Huhu alle zusammen,

ersteinmal ein Lob an die Board-Crew.

Meine Alternative zur Datensicherung.

!!! WICHTIG !!!

Code: Alles auswählenAufklappen

ATTFilter

Diese Methode entfernt den Wurm nicht von eurem Rechner und 
Ihr werdet gegebenfalls bei einer Datensicherung die infizierte Datei mit Kopieren.
         

Getestet auf Windows 7 Ultimate x64

-> Windows im Abgesicherten Modus mit EINGABEAUFFORDERUNG starten
-> mit Notepad.exe in der Kommandozeile den Editor starten
-> im Editor folgendes eingeben

Code: Alles auswählenAufklappen

ATTFilter

@echo off
taskkill.exe /im InetAccelerator.exe
         

// InetAccelerator.exe kann varieren wenn die Crew die anderen
// prozessnamen hat, kann man sie gerne noch einfügen.

-> Datei Speichern unter
-> Dateityp ändern zu Alle Datein (*.*)

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\*BENUTZERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
         

-> *BELIEBIGERNAME*.bat
-> und speichern drücken
-> Computer neustarten
-> Normal starten und Anmelden

// Jetzt solltet ihr kurz ein weisses Fenster sehen (Wurm) das sich denn
// wieder schließt. Denn kommt noch kurz ein "CMD" fenster und verschwindet
// wieder. Nun solltet Ihr wieder die Normale Windows Oberfläche haben

Ich sag es nochmal DIE SCHADSOFTWARE IST IMMERNOCH DA !


Was macht die Datei ?
Der Befehl Taskkill dient im Grunde als Taskmanger -> Prozess Beenden nur das man nicht in den Taskmanager dazu braucht da dieser bekannterweise in den Hintergrund geschoben wird. Selbstverständlich ist es möglich jetzt einen Komplett-Scan zu machen doch es besteht die Möglichkeit das die Schadsoftware einen Einfluss auf das Anti-Vir Programm hat

Kritik, Kommentare und Fragen sind gerne gesehen. Ich hoffe ich konnte euch helfen.

Mit freundlichen Grüßen

Strobe

Zitat:

Meine Alternative zur Datensicherung.

Sry aber wo ist denn jetzt die Alternative zur Datensicherung?
Das Löschen von irgendwelchen Objekten in fest vorgegeben Ordnern kann ja wohl schlecht ein Backup ersetzen.
Auch befürchte ich, dass das nur wenn überhaupt in wenigen Fällen dazu führt, dass man Windows wieder halbwegs benutzen kann im normalen Modus. Und dann ist ja noch

Zitat:

Ich sag es nochmal DIE SCHADSOFTWARE IST IMMERNOCH DA !

also seh ich irgendwie keinen Vorteil bei deiner Vorgehensweise...
Was schlägst du denn vor, wenn nichtmal der abgesicherte Modus mit Eingabeaufforderung funktioniert?

Hallo cosinus,

danke das du meinen Beitrag so aufmerksam gelesen hast.

Zitat:

Das Löschen von irgendwelchen Objekten in fest vorgegeben Ordnern kann ja wohl schlecht ein Backup ersetzen.

Es werden keine Dateien in vordefinierten Ordnern gelöscht ...
es wird gar nichts gelöscht ...

Die *.bat Datei wird im Autostart gespeichert somit wird sie ausgeführt egal was die "GEMA" sagt und killt so den Prozess


Und zum Punkt Datensicherung ... ich gebe zu das ich mich ein wenig missverständlich ausgedrückt habe ... es soll eine alternative Methode um seine Dateien zu sichern (ohne live CD).

Zitat:

Auch befürchte ich, dass das nur wenn überhaupt in wenigen Fällen dazu führt, dass man Windows wieder halbwegs benutzen kann im normalen Modus.

nachdem ich den Task gekillt habe ... lief Malewarebytes durch einfach mal weil sich 3TB Video Footage nicht so einfach verschieben lassen ... und ich auf Nummer sicher gehen wollte ... es lief alles wunderbar ... und auch wenn du es mir nicht glauben solltest ich habe gestern die batch wieder aus dem Autostart geholt und heute startete der Rechner ganz normal ...

Zitat:

Was schlägst du denn vor, wenn nicht mal der abgesicherte Modus mit Eingabeaufforderung funktioniert?

Plattmachen ?! Live CD ?! ...
Mal ne andere frage was ist wenn der letzte Rohling um 22 Uhr abends nen fehlburn wurde .... oder man gar kein zweiten Rechner zum abbrennen hat ?

und nein ... man muss kein Rechner haben um das hier zu lesen ... man muss noch nicht mal was runter laden ... was für Leute mit aktiv beschränkten Ressourcen evtl. gar nicht mal so schlecht ist oder ?

ach ja meintest du

Zitat:

C:\Users\*BENUTZERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

mit dem vordefinierten Ordner ?

Wenn ja ist es mir eine Ehre dir den Pfad zum Autostart vorstellen zu dürfen und ja der ist wirklich vordefiniert xD

Zitat:

Es werden keine Dateien in vordefinierten Ordnern gelöscht ...

Hm, ok, ich dachte erst du wolltest darauf hinaus, dass die Schädlingsdatei (Image Path des Schädlingsprozesses) sich im diesem Autostart Verzeichnis immer befindet.. aaaber(!)

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\*BENUTZERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
         

1.) C:\User gibt es nur bei Vista und Win7. XP-User schauen bei deiner Anleitung in die Röhre?

2.) Statt "harte" Pfade wäre es IMHO besser Variablen zu nehmen. Statt sowas wie C:\User\Benutzer\... sollte man auch einfach %userprofile% angeben, gerade für den Laien ein besserer Weg als mühsam da den für ihn bestimmten Pfad in der Konsole rauszufinden - kompletter Pfad also

Code: Alles auswählenAufklappen

ATTFilter

%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
         

Zitat:

Die *.bat Datei wird im Autostart gespeichert somit wird sie ausgeführt egal was die "GEMA" sagt und killt so den Prozess

3.) Was machst du wenn der Prozessname random (zufällig) ist? Da kann man auch keine Liste pflegen und der Versuch per Autostart einen Prozess zu killen führt sauber ins Leere
Was machst du wenn der böse Prozess sich als MS-Datei tarnt, also den gleichen Abbildnamen trägt wie eine legitime Windows-Systemdatei wie zB svchost.exe? Willst du dann ein taskkill.exe /im svchost.exe machen?

Zitat:

es soll eine alternative Methode um seine Dateien zu sichern (ohne live CD).

Na da würde ich dringend von abraten. Wie du ja selbst festgestellt hast, ist der Schädling noch aktiv und kann somit auch das Backup beeinflussen. Und erstmal musst du es schaffen so auf diese Methode den Prozess zu killen, warum ich meine Bedenken habe hab ich ja gepostet.
Zur Datensicherung von infizierten Systemen sollte man tunlichst ein Live-System verwenden, da dort keine aktiven Schädlinge sind...abgesehen davon, sollte man sich nicht erst Gedanken um eine Datensicherung machen wenn es im Prinzip schon zu spät ist

Zitat:

Mal ne andere frage was ist wenn der letzte Rohling um 22 Uhr abends nen fehlburn wurde .... oder man gar kein zweiten Rechner zum abbrennen hat ?

Das sind doch eher Ausreden als Argumente gegen einen Live-Modus. Aber ich könnte jetzt noch dutzende andere Beispiele nennen, die das Booten der Live-CD "verhindern", deswegen sollte man aber nicht einen so suboptimalen Weg gehen.

- wenn die Rohlinge alle sind kauft man sich neue
- wenn kein zweiter Rechner da ist kann man durchaus mal auch einen Bekannten fragen ob er eine CD brennen könne
- es gibt auch sowas wie Zeitschiftenläden/Kiosks, die auch Computerzeitschriften verkaufen, auf irgendeiner findet sich eigntlich immer eine CD/DVD mit Live-OS als Rettungsystem

Zitat:

und nein ... man muss kein Rechner haben um das hier zu lesen ... man muss noch nicht mal was runter laden ... was für Leute mit aktiv beschränkten Ressourcen evtl. gar nicht mal so schlecht ist oder ?

"Leute mit aktiv beschränkten Ressourcen" - das ist ja mal ne nette Bezeichung. Wer zu "beschränkte Ressourcen" hat und sich nicht mal eine Live-CD besorgen kann, muss sich nicht wundern, wenn er auch nur beschränkte Wege gehen kann, die mitunter halb oder garnicht funktionieren

Zitat:

Wenn ja ist es mir eine Ehre dir den Pfad zum Autostart vorstellen zu dürfen und ja der ist wirklich vordefiniert xD

Ich muss zugeben, dass ich erst das so aufgefasst habe, du willst nur in diesem einen Autostart-Ordner die Datei löschen, wobei es doch noch zig andere Orte für den Autostart bei Windows gibt.

Also die größten Schwachstellen deiner Anleitung sind imho:

- du stellst einen funktionierenden abgesicherten Modus als Voraussetzung, geht der nicht versagt dein Konzept, weil es offensichtlich keine Live-CD vorsieht oder als Alternative vorschlägt
- du versuchst einen Prozess per Autostart zu beenden, die Idee ist ja garnicht mal abwegig. Ich hab da aber so meine Zweifel, dass das eingermaßen zuverlässig funktioniert, wie gesagt, bei einem random Prozessnamen ist dein Weg machtlos und wenn der Prozess sich gegen ein Töten wehrt ebenfalls