GVU TRojaner - ich brauche eure Hilfe
- Ersteller bendermon
- Erstellt am
- Registriert
- 11 März 2011
- Beiträge
- 7.998
Gibts bestimmt aber:
Sicher die Daten (am besten mit einem Linux) .. mach die Kiste platt .. installier nen Windows .. check die gesicherten Daten .. wenn alles Clean ist -> Spiels backup ein .. wenn was gefunden worden ist das reinigen .. danach das Windows wieder platte machen und das Backup einspielen.
Ich halte nichts davon Systeme zu fixen .. hätte viel zu viel Schiss das dort überreste sind.
Grüße
Sicher die Daten (am besten mit einem Linux) .. mach die Kiste platt .. installier nen Windows .. check die gesicherten Daten .. wenn alles Clean ist -> Spiels backup ein .. wenn was gefunden worden ist das reinigen .. danach das Windows wieder platte machen und das Backup einspielen.
Ich halte nichts davon Systeme zu fixen .. hätte viel zu viel Schiss das dort überreste sind.
Grüße
puntohgt2008
Well-known member
- Registriert
- 17 Feb. 2009
- Beiträge
- 12.246
Ich sehe es wie blafoo - eine Variante davon hatte ich mal auf meinem X41 wo ich Rettungsmaßnahmen (hoffentlich wirklich erfolgreich) durchgeführt habe. Diese Dinger sind einfach sehr penetrant und in sehr vielen Varianten im Umlauf.
Mein X41 betrachte ich zwar als "geheilt", 100% sicher bin ich aber nicht...
Mein X41 betrachte ich zwar als "geheilt", 100% sicher bin ich aber nicht...
Ich stimme euch zu. Bei meinem Rechner würde ich auch so verfahren. Bei Hilfsdiensten halte ich mich inzwischen zurück, berate und bringe nur das System zum Laufen. Sonst ist man ja schnell Mutter Theresa 
- Mir fehlt leider die Zeit.
Mit welchem per USB bootbarem Programm kann ich das Ding ausschalten? Möglichst effektiv?
- Mir fehlt leider die Zeit.Mit welchem per USB bootbarem Programm kann ich das Ding ausschalten? Möglichst effektiv?
organisationludwig
New member
- Registriert
- 21 Nov. 2012
- Beiträge
- 126
Schau mal da gibt es was von Kaspersky,ich kann dir aber denn Namen nicht sagen. Schau mal bei denen auf der Homepage.
Kaspersky Rescue Disk 10 oder Kaspersky Rescue Disk 11 runterladen, CD-Brennen. Betroffenen Rechner von der CD starten, dabei braucht Kaspersky Verbindung ins Internet um Updates zu laden. Dann Scannen + löschen lassen. PC runterfahren, Netzwerkkabel abziehen (!), dann sind noch ein paar Dateien zu löschen, welche findest Du im Internet.
ATH.
ATH.
PeterWa
Well-known member
- Registriert
- 23 Dez. 2007
- Beiträge
- 6.684
dann google mal nach yumi, damit kannst du dir ein paar der oben genannten Virenscanner auf den Stick bringen und damit den Rechner scannen; ein Linux-Distris und sonstige Systemtools lassen sich ebenfalls auf den Stick integrieren
Ansonsten kann ich zur Virensuche auch noch desinfec't empfehlen, da sind gleich mehrere Virenscanner dabei, die man auch automatisch nacheinander suchen lassen kann.
Lässt sich auch mit unetbootin auf einen USB-Stick bringen.
Leider gibt es desinfec't nicht im Internet zum herunterladen, es ist nur manchmal bei einer c't auf der CD dabei.
Lässt sich auch mit unetbootin auf einen USB-Stick bringen.
