|
POLIZEI-Virus!
Habe mir gestern trotz Ikarus Antivirus Bundespolizeivirus eingetreten. Entfernungsrezepte aus dem Netz funzen nicht, da sich Rechner nicht im abgesicherten Modus starten lässt, somit komm ich nicht zur regedit. Zugriff über das Netzwerk funktioniert wie üblich. Komme mit der XP-CD in die Dos-Ebene, schaffe es aber nicht von dort aus die regedit.exe zu starten. Vielleicht bin ich aus zu doof dazu.
Hat jemand eine bessere Idee als neu aufsetzen????:confused: |
Einmal damit versuchen, steht auch in der Aufstellung oben:
SARDU http://www.pc-magazin.de/download/sa...ium=newsletter oder Du findest ev. weitere Infos in diesem Thema: BKA-Trojaner zapft Webcam an - Betrug bzw. da: https://www.botfrei.de/ Du solltest auch eine genaue Prüfung auf Malware durchführen und den Traffic kontrollieren wenn Du nicht bewußt im Internet bist. Eine Reihe von bootfähigen Rescue-CDs, mit denen Du ohne Windows testen kannst, findest Du da: http://www.wcm.at/forum/showthread.p...ng-239371.html OmniBoot wäre auch noch zu empfehlen! |
oder ganz einfach im abgesichterten Modus starten und mit msconfig die Autostarteinträge kontrollieren - da gibts 1 oder 2 (weiss nicht mehr genau), die da nicht hingehören, erkennt man eh gleich, da sie "komische" Namen haben;)
die files kann man danach getrost löschen, eine Malwarekontrolle danach schadet natürlich nie..... |
soweit ich weiss kannst bei dem virus auch nicht im abgesicherten modus starten, hat er aber auch oben geschrieben, ich sichere mein sys und spiele es dann einfach zurrück wenn sowas mal passiert.
wenn man den virus opben hat kann man so gut wie nichts mehr machen, wenn du weisst was du löschen musst , dann würd ichs mit ner bootcd probieren, BART PE http://www.pcwelt.de/downloads/Bart-PE-576541.html http://www.nu2.nu/pebuilder/ oder anderen die es alle gibt |
Hol Dir mal Autoruns, damit kannst Du auch alle Starteinstellungen sehen die gestartet werden und auch ausschalte.
|
Polizei-Virus
Ein Bekannter hat ihn auch gehabt und ich habe ihn mit der Kaspersky-Notfall-CD weggebracht.
|
Hi there!
Womit wir in der Firma seehr oft Fehler in Windows durch Viren/Würmer/Trojaner ausbügeln ist "Combofix". Geniales Tool. Im Google suchen, laden, starte, zurücklehnen, fertig. |
hmmm....
versuch mal deinen rechner zu starten, wenn das netzwerkkabel abgesteckt ist... |
ComboFix Setup scheint sich nicht mit Avira zu vertragen. Und beim Download Antivir auszuschalten ist auch nicht gerade das Gelbe vom Ei. Dass Mamutu auch dauernd meckert, ist dann noch das Krönchen auf der Chose. War wohl nix bei mir.
|
Hi there!
Bei jedem Antivirus Programm das aktiv läuft meckert Combofix, weil es dann nicht frei reparieren kann. Also Antivir ab (es hat eh nix gewirkt bei dir ....) und Combofix mal drüber. |
@Rainer Gritsch:
Und, hast Du den Schädling entfernen können, und wenn ja, wie? |
Wie schon in einem der ersten Postings geschrieben, meiner Meinung gibt es nur eine vollständige Lösung:
Image restoren. Wenn es kein Image gibt, komplett neu installieren. Ein System, daß einmal kompromittiert ist, ist einfach nicht mehr vertrauenwürdig. |
An Rainer Gritsch:
Scanne deinen PC zuerst mit 'Kaspersky WindowsUnlocker/Rescue Disk' (http://support.kaspersky.com/de/viru...?qid=208641247). Danach 'Emsisoft Emergency Kit/EEK' (http://www.emsisoft.de/de/software/eek/) als Zweit-Scanner installieren und mit dem regelmäßig den PC scannen. EEK kann man problemlos zum vorhandenem AntiVirus installieren, da es keinen Hintergrundwächter hat. > Hat jemand eine bessere Idee als neu aufsetzen? > |
Eine bessere Idee habe ich nicht, aber @Rainer Gritsch, was mich am Rande interessieren würde: Welche Seite wurde aufgerufen, als der Polizei-Virus zuschlug?
