Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Verfolgung starten Optionen

"Disk Antivirus Professional" hat sich eingenistet

Volker Erlenbach1 / 19 Antworten / Baumansicht Nickles

Hallo an alle ich habe ein Problem!!!

Auf meinem Rechner hat sich ein Programm  Disk Antivirus Professional eingnistet.
Es ist kein Zugriff auf den Taskmanager, auf die Funktion Systemrücksetzen, auf  die Systemsteuerung mehr möglich. Alles wird blockiert mit dem Hinweis, daß Viren vorliegen. Gegen Zahlung von 99 $ wird  das System gereinigt..
Das Programm hat sich in "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\5C4F3FEAC6D6B15D00005C4EE3A3B933" kann die Dateien aber nicht löschen, da ein "Anderes Program die Datei benutzt". Der Microsoft Virenscaner ist nicht mehr auffindbar.

Wie bekomme ich diese Schadsoftware vom Rechner?

Vielen Dank im Voraus

bei Antwort benachrichtigen
mawe2 Volker Erlenbach1 „"Disk Antivirus Professional" hat sich eingenistet“
Optionen
Wie bekomme ich diese Schadsoftware vom Rechner?

Im Idealfall sollte ein aktuelles Image der befallenen Partition vorliegen. Dann reicht es, dieses Image zurückzuspielen (Restore).

Liegt kein Image vor, ist der Vorgang etwas aufwändiger:

a) Rechner mit einer Live-Linux-DVD neu booten und alle relevanten persönlichen Dateien auf einem externen Datenträger sichern

b) Windows incl. aller Anwendungen neu installieren.

c) gesicherte Dateien wieder zurückspielen

Gruß, mawe2
bei Antwort benachrichtigen
Volker Erlenbach1 mawe2 „Im Idealfall sollte ein aktuelles Image der befallenen ...“
Optionen

Hallo, vielen Dank für Deine Nachricht. Ich habe nun folgendes gemacht, kann aber noch nicht sagen ob es gelungen ist. Ich habe die Festplatte ausgebaut, als Datenplatte via USB an einen anderen Rechner angeschlossen, die entsprechende Eintragung in x:\Dokumente und Einstellungen\All Users\Anwendungsdaten\5C4F3FEAC6D6B15D00005C4EE3A3B933 (hier hatte sich das Programm versteckt) gelöscht und lasse im Moment die Festplatte überprüfen. Drücke mir den Daumen Volker

bei Antwort benachrichtigen
Alter68er Volker Erlenbach1 „Hallo, vielen Dank für Deine Nachricht. Ich habe nun ...“
Optionen
noch nicht sagen ob es gelungen ist.
Doch, es ist Dir mit größter Sicherheit gelungen den anderen PC auch zu infizieren!
bei Antwort benachrichtigen
Volker Erlenbach1 Alter68er „Doch, es ist Dir mit größter Sicherheit gelungen den ...“
Optionen

Hallo,

erst mal vielen Dank für Eure Hilfen.

Es scheint, daß der Fehler behoben ist. Der infizierte Rechner läuft jetzt fehlerfrei, im Moment wenigstens.
Der Testrechner für die infizierte Platte auch, da wäre es aber kein Problem, da er für solche Fälle da ist und schon einiges gewohnt ist, der verträgt das!!!

Einen schönen Abend wünscht Euch

Volker

bei Antwort benachrichtigen
IRON67 Volker Erlenbach1 „Hallo, erst mal vielen Dank für Eure Hilfen. Es scheint, ...“
Optionen
Es scheint, daß der Fehler behoben ist

Es scheint. Genau. Wenn du die versiffte Kiste nicht neu aufsetzt, behältst du das Problem und der PC ist nicht mehr vertrauenswürdig.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Alter68er Volker Erlenbach1 „Hallo, erst mal vielen Dank für Eure Hilfen. Es scheint, ...“
Optionen

Könntest Du mal die genaue Vorgehensweise von Dir  dokumentieren? Danke!1

bei Antwort benachrichtigen
Volker Erlenbach1 Alter68er „Könntest Du mal die genaue Vorgehensweise von Dir ...“
Optionen

Hallo,

ich habe die infizierte Festblatte (SATA) ausgebaut. Mit einen SATA<->USB-Adapter an einen zweiten Testrechner angeschlossen, der keinerlei sensible Daten enthält, der für solche Fälle ( es war heute der erste seit über 15 Jahren) vorgesehen ist,
Anschließen die erkannten Dateien gelöscht. Papierkorb geleert, Viren-Scanner und Scanner nach Schadware durchlaufen lassen.
Es gab einige Fehlermeldungen noch zu der System-Platte.
Anschließend Systemplatte wieder in den nicht funktionablen Rechner eingebaut, neu gebootet. Alles lief ohne Fehler. Anschließend noch drei Tage zurück gesetzt.
Nun warte ich.
Für solche Fälle mach ich (fast) immer alle 4 Wochen ein incrementelles Update.
Ein Datenverlust befürchte ich nicht, da alle significanten Daten nicht auf der Systemplatte sich befinden.


