kostenloser Webspace werbefrei: lima-city


Hilfe hartnäckige MalWare eingefangen

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    Hallo LC

    ich bin heute mittag bei INet-Recherchen auf ein Gästebuch gestossen, dass gekapert aussah. Dummerweise bin ich aus Neugier einem Link gefolgt. Kurz danach crasht derFF und eine Warnmeldung eines mir unbekannten Virusprogrammes (XP Antivirus 2011 ?) erscheint und meldet ich hätte Viren auf dem NetBook. Da habe ich zuerst meinen Web'n'Walk Stick gezogen damit nichts nachgeladen werden kann habe einen Screenshot gemacht, Registrycleaner angeworfen und danach den Cache-Cleaner. Danach mich auf die Suche nach dem Schädling begeben, ich glaube ihn auch entlarvt zu haben: btf.exe 222 kb, jedenfalls waren die nervigen Meldungen weg. Nach Neustart wollte ich mein Avira wieder starten dass er ausgehebelt hatte, ging nicht. Ich kann weder einen Link noch über Doppelklick im Explorer und auch nicht über Ausführen ein Programm starten. Im Internet bin ich zur Zeit bei einem Bekannten über meinen Stick.
    Da mein NetBook über kein CD-Laufwerk verfügt und der einzigste Bekannte von dem ich weis dass er 1 USB-CDRom hat ist noch bis Mitte oder Ende nächster Woche unterwegs. Solange will ich natürlich nicht warten bis mein NetBook wieder flott ist.
    Daher die Frage, wo bekomme ich die nötigen Programme und Infos um mir einen bootfähigen USB-Stick zurecht zu machen mit dem ich mein Windows reparieren d.h. die Überbleibsel dieses Programmes entfernen kann. Oder kennt jemand anhand des Namens btf.exe die genaue Vorgehensweise.
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hey, hab glaub ne idee um Windows neu aufzuspielen, welches Windows hast du denn?

    €dit1:
    ## Bei Windows 7 geht es so:

    Von der Windows 7 DVD eine Iso-Datei erstellen (z.B. mit Format Factory auf einem Rechner eines bekannten oder sogar dem eigenen),
    Einen Bootfähigen USB-Stick mit FAT32 Formatieren, und dann die .iso-Datei auf den Stick entpacken (z.B. mit WinRar).
    Den Stick in das Netbook stecken, ins bootmenü gehen (bei mir geht das mit der TAB-Taste, bei dir weiß ich es leider nicht, einfach mal alle tasten durchtesten), dann den Stick als Bootmedium auswählen.
    Ansonsten kannst du wie bei einer normalen Windows installation von einer CD fortfahren.

    *G*

    Beitrag zuletzt geändert: 13.5.2011 22:23:02 von mf-hd
  4. Hallo autobert,

    lade Dir aus dem Internet das Tool:

    btf.exe Repair Tool

    und versuche eine Reparatur. Die Chancen stehen nicht schlecht und es geht schneller als eine Neuinstallation.

    Danach empfehle ich Dir Superantispyware zum ständigen Gebrauch (Freeware-Version ist ausreichend).

    Viel Erfolg!

    Beitrag zuletzt geändert: 13.5.2011 22:27:38 von vheusing
  5. m******e

    Anleitung



    ( http://www.sempervideo.de/?p=6138 )

    Download Rescue-CD
    http://www.avg.com/us-en/avg-rescue-cd
  6. ich bin heute mittag bei INet-Recherchen auf ein Gästebuch gestossen, dass gekapert aussah. Dummerweise bin ich aus Neugier einem Link gefolgt.
    Lege dir am besten das Plugin "Wot" zu. Es hilft dir, dich von gefährlichen Webseiten fernzuhalten.

    Kurz danach crasht derFF und eine Warnmeldung eines mir unbekannten Virusprogrammes (XP Antivirus 2011 ?) erscheint und meldet ich hätte Viren auf dem NetBook. Da habe ich zuerst meinen Web'n'Walk Stick gezogen damit nichts nachgeladen werden kann habe einen Screenshot gemacht, Registrycleaner angeworfen und danach den Cache-Cleaner.
    Genau dieses Szenario hatte ich auch schonmal, allerdings half das Kappen des Lan-Kabels nichts mehr, da der PC innerhalb von Sekunden mit Viren verseucht war.

    Danach mich auf die Suche nach dem Schädling begeben, ich glaube ihn auch entlarvt zu haben: btf.exe 222 kb, jedenfalls waren die nervigen Meldungen weg. Nach Neustart wollte ich mein Avira wieder starten dass er ausgehebelt hatte, ging nicht. Ich kann weder einen Link noch über Doppelklick im Explorer und auch nicht über Ausführen ein Programm starten. Im Internet bin ich zur Zeit bei einem Bekannten über meinen Stick.
    In diesem Fall hast du keine Kontrolle mehr über dein Gerät, sogar ein Backup fürs erneute Aufsetzen könnte verseucht sein.

