Was ist das für ein Deutscher (?) Virus und wie kann ich ihn loswerden?

AKTUALISIEREN

Ich habe meine Lösung unten gepostet.

Dieses Ding ist am Freitag auf dem Computer eines meiner Angestellten aufgetaucht. Ich habe den größten Teil des Wochenendes damit verbracht, den Computer mit Avira AntiVir, dem Tool zum Reparieren des Avira-Bootsektors, dem Tool zum Entfernen von Kaspersky-Viren, Malwarebytes, Spybot, McAfee Stinger und etwas anderem zu scannen, was ich vergessen habe. Alle haben etwas gefunden. Insgesamt säuberten sie alle ungefähr 400 bösartige Gegenstände, mit Ausnahme dieses einen.

Dieser Bildschirm wird direkt nach dem Hochfahren des Computers und dem Anmelden des Benutzers angezeigt. Während das Betriebssystem das Profil lädt, tritt eine leichte Verzögerung auf, und danach wird dies angezeigt. Ich denke, es ist etwas in der Art eines Browser-Hack, weil ich gesehen habe, wie Firefox (3.6.18, glaube ich) kurz vor seinem Erscheinen gestartet wurde.

Ich kann STRG + ALT + ENTF drücken und den Task-Manager aufrufen, aber sobald ich das tue, überlagert der Virenbildschirm ihn.

Was ist das für ein Virus und wie kann ich es loswerden?

Wie es immer wieder gesagt wurde, besteht die einzige sichere Möglichkeit, um sicherzustellen, dass ein Virus nicht mehr vorhanden ist, darin, den Computer zu formatieren und die Komponenten nacheinander neu zu installieren.

Das heißt, dies ist technisch gesehen kein Virus, sondern eine neue Art von Malware, die Sie für das Entfernen bezahlen lässt. Dies sollten Sie unter keinen Umständen tun, da Sie zur organisierten Kriminalität beitragen.

Wie viel Zeit haben Sie bereits damit verbracht, den PC zu reparieren?

Sie werden vielleicht feststellen, dass das Booten mit einer Ubuntu-Live-CD, um alle Daten auf eine austauschbare USB-Festplatte zu kopieren, das Formatieren der Festplatte und die Neuinstallation der schnellste Weg ist, um dieses Problem zu lösen.

Ich habe es immer wieder erlebt, wenn so viel mehr Stunden darauf verwendet wurden, Viren oder Malware zu entfernen, als zum Sichern, Formatieren und erneuten Installieren erforderlich sind.

Ich weiß, dass Sie dies nicht tun möchten. Sie würden lieber ein Tool verwenden, um das Problem zu beheben, aber ich denke, Sie sparen Zeit, indem Sie eine Neuinstallation durchführen, und Sie wissen auch, dass die Malware wirklich verschwunden ist.

Ihr Computer wird wahrscheinlich schneller laufen, wie dies normalerweise bei einer Neuinstallation der Fall ist.

Es scheint sich um den BKA-Trojaner zu handeln (die ersten Ergebnisse sind Links zur Website der Scareware, verwenden Sie diese also nicht). Es scheint, dass der Konsens darin besteht, entweder neu zu installieren oder mehr Anti-Malware-Software zu verwenden.

Neuinstallation sollte ein letzter Ausweg sein; versuchen, es zu entfernen, ist besser. Das Schlimmste, was passieren kann, ist, dass Sie ohnehin neu installieren und einige Zeit damit „verschwenden“, etwas zu lernen.

Es mag albern / offensichtlich erscheinen, aber haben Sie versucht, Alt + F4 im Fenster zu drücken?

Ich kann vorschlagen, ein paar weitere Programme zu testen (führen Sie sie im abgesicherten Modus aus, um bessere Ergebnisse zu erzielen):

• SUPERAntiSpyware (verwenden Sie die portable Version)
• Autoruns (um herauszufinden, woher es kommt)
• HijackThis (um das System gründlich zu analysieren)
• WinSpy ++ (um das oberste Attribut aus dem Fenster zu entfernen, obwohl es möglicherweise alle paar Sekunden zurückgesetzt wird)
• ComboFix ( Verbrannte Erde, letzter Ausweg)

Sie können auch schnell auf der Registerkarte "Prozesse" des Task-Managers nachsehen, um herauszufinden, auf welchen Prozessen der Trojaner ausgeführt wird, und versuchen, ihn zu beenden (Sie müssen ihn nicht im Task-Manager anzeigen, um ihn zu beenden) Sie können die ersten Buchstaben des EXE-Namens eingeben und Deldann Space) drücken . Stellen Sie jedoch sicher, dass die Option Immer im Vordergrund des Task-Managers ausgewählt ist. nur für den Fall.