Mehr kann ich im Moment nicht sagen.

Volker

bei Antwort benachrichtigen
Alter68er Volker Erlenbach1 „Hallo, ich habe die infizierte Festblatte (SATA) ausgebaut. ...“
Optionen

Dann hast Du sehr sauber die Symptome der Schadware beseitigt.
Dummerweise ist aber genau diese (Schadware) immer noch Aktiv.

bei Antwort benachrichtigen
IRON67 Volker Erlenbach1 „Hallo, ich habe die infizierte Festblatte (SATA) ausgebaut. ...“
Optionen
Anschließen die erkannten Dateien gelöscht.

Und was ist mit den NICHT ERKANNTEN? Für den Fall, dass es dir nicht klar ist: Ein AV (egal welches) erkennt nicht alles zuverlässig. Es ist sogar noch schlimmer. Bei aktueller Malware (die nicht schon Monate auf dem Buckel hat) erkennt es weniger als die Hälfte.

Ein Datenverlust befürchte ich nicht, da alle significanten Daten nicht auf der Systemplatte sich befinden.

Es geht nicht nur um Datenverlust, sondern darum, dass die meiste Malware Backdoor-Funktionen hat und daher, wenn sie weiterhin aktiv ist, auch weiterhin spionieren, sich aktualisieren, Komponenten nachinstallieren und anderen von deinem PC aus schaden kann.

In aller Deutlichkeit: Du hast jetzt statt einem ZWEI nicht mehr vertrauenswürdige Rechner und nicht den Hauch einer Chance, mit "Abwarten" irgendwie festzustellen, was bei dir läuft oder nicht.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
shrek3 Volker Erlenbach1 „Hallo, erst mal vielen Dank für Eure Hilfen. Es scheint, ...“
Optionen
Der Testrechner für die infizierte Platte auch, da wäre es aber kein Problem, da er für solche Fälle da ist und schon einiges gewohnt ist, der verträgt das!!!

Deine Äußerung, dass er "schon einiges gewohnt ist das verträgt", haut mich ja echt vom Hocker.

Auf so eine Aussage muss man erst mal kommen...

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
mawe2 shrek3 „Deine Äußerung, dass er schon einiges gewohnt ist das ...“
Optionen
Deine Äußerung, dass er "schon einiges gewohnt ist das verträgt", haut mich ja echt vom Hocker. Auf so eine Aussage muss man erst mal kommen...

Du weißt ja nicht, wie dieser Rechner konzipiert ist und auf welche Weise die behauptete Robustheit erreicht wurde. Möglichkeiten gibt es dafür schon.

Allerdings stellt sich dann auch die Frage, wieso der ursprünglich betroffene Rechner nicht ebenso robust gemacht wurde?
bei Antwort benachrichtigen
IRON67 mawe2 „Du weißt ja nicht, wie dieser Rechner konzipiert ist und ...“
Optionen
Du weißt ja nicht, wie dieser Rechner konzipiert ist und auf welche Weise die behauptete Robustheit erreicht wurde.

Naja... angesichts der hier gestellten Frage und der Beschreibung darf man die intelligente Vermutung anstellen, dass das Fachwissen fehlt, der zweite PC keineswegs "robust" ist sondern im Gegenteil häufiger Malwareprobleme hatte und der Fragesteller sich am Vorhandensein bzw. "Verschwinden" absichtlich auffälliger Symptome orientiert.

Sonst hätte er wohl beiläufig eine Linux-Live-CD oder zumindest ein auf dieser laufendes AV erwähnt.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
shrek3 mawe2 „Du weißt ja nicht, wie dieser Rechner konzipiert ist und ...“
Optionen

Nein, letztlich weiß ich es nicht - es hätte z.B. ja auch ein Linuxrechner sein können.
Seine allzu flapsige Formulierung gab den Ausschlag, darauf zu verzichten, meinen Einwand vorbehaltlich zu verfassen.

Sie strahlte für meinen Geschmack zu viel Leichtfertigkeit nach dem Motto aus: Jo, das sehe ich nicht so eng...