Gruss Josef. |
Zitat:
Nein, es gibt keine bessere Idee, als das Image zu restoren. Das ist wie gesagt die einzig saubere Lösung. Ein System, das bereits einen Virus hatte, ist nicht mehr vertrauenswürdig. Ob das einem gefällt oder nicht, ist eine andere Sache. In diesem Sinne ist die beste Idee ein Restore des Images vor dem Auftreten des Fehlers. |
Ergänzung: Die von mir genannte Methode ist natürlich nur die zweitbeste Lösung. Da Rainer Gritsch aber formatieren und neu installieren ablehnt, ist mein Tipp im seinem Sinn und daher passend.
|
Also das er das ablehnt, sehe ich nirgends explizit.
Du kannst es vielleicht implizit aus dem Inhalt seines Postings schließen. Aber es wäre besser, wenn er konkret nochmal was schreiben würde, dann wüssten wir es genau. |
Zitat:
Zitat:
|
@Baron
Das Vieh zeigt offenbar sehr viele unterschiedliche Verhaltensweisen, ich hatte bisher fünf- oder sechsmal den Polizeivirus,erst heute wieder, aber nie erst nach einem Neustart, sondern gleich beim Besuch bestimmter Kategorien von Seiten - bitte mir aber nicht Pornos zu unterstellen. Gruss Josef. |
Neu aufsetzen ist sicher eine Lösung, meist aber mit viel Arbeit verbunden (div. Programmeinstellungen, etc.), es sollte doch auch ohne funzen, kann aber etwas dauern (div. Rettungs-CDs testen).
Wichtig wäre, siehe Josef_E, woher der Virus kam. |
Mit Rettungs-CDs setzt er ja das System neu auf ?
Und nein, es funktioniert nicht ohne, denn ein Virus ladet oft sofort unzählige andere Schadsoftware nach. Wie willst du sicherstellen, daß das System vollständig gereinigt ist, nur weil du einen von vielen Viren entfernt hast ? So einer Installation würde ich nicht mehr trauen, das ist doch Wahnsinn in Zeiten von Internet-Banking etc. |
Zitat:
Viren können dann nicht aktiv werden und weiterwerken. |
Das hängt davon ab, welche Rettungs-Cd du meinst.
Es werden ja oft Recovery-CDs mitgeliefert, die installieren schon neu. Wie auch immer, wenn ein System mal von einem Virus befallen ist und der Viren-Scanner einmal sozusagen überwältigt wurde, kannst du dem System nicht mehr trauen. |
Recovery-CDs sind doch nicht das gleiche wie Rettungs(Rescue)-CDs!
|
Er will schon wieder diskutieren, daher:
die Bitte an The_Lord_of_Midnight wenn Du keine hilfreichen Informationen hast, spar Dir die Leer- und Wiederholungspostings! |
die Bitte an Christoph
bitte schließ den Thread, der TO antwortet sowieso nicht mehr. |
Nein, sicher nicht auf Zuruf, der TO könnte vielleicht Zeit brauchen.
Und jetzt genug sinnlose Postings, klar!! |
Hello,
wollte nicht extra einen neuen threat aufmachen... Hab seid gestern auch diesen PolizeiVirus bei mir drauf! Es geht kein abgesicherter Modus, kein regedit, ...nichts. Wenn ich WLAN abschalte kann ich wenigstens am Notebook "arbeiten" Hab mir mal die "Bitdefender RettungsCd" runtergeladen und gebrannt...wird heute abend probiert! Hab schon öfters gelesen, daß man ihn eigentlich wirklich nur mittels Neuinstallation wegbekommt...dazu hab ich ein paar Fragen: Es ist ein Firmennotebook: 3 Partitionen 1. Windows XP Prof Service Pack 3 (Firma) 2. Windows XP Prof Service Pack 3 (privat, infiziert) 3. D-Platte (mit Daten) Das 1&2 wird mittels BootMagic ausgewählt, dh, er versteckt eine Startpartition vor der anderen... Wie sieht es nun mit Virenbefall aus? Private ist befallen...die Firma sollte eigentlich ja nichts abbekommen habe, da versteckt, oder? Wurde seid befallen auch nicht gestartet! Wie sieht es mit der D-Platte aus? Das einfachste wäre infizierte Partition zu formatieren und WinXP neu zu installieren... Was ist mit Save Dateien dieser Partition??? Mails, Fotos, Videos, Homepage (im Webdesigner erstellt)... schleppe ich mir den Virus mit den Dateien nicht wieder ein oder ist das unwahrscheinlich? vielen Dank im voraus! Berni |
Zitat:
Zitat:
Dazu kenne ich diesen Virus nicht genau genug, und es gibt sehr viele Varianten. Weißt du, ob es bei BootMagic eine Möglichkeit gibt, den Bootsektor zu restoren oder neu zu schreiben ? Zitat:
Die Daten-Partition ist nicht so kritisch, sobald du das Windows neu installiert hast, kannst du mit dem Virenscanner drüber und alle eventuellen Viren entfernen lassen. Das Hauptproblem ist, daß die Windows-Executables verseucht sind, und damit kannst du auch dem derzeit laufenden Virenscanner nicht mehr trauen. Sobald Windows neu drauf ist, ist alles wieder soweit vertrauenswürdig. Wenn du allerdings eine 100 % sichere Lösung haben willst, musst du auf das Backup vor dem Virenbefall zurückgehen, inklusive aller Dateien. Die Save-Dateien in der Windows-Partition musst du vorher natürlich wegkopieren, sonst sind die alle verloren, wenn du formatierst. Ich mache für den schlimmsten Fall immer ein Image der versucheten Windows-Partition, bevor ich diese lösche, denn wenn ich später draufkomme, daß da irgendwelche wichtigen Daten drin waren, kann ich diese wieder retten. Hatte schon mal ein paar Tausend Bilder auf der Windows Partition, die von einer minderwertigen Bildverwaltungssoftware im Programmordner anstatt im Datenordner abgelegt wurden. Hast du ein Imaging-Programm, mit dem du die Windows-Installation sichern kannst ? Sowas würde ich dir dringend empfehlen, damit du im Falle eines neuerlichen Befalles schnell wieder zurück kannst. Ich hatte schon Leute, die haben den Polizeivirus 3 mal innerhalb von wenigen Monaten abgekriegt ! Zitat:
Denn es ist egal, wo der Virus herkam. Die Vorgangweise bleibt die gleiche. Meines Wissens gibt es keine einfache Möglichkeit, diesen Virus zu vermeiden. Wie schon von Baron geschrieben, es reicht leider nicht zu sagen "gehe nicht auf diese Seite, dann bist du sicher". Solche wichtigen Informationen entgehen einem, wenn man hysterisch reagiert und den Leuten gleich das Wort verbietet, die mal ein bißchen Leben ins Forum bringen. Das ist anscheinend in letzter Zeit dringend erforderlich ! |
Hello,
so...hab ihn glaub ich mit Malwarebytes Anti Malware wegbekommen... hatte 12 Infekte! nun nach mehrmaligen starten und scannen 0 Infekte! hab mich wieder online getraut und siehe da...er ist weg! gibt es irgendein Tool um sicherzustellen, daß er nicht noch irgendwo im Hintergrund schlummert??? lg Bernd |
*Doppelpost*
|
Tja irgendwas spezielles scheints da nicht zu geben. Werfe jetzt auf verdacht mit Adaware und AVG Antivirus (beides Free -versionen) um mich. Hin und wieder ein Scann mit Spybot- und natürlich die Firewall etwas rigider einstellen.
Scheint bis jetzt zu nutzen. |
Zitat:
Zitat:
Wenn Du nicht sofort aufhörst, in Sachthemen wie diesem, nur leeres bla bla von Dir zu geben und keinerlei sinnvolle Hilfe einbringst wirst Du sehr schnell wieder eine Nachdenkpause erhalten. In Sachthemen brauchen wir kein "Leben ins Forum bringen", da geht´s um Fragen und sinnvolle Antworten. Im OT-Bereich kannst Du Wortspenden und Wiederholungen gerne loswerden. Ist das jetzt klar, das ist eine Verwarnung! |
Hi there!
