Unlöschbarer Virus?

Internet Internet Sicherheit
#1

Guten Tag liebe Experten.

Ich habe mir hier mal wieder so einen Virus gefangen. Eins von diesen „Möchten sie ihre Festplatten kostenlos prüfen lassen? Dann laden sie unsere kostenlose Software für 200 € runter“-Witz-Viren.
Es scheint so ein Spion, Virus, Trojaner, also alles zusammen in einem Paket zu sein. Leider erkennt ihn kein Program, kein Onlinescan etc.
Ich testete mit: Spybot, AdAware, AntiVir, Kaspensky und Norton.

Das Programm selbst springt immer wieder an und fälscht das Sicherheitscenter unter Vista, es erscheint also so ein Warnsymbol und es fängt ein Pseudoscan meiner Festplatten an etc.

Im „Msconfig“ heisst das Ding " „Somefox“ und unter C:\Users\Ich\AppData\Local\Temp ist die Datei (lässt sich so nicht löschen) als Video.msfg oder so ähnlich gespreichert.

Ich habe diese Datei im abgesicherten Modus gelöscht. Aber ich schätze der Virus ist immer noch auf dem Pc, im Systemstart ist er auf jeden Fall.

Was tun?

Bitte um Ratschläge. Also die führenden Antivirus- und Antispy-Programme erkennen das Ding nicht.

Danke Im Voraus.

#2

Hi,

wenn die Standard-tols nichts hergeben wird schwierig. Ich bin auch kein Spezialist - gehe dabei aber wie folgt vor:

  1. einiges hast du ja schon herausgefunden (video.msfg, somefox etc)
    ich durchwühle dann die registry nach derartigen dingen. zb müsstest du den starteintrag (msconfig) noch wiederfinden.
  2. findest du noch weitere verweise auf dateien … ebenfalls löschen

mir ist es zwar auch schon mal passiert, dass ich etwas zuviel gelöscht habe, aber dann hilft der wiederherstellungspunkt

sorry, wenn das nicht weiterhilft …

#3

Hi Michail

Ich habe mir hier mal wieder so einen Virus gefangen. Eins von
diesen „Möchten sie ihre Festplatten kostenlos prüfen lassen?
Dann laden sie unsere kostenlose Software für 200 €
runter“-Witz-Viren.

Im „Msconfig“ heisst das Ding " „Somefox“ und unter
C:\Users\Ich\AppData\Local\Temp ist die Datei (lässt sich so
nicht löschen) als Video.msfg oder so ähnlich gespreichert.

Ich habe diese Datei im abgesicherten Modus gelöscht. Aber ich
schätze der Virus ist immer noch auf dem Pc, im Systemstart
ist er auf jeden Fall.

Was tun?

der ist vergleichbar harmlos, den kann mit ein wenig Glück komplett löschen.
Saug dir das kostenlose hijackthis, mach einen Scann und stell das Logfile hier rein. Findest du hier:
http://download.freenet.de/archiv_h/hijackthis_6328…

Parallel dazu kannst du dir auch das Tool DelInvFIl saugen, das killt hartnäckige Dateien
http://www.purgeie.com/delinv/

Es macht aber noch keinen Sinn, dein temp-Ordner zu leeren, bevor su nicht die eigentliche Malware gelöscht hast

Gruss
ExNicki

#4

Hallo Michail

Ich habe mir hier mal wieder so einen Virus gefangen. Eins von
diesen „Möchten sie ihre Festplatten kostenlos prüfen lassen?
Dann laden sie unsere kostenlose Software für 200 €
runter“-Witz-Viren.

Das dürfte ein Exemplar aus der Zlob-Familie sein. Das ist alles andere als ein ‚Witz-Virus‘, sondern eine ernste Verseuchung Deines Systems.

Was tun?

Daten sichern, System flach machen und neu aufsetzen. Dabei am besten das System mit aktuellstem Service Pack, Treibern etc. versehen und fertig konfigurieren, bevor Du wieder damit online gehst. Und dann das System und die Programme stets aktuell halten.