    Daher die Frage, wo bekomme ich die nötigen Programme und Infos um mir einen bootfähigen USB-Stick zurecht zu machen mit dem ich mein Windows reparieren d.h. die Überbleibsel dieses Programmes entfernen kann.
    Da ich kaum davon ausgehe, dass ausschließlich dieser eine Virus dafür verantwortlich ist, würde ich dir empfehlen, dein System neu aufzusetzen. Vorübergehend könntest du auch über eine Ubuntu-Live CD oder Ähnlichem arbeiten (Das dürfte in diesem Zustand auch das Sicherste sein).

    Ich kann dir nur aus eigener Erfahrung sagen, dass man sich, wenn man auf eine wirklich Viren versuchte Seite stößt, nicht nur einen Virus einfängt und man auf jeden Fall die Festplatte komplett formatieren und das Betriebssystem neu aufsetzen sollte.

    Grüße und viel Erfolg Ploco :wave:
  7. ploco schrieb:

    Ich kann dir nur aus eigener Erfahrung sagen, dass man sich, wenn man auf eine wirklich Viren versuchte Seite stößt, nicht nur einen Virus einfängt und man auf jeden Fall die Festplatte komplett formatieren und das Betriebssystem neu aufsetzen sollte.

    Grüße und viel Erfolg Ploco :wave:


    Diese Empfehlung kann ich nur unterstützen.

    WoT halte ich aber nur für bedingt sinnvoll, weil ich bei diesem Tool auch schon genug Seiten hatte, die zu Unrecht schlecht gewertet waren. Also auch dieses Tool ist mit Vorsicht zu genießen!!!
  8. autobert schrieb:
    Ich kann weder einen Link noch über Doppelklick im Explorer und auch nicht über Ausführen ein Programm starten


    Auch im abgesicherten Modus?

    Hier steht was von vielen Dateien die gelöscht werden müssen:
    Memory Processes Infected :

    btf.exe
    fun.exe
    asg_install.exe
    C:\WINDOWS\system32\yikiduta.dll
    C:\WINDOWS\system32\z0wrq80.exe
    ezetulus.dll
    C:\WINDOWS\system32\zinxater.exe
    windtor.exe
    C:\WINDOWS\system32\nfnfpk.exe
    lrbmed.dll
    C:\WINDOWS\system32\ywksf.exe
    bqrveqaf.exe
    hzbwxd.exe


    Das stimmt natürlich nur, falls es die Malware ist, die du hast; aber wie viele Malwares heißen schon btf.exe 0.o
    Starte also im abgesichterten Modus und lösche diese Dateien, sofern vorhanden. Du kannst auch mit start -> ausführen -> msconfig überprüfen ob die Malware beim Systemstart mitgeladen wird.

    Ich glaube bei solch bösartigen Sachen, die antivir auseinandernehmen hilft dann auch keine "Rescue-CD" von Antivir. Die löscht vielleicht diese btf.exe aber die kommt einfach immer wieder (ist diese Datei wiedergekommen obwohl du sie gelöscht hattest?).

    Neuinstallation mit bootfähigem USB-Stick wäre natürlich eine Idee, aber das ist doch viel zu einfach :-)

    Auch kannst du versuchen die Systemwiederherstellung zu starten. Falls das nicht über start->progrmme etc., kannst du es über die Kommandozeile versuchen.
    %SystemRoot%\System32\restore\rstrui.exe
    [im abgesicherten Modus]


    Auch hat Windows eine Reparatur-Funktion. Du machst dir also einen bootfähigen USB-Stick mit der Windows-CD und benutzt diese Funktion.

    So. Mehr fällt mir im Moment nicht ein :)

    mfg :wave:

    Ah ich sehe gerade, da gibt es neue Posts. M.M.n. ist es kein Problem so etwas restlos zu entfernen (mit den Optionen die ich oben genannt habe..).

    Einfach zu sagen "formatier alles weil du das nie alles wegbekommst" zeugt auch nicht gerade von Fachkenntnis. So braucht man nur einmal HijackThis zu starten und man sieht genau ob man noch was bösartiges am laufen hat.
  9. @voloya

    Ich finde deine Aussage etwas törricht. Viren und Schadsoftware im Allgemeinen ist inzwischen so komplex geworden, dass in manchen Fällen der Virenscanner, oder auch Hijack This nur am Hinterrennen ist. Deshalb ist und bleibt die sicherste Methode nun mal das Neuaufsetzen des Systems.

    Ich bin ein großer Anhänger von Sophos Antivirus, weil man dort sehr viele manuelle Anleitungen zum Entfernen von Schadsoftware findet. Aber selbst diese Experten betonen immer wieder die Komplexität gewisser Viren.

