Hallo, wenn ich einen USB Stick an mein Laptop1 einhnge, dann kommt kurze Zeit später eine exe Datei drauf. Automatisch.
Über ubuntu kann ich auf dem Stick noch eine autorun..inf sehen und die exe datei. Die Exe Datei ist immer mal wieder ein anderer Name.
Anbei der erste Scan mit FRST, das mit PPFScanner mache ich gerade
Laptop1 exe datei schiebt sich rein
-
-
-
hier die Datein
-
Der Rechner ist auch befallen. Ich vermute mal, weitere Scans kann man sich schenken.
Ich würde jetzt eine Radikallösung vorschlagen.
Eine neue große externe Platte kaufen.
Alle Rechner vorerst nur noch mit einer Linux DVD starten. Dann mit der Linux DVD auf die neue große Platte alle Dateien kopieren. Keine EXE, keine DLL. Nur Bilder, Filme, Dokumente.
Dann alle externen Datenträger über Linux mit Gparted komplett neu einrichten. Da heißt: Partitionstabelle löschen, neu erstellen, Datenpartition neu erstellen. Daten sind dann weg, aber die solltest du ja zuvor gesichert haben auf die neue Platte.
Zu externen Datenträgern zählen natürlich alle externen Platten, USB-Sticks, Speicherkarten von Kameras etc.
Und dann einen Rechner nach dem anderen nach AHTs Vorschlag neu einrichten. Also inkl. des Löschens aller Partitionen und Neuformatierung. Vor dem Anschließen externer Datenträger das System jeweils auf den aktuellen Stand bringen, also alle Updates einspielen.
Beim Rückspielen der Daten auch Vorsicht walten lassen. In Word Dokumenten z. B kann ein Makrovirus stecken. Also externe Platte vor dem Einspielen mit einem Virenscanner prüfen.
Alles andere wird Pfusch am Bau sein. Da muss nur noch irgendwo wieder ein Rest schlummern und es geht von vorne los.
Du kannst ja noch mal AHTs Meinung dazu abwarten, aber ich würde so verfahren.
-
So hier derr andere Scan.
http://workupload.com/archive/7MGE5jG
Der Wurm ist ja überrall, wieso kann man den z.b nicht erstmal von der extPlatte befreien bevor ich eine neue Platte kaufe?
Ist doch dasselbe, der wird sich doch in die neue Platte auch einmisten? -
Darum ja die Datensicherung mit Linux. Datum ja auch nur Dokumente, nichts ausführbares.
Datensicherung mit Windows wird dir beim aktuellen Stand nicht helfen. Ebensowenig wie ein Image.
-
Der Rechner ist auch befallen.
Ja, der gleiche Payload wie bei dem anderen Gerät. Auch hier wird eine Bereinigung wohl zwecklos sein. Auch hier sind sogar die Scanprogramme bereits wieder teilweise mit dem Dateivirus infiziert.
wieso kann man den z.b nicht erstmal von der extPlatte befreien bevor ich eine neue Platte kaufe?
Der wird bereits auf allen Datenträgern sein, die du zur Zeit im Haus hast. Eventuell sogar auf deiner Kamera, wenn du eine besitzt.
Mit einem infizierten System kann man die Datenträger nicht bereinigen, da der Trojaner ja bereits in den Bereinigungsprogrammen läuft. Die Bereinigungsprogramme tun also bereits dass, was der Programmierer des Trojaners möchte - nicht das was wir wollen.Führst du eine Datensicherung nach dem Prinzip mit Linux durch, das meierkurt hier beschreibt, wird der Trojaner nicht auf der Platte mit der Sicherung sein (vorausgesetzt du zieht dir keine EXE Dateien - also Programme) mit in die Sicherung.
Wie legt sich der Trojaner auf den externen Datenträgern ab:
Der Trojaner erzeugt nicht nur die Verknüpfungen, die du da siehst - er erzeugt auch noch andere Sachen. Unter anderem erzeugt er auf jedem Laufwerk (auch auf deinen Internen im Rechner) eine autorun.inf Datei, die für dich unsichtbar ist. Über diese Datei kann sich der Trojaner ohne weiteres zutun von dir selbst starten und instzallieren, wenn dein Betriebssystem nicht auf dem aktuellen stand ist - das heißt, wenn nicht alle Updates gezogen wurden, die Microsoft zur Zeit anbietet.
