls um Rat. Glücklicherweise bot er mir seine Hilfe an. Wir haben dann Scans mit diversen Tools in dieser Reihenfolge durchgeführt:[/COLOR][/SIZE][/FONT][INDENT] [FONT=Trebuchet MS][SIZE=3][COLOR=Navy]· Kaspersky Rescue Disk[/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]· Avira Rescue System[/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]· Malwarebytes Anti-Malware[/COLOR][/SIZE][/FONT]
[/INDENT][FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Bei der Kaspersky Rescue Disk mussten einige Einstellungen geändert werden, damit wirklich die komplette Festplatte (also beide Partitionen) geprüft wurde. Die Prüfung dauerte etwa 2 Stunden. Die Malware haben wir gelöscht. [/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Mit Avira war es schon etwas schwieriger, weil Tastatur und Maus (USB-Anschluss) nicht erkannt wurden. Eine vorsichtshalber hinter dem PC bereitgehaltene schnurgebundene Tastatur (PS2) schaffte Abhilfe. Die Navigation war allerdings gewöhnungsbedürftig. [/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]Der letzte Scan erfolgte dann mit Malwarebytes Anti-Malware.[/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]PePo, so einfach ist das alles nicht, und allein hätte ich das nie geschafft.[/COLOR][/SIZE][/FONT]
[FONT=Trebuchet MS][SIZE=3][COLOR=Navy]
[/COLOR][/SIZE][/FONT]
Hmm - bei Kaspersky kann man die "Kaspersky-Notfall-CD10" als ISO-Image herunterladen. Aus dieser brennt man sich seine bootfähige CD. Dann bootet man davon uns lässt sie laufen..... Halte ich jetzt nicht für SOO schwer!
Wo waren denn die Probleme? Das Erstellen der CD aus der ISO-Datei? Mit Nero in Null-Komma-Nix!
Ciao
Pepo
M5543, Schriftführer und Leiter der RG600 im AUGE e.V.
Was spricht dagegen einfach dieses Image einzuspielen?
Manfred
Hallo Renate,
bei mir sieht es wie folgt aus:
* ca. monatlich Image-Backups von C: + D:
auf 2 abwechselnde externe Festplatten, da 4..10 DVDs nicht mehr handhabbar sind.
* E: sichere ich nur bei Änderungen (Software-Archiv, Telefon-CD, virt. XP)
Xcopy auf externe Festplatten und gelegentlich auf DVD-RAM.
* ca. täglich das Verzeichnis d:\USER\ auf USB-Stick mit meinen Prog., E-Mails etc.
Wenn bei mir EIN Rechner "zickt", restauriere ich ein passendes Image und synchronisiere dann mit "Robocopy" den d:\USER-Baum von USB-Stick. Dieses Programm ist seit Windows7 an Bord und war auch vorher schon kostenlos bei MS erhältlich.
Warum ein Image gemacht wurde, habe ich in einer Textdatei für jeden Rechner notiert (z.B. Java-SDK neu). Ausserdem habe ich auf jedem Rechner eine History-Textdatei, in der alle Änderungen notiert werden, z.B.
yyyy-dd-mm: Mozilla-Firefox aktualisiert 10.0 => 11.0
2013-01-12: In Registry alle c:\temp durch %temp% ersetzt!
Diese Datei kann dann schon einmal 6.000 Zeilen lang werden, aber ich durchsuche sie nur maschinell. Damit kann ich immer nachvollziehen, warum ich eine bestimmte Änderung gemacht habe.
Die Verzeichnisse c:\dokumente und Einstellungen\\ (auf XP) und (auf Windows7)
c:\Users\
sind bei mir unabhängig voneinander, da alle Programmeinstellungen (z.B. linker Rand in Textverarbeitung) manuell wiederholt wurden. Damit kann ich einigermassen EINEN defekten Rechner restaurieren (Tischrechner + Klapprechner). Der andere Rechner ist dann ja noch Internet-fähig.
Dies wollte ich 'mal als kleine Anregung nennen, damit bin ich immer gut gefahren.
Reinhold, RG 600