R6x R60e Wie von CD booten? Leider GVU BKA Ucash Virenbefall ( GELÖST: TdssKiller half )

F

frank2000

New member
Themenstarter
Registriert
24 März 2010
Beiträge
36
hallo,
ich habe einen R60e mit xp, sp3 und den BKA trojaner ( die neue, agressive version) drauf.
habe auch schon alles versucht, avira de, norton, malware antibytes und auch dr. web.
funzt alles nicht
jetzt wollte ich es mit der norton version versuchen, wobei man von der cd booten soll.
also: an intaktem rechner geladen und das iso-file auf cd gebrannt. dann im kranken rechner im bios bootmenü den cd hochgeschoben.
beim booten dann lief auch der cd-pl<ayer ( hat man gehört), aber dann ist auch nichts anderes passiert als sonst.

also: wie kann ich von der cd bei genau diesem R60e booten oder noch besser: wer hat noch einen trick, wie ich den virus wegbekomme ( bitte keine tips wie:rechner neu aufsetzen). ich bin schon mal recht weit gekommen, die antivirenproramme hatten auch was gefunden, aber sobald ich die internetverbindung angeschaltet habe, kam wieder das virus-fenster.
der task manager schließt sich übrigens nach 1/10 sec wieder.
danke für hilfe
 
Zuletzt bearbeitet:
Oh das hatte ich überlesen :facepalm: Naja dann, Malwarebytes war das was bei mir immer geholfen hat.
 
normal habe ich avira, mit dem ich sehr zufriden bin
habe aber wegen meinem problem schon so ziemlich jeden (NICHTONLINE-) virenscanner drüber laufen lassen.
jeder hatte irgendwie so win bischen was gefunden aber wohl nichts ernsthaftes
bis auf Kaspersky rettungscd
 
ok, ich lade mir jetzt mal kis 2012 auf einen stick.
funktioniert das dann auch OHNE internetverbindung ( denn da´ geht der UCASH immer sofrot an)??

------------------

OK
habs kapiert
versuchs u gebe bescheid

------------------

äh,
was heißt KIS 2012 installieren?
habe die links angeschaut, konnt aber damit nichts anfangen...
 
Zuletzt bearbeitet von einem Moderator:
u.mac schrieb:
IMHO die einzige Möglichkeit, um ein kompromitiertes System wieder vertrauensvoll=sauber zu bekommen, alles andere ist vergeudete Lebenszeit :rolleyes:
Zum Vergrößern anklicken....

Jo, auf meinem Netbook war auch so ein Mistding, nach 30 Min versuchen der Virenbeseitigung hab ich die Kiste komplett platt gemacht ;) Dauerte nur 2 Stunden inkl. Updates.
 
Die Rootkits benutzen den MBR und werden darüber gestartet d.h. Du kannst das Betriebssystem nach Files durchforsten wie Du willst, wenn Du nicht auch den MBR neu schreibst, hast DU beim nächsten Start das Problem erneut. Also- von CD booten, System reinigen lassen, anschliessend am besten von der Windows Cd neu starten und dann in der Konsole den MBR neu schreiben. Unter XP heist der entsprechende Befehl fixmbr.

Kaspersky benutze ich nicht ,ich habe F-secure seit 20 Jahren auf allen Rechnern. Avira erkennt in der Regel sehr viel weniger als F-Secure und kann auch nicht soviel beheben. Wäre Avira nicht so billig (immer mal wieder auf HeftCD der DT, nicht?), wäre es sicherlich nicht besonders beliebt. Auch Kasperski wird oft mitgeliefert bei Computern oder auf HeftCD's verteilt, wobei ich Kaspersky noch nicht ganz so schlimm finde wie Avira.

Von F-Secure gibts auch ne Rescue Cd http://www.f-secure.com/en/web/labs_global/removal/rescue-cd
 
frank2000 schrieb:
ok, ich lade mir jetzt mal kis 2012 auf einen stick.
funktioniert das dann auch OHNE internetverbindung ( denn da´ geht der UCASH immer sofrot an)??
Zum Vergrößern anklicken....
Nein, auf einem Memory-Stick funktioniert es nicht, muss online sein, um die Virendatenbanken und die Hotfixes einspielen zu können, sprich, du musst KIS 2012 installieren und gemäss obigem Post ausführen. Ansonsten müssen wir uns etwas anderes einfallen lassen. Kaspersky Lab ist übrigens führend in der Malware-Erkennung sowie der erweiterten Desinfektion etc. By the way... KIS 2012 arbeitet mit einem Hybridschutz, bestehend aus Cloud und KIS.

