Windows fixdisk

Internet Internet Sicherheit
#1

Hallo,

kürzlich hat es der Trojaner ‚windows fixdisk‘ geschafft, sowohl firewall als auch virenscanner zu umgehen, und von einem Rechner ‚Besitz‘ zu ergreifen. Nach dem Start von WinXP erscheint sofort dieses ‚Programm‘ das vorgibt, das System auf Schäden zu untersuchen. Sämtliche Programme sind scheinbar verschwunden, die Dateien ebenfalls. Im abgesicherten Modus konnte ich jedoch mit der Eingabeaufforderung (DOS) herausfinden, dass die verschwundenen Dateien keineswegs gelöscht, sondern nur versteckt sind. Trotzdem werde ich windowsfixdisk nicht wieder los. Mit einem anderen Rechner habe ich im Web ermittelt, dass diese Malware mit einem Code deaktiviert werden kann, doch wo ich diesen Code eingeben kann, ließ sich nicht herausfinden.

Meine Fragen:
-Wie kann ich den befallenen Rechner befreien, ohne das gesamte System neu aufsetzen zu müssen, und die auf dem Rechner befindlichen Dateien zu verlieren?
-Wie kann es sein, dass eine derart schädliche Malware an Firewall und Virencanner vorbeikommt, und die Drive-By-Installation einfach stattfindet?
-Gibt es einen Dos-Befehl (oder ein Tool), mit dem ich sämtliche Dateien und Ordner vom Status ‚hidden‘ befreien kann, ohne mich von Ordner zu Ordner durcharbeiten zu müssen?

Ich freue mich auf Eure hilfreichen Infos.

Gruß,

mk

#2

Hi,

Meine Fragen:
-Wie kann ich den befallenen Rechner befreien, ohne das
gesamte System neu aufsetzen zu müssen, und die auf dem
Rechner befindlichen Dateien zu verlieren?

Ist bei Windows schwierig, eine Möglichkeit wäre, Linux (Knoppix) zu booten, und die Windowsfestplatte mounten, dann kannst du alle möglichen Dateien darauf löschen. Aber du weisst ja nicht an welchen Prozess sich der Virus noch drangehangen hat.

-Wie kann es sein, dass eine derart schädliche Malware an
Firewall und Virencanner vorbeikommt, und die
Drive-By-Installation einfach stattfindet?

Eine richtige Ausführung, über das Wie, würde zu lange dauern.

-Gibt es einen Dos-Befehl (oder ein Tool), mit dem ich
sämtliche Dateien und Ordner vom Status ‚hidden‘ befreien
kann, ohne mich von Ordner zu Ordner durcharbeiten zu müssen?

Ja, du startest den regedit.exe und unter dem Pfad > HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced gibt es einen Eintrag „Hidden“, rechter Mausklick drauf und auf „Ändern“ drücken, dort den Wert von 1 auf 0 setzen.
Falls es du Probleme haben solltest, kann ich dir auch ein kleines Script schicken, was das für dich macht.

Gruß

#3

Hallo makkumba,

eine ausführliche Anleitung zum Entfernen findest du z.B.

http://www.bleepingcomputer.com/virus-removal/remove…

hier.

Allerdings kann es durchaus sein, daß du dir im gleichen Zug den TDSS-Rootkit eingefangen hast.

Besser wäre es, das System neu aufzusetzen:

http://www.trojaner-board.de/12154-anleitung-neuaufs…

Grüße

godam

#4

-Gibt es einen Dos-Befehl (oder ein Tool), mit dem ich
sämtliche Dateien und Ordner vom Status ‚hidden‘ befreien
kann, ohne mich von Ordner zu Ordner durcharbeiten zu müssen?

Ja, du startest den regedit.exe und unter dem Pfad >
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Exp
lorer\Advanced gibt es einen Eintrag „Hidden“, rechter
Mausklick drauf und auf „Ändern“ drücken, dort den Wert von 1
auf 0 setzen.

Das ist leider Quark. Da Dateiattribute nicht in der Registry gespeichert werden sondern - der Name lässt es vermuten - mit der Datei, bewirkt Dein Vorgehen nicht das gewünschte. Was es bewirkt ist, daß im Explorer auch Dateien mit gesetztem h-Attribut angezeigt werden.

Richtig wäre

attrib -h \*.\* /s

ausgeführt vom Root. Allerdings rate ich ausdrücklich davon ab soetwas zu machen ohne zu wissen, was man tut!

Gruß

osmodius

1 Like
#5

Das ist leider Quark. Da Dateiattribute nicht in der Registry
gespeichert werden sondern - der Name lässt es vermuten - mit
der Datei, bewirkt Dein Vorgehen nicht das gewünschte.

Lies mal oben er wollte u.a versteckte Ordner sich anzeigen lassen. Und da ist die vorgehensweise korrekt, ob da jetzt auch alle Dateien sich sehen lassen, ist mir damit nicht bekannt, bin kein Windowsuser(Dank sei Glück)!

#6

Lies mal oben er wollte u.a versteckte Ordner sich anzeigen
lassen. Und da ist die vorgehensweise korrekt, ob da jetzt
auch alle Dateien sich sehen lassen, ist mir damit nicht
bekannt, bin kein Windowsuser(Dank sei Glück)!

Dann gib auch keine Tipps.

Stefan
(auch kein Windows-User)

#7

Zumindest hilft mein Beitrag den Leuten, die sich u.a den Ordner AppData anschauen möchten, um z.B. die Firefox key.db oder die bookmarks zu kopieren oder im Ordner Macromedia die Flash Cookies zu löschen. Im Allgemeinen ist der Ordner AppData ziemlich interessant.
Das damit zusätzlich nur Dateien mit gesetztem H (für versteckte Dateien) und keine HS ( versteckte Systemdateien) sich sehen lassen, konnte ich jetzt nicht wissen. Aber ist ja nicht so schlimm. Der Beitrag wird doch einigen Helfen im Gegensatz zu deinem Kommentar.
Fehler kann jeder mal machen auch du machst jeden Tag welche, bedenke das! Zumindest hab ich was daraus gelernt. Und kein Windowsuser heisst nicht gleich kein Windows haben.

#8

Der Beitrag wird doch einigen Helfen im Gegensatz zu deinem Kommentar.

Ich wollte eigentlich nur dir helfen.

Fehler kann jeder mal machen auch du machst jeden Tag welche, bedenke das!

Kann schon sein, aber es ging ja nicht um Fehler.

Und kein Windowsuser heisst nicht gleich kein Windows haben.

Doch. Für Leute wie mich heißt das genau das.

Stefan

#9

Und kein Windowsuser heisst nicht gleich kein Windows haben.

Doch. Für Leute wie mich heißt das genau das.

Das mag schon sein! Ich benötige es halt noch, wenn es hochkommt, 1 mal in 2 Monaten, um a) Pythonscripts in exe zu transformieren, um die Progs Freunden schicken zu können und b) zum Testen von Malware, was ich zwar auch unter Linux machen könnte, mittels IDA Pro und Wine, aber in Live ist mir das lieber, genauso wie ich lieber Netzwerkkonfiguartionen mit 3 Pc und 2 Routern teste, statt unter Linux UML zu benutzen.

Gruß