(Randbemerkung: Ich finde es amüsant , dass der Trojaner ist mit dem Windows 7 - Logo , obwohl der Alex hat darauf hingewiesen , dass es sich um ein XP - System. Seufzen )

Nachdem ich einige Tage damit verbracht hatte, gegen dieses Ding zu kämpfen, wurde ich es endlich los. Ich bin mir ziemlich sicher, dass ich das Richtige gefunden habe, aber auf dem Weg habe ich einige verdächtige Gegenstände gefunden, die dazu beigetragen haben könnten. Hier sind die Schritte zum Aufräumen.

Als erstes überprüfte ich alle Autostart-Positionen in Windows. Ich bin diesem Artikel hier gefolgt . Die meisten Orte waren sauber, mit Ausnahme von:

1. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
   • Auf diesem Schlüssel befand sich ein zweiter Pfad, der darauf zeigte C:\Documents and Settings\NetworkService\Application Data\09A52917-B4FC-4f02-AE3B-BF55D9351F4A\msvcs.exe
2. HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • Dieser Knoten hatte einen REG_SZSchlüssel mit dem Namen, 2C508BD5-F9C6-4955-B93A-09B835EC3C64der auf die Datei msvcs.exe im UserinitSchlüssel zeigte.
3. HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
   • Dieser Knoten hatte zwei andere Knoten, die mir verdächtig erschienen. Sie wurden benannt \toldvw32und torlfsvses. Beide Knoten hatten Schlüssel, die auf eine toldvw32.dllDatei zeigten und mit einem WlStartupEventEreignis versehen waren. Das Nachschlagen bei Google ergab zu diesem Zeitpunkt noch keine aussagekräftigen Ergebnisse. Deshalb habe ich sie entfernt. Es scheint keine Probleme damit zu geben.

Das eigentliche Problem ist diese msvcs.exeDatei. Wenn es einem gelingt, zu überleben, repliziert es sich selbst in allen Benutzerprofilen auf dem Computer. Da es mit dem NetworkServiceProfil verbunden war, wurde immer sichergestellt, dass es in den anderen Profilen vorhanden war.

Es gibt drei Orte, an denen es msvcs.exeexistiert. Sie sind:

1. {PROFILE}/Application Data/09A52917-B4FC-4f02-AE3B-BF55D9351F4A
2. {PROFILE}/Start Menu/Programs/Startup
3. WINDOWS\Prefetch
   • Nicht 100% sicher, aber ich habe zwei verdächtige Dateien gefunden: MSVCS.EXE-0CA809BA.pfund MSVCS.EXE-301B4EC0.pf. Ich ging voran und entfernte sie ohne Probleme (zumindest soweit).

Ich hoffe das hilft jemandem in der Zukunft. Es hat bei mir funktioniert. Wenn Sie einen Computer haben, auf dem dies vorhanden ist und der mit einer Domäne verbunden ist, überprüfen Sie auch den Profilordner des Benutzers auf dem Server. Dort befindet sich auch eine Kopie. Es ist unnötig zu erwähnen , dass Sie sich nicht direkt auf dem Server in dieses Profil einloggen sollten, da Sie danach nur noch eine sehr spaßige Zeit haben werden ...

Sie können es auch nicht im abgesicherten Modus bereinigen, wenn das Profil, bei dem Sie sich anmelden, infiziert wurde. Ich habe UBCD4Win verwendet, um das aufzuräumen, was ich gesehen habe, und den Rest habe ich im abgesicherten Modus erledigt.

Nun, ich weiß, dass der allgemeine Konsens darin besteht, den Computer zu zerstören und von vorne zu beginnen, aber das ist in einem Geschäftsumfeld nicht immer möglich. Nachdem ich es bereinigt und durch mehrere Antiviren-Tools bereinigt hatte, habe ich es chkdsk /f /rauf dem Laufwerk ausgeführt, mit MyDefrag (4.3.1) defragmentiert und der Computer funktioniert einwandfrei, als ob es nie passiert wäre. Den Computer zum Atmen zu bringen, ist also nicht immer die beste Vorgehensweise, wie @Synetech auf sich selbst hinwies.