Ist das Betriebssystem aktuell, wird der Trojaner versuchen, die zu einer Aktion zu verleiten, damit er sich starten und das System infizieren kann:- Klickst du die Verknüpfungen auf dem Stick an, wird sich der Trojaner selbst ausführen und auf dem Rechner installieren, an den er angeschlossen ist.
- Beim Einstecken des Datenträgers wird dir unter Umständen ein Dialog gezeigt werden, in dem du auswählen kannst, was du mit dem Datenträger tun willst. Triffst du dort eine Auswahl, kann auch das zum Start des Trojaners führen.
Beim diesem Trojaner haben wir einen kleinen Vorteil - er kennzeichnet veränderte EXE Dateien sehr deutlich durch eine Änderung in der Dateiresource. Hier ein Beispiel:
Zitat31.03.2018 23:06 C:\Users\tester\Desktop\PPFScan\PPFScan.exe --------- 4124471 (N) Firmenname: Microsoft Produktname: Win --- MD5: feaaeb3d196d54da79e1b77537a0225e
Er tut das deshalb, um eine "Doppelinfektion" der gleichen Datei zu vermeiden. Machst di wirklich keinen Fehler, habe wir also eine gute Chance, infizierte Datenträger nachher wieder sauber zu bekommen.
Bitte poste noch die LOGs von den anderen Rechnern, wie wir das abgesprochen haben - die Chancen, dass dort ein anderer Payload sein Unwesen treibt, sind aber sehr schlecht.
-
Ganz schön besch**** der Virus.
Eine Idee zum testen:
- Keine Neue Platte kaufen
- Nicht auf jeden Rechner Linux installieren
- Daten auf eine ext. usb platte(wahrsch.) infiziert sichern
- ext. Festplatte an den Linux rechner stöpseln
- Daten sichern auf Linux, ext Festplatte neu partitioniern usw.
- nach partitionieren usw Dtaen wieder drauf spielen bzw. auf den neu aufgestzten Win Rechner?Dann schauen ob es wandert?
-
Das kannst du so versuchen. Wenn du keine EXE Dateien sicherst, müsste das so gehen.
Der Payload ist unter anderem drauf:Das Ding ist dazu in der Lage, quasi per Fernsteuerung alle möglichen Hackingaktionen auf dem Gerät auszuführen.
Ich würde damit rechnen, dass alle möglichen Daten bereits in fremden Händen sein können.
Ich würde jetzt also möglichst zeitnah handeln. -
Also gut, dann kann ich das bei diesem der laptop heute machen.
Der grosse Rechner würde mir für heute zulange dauern.
Für den Versuch um zu wissen das diese Methode fruchtet , also Linux nicht auf allen zu installieren ist es wert denke ich. danach müssten wir mal schauen wie wir den Rest meistern.
Erstmal tausenddank
-
Linux installieren musst du eigentlich gar nicht - du kannst Linux direkt von einer Live-CD booten - ohne das zu installieren.
-
Das Problem ist, ich habe echt schlechten Internet sodass ich mir grössere Daten nicht so schnell laden kann.
Habe noch einen alten Laptop wo Ubuntu alleine drauf ist.
Und morgen ist Ostermontag, da bekomme ich nicht so schnell eine neue Platte gekauft. -
Dann mach das so, wie du das vorgeschlagen hast. Das spart dann Zeit.
-
Ok, ich werde das gleich neu aufsetzen und es so mal versuchen.
kann danach ja den scan hier hochladen wenn ich der Meinung bin die usb-stick bereinigt zu haben mit ubuntu.
das wird eine Nacht -
Wie gesagt - bevor du irgendeinen Datenträger wieder an das Gerät anschließt, alle Updates für das neu aufgesetzte Gerät ziehen und darauf achten, dass wirklich Service Pack 1 wieder auf dem Gerät installiert ist.
Dann sehen wir weiter und überprüfen erst das neu aufgesetzte Gerät. -
Also, kurzer Zwischenbericht.
Ich habe eine win7 über USB, die bootbar ist.
Die war auch vorher nirgends dran.So Win aufgespielt.
Hier fängt es an
Auf einem anderen Stick, hatte ich die Treiber für den Laptop.