Verstehe die Aufregung nicht, LOM hat da durchaus gute Tipps gegeben? Nur weils manchen Admin ned taugt für Tipps verwarnen weil man bissl mehr dazu schreibt? Als nächstes werden Sänger verboten weils am falschen Platz (Kirche) singen und einem der Text ned gefällt. Zu Topic: Dieser BKA Virus ist ansich simpel gestrickt, ich entferne ihn meist manuell aus der Registry und dann die dazugehörigen Exe Dateien. Wenn die Virenscanner das bereinigt haben passt es im Normalfall. Letztens haben wir bei einem Kunden, welcher ihn zweimal in einer Woche bekam, näher geguckt: Der IE Verlauf war schon seeehr eindeutig. Von einer Nachrichtenseite bekommt man den Virus nicht ... sagen wir es mal so. |
Ich finde auch, daß von LoM ganz brauchbare Beiträge gekommen sind und die Reaktion von @Christoph, vorsichtig umschrieben, schon etwas hysterisch überzogen ist.
Das Forum ist leider auf Grund von übersensiblen, diktatorisch handelten Mods, die jeden, der ein bisschen Schwung hineinbringen will, den Mund verbieten, leblos geworden. Wenn man jemanden wegen "leerem bla, bla" verwarnt, so würde jeder Sachthread aus 50% Verwarnungen bestehen (inkl. Mods) |
@ Fribi
Full ack Was mich wundert: Ich bekam Verwarnungen immer per PM . Geht das auch nicht mehr?:eek: Das da jetzt gerade mitten in einem Sachtread gepostet wird -wo man die Unsachlichkeit anprangert - hat schon einen gewissen Kuriositätenwert!:lol: Oder gings darum den LoM bloßzustellen und den anderen zu demonstrieren- die Macht ist mit Mir?!:confused: Das wissen wir doch eh schon.... Aber eigentlich passts ja zum Thema - Forumspolizei:lol::D |
Ich bin ganz gewiss kein Freund vom LoM, aber mit welcher Hartnäckigkeit er hier provoziert wird und die Provokateure, die oft ganz andere Geschütze auffahren, unbehelligt bleiben zeigt doch eine bedenkliche Freunderlwirtschaft.
Schade, dass das Forum so abgebaut hat und viele interessante Mitglieder verschwunden sind. |
Zitat:
Off-Topic hat ausschließlich im eigenen OT-Bereich etwas verloren. Wem das nicht passt, der hat das falsche Forum vor sich oder ein grundsätzliches Verständnisproblem, denn das ist nicht seit kurzem der Fall. Es stimmt, der Ton macht die Musik. Aber ich sehe auch hier immer öfter einen Unterschied zwischen Einzelnen und unseren ständigen "Wiederholungstätern" |
@Jack
Ich sehe hier keinen einzigen Grund, der auch nur annähernd eine Verwarnung LoM's gerechtfertigen würde DAS ist für mich eine lupenreine Provokation: Zitat:
Und genau zwischen den genannten "Wiederholungstätern" werden gravierende Unterschiede gemacht. Einige von diesen können sich ungestraft Sachen erlauben, bei denen andere schon eine lebenslange Sperre ausgefasst hätten. |
Ich für mich hatte - da auch in der "glücklichen (???)" Lage gewesen, die HDD ausgebaut und an einen anderen PC angesteckt. So und jetzt der Clou: Die Datei finden, von welcher der SChädling ausgeht. Vom Grundsatz her ist dieser Dateiname so eingetragen, als wäre es der Explorer - also, wenn diese Datei nicht mehr gefunden werden kann, sollte man sich zumindest schon mal anmelden können. Wie ich auf den Dateinamen damals draufgekommen bin, weiß ich nicht mehr genau, ich glaube, dass ich vor dem Anmelden die SHIFT-Taste gedrückt gehalten habe. Danach wurde mir angezeigt, dass eine bestimmte Datei nicht gestartet werden kann. Irgendsoetwas war´s. Wennst jetzt ganz schlau sein etwas ausprobieren willst, dann ersetze diese Datei durch die Explorer.EXE, wobei aber der Dateiname des Schädlings beibehalten bleiben muss. Nur so ein Tipp am Rande, falls aufgrund der vielen Meldungen bislang noch zu keiner Lösuing gefunden wurde. Danach aber die Registry "putzen", sprich den Schädling entfernen - eh klar...
|
| Alle Zeitangaben in WEZ +2. Es ist jetzt 01:51 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag