|
Plagegeister aller Art und deren Bekämpfung: BugBear.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
19.05.2003, 10:37 | #1 |
| BugBear.1 Hallo, ich war 1 Tag ohne Virenschutz und habe seitdem den Wurm BugBear.1 auf meinem PC. Das Removal Tool von BitDefender konnte 6 von 9 Dateien säubern, die restlichen 3 aber nicht. Der Virenscanner von Antivir kann die Dateien auch nicht löschen. Der Wurm breitet sich weiter aus. 1.Wie werde ich Ihn wieder los? 2.Kann ich befallen Dateien löschen ohne Schaden anzurichten? Gruß alri |
19.05.2003, 11:01 | #2 |
| BugBear.1 Hallo alri,
__________________gib uns bitte mehr Details, damit wir Dir helfen können. 1. Welche Dateien können nicht gelöscht werden (Pfad, Name)? Bitte evtl. AVPE-Report hier posten. 2. Welches Betriebssystem verwendest Du? |
19.05.2003, 11:01 | #3 |
| BugBear.1 Hi,
__________________ein paar weiterführende Infos wären nicht schlecht.. 1) Welches Win und welches Dateisystem hast Du ? 2) Wo genau wurden denn die nicht löschbaren Dateien gefunden ? Schau doch mal bei www.Symantec.de oder www.TrendMicro.de, da gibt's Tools *MIT* Anleitung bei WIN ME oder XP musst du evtl die Systemwiederherstellung deaktivieren: www.free-av.de/merestore.htm (s.a. o.g. InfoLinks) Und Netzwerk absichern: Info hier im Board oder o.g. Links |
19.05.2003, 11:38 | #4 |
| BugBear.1 Hallo, die Dateien waren zuerst in: C:\_RESTORE\Temp Folgende Dateien konnte ich nicht löschen: A0081034.1 A0081049.1 A0081086.1 Mein System ist: Windows ME |
19.05.2003, 12:13 | #5 |
| BugBear.1 Frage: In meinem Windows-ME-System wurde ein Virus in den Dateien der Systemwiederherstellung gefunden ( x:\_restore\..., x=Laufwerksbuchstabe, i. d. R. c: ). AntiVir PE kann es nicht löschen. Was kann ich tun? Antwort: Hier gibt es in jedem Fall mehrere Möglichkeiten. Zunächst ist es unwahrscheinlich bis ausgeschlossen, dass ein Virus ausschließlich in den Dateien der Systemwiederherstellung sitzt, ohne jemals an anderer Stelle im Windows-System aufgetaucht zu sein (z. B. in einer E-Mail oder einem "Temporary Internet File"). In so einem Fall spricht einiges für einen Fehlalarm. Um diesen auszuschließen kann man einen zweiten Virenscanner benutzen oder die Datei zur Analyse an H+BEDV einschicken. Wenn man aber vermutet, dass es sich nicht um einen Fehlalarm handelt, sondern um ein echtes Virus handelt, sollte man dieses löschen. Damit verhindert man die versehentliche Wiederherstellung des Virus aus x:\_restore\... WICHTIGER HINWEIS: Das Manipulieren der Systemwiederherstellungsdateien führt in der Regel zum Verlust von Wiederherstellungspunkten. Es kann daher nur bei einem stabil laufenden System empfohlen werden. Bei einem instabilen System besteht auch die Möglichkeit, das Virus zunächst einfach zu belassen. Es kann erst bei einer Systemwiederherstellung wieder aktiv werden. Wenn man also eine solche durchführen muss, während sich ein Virus in x:\_restore\... befindet, sollte man hinterher das System besonders gründlich auf Viren prüfen. Es gibt prinzipiell zwei verschiedene Wege, die infizierte Datei zu löschen: über DOS oder Windows. In jedem Fall sollte man sich aus dem AntiVir-PE-Report den genauen Pfad und Namen der Datei notieren, um diese später auffinden zu können. Die DOS-Methode geht i. d. R. schneller und einfacher, wenn man eine Startdiskette hat oder schnell erstellen kann und über einige DOS-Grundkenntnisse verfügt. Nun die beiden Wege im Detail: 1. DOS: Den Computer mit der Startdiskette in DOS booten. Das betroffene Verzeichnis (s. Report) mit Hilfe der Befehle x:, cd _restore, cd ... usw. aufsuchen. Mit dem Befehl del dateiname.erweiterung die betroffene(n) Datei(en) löschen. Die Diskette aus dem Laufwerk nehmen und den Computer mit Strg+Alt+Entf wieder mit Windows hochfahren. Einen neuen Wiederherstellungspunkt unter Start -> Programme -> Zubehör -> Systemprogramme -> Systemwiederherstellung erzeugen. Manchmal muss man die Systemwiederherstellung erst wieder aktivieren (Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale -> Dateisystem -> Problembehandlung -> Häkchen vor "Systemwiederherstellung deaktivieren" entfernen). In diesem Fall wird man aber beim Versuch, den Wiederherstellungspunkt zu erzeugen, darauf hingewiesen. 