Diese hatte ich zuvor von dem infizierten auf den Ubuntu Laptop gezogen. Anschliessend den USB über Ubuntu bereinigt-wieder alles auf den Stick.Den Stick nun auf den neu aufgesetzten Win Laptop, sehr langsames öffnen des USB Sticks. Nichts bestätigt-wollte aushängen und es hiess USB Stick in verwendung aushängen nicht möglich.....
So abgezogen und auf den Ubuntu wieder drauf, siehe da, auf dem Stick wieder autorun.inf und eine .exe Datei
Also doch Linux Live-Cd erst besorgen, und die Treiber dann auf CD brennen? Oder wie wäre es sinnvoll?
-
Oder würde es Sinn machen das man den neu aufgesetzten mal scant, weil weniger Daten drauf sind den Wurm dort zu finden.
Anhand dieser Infos die anderen dann abarbeitet?
-
Hallo danilo,
bei dir ist ein Fileinfektor am laufen.
Hier mal eine Anleitung die man nicht befolgen sollte:
http://de.pcviruscare.com/blog/entfernen…fernung-vorgangMan sollte nur noch über eine Live-CD Daten sichern, wie der Meierkurt schon schrieb.
Websites und EMails nur mit der Kneifzange anfassen.
Den Stick nun auf den neu aufgesetzten Win Laptop, sehr langsames öffnen des USB Sticks. Nichts bestätigt-wollte aushängen und es hiess USB Stick in verwendung aushängen nicht möglich.....
Ist doch logisch, alle *.exe und *.dll usw. verbreiten die Infektion nur unter Linux passiert nix.
Linux kann von sich aus keine PE Dateien verarbeiten, die sind bei dir alle versifft.Sichere deine Daten auf eine externe Festplatte!!
Du musst eh alles neu Installieren, wenn Du Spass haben willst, dann lasse mal einen Virenscanner über deine Systeme und externen Geräte laufen.
https://www.botfrei.de/de/eucleaner/index.html
Da löst sich Windows im Daten-Nirwana auf.
Tschau
Oder würde es Sinn machen das man den neu aufgesetzten mal scant, weil weniger Daten drauf sind den Wurm dort zu finden.
Anhand dieser Infos die anderen dann abarbeitet?
Es ist ein Fileinfektor, einmal eine infizierte Datei gestartet und das Spiel beginnt von Neuem.
-
Ich habe eine win7 über USB, die bootbar ist.
Die war auch vorher nirgends dran.
...Diese hatte ich zuvor von dem infizierten auf den Ubuntu Laptop gezogen. Anschliessend den USB über Ubuntu bereinigt-wieder alles auf den Stick.
Der Hauptrechner ist seit mindestens 2017 infiziert.
Am besten mit Windows7 DVD neu aufsetzen (zur Not eine brennen) - keine Sticks mit älteren ISOs beim Neuaufsetzen anhängen. Keine Treiber von einem infizierte Stick auf den neu installierten Rechner ziehen, da alle EXE Dateien infiziert sein können und sich der Trojaner sowieso sofort auf dem Rechner beim Einstecken des Sticks installieren wird, wenn noch nicht alle Updates auf dem Rechner sind.
Ich dachte, das wäre klar.Oder würde es Sinn machen das man den neu aufgesetzten mal scant, weil weniger Daten drauf sind den Wurm dort zu finden.
Nein, absolut keinen Sinn. Sobald das Scantool auf dem Rechner ist, wird es selbst infiziert sein. Es gibt dann absolut keine Chance, den Rechner zu bereinigen.
Nochmals neu aufsetzen. Treiber zur Not mit dem Linux Rechner neu vom Hersteller aus dem Netz laden und dann auf einen wirklich nicht infizierten Stick ziehen (unter Linux frisch formatieren). -
Noch was:
Wenn der Rechner neu aufestzt wurde, bitte sofort den kostenlosen Virenscanner von Avira Antivir (Free Antivirus) installieren (keinen anderen nehmem): -
Guten morgen,
ich habe nun Win7 mit einer CD neu installiert. Mit dem schreibe ich jetzt
Soll ich den jetzt mit den Far Scan scannen?Avira ist drauf, alle updates sind drauf von win.
Wie gehen wir weiter vor? Wann soll ich den infizierten USB einstöppseln?
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!