Guten Tag Gemeinde,
heute möchte ich euch mal ein paar Wege zeigen die mir in den letzten beiden Tagen geholfen haben einen ziemlich hartnäckigen Virus/Trojaner/Spyware zu entfernen.
Vorher sei erwähnt, dass dies eine Anleitung für Menschen ist, die sich damit auskennen da ich hier keine Schritt-für-Schritt Anleitung schreibe.
Zudem kann man keine Garantie geben ob es so funktioniert.
Im schlimmsten Fall kommt man um eine Formatierung nicht rum (die bei mir ja nichts gebracht hat).
Man sollte wissen was man tut und sich hinterher nicht beschweren das Windows nicht mehr startet, das Hintergrundbild weg ist (Smitfraudfix) oder die Registry ne Macke hat.
Alles fing damit an, dass ich Seiten, die ich bei google gesucht und angeklickt habe, nicht öffnen konnte. Eine Umleitung auf irgendwelche andere Seiten kam und ich dachte mir schon "Klasse... und das zu Heiligabend".
Dementsprechend habe ich mich kurzum für ein paar Programme entschieden:
NOD32 Antivirus der stetig läuft : Virus erkannt, aber nicht gelöscht sondern nur Quarantäne (Zlob irgendwas)
Antivir: Virus erkannt, aber nicht entfernt.
Hijack This: Alles in Ordnung (Oh Wunder?!)
Smitfraudfix: Fehler gefunden und bereinigt, dennoch kein Erfolg.
Da ich aus gutem/schlechtem Grund nur mit Windows XP Pro SP2 rumsurfe, wollte ich doch mal ein Update wagen.
Funktionierte nicht. Weder der extra "Update-Button" im Startmenü, noch unter dem Internet Explorer oder die direkte URL Eingabe funktionierten.
Ich kam immer wieder bei...
MSN.com raus.
Also ein DNS-Changer den bis jetzt niemand kennt?
Gleiches Problem zeigte sich als ich ein Anti-Spy Programm updaten wollte... es klappte nicht trotz korrekter Proxy-Einstellungen.
Somit konnte ich das Update vergessen.
Nächster Tag: Neuinstallation!
Danach alles schön eingerichtet... lange Rede kurzer Sinn: Der Virus hat sich irgendwo eingenistet (Laut Avast auf jeder Partition in den Restore Ordnern)... gut 600GB Daten einfach so löschen? Nee nee...
Systemwiederherstellung deaktiviert, Papierkorb auf "Sofort löschen" gestellt, da auf jeder verfluchten Platte ein resycled Ordner war, in diesem eine nicht sichtbare "boot.com" Datei die immer als infiziert angezeigt wurde. Somit wird nicht erst "gelöscht" (haha) sondern direkt entfernt ohne "Zwischenlöschung".
Verstanden? Nein... macht nichts.
Dann eine Knoppix genommen und unter dieser den "RECYCLED" und "resycled" Ordner löschen sowie die autorun.ini.
Auf jedem Laufwerk versteht sich.
Danach ist der Zugriff erstmal über den Arbeitsplatz gesperrt (Über die Suche funktioniert der zugriff), warum auch immer.
Nach zwei, drei Neustarts lief es dann wieder.
Der DNS-Changer war immernoch drauf...
Also Folgendes probiert:
Avast Antivirus runtergeladen und installiert.
Malwarebytes' Anti-Malware 1.31 runtergeladen und installiert
Vipre runtergeladen und installiert.
Nach der Installation und Update der Avast Software folgt ein Neustart und ein Scan im DOS(?) Modus.
Hierbei wurden mehrere Sachen gefunden und entfernt.
Nach dem Neustart lies sich dennoch kein Update (weder Vipre, noch Windows) ausführen.
Vipre hat auch ein paar Sachen gefunden (Vorsicht, löscht auch HIjackthis und Smitfraudfix-Dateien)... hat aber auch nichts gebracht.
Danach dann Malwarebytes Anti-Malware im abgesicherten Modus laufen lassen, siehe da, im Firefox Ordner und in der Registry wurden Sachen gefunden und werden beim nächsten Neustart gelöscht.
Soweit so gut, da eh nichts schief gehen kann einfach mal löschen lassen.
Neustart... "C:\Windows\. boot.ini fehlt.. "
Fährt trotzdem hoch. (Problemlösung, unten)
Windowsupdates funktionieren, DNS-Changer ist weg, Update für Vipre funktioniert auf einmal auch.
Folgende Software wurde benutzt:
How-To's für
hijackthis oder
smitfraudfix findet man im Netz und dessen Benutzung sollte im abgesicherten Modus erfolgen.
Zudem
NOD32 (mein Favorit, nach wie vor) als stetiger Scanner.
Avast Antivirus scannt nach der Installation im DOS-Modus... sehr großer Vorteil. Ansonsten nervt dieser Scanner...
Malwarebytes' Anti-Malware scannt im abgesicherten Modus und findet mehr als die restlichen Programme, lösscht sie ggf beim Neustart.
CC Cleaner (Registry) sollte man nochmal drüberlaufen lassen.
Danach nochmal HIjackthis und Smitfraudfix... alles paletti.
Wichtig:
Systemwiederherstellung vor den ganzen Schritten deaktivieren, die Laufwerke bereinigen, Temp-Dateien löschen und den Papierkorb auf "Sofort löschen" stellen.
Wenn Daten gesichert werden müssen (zB auf einer externen Platte) empfehle ich das Programm "Super Flexible File Synchronizer" in dem man Dateien und Ordner auslassen kann (z.B. *.tmp, *.exe, Ordner) wozu ich auch rate...
Ansonsten.. wenn alles nichts hilft: Formatieren und hoffen dass sich nichts woanders niedergelassen hat.
Übrigens: ich benutze Firefox, NOD32, Hijackthis (einmal pro Woche) und mein Surfverhalten ist recht überschaubar. Mich beruhigt dass kein anderer Virenscanner geholfen hat und ich bleibe bei NOD32... aus Überzeugung.
Danke für die Aufmerksamkeit.
Worum es hier ging:
HKEY_CLASSES_ROOT\videosoft (Trojan.DNSChanger)
zlob.trojan downloader
C:\WINDOWS\system32\msqpdxoyotpttm.dll (Trojan.TDSS)
Datei-Name: C:\WINDOWS\system32\1024\ldB6EF.tmp\[Upack]
Malware-Name: WIN32:Zlob-BN [Trj]
Die Problemlösung wenn die boot.ini fehlt oder beschädigt ist:
Von der Windows XP CD starten und "R" drücken für eine Reparatur.
Ggf. das Administratorkennwort eintippen und dann folgendes:
bootcfg /add
bootcfg /rebuild
bootcfg /list
bootcfg /default
exit
Das Problem war somit, zumindest bei mir, beseitigt.