2. Windows: Hierzu muss man zunächst die Systemwiederherstellung vorübergehend deaktivieren. Dies geschieht unter Start -> Einstellungen -> Systemsteuerung -> System -> Leistungsmerkmale -> Dateisystem -> Problembehandlung -> Häkchen vor "Systemwiederherstellung deaktivieren" setzen. Dann muss der Computer neu gestartet werden. Im Normalfall genügt es nun, die Systemwiederherstellung wieder auf dem gleichen Wege zu aktivieren (Häkchen entfernen) und den Computer wieder neu zu starten. Durch einen erneuten Virus-Scandurchgang kann man nun prüfen, ob die Viren vollständig entfernt wurden. In einigen Spezialfällen muss man nach dem Deaktivieren der Systemwiederherstellung die betroffene(n) Datei(en) im Windows Explorer aufsuchen und gezielt löschen. Die Verzeichnisse der Systemwiederherstellung sind versteckt, daher muss man unter Extras -> Ordneroptionen -> Ansicht das Häkchen vor "Geschützte Systemdateien ausblenden" entfernen und unter "Versteckte Dateien und Ordner anzeigen" die Option "Alle Dateien und Ordner anzeigen" wählen. Bei dieser Gelegenheit kann man gleich das Häkchen vor "Dateinamenerweiterung bei bekannten Dateitypen ausblenden" entfernen, da diese Option ein Sicherheitsrisiko darstellt (Verkennen von Dateinamen mit doppelter Erweiterung). Dann kann man durch Klick auf "Wie aktueller Ordner" diese Ansicht für alle Ordner aktivieren. Nun die Datei(en) über den Explorer löschen und den Papierkorb leeren. Anschließend auf umgekehrten Wege die Systemwiederherstellung wieder aktivieren (Häkchen entfernen) und den Rechner neu starten. Eine bebilderte Anleitung zum Deaktivieren der Systemwiederherstellung gibt es hier: http://www.free-av.de/merestore.htm Sollte dieses Verfahren nicht funktionieren, kann dies daran liegen, dass die betreffenden Dateien auch von der PCHealth oder dem StateMgr benutzt werden. Man kann die genannte Vorgehensweise dann noch folgendermaßen erweitern (nur für erfahrene Anwender empfohlen): Nach dem Deaktivieren der Systemwiederherstellung über Start -> Ausführen msconfig aufrufen. Unter "Autostart" PCHealth und *StateMgr deaktivieren. Den Rechner neu starten und wie oben beschrieben weiter vorgehen. Dann auf gleichem Wege alle drei Funktionen (PCHealth, StateMgr und Systemwiederherstellung) wieder aktivieren, neu starten und einen Wiederherstellungspunkt erzeugen. WEITERER WICHTIGER HINWEIS: Die Systemwiederherstellung von Windows ME enthält einen Bug (Fehler). Dieser bewirkt, dass Wiederherstellungspunkte, die nach dem 8. September 2001 erzeugt wurden, nicht für eine Wiederherstellung genutzt werden können. Dieser Fehler kann nur durch ein Patch von Microsoft behoben werden. Dieses ist über "Windows Update" oder die Website von Microsoft erhältlich: http://support.microsoft.com/default...;EN-US;q290700 (hier auch detaillierte Informationen zu diesem Fehler) |
19.05.2003, 12:21 | #6 |
| BugBear.1 Wenn Du Internet Explorer und/oder Outlook Express benutzt, solltest Du auch mal Windows Update besuchen oder Dir diese Seiten näher anschauen: http://www.microsoft.com/windows/ie/...p1/default.asp http://www.microsoft.com/windows/ie/...89/default.asp http://www.microsoft.com/windows/ie/...94/default.asp |
19.05.2003, 13:32 | #7 |