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
IRON67 Volker Erlenbach1 „"Disk Antivirus Professional" hat sich eingenistet“
Optionen

Ergänzend zu mawe2's Tipps:

Diese Malware konnte sich installieren, weil die Browser-Plugins wie Java, Flash oder Adobe Reader veraltet bzw. unsicher sind. Dadurch gelingt eine Drive-by-Infektion.

Insbesondere Java ist auch in der jeweils aktuellen Version (derzeit 7 u17) nicht sicher und sollte generell im Browser deaktiviert werden.

kein Zugriff auf den Taskmanager, auf die Funktion Systemrücksetzen, auf  die Systemsteuerung mehr möglich

Das Zurücksetzen wäre sowieso keine geeignete Maßnahme. Dieser Mythos ist leider nicht auszurotten.

Microsoft: Mit der Systemwiederherstellung werden die Systemdateien und Programme auf dem PC auf einen Zeitpunkt zurückgesetzt, zu dem alles ordnungsgemäß funktionierte. [...] Sie hat keinerlei Auswirkungen auf Ihre Dokumente, Bilder oder anderen Daten. [...] Die Systemwiederherstellung wirkt sich auf Windows-Systemdateien, Programme und Registrierungseinstellungen aus.

Das bedeutet, dass sie auch keinen bzw. nur minimalen Einfluss auf installierte Malware hat. Sie kann Malware nicht aus dem System entfernen.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ma_neva IRON67 „Ergänzend zu mawe2's Tipps: Diese Malware konnte sich ...“
Optionen

Hallo,

und was ist mit "

Java Deployment Toolkit 7.0.170.2 ?
Auch deaktivieren? Und Shockwave Flash?
Denn

7 u17

hatte ich schon deaktiviert.

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
IRON67 Ma_neva „Hallo, und was ist mit Java Deployment Toolkit 7.0.170.2 ...“
Optionen

Das wurde in der Vergangenheit doch gefühlte 14.728 mal erklärt.

Das Java-Plugin taucht mit zwei Einträgen im Add-on Manager auf. Der Teil, der sich Deployment Toolkit nennt, ist für die korrekte Versionserkennung zuständig. Wenn du das Plugin selbst deaktivierst, ist dieser Teil natürlich nutzlos und es hat keinen Sinn, ihn aktiviert zu lassen.

Dass er überhaupt bei dir aufgelistet wird, heißt, dass du das Plugin nicht wie empfohlen KOMPLETT deaktiviert hast, sondern nur einzeln im Add-on Manager statt für alle Browser systemweit.

Ich habe auf meinen Seiten nochmal alle Deaktivierungsvarianten beschrieben. Lies es dir endlich mal durch.

Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ma_neva IRON67 „Das wurde in der Vergangenheit doch gefühlte 14.728 mal ...“
Optionen

Hallo IRON67,

Dass er überhaupt bei dir aufgelistet wird, heißt, dass du das Plugin nicht wie empfohlen KOMPLETT deaktiviert hast, sondern nur einzeln im Add-on Manager statt für alle Browser systemweit.
stimmt, da ich nur den FF benutze. Ich aktualisiere zwar auch den IE, doch benutzen tue ich den nicht!
Er ist eine Notfall Variante,  die ich aber auch aktuell halten möchte. Ich kann mich echt nicht erinnern wann ich mal (vor wieviel Jahren)  Opera oder IE  benutzt hatte.
Danke für den Link aber, werde ich mich trotzdem einmal übers WE dran machen.

Gruß
Manfred
Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
IRON67 Ma_neva „Hallo IRON67, stimmt, da ich nur den FF benutze. Ich ...“
Optionen
Ich aktualisiere zwar auch den IE, doch benutzen tue ich den nicht!

Auch DAS wurde hier schon x-mal erklärt: Ob du den selbst bewusst nutzt oder nicht, ist EGAL. Das System nutzt Teile von ihm und andere Software ebenso. Daher kannst du auch nicht ausschließen, dass einmal von regulärer Software od. Malware (manipulierte) Java-Applets (oder andere Plugin-Inhalte) über den IE bei dir geladen werden.

Flash wirst du wohl eher nicht deaktivieren, sonst kannst du wahrscheinlich kaum noch Videos sehen. Nicht alle Video-Seiten bieten HTML5-Unterstützung.
Sobald ein Troll, DAU oder Elch im Lauf eines Threads auf heftige Kritik stößt, argumentiert er mit der Arroganz des Kritikers. Dies kann auch vorsorglich erfolgen.[Roesen's Law]
bei Antwort benachrichtigen
Ma_neva IRON67 „Auch DAS wurde hier schon x-mal erklärt: Ob du den selbst ...“
Optionen

Hi,

schönen Dank, also lasse ich mal Flash in RuheZwinkernd,  stürze mich dann  eben auf Java!

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen