Guten Morgen
Ich versuche zur Zeit, den Laptop meines Chefs von einigen Plagegeistern zu befreien. Wenn ich es nicht hinbekomme, geht der Laptop an jemanden mit mehr technischer Erfahrung - er werde die Festplatte ausbauen, an ein anderes Gerät extern anhängen und so säubern. Ich bin sozusagen 1-1.5-Level-Support und möchte nicht gleich aufgeben bzw. auch Erfahrung sammeln. Ich habe (zum Glück...) nicht soooviel Erfahrung mit Viren-säubern.

Auf dem Gerät (Windows XP SP 3) ist als Virenschutz Symantec Antivirus installiert. Trotzdem hat er sich einiges eingefangen:
Downloader
Backdoor.Trojan
Hacktool.Rootkit
W32.mytob@mm
W32.waledac
Infostealer
W32.harakit
Trojan Horse
W32.virut.cf

Zur Zeit zeigt sich (d.h. Symantec meldet) "nur" noch virut und backdoor.trojan, aber ob die anderen wirklich weg sind, bin ich nicht sicher.

Wahrscheinlich ist es passiert, als mein Chef jemandem vor ca 1 Woche kurz sein Gerät zum Anschauen von dringenden E-Mails ausgeliehen hat. Dieser jemand ist nicht so darauf sensibilisiert worden wie mein Chef, nicht unbesehen alle Mail-Anhänge zu öffnen. Beweisen lässt sich der Zeitpunkt des Befalls aber natürlich nicht. Wie auch immer, ich bin ziemlich ernüchtert, dass man sich, trotz eines guten Virenschutzes wie Symantec solch einen Befall einfangen kann...

Ich gehe bei der Bereinigung nach der Anleitung auf HJT vor "Anleitung zur Bereinigung von Malware" (damit war ich in leichteren Fällen auch schon erfolgreich). Zuerst habe ich ein bisschen dies und das versucht - ich konnte wohl einfach nicht glauben, dass die Situation so schlimm war.

Alle bisherigen Versuche, das Gerät zu reinigen, haben darin resultiert, dass zwar bei der Virensuche (z.B. Symantec Full Scan) nichts mehr angezeigt wird, aber, sobald das Gerät im Normalmodus wieder aufgestartet und eine Software gestartet wird, die aufs Internet greift (z.B. Firefox, eine VPN-Verbindung aufbauen usw.), Symantec wieder einen Virus meldet und ihn bekämpft, leider wiederum immer nur scheinbar erfolgreich.

Jetzt gehe ich systematischer vor, habe gemäss HJT Anleitung eine Datenträgerbereinigung durchgeführt, die Systemwiederherstellung deaktiviert und lasse jetzt ein Bereinigungs-Programm nach dem anderen laufen. Im abgesicherten Modus und von einer CD aus, sofern die Programme das zulassen. Ich habe festgestellt, dass einige der Such- und Entfernungstools in der HJT-Anleitung sich im Normal-Modus gar nicht öffnen, weil sie "sich verseucht fühlen". Und einige Tools finden im Normal-Modus nichts, wohl weil Symantec immer wieder (nur scheinbar erfolgreich) Viren usw. neutralisiert. Deshalb habe die Entfernungstools auf eine CD gepackt und lasse sie von dort, im abgesicherten Modus, laufen, sofern sie das zulassen.

Lange Erklärung kurzer Sinn.... meine Frage zu diesem Zeitpunkt:
Macht das Suchen von der CD aus im abgesicherten Modus überhaupt Sinn? Können die Tools im abgesicherten Modus mehr ausrichten als im Normalmodus?

Danke und Gruss
Johanna

Virut ist ein Fileinfector! Dieser hängt sich an alle ausführbaren Dateien, aber auch einige andere.
Ist dieser Fund wirklich bestätigt, kannst Du mit den Daten von diesem Rechner nichts mehr anfangen.

Zitat:

Lange Erklärung kurzer Sinn.... meine Antwort zu diesem Zeitpunkt:

Das Gerät muss neu installiert werde. Es sollten keine(!) Daten mitgenommen werden. Selbst wenn diese Daten von irgendeinem Scanner als sauber bewertet werden.