| BugBear.1 Hallo, erstmal vielen Dank für die Tipps. Ich bin Computerneuling und muss mich jetzt erst einmal durch die ganzen Hinweise arbeiten. Ich melde mich Morgen nochmal mit meinen Ergebnissen. Mfg alri |
21.05.2003, 00:16 | #8 |
| BugBear.1 Vielen herzlichen Dank Fata Morgana, du hast mir sehr geholfen. Giao |
21.05.2003, 02:25 | #9 |
| BugBear.1 @alri: Du hast Windows ME? |
21.05.2003, 11:11 | #10 |
| BugBear.1 Hallo, jetzt bin ich meinen BugBear endlich wieder los!! Nachdem 3 Dateien nicht zu säubern waren habe ich mir noch ein anderes Reinigungstool von Symantec heruntergeladen. Da kam dann die Meldung, dass die Systemwiederherstellung aktiviert ist (obwohl das Häkchen bei "deaktiviert" stand und der PC neu gestartet wurde!). Ich habe dann die Systemwiederherstellung erst aktiviert und anschließend wieder deaktiviert (mit jeweiligem Neustart). Dann konnte ich die betroffenen Dateien mit dem Tool säubern und die restlichen befallenen Dateien mit dem Virenscanner ausfindig machen und löschen. Allerdings kann ich jetzt die Systemwiederherstellung nicht mehr aktivieren um einen nochmaligen Scan zu machen. Wenn ich in Eigenschaften von System auf „Dateisystem und anschließend auf Problembehandlung“ klicke dauert das 12 bzw. 6 Sekunden bis das neue Fenster aufgeht! Jedes mal wenn ich das Häkchen entferne und den Computer neu starte ist das Häkchen wieder da! Gruß alri |
21.05.2003, 11:23 | #11 |
| BugBear.1 </font><blockquote>Zitat:</font><hr />Original erstellt von alri: Allerdings kann ich jetzt die Systemwiederherstellung nicht mehr aktivieren um einen nochmaligen Scan zu machen.</font>[/QUOTE]Das brauchst Du normalerweise auch nicht, da alle Daten in der SWH nach dem Deaktivieren (oder direkt vor dem Wieder-Aktivieren - hab es leider vergessen) gelöscht werden. Allerdings verhält sich Dein System ja etwas merkwürdig. Lass Dir doch mal die versteckten Dateien und die geschützten Systemdateien mit anzeigen (-> Ordneroptionen) und schau, ob überhaupt noch Daten vorhanden sind in x:\_restore. Wenn Du die SWH nicht brauchst und benutzt, kannst Du sie einfach deaktiviert lassen. Ich finde sie ohnehin nicht besonders hilfreich. </font><blockquote>Zitat:</font><hr /> Jedes mal wenn ich das Häkchen entferne und den Computer neu starte ist das Häkchen wieder da! </font>[/QUOTE]Ich weiß auch nicht, was da los ist. |
21.05.2003, 11:43 | #12 |
| BugBear.1 Ja, im Restore Ordner sind div. Anwendungen und Dateien. Wie kann man denn ein Zitat einfügen? - habe ich in der Hilfe nicht gefunden. |
21.05.2003, 11:52 | #13 |
| BugBear.1 </font><blockquote>Zitat:</font><hr />Original erstellt von alri: Ja, im Restore Ordner sind div. Anwendungen und Dateien.</font>[/QUOTE]Du kannst diese (wie oben beschrieben) nach Booten von einer Startdiskette in DOS löschen. Wenn Du gleich alle Dateien löschst, ist sicher keine Malware mehr drin. Effektiv geht dies mit dem Befehl deltree, z. B. deltree x:\_restore. Eine Systemwiederherstellung von alten Punkten ist dann natürlich nicht mehr möglich. |
21.05.2003, 11:54 | #14 |
| BugBear.1 </font><blockquote>Zitat:</font><hr />Original erstellt von alri: Wie kann man denn ein Zitat einfügen? - habe ich in der Hilfe nicht gefunden. </font>[/QUOTE]Du kannst entweder von vorherein statt auf "Antwort" auf "Zitat" klicken (in demjenigen Beitrag, den Du zitieren möchtest). Oder Du fügst später Zitate mit dem Button "Zitat" ein (ein Stück unter dem Textfeld). Dann schreibst Du den zu zitierenden Text zwischen die beiden QUOTE-Tags. |
21.05.2003, 11:59 | #15 |
| BugBear.1 Im DOS Modus kenne ich mich noch nicht aus! Kann ich den Inhalt des Ordners einfach im Explorer löschen ohne Schaden anzurichten? |
Themen zu BugBear.1 |
antivir, befallen, bitdefender, dateien, defender, konnte, meinem, removal, scan, scanner, schaden, schutz, seitdem, säubern, tool, virenscan, virenscanner, virenschutz, wurm |