Was ist eigentlich UCASH? Wird das System dann blockiert?

P.S.: eben noch gefunden... vielleicht hilft's ja (autsch... der BKA-Trojaner verschlüsselt auch noch Dateien): http://www.chip.de/news/Bundespolizei-Virus-entfernen-PC-entsperren_50761972.html
 
Zuletzt bearbeitet:
u.mac schrieb:
IMHO die einzige Möglichkeit, um ein kompromitiertes System wieder vertrauensvoll=sauber zu bekommen, alles andere ist vergeudete Lebenszeit :rolleyes:
Zum Vergrößern anklicken....
+1
und vorher den MBR neu schreiben, um wieder volles Vertrauen in das neu aufgesetzte System zu haben.
 
Ne ne... nicht aufgeben... wir schaffen das zusammen, wäre doch gelacht :).
 
Vielen Dank für eure Hilfe
ich habs tatsählich geschafft

ich habe mit der rescue cd erstmal den virus gestoppt
dann den tdssKiller drüber geschickt,
dann noch den kis 2012, wobei ich das prob hatte, sobald ich online ging, ucash schon wieder da war.
dann nochmal runter und sis 2012 sofort mit komplettscan laufen lies.
da fand er dann nochmal was. dann internet an, sis 2012 lies sich dann updaten, dann nochmal drüber, dann noch tdssKiller.
als gutes zeichen sah ich, dass sich der taskmanager öfnnen lies und nicht sofort wieder verschwand.
die BÖSE dll hat er gefunden und quaratäne! diese hatte sich wohl an den diskeeperlight drangehängt. den hab ich dann auch getötet ( hab ich eh nie gebraucht) und jetzt ist ruhe!
alles geht wie es soll

füe alle die auch suchen:
http://support.kaspersky.com/viruses/solutions?qid=208280748
der tdssKiller, der wohl auch dafür gemacht wurde.

puuuh.
neuaufsetzen wäre sicher die wahre lösung, habe aber im lauf der jahre nie sauber gearbeitet und gespeichert und habe auch die installationsCD nicht mehr, so daß hier das nächste chaos auf mich zugekommen wäre.
also nochmal danke an alle!
 
@ helios: du bist im intenet und pötzlich geht die seite auf: sie haben illegal filme / pornos/ datenschutz usw angeschaut, zahlen sie 100 eur per ucash zur entsperrung dieser seite. ( dann muß man zb an der tankstelle 100 eur einzahlen und bekommt dafür einen code, den man dann auf der seite eingeben kann. die erpresser können gegen diesen code irgendwo auf der welt dann 100 eur abholen-- nicht nachvollziehbar!!)
ansonsten ist keine funktion auf dem rechner mehr möglich. wenn ich die prozesse im taskmanager anschauen will, schließt sich dieser sofort wieder, so dass ich manuell gar keinen stoppen kann. muß also den rechner runter fahren. selbst wenn man dann mit virenscanner usw gearbeitet hat: sobald man internet anmacht--zack- ucash wieder da.
 
Oh Mann, welch eine Panik hier verbreitet wird.... Wenn du in der Lage bist, den Rechner mit F8 in den Abgesicherten Modus mit Eingabeaufforderung zu schicken (ohne Netzwerkverbindung), hast du doch schon gewonnen. Dort mit msconfig und ggf. regedit den Burschen ausfindig machen und am Start hindern (Eintrag und die exe bzw. dll löschen). Das dauert normalerweise max. 10 Minuten. In der Zeit hat keiner einen Rechner neu aufgesetzt (außer aus einem aktuellen Image). Danach mit der desinfect DVD (aus der c't) booten und einen kompletten Scan durchführen. Das wars.
 
vielen dank für den tip
den hätte ich mal gestern abend gebraucht!
@gerli09
jetzt aber bitte genau:
- wie finde ich den burschen?

bis zum abgesichertenmodus habe ich es geschafft und auch bis zu "ausführen". was ist danach zu tun?
danke im voraus
 
@gerli,

so einfach ist das eben nicht - gibt genug Varianten die den abgesicherten Modus verhindern - schon die Zeit für die diversen Scans kosten wertvolle Lebensfreude

@frank

wieviel Stunden hat dich das gekostet? 12 Stunden (mit diversen scans) und reichlich Nerven bestimmt. Besorge dir eine gebrauchte Windows-CD ein Image Programm alà TrueImage. Das System 1x neu und damit 100%ig clean aufgesetzt, Image gemacht und zukünftig verlieren Viren jeglicher Art ihren Schrecken, da du innerhalb von 20 Minuten wieder eine Arbeitsumgebung hast. Ausserdem ist die Virenbeseitigung immer eine Art der Pfuscherei, da du nie sicher sein kannst alles gefunden oder besetigt zu haben. Wenn du auch Online-Banking machst auch Passwörter ändern und demnächst Neuinstallation - alles andere ist leichtsinniger Pfusch!

Auf dieser Seite http://bka-trojaner.de/ sind viele Varianten deines Virus vertreten, oft mit unterschiedlichen Lösungsansätzen der Beseitigung - alleine schon das rumprobieren wäre mir inzwischen zu aufwändig...



 
Zuletzt bearbeitet:
Hallo Frank,

danke für die Erklärung. Ist ja allerhand! Aber super, dass es nun doch geklappt hat :thumbup:! Überdenke mal noch deine Sicherheitslösung, gerade wenn sensitive Daten auf deinem System gespeichert sind. KIS 2012 (bald 2013) leistet in dieser Hinsicht 1A Arbeit und ist aus meiner Sicht jeden Cent wert. Verlasse mich persönlich voll und ganz auf dieses Programm und bin stets top damit gefahren (will hier keine Propaganda für Kaspersky-Produkte machen. Dies sind ausschliesslich meine eigenen Erfahrungen - bin ausserdem seit geraumer Zeit freiwilliger Beta-Tester für Kaspersky Lab).

LG Uwe


P.S.: wäre auch nicht glücklich, wenn ich das System neu aufsetzen müsste. Stecken doch auch unzählige Stunden Arbeit darin. Gerade die individuelle Konfiguration der Software braucht massenhaft Zeit.

@gerli: Gewisse Rootkits (Bootkits) lassen erstens den abgesicherten Modus nicht zu und zweitens, selbst wenn dieser zugänglich ist, können diese stets noch aktiv sein. In der msconfig tauchen diese normalerweise nicht auf.
 
Zuletzt bearbeitet:
Ich möchte das ja nicht abstreiten, dass es evtl. auch Varianten mit Rootkit gibt. Die sog. Ukash oder BKA Trojaner, die du dir beim einfachen Surfen einfangen konntest, habe ich bisher alle (ca. 25 verschiedene Rechner) über die F8 Methode und anschließendes Untersuchen mit msconfig und regedit entfernen können. Die ausführbaren Dateien stehen nämlich in Verzeichnissen wie temp oder Roaming, wo ja nun mal keine Programme hingehören. Deshalb sind die relativ einfach einzugrenzen. Dann noch die üblichen verdächtigen Stellen in der Registrierung gecheckt (run, shell, policies) und das war es. Das hat selbst bei meinem letzten Fall geholfen, bei dem jemand die bösartige Variante per email sich gefangen hat, die anfängt alle Dateien im User-Verzeichnis zu verschlüsseln (die Dateien sind allerdings bisher noch nicht gerettet, das wollte derjenige nicht mehr :confused:).

Wenn man dann anschließend zur Sicherheit noch die desinfect DVD startet und damit den Rechner komplett scannt (edit: ich nehme dort den Avira + den Kasperky), fallen auch evtl. verseuchte Dateien in System Volume Information (Systemwiederherstellung) auf. Rootkits dürften eigentlich auch gefunden werden, beim Start von DVD.

Ich vergleiche den Zeitaufwand für eine sorgfältige Trojanerentfernung von ca. 30 Minuten (ohne Scan von DVD) immer mit dem Zeitaufwand für eine komplette Neuinstallion mit vorheriger Datensicherung etc. Da sind locker mal 6-8 Stunden ins Land gegangen und meistens ist das auch noch mit gewissen "Verlusten" verbunden, da die Leute keine Installationsmedien, keine Seriennummern und auch sonst nichts mehr haben.
 
Zuletzt bearbeitet:
gerli09 schrieb:
Iund meistens ist das auch noch mit gewissen "Verlusten" verbunden, da die Leute keine Installationsmedien, keine Seriennummern und auch sonst nichts mehr haben.
Zum Vergrößern anklicken....

Seltsam... für meine teuer bezahlte Software würd's mir nicht im Traum einfallen, die Medien und SerNr. wegzufeuern.

Und eine Neuinstall. hat auch seine guten Seiten... man kann endlich 'mal ausmisten, statt rhythmisch neue Platten zu kaufen und sich an der neuen Performance des Systems erfreuen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben