Verdacht auf Virus/Trojaner

CyberFred · 27.03.2004, 18:37

Hallo.
Ich sitze hier gerade vor dem PC von ner Bekannten. Betriebsystem ist Win2k. Das Problem ist, dass sich diverse Anwendungen wie z.B. AntiVir nicht mehr starten lassen. Ich habe auch schon verscuht KAV zu installieren, aber beim Scan hängt sich der Computer auf. Ebenso verhält es sich mit Ad-Aware. Außerdem lässt sich der PC nicht vollständig herunterfahren (nach der Abmeldung bleibt der blaue Bildschirm stehen) und beim Aufrufen des Arbeitsplatzes wird kein Inhalt angezeigt.
What to do???

ciao

27.03.2004, 18:47

hi cyberfred,

schon mal die autostarts durchforstet, ob dort ungewöhnliche einträge vorhanden sind?

funzen die anwendungen im abgesicherten modus, oder werden sie dort auch geblockt?

CyberFred · 27.03.2004, 18:50

Registry habe ich schon mit TC durchforstet, aber ohne Erfolg.

ciao

27.03.2004, 19:07

Warum schaust du nicht, was ein Online-Scan sagt:
http://de.trendmicro-europe.com/ente...all_launch.php

CyberFred · 27.03.2004, 19:12

Die Sache mit dem abgesicherten Modus hat soweit geklappt, nur lässt sich selbst denn KAV immernoch nicht laden.

ciao

**Paranoia** · 27.03.2004, 19:40

Wenn sich AV-Programme nicht mehr instalieren lassen, spricht das das immer für einen Virus. Meine Empfehlung: Mal mit HijackThis scannen und evtl den Bösewicht finden oder versuchen ein AVProg im Abgesichertem Status zu starten.
Ansonsten in so einem Fall im das geeignete Handwerkszeug nutzen:
1. TShirt: I Won´t Fix your Computer
oder
2. Autarke AVSoftware:
Also KAV-Disketten oder die komfortablere RettungsCD von AVK(das einzige was ich bei KAV vermisse) oder die BitDefender AV Linux CD (Hier besprochen) . Das aktuelle Knoppix kann aber auch schon helfen, da es über einen neuen Live Installer für eine AV besitzt.(Zumindest die CT Version hatte einen)
Para

[ 28. März 2004, 01:52: Beitrag editiert von: Paranoia ]

CyberFred · 27.03.2004, 20:13

<blockquote>Zitat:<hr />Original erstellt von Paranoia:
2. Autarke AVSoftware:
Also KAV-Disketten oder die Comfortabelere RettungsCD von AVK(das einzige was ich bei KAV vermisse)[/QUOTE]Der Ansatz ist ja gut, udn ich habe auch eine AVK-Boot-CD, jedoch kann man die Signaturen halt nicht updaten...

ciao

mmk · 27.03.2004, 20:27

1.) Aber für KAV sind die Signaturen aktuell? Dann ersuch mal, die Avp32.exe umzubenennen (also den Namen vor der Endung "exe"). Führe diese Datei dann aus. Klappt der Scan (im abgesicherten Modus) nun?

2.) Ein HijackThis-Log wäre ggf. hilfreich.

CyberFred · 27.03.2004, 22:53

Der Scan im abgesicherten Modus klappt mit KAV nach wie vor nicht. Ich konnte zwar mit a² scannen, aber der hat nichts gefunden. Die Registry habe ich schon mit TC durchsucht und soweit auch alle mir unbekannten Einträge übergeprüft -> ebenfalls ohne Erfolg. Ich benutze übrigens KAV 5, also ist das mit avp32.exe umbenennen nicht nötig!?

ciao

27.03.2004, 23:22

<blockquote>Zitat:<hr /> Ich konnte zwar mit a² scannen, aber der hat nichts gefunden. [/QUOTE]Das hat nichts zu sagen. [img]graemlins/zzwhip.gif[/img]
Die Erkennungsraten sind sehr schwach.

Hast du einen OnlineScan gemacht?
HijackThis wäre mit Sicherheit das sinnvollste.

Who Cares · 28.03.2004, 01:13

Neben Hijackthis (oder dem etwas ausführlicheren Äquivalent von diamond-CS) wäre evtl mal ein Scan mit
ftp://ftp1.avp.ch/utils/clrav.com
oder Multiremoval-Tools wie Stinger, Panda, avast
möglich.
(Panda und clrav könnten evtl auch nach Booten von der Win2k-CD und Wechsel in die Konsole eingesetzt werden ?)

AV-Boot-CD gibt's auch gratis von www.centralcommand.com -> Downloads
(lesen/Scannen auf NTFS problemlos, da Linux-CD, aber vom Schreiben/Löschen/Reparieren würde ich unter W2k die Finger von lassen)

mmk · 28.03.2004, 14:08

@CyberFred:

1.) Ich würde bis zum endgültigen Release der Version KAV 5.0 noch mit der letzten aktuellen 4.x prüfen, denn die 5.0 befindet sich noch im Teststadium.
2.) Ja, das Umbenennen war ein Vorschlag, um evtl. das Deaktivieren durch einen Backdoor zu umgehen.

CyberFred · 24.04.2004, 07:18

Ich konnte also der Bekannten damals vorläufig nicht weiterhelfen. Sie hat ihren PC dann zu einem Fachmann geschickt, welcher diagnostizierte, dass die Festplatte kaputt war und demzufolge auch gleich eine neue für 60€ eingebaut hat.

Es ist schon wirklich eine Frechheit, was sich manche Computerspezialisten erdreisten, denn denn die Festplatte konnte nie im Leben defeckt gewesen sein, zumal die oben Beschriebenen Probleme nicht mehr autreten, wenn man den PC im abgesicherten Modus laufen lässt.
Gibt es nicht irgendeine Möglichkeit im Nachhinein das Computergeschäft dafür zur Rechenschaft zu ziehen?

ciao

24.04.2004, 14:43

Na geh doch einfach mal hin zu sag ihm das.

Shadow · 24.04.2004, 14:56

@ CyberFred: Die angeblich defekte HD ist nach wie vor Eigentum Deiner Bekannten! Aushändigen lassen und hoffen dass irgendwo das genaue Modell mit Seriennummer der Originalkonfiguration festgehalten war.
€ 60 .- für neue HD? wie groß, welches Modell?

[ 24. April 2004, 16:53: Beitrag editiert von: Shadow ]

27.03.2004, 18:47	#2
mav1976 Gast	Verdacht auf Virus/Trojaner hi cyberfred, schon mal die autostarts durchforstet, ob dort ungewöhnliche einträge vorhanden sind? funzen die anwendungen im abgesicherten modus, oder werden sie dort auch geblockt? __________________

27.03.2004, 19:07	#4
Christian Gast	Verdacht auf Virus/Trojaner Warum schaust du nicht, was ein Online-Scan sagt: http://de.trendmicro-europe.com/ente...all_launch.php

27.03.2004, 23:22	#10
Christian Gast	Verdacht auf Virus/Trojaner </font><blockquote>Zitat:</font><hr /> Ich konnte zwar mit a² scannen, aber der hat nichts gefunden. </font>[/QUOTE]Das hat nichts zu sagen. [img]graemlins/zzwhip.gif[/img] Die Erkennungsraten sind sehr schwach. Hast du einen OnlineScan gemacht? HijackThis wäre mit Sicherheit das sinnvollste.

24.04.2004, 14:43	#14
Christian Gast	Verdacht auf Virus/Trojaner Na geh doch einfach mal hin zu sag ihm das.

Verdacht auf Virus/Trojaner

Plagegeister aller Art und deren Bekämpfung: Verdacht auf Virus/Trojaner