Schließlich wurde Kaspersky auf dem Computer installiert, aber irgendwie ausgeschaltet, und so kam der Virus (Malware?) Durch und tat, was er tat. Ich bin überhaupt kein Fan von Antivirensoftware, in der Tat habe ich keine auf meinen 6 oder so Maschinen, aber in einer Umgebung, in der Sie technisch anspruchsvolles Personal haben, ist es eine gute Idee, sie zu haben und es ist auch eine sehr gute Idee , um sicherzustellen , dass es tatsächlich gedreht hat auf und aktualisiert.

Das sind alles großartige Leute. Ich hoffe, dass jemand anderes in Zukunft von dieser Antwort profitieren kann.

Dies scheint eine brandneue Scareware zu sein. Soweit ich sehe, wurde es von den Antivirus-Spezialisten noch nicht beschrieben. Es droht, den Inhalt der Festplatte zu löschen und Sie wegen der Verwendung einer illegalen Kopie von Windows zu verklagen.

Ich schlage vor, Sie schalten den infizierten Computer aus, entfernen die Festplatte und kopieren den Inhalt der Festplatte an einen sicheren Ort. Sie können dann auch einen Virenscan wiederholen, während Sie an einen anderen Computer angeschlossen sind (ohne diese infizierte Festplatte zu booten).

Persönlich würde ich die Daten sichern und eine Neuinstallation anstreben. Sobald eine Malware in einem Fenster gefunden wurde, kann nicht mehr sichergestellt werden, dass alle Spuren entfernt wurden, da sie weiterhin versuchen, sie / Ihre Daten / Ihr Bankkonto zu verwenden, sobald sie Ihren Computer gefunden haben. In solchen Fällen scheint es üblich zu sein, mehr Malware auf den Computer zu laden.

Benutzer dieses Computers sollten ihre Passwörter ändern, wenn das Banking abgeschlossen ist, ihre Bankkonten überprüfen und eine neue PIN festlegen.

Oh, und zahle nicht. Wenn Sie dies tun, werden Sie möglicherweise um Administratorrechte gebeten, um Ihr Windows zu "reparieren" und Sie dann endgültig zu rootkiten.

Die meisten, aber nicht alle Schadprogramme können manuell mit Autoruns entfernt werden .

Versuchen Sie das folgende Verfahren:

• Laden Sie Autoruns über den obigen Link herunter und führen Sie sie direkt aus dem Zip-Archiv aus
• lass es scannen (wenn es kann)
• Suchen Sie nach zwei Arten von Einträgen: nach Einträgen ohne Signatur und vor allem nach Einträgen mit der Aufschrift " Datei nicht gefunden ". Die zweite Art ist typisch für Viren, die sich in verschiedene Teile des Systems einfügen, die während der Startzeit ausgeführt werden (aber beim Start entfernen sie die infizierte Datei vorübergehend und machen sie erst beim nächsten Neustart zugänglich). Durch Deaktivieren der problematischen / verdächtigen Einträge können Sie die Malware so stark lahm legen, dass sie nicht mehr im System aktiv ist (und wenn Sie die Auswahl aufheben, können Sie sie jederzeit wieder aktivieren).

Wenn Sie jetzt keine Autoruns ausführen können, die darauf zurückzuführen wären, dass der Virus ihn bereits blockiert, werden Viren dies jedoch selten tun.

Dieses Verfahren ist überraschend effizient, aber dies liegt natürlich nur an Viren, die es nicht ansprechen. Sie können es immer versuchen.

Nachdem Sie es durchlaufen haben, können Sie verwenden

• Prozess-Explorer , um zu überprüfen, ob auf Ihrem System seltsame Prozesse ausgeführt werden
• tcpview zum Überwachen und Überwachen Ihrer Netzwerkaktivität

Die Verwendung dieser Tools ist nicht trivial (erfordert Kenntnisse des normalen Systemverhaltens), aber in diesem Fall

• Die reguläre Antivirensoftware erkennt die Bedrohung noch nicht und bootet auch nicht unter Linux und versucht, mit Clamav zu säubern
• Sie möchten wirklich versuchen, es zu bereinigen und eine Neuformatierung zu vermeiden

Sie können versuchen, die Prozedur zu befolgen, die ich gegeben habe.