Und nein, eine andere Lösung als eine Neuinstallation gibt es nicht. Jedenfalls keine, die empfehlenswert wäre. Denn sogar falls Du es schaffen würdest, dieses Virus zu entfernen, weisst Du nicht, was das Ding schon alles angestellt hat. Dein System wäre also trotzdem nicht sauber…

CU
Peter

#5

Hi Peter

Ich habe mir hier mal wieder so einen Virus gefangen. Eins von
diesen „Möchten sie ihre Festplatten kostenlos prüfen lassen?
Dann laden sie unsere kostenlose Software für 200 €
runter“-Witz-Viren.

Das dürfte ein Exemplar aus der Zlob-Familie sein. Das ist
alles andere als ein ‚Witz-Virus‘, sondern eine ernste
Verseuchung Deines Systems.

bist du sicher?
du weisst, ich bin auch immer für’s plattmachen, wenn es um Trojaner und Co geht, aber was ich bei diesem ergooglet (Somefox)habe, erschien mir doch harmloser.
Wenn es allerdings wirklich ein Ableger der ZLOB-Familie ist, gebe ich dir natürlich recht.

Gruss
ExNicki

#6

Wiederherstellungspunkt
Guten Tag liebe Experten, nochmal.

Danke für die Tipps.

Ich habe es noch nie mit der Wiederherstellung versucht, scheint aber eine interessante Sache zu sein. Wie ist es, ist es ein Programm, das man kaufen muss oder geht es auch so mit Windows Vista Ultimate?

Ist es so dass ich einfach erstmal alles installiere, Programme, Spiele und dann den Punkt sichere. Und wenn dann ein Virus meinen PC befällt oder es gibt einen krassen Absturtz, dann kann ich einfach „Wiederherstellen“ drücken und alles ist wie neu? Verstehe ich die Funktion richtig?

Danke im Voraus.

#7

Hallo ExNicki

du weisst, ich bin auch immer für’s plattmachen, wenn es um
Trojaner und Co geht, aber was ich bei diesem ergooglet
(Somefox)habe, erschien mir doch harmloser.

Nenne mal ein oder mehrere Seiten, die Du ergooglet hast.

Ich hab im Moment diese Seite gefunden:
http://www.bleepingcomputer.com/startups/Somefox-237…

-> Das Ding ‚Somefox‘ gehört offenbar zum Schädling ‚Troj/Dwnldr-HHB‘, der zur Kategorie ‚Trojaner / Downloader‘ (wie der Name bereits verrät) gehört. Und was so ein Downloader so alles anstellt, weiss man nicht.

Ganz abgesehen davon, dass es oft genug so ist, dass sich noch weitere Malware auf dem Rechner tummelt. Nur dass der User halt erst von diesem einen Exemplar etwas bemerkt hat.

CU
Peter

#8

Hi Peter

du weisst, ich bin auch immer für’s plattmachen, wenn es um
Trojaner und Co geht, aber was ich bei diesem ergooglet
(Somefox)habe, erschien mir doch harmloser.

Nenne mal ein oder mehrere Seiten, die Du ergooglet hast.

http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-t…
da wurde anscheinend das Ding erfolgreich entfernt

Ich hab im Moment diese Seite gefunden:
http://www.bleepingcomputer.com/startups/Somefox-237…

-> Das Ding ‚Somefox‘ gehört offenbar zum Schädling
‚Troj/Dwnldr-HHB‘, der zur Kategorie ‚Trojaner / Downloader‘
(wie der Name bereits verrät) gehört. Und was so ein
Downloader so alles anstellt, weiss man nicht.

ok, du hast mich überzeugt, um so mehr, weil ich noch eine Seite gefunden habe, die auf einen Trojaner hinweist.
http://forum.chip.de/viren-trojaner-wuermer/hijackth…

ich nehm alles zurück :smile:
Neuinstallation ist hier tatsächlich angesagt

Gruss
ExNicki

#9

Hi Michail

Ich habe es noch nie mit der Wiederherstellung versucht,
scheint aber eine interessante Sache zu sein. Wie ist es, ist
es ein Programm, das man kaufen muss oder geht es auch so mit
Windows Vista Ultimate?

das ist bei Vista eingebaut

Ist es so dass ich einfach erstmal alles installiere,
Programme, Spiele und dann den Punkt sichere. Und wenn dann
ein Virus meinen PC befällt oder es gibt einen krassen
Absturtz, dann kann ich einfach „Wiederherstellen“ drücken und
alles ist wie neu? Verstehe ich die Funktion richtig?

nein, leider nicht. Die Wiederherstellungsfunktion stellt wichtige Systemdaten wieder her, die sie vorher in einem speziellen Ordner gesammelt hat. Bei einem Virenbefall kann 1. die Daten dieses Ordners auch verseucht sein und 2. werden eben nur die Systemdateien überschrieben, aber kein Virus vernichtet.
Es nutzt also rein gar nichts bei Virenbefall.
Ein Image-Backup deiner Win-Partition hätte genutzt, aber das hast du wohl nicht.
Nachdem wir festgestellt haben (Peter früher, ich später), dass es sich um einen Trojaner handelt, hilft nur noch Platte glattbügeln und neuinstallieren. Trojaner haben zum alleinigen Zweck, andere Malware nachzuladen. Sogar, wenn du den Trojaner vernichten kannst, weisst du nicht, was mittlerweile noch alles auf deinem PC sein Unwesen treibt.

Gruss
ExNicki

#10

Hallo ExNicki

Nenne mal ein oder mehrere Seiten, die Du ergooglet hast.

http://www.pcwelt.de/forum/sicherheit-viren-w-rmer-t…
da wurde anscheinend das Ding erfolgreich entfernt

Danke für den Link. Wenn ich das lese, dann sträubt sich mir das Gefieder. Ein Schädling, der als vermeintlicher Video-Codec getarnt daherkam? Da sind mir bislang nur Exemplare bekannt, bei denen eine Neuinstallation unumgänglich ist, weil sie alles mögliche anstellen…

Erfolgreich entfernt? Dieser eine Schädling möglicherweise. Aber wie schon erwähnt, was ist mit dem ganzen Rest, den der Schädling in der Zeit, in der er aktiv war, schon nachgeladen hat?

Grundregel: Nur weil kein Antivirenprogramm o.ä. irgendetwas böses findet, heisst nicht, dass nichts Böses da ist. Das böse Zeug versteckt sich möglicherweise vor dem Antivirenprogramm etc.

Ausserdem sind heutzutage die Interessen der Malware-Autoren eigentlich durchwegs auf ‚Geldscheffeln‘ ausgerichtet. Es ist deren Ziel, innert kürzester Zeit auf möglichst viele Rechner Zugriff zu erlangen, ohne dass jemand etwas davon merkt.

CU
Peter

#11

Hi Peter

Danke für den Link. Wenn ich das lese, dann sträubt sich mir
das Gefieder. Ein Schädling, der als vermeintlicher
Video-Codec getarnt daherkam? Da sind mir bislang nur
Exemplare bekannt, bei denen eine Neuinstallation unumgänglich
ist, weil sie alles mögliche anstellen…

Erfolgreich entfernt? Dieser eine Schädling möglicherweise.
Aber wie schon erwähnt, was ist mit dem ganzen Rest, den der
Schädling in der Zeit, in der er aktiv war, schon nachgeladen
hat?

Grundregel: Nur weil kein Antivirenprogramm o.ä. irgendetwas
böses findet, heisst nicht, dass nichts Böses da ist. Das böse
Zeug versteckt sich möglicherweise vor dem Antivirenprogramm
etc.

Ausserdem sind heutzutage die Interessen der Malware-Autoren
eigentlich durchwegs auf ‚Geldscheffeln‘ ausgerichtet. Es ist
deren Ziel, innert kürzester Zeit auf möglichst viele Rechner
Zugriff zu erlangen, ohne dass jemand etwas davon merkt.

yep, das weiss ich alles, aber ich will auch nicht bei jedem Virus „Neuinstallation“ schreien, es gibt ja tatsächlich noch einige ‚harmlose‘ Varianten, die man bedenkenlos löschen kann.
In diesem speziellen Fall hatte ich allerdings zu oberflächlich recherchiert :smile:

Gruss
ExNicki