Virus eingefangen...AntiVir Scanner erkennt ihn nicht
lima-city → Forum → Heim-PC → Software
anzeigen
aufgehen
bleibe
datei
fehler
helfen
http
idee
index
internet
manager
schlecht reden
signatur
surfen
system
teil
url
video
virus
windows
-
Hi,
ich habe mir letztens beim surfen durchs Internet offenbar einen Virus eingefangen, den mein Virenscanner nicht entdeckt (AntiVir XP 32-Bit).
Ich habe schon einiges rausgefunden, im Task Manager wird der Virus durch den Namen Nqovoa.exe angezeigt und der Prozess nxr.exe gehört wahrscheinlich ebenfalls dazu. Der Virus lässt zufällig ab und zu den Internet Explorer aufgehen und Random irgendwelche Seiten anzeigen. Er gibt andauernd Scripting Fehler im Internet Explorer aus und vergrößert ständig seine Größe in der Auslagerungsdatei. Ich habe bereits versucht nxr.exe per msconfig aus dem Systemstart rauszuhauen. Funktioniert nicht, die .exe fügt sich offenbar selber wieder hinzu. Auch das löschen von allen Einträgen in der registry von Nqovoa.exe bzw. nxr.exe scheint nicht zu helfen. Hat irgendjemand eine Idee? -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Platte formatieren und komplett Neuinstallieren. Alles andere ist ineffektiv.
-
Oder ein frisch angelegtes Images welches offline nach der Installation erstellt wurde, zurückspielen. Aber sicher hast du sowas nicht.
Nach deinem frischen Windows solltest du dich mal mit Sicherheit beschäftigen:
Erklärungen & How To's, Rund um das Thema Sicherheit
CCC Video zu Personal Firewalls
CCC Video zu (Un)Sicheres Windows am Heim-PC
Microsoft - Säubern eines gefährdeten Systems
Der "Link-Block"
Um mal die Wichtigsten zu nennen. -
mifa schrieb:
Hi,
ich habe mir letztens beim surfen durchs Internet offenbar einen Virus eingefangen, den mein Virenscanner nicht entdeckt (AntiVir XP 32-Bit).
Eventuell hilft ein manuelles Updaten der Signaturen. (Avira) Antivir hat (zumindest in den mir bekannten Versionen) die unangenehme Eigenschaft, nicht viel mitzuteilen, wenn das automatische Updaten der Signaturen aus irgendeinem Grund fehlgeschlagen ist. Und böse Software hat diverse Möglichkeiten, diese Updates zu verhindern.
Ich habe schon einiges rausgefunden, im Task Manager wird der Virus durch den Namen Nqovoa.exe angezeigt und der Prozess nxr.exe gehört wahrscheinlich ebenfalls dazu. Der Virus lässt zufällig ab und zu den Internet Explorer aufgehen und Random irgendwelche Seiten anzeigen. Er gibt andauernd Scripting Fehler im Internet Explorer aus und vergrößert ständig seine Größe in der Auslagerungsdatei. Ich habe bereits versucht nxr.exe per msconfig aus dem Systemstart rauszuhauen. Funktioniert nicht, die .exe fügt sich offenbar selber wieder hinzu. Auch das löschen von allen Einträgen in der registry von Nqovoa.exe bzw. nxr.exe scheint nicht zu helfen. Hat irgendjemand eine Idee?
Erstmal: Saubere Neuinstallation oder Rückspielen eines funktionierenden Backups ist (fast) immer die bessere Lösung.
Ansonsten: Das Löschen der Autostart-Einträge bringt nichts, wenn mindestens einer der Schadprozesse noch läuft. Als erstes musst du diese also abschießen. Das Tool der Wahl hierfür ist der Sysinternals ProcessExplorer (den gibts bei Microsoft). Bevor du dies tust, lokalisiere die Dateien. Die musst du ebenfalls löschen. Falls du nämlich beim anschließenden Autostart-Aufräumen etwas übersiehst, hast du beim nächsten Hochfahren wieder das gleiche Problem.
Zum Entfernen der Autostarteinträge bevorzuge ich Sysinternals AutoRuns (gibts auch bei Microsoft).
Bevor du aber ans Löschen, Prozess-Killen und Autostart-Ausmisten gehst, mach dir von den Schad-Dateien Kopien, die du so umbenennst, dass sie nicht mehr automatisch ausgeführt werden können. Also irgendeine Endung wie ".bin" ranhängen. Windows ist dann zu doof, sie zu starten. Die Dateien kannst du auch bei einem der öffentlich zugänglichen Virenscan-Services hochladen, die zeigen an, welche Scan-Engines das Teil schon kennen und manchmal bekommt man so auch Hinweise, was das Teil für Schaden anrichten kann und wie man dagegen vorgehen kann.
Interessant ist auch die Überprüfung der Netzwerkverbindungen. CurrPorts hilft dabei, Programme zu entlarven, die nach draußen telefonieren oder sich zu obskuren Adressen verbinden möchten.
Wenn das alles nichts hilft, kannst du versuchen, das Dateien-Löschen und Autostart-Aufräumen von einer Windows-PE-Live-CD|DVD aus zu erledigen. Bei mir tut das ein zwar altes aber immer noch gut funktionierendes BartPE. Mittlweile gibt es modernere Alternativen.
Beitrag zuletzt geändert: 6.8.2010 21:50:05 von alopex -
@alopex: Wenn du schon fleißig ehemalige Sysinternals Tools vorstellst, dann bleibe bitte auch dabei ;)
Statt CurrPorts- welches ich aber nicht schlecht reden will, gibts da TcpView -
tid-gaming schrieb:
@alopex: Wenn du schon fleißig ehemalige Sysinternals Tools vorstellst, dann bleibe bitte auch dabei ;)
Statt CurrPorts- welches ich aber nicht schlecht reden will, gibts da TcpView
Hehe, seit Sysinternals eine Abteilung von M$FT ist, bin ich auf der Suche nach Alternativen zu deren Tools. Nicht unbedingt, weil ich M$FT für böse halte, aber weil alle ehemaligen Sysinternal-Tools jetzt beim ersten Aufruf das Abnicken einer EULA verlangen und danach eine Datei ins Verzeichnis der jeweiligen Anwendung schreiben (wollen). Dies macht sich nicht gut, wenn man seine Werkzeugkiste auf'm schreibgeschützten USB-Stick oder einer PE-CD mit sich herumträgt. Und CurrPorts ist mittlerweile um Längen besser als das (letzte) TCPView (, das ich gesehen habe). -
Versuch doch mal folgende Programme durch(Hat bei mir immer funktioniert)
SpyBot
Malwarebytes (Free Version)
HiJack This (vorsicht geboten)
-
@violet: Und warum sollte er das tuen? Wenn sich erstmal Schadcode auf dem System verbreitet hat, gibt es außer bereits genannten Maßnahmen nix was einen Sinn hat.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