Leider gibt es desinfec't nicht im Internet zum herunterladen, es ist nur manchmal bei einer c't auf der CD dabei.
elarei
Well-known member
- Registriert
- 2 Aug. 2009
- Beiträge
- 3.278
Die meisten von den Dingern wird man per simpler Systemwiederherstellung auf einen Wiederherstellungspunkt um ein paar Tage (halt vor der Infektion) locker los; einfach in die Wiederherstellungsumgebung booten statt ins Betriebssystem. Allerdings liegt dann oft die schuldige Datei noch irgendwo im Browsercache. Die meisten dieser Dinger sind nicht besonders kunstvoll gebaut oder besonders beseitigungsresistent. Sie sind auf den durchschnittlichen DAU ausgelegt, der in einer Kurzschlussreaktion bezahlen soll. (Der Begriff "Trojaner" ist wohl auch zu weit gegriffen, die meisten Varianten davon sind reine Scareware, wobei kreative neuere Versionen durchaus mal das gesamte Betriebssystem verschlüsseln...)
Wenn du Glück hast ist die Variante länger als ca. zwei Monate im Umlauf. Dann haben die Antivirensoftwarehersteller die Signatur eingepflegt und die Scanner fangen an den Schädling zu erkennen und zu beseitigen. In dem Fall sollte ein Virenscan mit irgendeinem Scanner ausreichen um den Screen erst einmal wegzubekommen. Wird es von einem Scanner nicht erkannt, kann man sich die Mühe mit weiteren Scannern sparen da sie mit größter Wahrscheinlichkeit auch nichts finden werden. So verschendet man nicht Stunden oder Tage mit ergebnislosen Scans.
Ist die Suche erfolglos musst du versuchen die Variante einzugrenzen und bei den diversen Antivirensoftwarehersteller schauen ob sie ein ISO Image das genau auf diesen Trojaner zugeschnitten ist zum Download anbieten.
Den Schädling händisch loszuwerden kann man sich wenn man fragen muss wie man es macht, abschminken. Dazu ist die Windows Architektur zu "kaputt".
Datensicherung ist natürlich Pflicht da offenbar einige Varianten anfangen Daten zu verschlüsseln aber real halte ich die Gefahr eines Datenverlusts bzw. Verschlüsselung für relativ überschaubar. So wie etwa die Bankräuber nicht bei einem Überfall 50 Tote hinterlassen. Wer weiss ob nicht ein wirkicher BKA Beamter aus Langeweile seinen Dienstrechner zum "Surfen" genutzt hat und angepi**t genug ist um eine Aufklärung anzuschieben oder noch schlimmer es erwischt ein Rechner eines Mafioso der die Kasse verwaltet der nun seinen Kollegen erklären muss wo die Mios geblieben sind?
Ist die Suche erfolglos musst du versuchen die Variante einzugrenzen und bei den diversen Antivirensoftwarehersteller schauen ob sie ein ISO Image das genau auf diesen Trojaner zugeschnitten ist zum Download anbieten.
Den Schädling händisch loszuwerden kann man sich wenn man fragen muss wie man es macht, abschminken. Dazu ist die Windows Architektur zu "kaputt".
Datensicherung ist natürlich Pflicht da offenbar einige Varianten anfangen Daten zu verschlüsseln aber real halte ich die Gefahr eines Datenverlusts bzw. Verschlüsselung für relativ überschaubar. So wie etwa die Bankräuber nicht bei einem Überfall 50 Tote hinterlassen. Wer weiss ob nicht ein wirkicher BKA Beamter aus Langeweile seinen Dienstrechner zum "Surfen" genutzt hat und angepi**t genug ist um eine Aufklärung anzuschieben oder noch schlimmer es erwischt ein Rechner eines Mafioso der die Kasse verwaltet der nun seinen Kollegen erklären muss wo die Mios geblieben sind?
- Registriert
- 30 Juli 2009
- Beiträge
- 5.701
Da ich mich auch gerade mit dem Ding rumärgern muss (nicht auf meinem Rechner :whistling: )
Was ist außer einer Neuinstallation noch sinnvoll? Alle Passwörter ändern? Oder nur die von Onlinebanking, Ebay, Amazon und so weiter?
Edit: Und vor allem, wie eilig? Schließlich ist grade Heiligabend
Gut, Kriminelle feiern nicht...
Was ist außer einer Neuinstallation noch sinnvoll? Alle Passwörter ändern? Oder nur die von Onlinebanking, Ebay, Amazon und so weiter?
Edit: Und vor allem, wie eilig? Schließlich ist grade Heiligabend
Gut, Kriminelle feiern nicht...
Zuletzt bearbeitet:
organisationludwig
New member
- Registriert
- 21 Nov. 2012
- Beiträge
- 126
+1 :thumbsup:
Salut,
geholfen hat mir
[h=1]Kaspersky Rescue Disk 10[/h]http://support.kaspersky.com/de/viruses/rescuedisk
Das habe ich auf einen bootbaren USB Stick gepackt und alles ist wieder wie gehabt.
Danke euch,
frohes Fest allen :thumbsup:
geholfen hat mir
[h=1]Kaspersky Rescue Disk 10[/h]http://support.kaspersky.com/de/viruses/rescuedisk
Das habe ich auf einen bootbaren USB Stick gepackt und alles ist wieder wie gehabt.
Danke euch,
frohes Fest allen :thumbsup:
- Registriert
- 30 Juli 2009
- Beiträge
- 5.701
Entfernt ist das Ding bereits per Systemwiederherstellung, ich werde aber noch eine Neuinstallation vornehmen.
Mir ging es eher darum, ob durch den Trojanerbefall ein Risiko für persönliche Daten (Passwörter, Dateien) besteht - sprich, "hat sich da jemand auf dem Rechner umgeschaut"?
Mir ging es eher darum, ob durch den Trojanerbefall ein Risiko für persönliche Daten (Passwörter, Dateien) besteht - sprich, "hat sich da jemand auf dem Rechner umgeschaut"?
Möglicherweise, eventuell, unter Umständen, nicht auszuschließen....:cursing:
Und das ist das eigentliche Problem - durch eine Neuinstallation ist dein System sauber - was aber an Daten bereits
ausspioniert wurde o.ä. ist nicht sicher.
Und das ist das eigentliche Problem - durch eine Neuinstallation ist dein System sauber - was aber an Daten bereits
ausspioniert wurde o.ä. ist nicht sicher.
Ich hatte bisher etwa 250 Rechner die von jeglichen Varianten des GVU/BKA "Trojaners" (der eigentlich keiner ist) vor mir. Alle wurden erfolgreich gesäubert.
Es gibt folgende Verzeichnisse und Dateien, welche auf betroffenen Rechnern einfach nur entfernt werden müssen, sortieren nach Änderungsdatum damit man es eingrenzen kann:
C:\temp
C:\tmp
%LOCALAPPDATA%\Temp
%APPDATA%
%USERPROFILE%
C:\ProgramData
ggf. Verknüpfungen im Autostartordner der jeweiligen Benutzer
es sind i. d. R. harmlose *.exe Dateien, welche den Internet Explorer aufrufen, in den Vollbildmodus schalten und halt eine BlockInput aufrufen - dass kein TaskManager o. Ä. mehr geht. Abhilfe schafft schon eine Linux Live CD..
Von allen Rechnern (das geht nun ca. 1 1/2 Jahre so, ich habe wohl alle Varianten durch) wurde ein vollständiger Scan gemacht und geprüft, ob sich nicht irgendwo ein Rootkit eingeschleust hat. War aber nie der Fall. Sieht im ersten Moment schlimm aus, ist es aber nicht. Ich würde mir da mal keine großen Sorgen machen. Das Ding kommt halt durch 'ne Java oder Flash Lücke rein - da kann es erstmal nur wenig Schaden anrichten, solange man ein ordentliches Antivirenprogramm installiert hat!
Verschlüsselte Dateien hatte ich auch schon. Die gingen aber unter Linux problemlos zu öffnen, da in dem Fall der "Virus" nur sämtliche Dateityp-Programmzuordnungen in der Windows Registry durcheinandergewürfelt hat. Diese habe ich von einem baugleichen Rechner exportiert, und nach einem Import funktionierte alles wieder wie gewünscht.
Es gibt folgende Verzeichnisse und Dateien, welche auf betroffenen Rechnern einfach nur entfernt werden müssen, sortieren nach Änderungsdatum damit man es eingrenzen kann:
C:\temp
C:\tmp
%LOCALAPPDATA%\Temp
%APPDATA%
%USERPROFILE%
C:\ProgramData
ggf. Verknüpfungen im Autostartordner der jeweiligen Benutzer
es sind i. d. R. harmlose *.exe Dateien, welche den Internet Explorer aufrufen, in den Vollbildmodus schalten und halt eine BlockInput aufrufen - dass kein TaskManager o. Ä. mehr geht. Abhilfe schafft schon eine Linux Live CD..
Von allen Rechnern (das geht nun ca. 1 1/2 Jahre so, ich habe wohl alle Varianten durch) wurde ein vollständiger Scan gemacht und geprüft, ob sich nicht irgendwo ein Rootkit eingeschleust hat. War aber nie der Fall. Sieht im ersten Moment schlimm aus, ist es aber nicht. Ich würde mir da mal keine großen Sorgen machen. Das Ding kommt halt durch 'ne Java oder Flash Lücke rein - da kann es erstmal nur wenig Schaden anrichten, solange man ein ordentliches Antivirenprogramm installiert hat!
Verschlüsselte Dateien hatte ich auch schon. Die gingen aber unter Linux problemlos zu öffnen, da in dem Fall der "Virus" nur sämtliche Dateityp-Programmzuordnungen in der Windows Registry durcheinandergewürfelt hat. Diese habe ich von einem baugleichen Rechner exportiert, und nach einem Import funktionierte alles wieder wie gewünscht.
- Registriert
- 30 Juli 2009
- Beiträge
- 5.701
Weil man bekanntlich nie ganz sicher sein kann, werde ich in den nächsten Tagen von einem anderen Rechner aus die Passwörter von "Seiten, die mit Geld zu tun haben" ändern. Sprich Amazon, Bahn, Ebay, Zalando (wie gesagt, nicht mein Rechner 
) und das Mailpasswort ebenfalls - letzte Änderung war dort im Sommer 2003, sagt GMX 
Onlinebanking wurde von diesem Rechner aus in letzter Zeit nicht betrieben.
Beim Rest behaupte ich mal, dass da nicht allzuviel passieren kann - die Hintermänner dieser Trojaner werden wohl eher an Geld interessiert sein und nicht an der Verbreitung von Werbung für blaue Pillen in Communitys
Außerdem bin ich ehrlichgesagt zu faul, bei geschtzten 80 Seiten die Passwörter zu ändern :whistling:
Das Antivirenprogramm ist avast - witzigerweise kam die Meldung, dass es aktualisiert wurde, nach erfolgreicher Systemwiederherstellung
Edit: Vielen Dank an te_zwo, da werde ich morgen nochmal drüberschauen. Momentan rödelt diese avast-Prüfung bei nicht gestartetem System durch.
) und das Mailpasswort ebenfalls - letzte Änderung war dort im Sommer 2003, sagt GMX Onlinebanking wurde von diesem Rechner aus in letzter Zeit nicht betrieben.
Beim Rest behaupte ich mal, dass da nicht allzuviel passieren kann - die Hintermänner dieser Trojaner werden wohl eher an Geld interessiert sein und nicht an der Verbreitung von Werbung für blaue Pillen in Communitys
Außerdem bin ich ehrlichgesagt zu faul, bei geschtzten 80 Seiten die Passwörter zu ändern :whistling:
Das Antivirenprogramm ist avast - witzigerweise kam die Meldung, dass es aktualisiert wurde, nach erfolgreicher Systemwiederherstellung
Edit: Vielen Dank an te_zwo, da werde ich morgen nochmal drüberschauen. Momentan rödelt diese avast-Prüfung bei nicht gestartetem System durch.
elarei
Well-known member
- Registriert
- 2 Aug. 2009
- Beiträge
- 3.278
Manche Leute...!und das Mailpasswort ebenfalls - letzte Änderung war dort im Sommer 2003, sagt GMX