    Keiner sagt hier, dass man das Ding nicht vollständig entfernen kann, aber Schadsoftware ist so flexibel und ändert sich nun mal ständig, so dass Anleitungen unbrauchbar werden und aktuelle Virendefinitionen teilweise!!!! keine Abhilfe schaffen.

    Von daher sollte man sein System so einrichten, mit regelmäßigen Sicherungen, dass man die paar Mal, wo man sowas hat, auch einfach mal neu aufsetzen kann. Wer umsichtig mit dem PC umgeht fängt sich sowas eh nicht allzuhäufig ein!
  10. Autor dieses Themas

    autobert

    Kostenloser Webspace von autobert

    autobert hat kostenlosen Webspace.

    mf-hd schrieb:
    Hey, hab glaub ne idee um Windows neu aufzuspielen, welches Windows hast du denn?
    Sorry da war ich wohl zu aufgeregt: Windows XP SP3 und immer schön alle Updates/Patches von Avira, MS, Adobe und Sun eingespielt.

    vheusing schrieb:
    lade Dir aus dem Internet das Tool:

    btf.exe Repair Tool
    wenn du eine vertrauenswürdige Seite kennst (Chip, Heise etc.) dann gerne. Denn ich gehe davon aus das es sich um ScareWare handelt um mir einen Pseudo-Virenscanner anzudrehen.

    @menschle, danke diese Anleitng schaue ich mir dann an, habe ja selbst als CT-Abonnent eine aktuelle Rettungscd nur kein CD-Laufwerk. Denke das ich mit dieser CD und den Tips von mf-hd es ersteinmal mit einer Reparatur versuche muss mir nur erst einen ausreichend grossen Stick besoregen.

    @ploco eine Neuinstallation folgt mit Sicherheit noch, aber zuerst wird versucht zu reparieren.


    voloya schrieb:
    Starte also im abgesichterten Modus und lösche diese Dateien, sofern vorhanden. Du kannst auch mit start -> ausführen -> msconfig überprüfen ob die Malware beim Systemstart mitgeladen wird.
    ich schaffe es nicht in den abgesicherten Modus zu kommen.es gibt auch keine andere Möglichkeit Programme zu starten ausser den Verknüpfungen in dem Ordner:
    C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten der angemeldet war (ausgerechnet Admin) sind alle Verknüpfungen tot. Auch Start ausführen.

    da dort aber eine html Datei lag konnte ich den FF starten und das umbenannte File auf VirusTotal prüfen lassen:

    http://www.virustotal.com/file-scan/report.html?id=35c4ed26bced2463aae840389a2e71017898ca4eb292df28a359f49e89d4c935-1305322266

    Beitrag zuletzt geändert: 14.5.2011 1:44:21 von autobert
  11. pflanzenfreund

    Kostenloser Webspace von pflanzenfreund, auf Homepage erstellen warten

    pflanzenfreund hat kostenlosen Webspace.

    Also, was die "AVG Rescue CD" betrifft : Hier einige Fundstellen, bei denen in der jeweiligen Beschreibung zumindest behauptet wird, das wäre deutsch/englisch bzw. deutsch :

    http://www.computerbild.de/download/AVG-Rescue-CD-5656510.html
    http://www.heise.de/software/download/avg_rescue_cd/79216
    http://www.pcwelt.de/downloads/Gratis-Virenscanner-AVG-Anti-Virus-Free-592119.html

    Und zur wirklich offenbaren Dummheit des Video-Autoren : http://www.avg.com/de-de/avg-rescue-cd

    Beitrag zuletzt geändert: 14.5.2011 7:03:39 von pflanzenfreund
  12. m******e

    voloya schrieb:
    Ich glaube bei solch bösartigen Sachen, die antivir auseinandernehmen hilft dann auch keine "Rescue-CD" von Antivir.
    Abwarten :wink:

    autobert schrieb:
    Daher die Frage, wo bekomme ich die nötigen Programme und Infos um mir einen bootfähigen USB-Stick zurecht zu machen mit dem ich mein Windows reparieren d.h. die Überbleibsel dieses Programmes entfernen kann.
    Die Möglichkeit mit der AVG-Rescue-CD funktioniert auch mit einem bootfähigen USB-Stick.
    Wie ein solcher erstellt wird, dazu gibt es diverse Möglichkeiten.

    Eine sehr umfangreiche Webseite inkl. der ISO-Images
    Eine etwas kürzere Textbeschreibung
    Noch zwei weitere || hilfreiche Tipps
    Videotutorial (engl.)

    Nicht ganz unwichtig sind drei weitere Kleinigkeiten:
    - Alle Daten vom USB-Stick sichern: Nach dem Einrichten der Bootfähigkeit sind alle Daten weg.
    Folgende Dateien solltest Du Dir von einem sauberen XP-System besorgen:
    - explorer.exe
    - winlogon.exe
    ^^ Diese beiden Dateien sind häufig kompromittiert, was das Linuxsystem der AVG-Rescue-CD dann anzeigen wird.

    Tipp:
    Der einfachste Weg ist, die besagte ISO herunterzuladen, und zu brennen. (Vielleicht bei Freunden?)
    Dann die CD (dort!) booten und den USB-Stick bootfähig machen. Das komplette AVG-Rescue-System wird dabei auf den USB-Stick kopiert (etwas über 80 MB).
    Wieder Windows starten, und die explorer.exe & winlogon.exe draufkopieren.
    Mit dem Stick nach Hause flitzen, und das System scannen.

    Sollten explorer.exe & winlogon.exe erwähnt werden, diese einfach löschen, und vom USB-Stick zurückkopieren.
    (Geht mit dem Midnight-Commander, einem Clone vom Norton-Commander)

    Anmerkung:
    Selbst in zahlreichen Foren konnten nicht mal hijackthis & co noch weiterhelfen, und die deprimierten User konnten nur noch neu installieren. Mit denselben Viren konfrontiert, konnte ich bislang alle kompromittierten XP-Systeme auf diese Weise retten.

    Glaube mir, ich würde mir kaum die Mühe machen (oder die Zeit dafür nehmen), den ganzen Kram hier niederzuschreiben, wenn alles nur Quatsch wäre. Eine komplette Neu-Installation ist immer die allerletzte Möglichkeit, von der ich Gebrauch machen würde. Das predigte uns schon damals der Chef einer Computerabteilung, welche ich später anleitete. Und er hatte recht.

    pflanzenfreund schrieb:
    Und zur wirklich offenbaren Dummheit des Video-Autoren : http://www.avg.com/de-de/avg-rescue-cd

    Schlecht geschlafen? :wink: Zum Zeitpunkt der Erstellung des Videos gabs die deutsche Variante aber noch nicht. :-P

    Außerdem bevorzuge ich lieber die englische Version. Man weiß ja nie, worin sich der allseits geliebte Bundestrojaner so verbirgt. :wink:

    Grüßle, Menschle
  13. pflanzenfreund

    Kostenloser Webspace von pflanzenfreund, auf Homepage erstellen warten

    pflanzenfreund hat kostenlosen Webspace.

    @menschle : Nö, nicht schlecht geschlafen, nur früh wach geworden. Wenn ich mir ein Video ansehe ( erstaunlich, eingebundene Videos können wieder geguckt werden :thumb: ) achte ich nicht auf das Erstellungsdatum - falls das überhaupt irgendwo genannt ist.

    Geht mit dem Midnight-Commander
    Gibt's den jetzt auch für Windows ? Ich benutze für sowas immer den "Total Commander". Ach so - ich sehe gerade, die AVG-Rescue-CD basiert auf Linux.

    Man weiß ja nie, worin sich der allseits geliebte Bundestrojaner so verbirgt.
    Ja menschle, woher soll denn bei Linux sowas kommen ? Außerdem gibt es den doch gar nicht wirklich. Oder meinst Du denn etwa den Bundestrojaner zum Download ? :lol::wave:
  14. m******e

    Nö, nicht schlecht geschlafen, nur früh wach geworden. Wenn ich mir ein Video ansehe ( erstaunlich, eingebundene Videos können wieder geguckt werden :thumb: ) achte ich nicht auf das Erstellungsdatum - falls das überhaupt irgendwo genannt ist.
    War eher ne rhetorische Frage. :tongue:
    Das Erstellungsdatum steht übrigens jeweils auf der Seite von Youtube. In diesem Falle hier.

    Gibt's den jetzt auch für Windows ? Ich benutze für sowas immer den "Total Commander". Ach so - ich sehe gerade, die AVG-Rescue-CD basiert auf Linux.
    Yes, und der Midnight-Commander ist in dem ISO-Image der AVG-Rescue-CD enthalten.

    Ja menschle, woher soll denn bei Linux sowas kommen ? Außerdem gibt es den doch gar nicht wirklich.
    Wenn Du mir das garantieren kannst, weißt Du wohl mehr als ich, und wer weiß schon, mit wem die gierige Regung so ihre Verträge hat. :wink:
    Jedoch davon abgesehen: Mußt Du denn stets das letzte Wort haben? :lol:

    Wichtig ist doch, daß Threaderöffnern zum erwünschten Ergebnis geholfen werden kann.

    Und wäre es nicht schade, wenn eventuell hilfreiche Artikel stets in der Versenkung verschwinden würden? Ist wieder ne rhetorische Frage. :biggrin:

    Grüße vom Menschle



    Beitrag zuletzt geändert: 14.5.2011 14:58:40 von menschle
  15. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!