Virusbefall beim Versuch eine Seite zu übersetzen

Alles was nicht in die anderen Foren gehört, kommt hier rein. Bitte beachtet das auch im Off-Topic Bereich kein Spam erwünscht ist.

Moderatoren: Malgardian, FOE, frx

Antworten
Benutzeravatar
WeisserRitter
Hobbyangler
Beiträge: 146
Registriert: Do 13. Dez 2012, 18:25
Wohnort: Cottbus

Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von WeisserRitter »

HINWEIS an ALLE:

Ein Freund hat über Google einen Guide für seinen Outlander gesucht und ist auf
einer englischsprachigen Seite fündig geworden.
Da er kein englisch kann, klickte
er auf "Seite übersetzen" und erlebte eine böse Überraschung (Leider weiß er nicht
mehr, welche Seite das war):

Es kamen laufend Systemfehlerwarnungen mit massenweise Fenstern.
Er startete daraufhin den Rechner neu (Fehler!!!) und dann konnte er zusehen,
wie in der Schnellstartleiste und auf dem gesamten Desktop alle Icons sehr schnell
verschwanden.
Ein Symbol namens "System repair" war noch zu sehen.
Der Desktophintergrund war schwarz. Das Virenschutzsymbol war jedoch noch da
und meldete laufend Schädlinge, welche jedoch nicht entfernt werden konnten.
In der Mitte startete des Programm "System repair" nun in deutsch und verlangte
eine Reperatur in 4 Schritten, welche man auf keinen Fall machen sollte, denn damit
wird der PC nur vollständig übernommen. Letztendlich waren alle Festplatten, Sticks
und externe Festplatten welche angeschlossen und aktiv waren >>
LEER.

Auf jedem Laufwerk befand sich ein unsichtbarer Systemordner "Videos" mit Jahreszahl und
hunderten numerierten Unterordnern. In einigen waren kleine *.MPEG-Dateien.

Wie ich jetzt weiß, laden dese den Schädling nach. Diese befinden sich auch in den
"System Volumee Restore" - Ordnern, welche von Hause aus unsichtbar sind und nicht
zu öffnen gehen. Mit jedem Neustart des PCs verschlimmert sich die Sache.
Keiner der 7 bekanntesten Virenschutzprogramme konnte den Schädling sauber
entfernen und alles wiederherstellen.

Auch wurde jeder Versuch in das Internet zu gelangen oder ein anderes Programm
zu installieren vereitelt.
Ein weiterer Bekannter von mir hatte gestern das gleiche Problem. Er hatte sich eine
englischsprachige Produktwerbeseite für ein Nahrungsergänzungsmittel übersetzen
lassen (Name darf ich aus rechtlichen Gründen nicht nennen).


Was kann man tun, um wenigstens seine Daten zu retten,
denn diese sind nicht weg
sondern nur über die Registry ALLE als versteckte Systemdateien deklariert und das
noch mit der höchsten Berechtigungsstufe
.

1. SOFORT INTERNET TRENNEN (Kabel oder WLAN-Router oder Internetstick)
2. Notitzen über den Hergang oder der Seite auf der man war machen.
3. PC herunterfahren und auslassen (Vorher eine Lifeboot-CD ins Laufwerk einlegen)
> Diese muss in der Lage sein, Berechtigungen zu ändern und das Dateisystem
anzuzeigen bzw. auch eine Internetverbindung aufzubauen oder zu nutzen
und USB-Schnittstellen zu verwalten sowie den Autostart zu verwalten.


4. Von einem anderen PC aus einen sauberen leeren Stick mit dem aktuellen kostenlosen
Malwarebytes-Programm anfertigen und die *exe-Datei unbedingt umbenennen (z.B. in ABCD.exe).

Optional eine externe Festplatte (leer) über USB anschliessen zur Datensicherung aller
wichtigen Dateien (muss gross genug sein)
5. befallenen PC mit der Life-Boot-CD drin starten und Internetverbindung herstellen.
> Die Kaspersky Rescue Disk 10 wär auch ok - damit kann man den PC (nach Virendefinitionsupdate)
durchsuchen lassen.
6. In Ordneroptionen "Alle Dateien anzeigen/Systemdateien anzeigen/Ordnerinhalte anzeigen"
aktivieren sowie Dateiendungen anzeigen markieren.
7. Auf allen beim Befall angeschlossenen Datenträgern ALLE Dateien markieren und in
Eigenschaften (Rechtsklick) das Häkchen bei Versteckt und Systemdatei entfernen
und OK drücken. Bei der Abfrage die Option für alle Unterordner nutzen.
Das kann sehr lange dauern, wenn man viele Daten hat.
8. Auf alle beim Befall angeschlossenen Datenträgern nach dem oben beschriebenen Ordner
"Videos" und "System Volumes Restore" oder so ähnlich suchen und diese löschen.
Dieses auch auf dem PC in allen Laufwerken machen (C: D: ...)
9. Den Stick anstecken und das Programm Malwarebytes (welches man ja umbenannt hat)
starten und die Installation starten >> jedoch den Laufwerksbuchstaben C: in D: (oder
wenn nicht vorhanden den vom Stick) umändern, Restlichen Pfad so lassen.
> Das Programm versucht sich zu aktualisieren und beginnt dann seine Arbeit, wobei man
beim Scann ALLE befallenen Laufwerke markieren sollte.
Das wird evtl. mehrere Stunden dauern.
10. gefundene Schädlinge notieren und dann Löschen bzw. in Quarantäne anschauen und
dann entfernen/bereinigen. Evtl. im Autostart nach verdächtigen Einträgen schauen
und deaktivieren.
11. Internetverbindung trennen und Daten sichern, die wichtig sind.
Sollte vorher ein Neustart verlangt werden, nochmals die Life-CD starten und dann erst
Daten auf den leeren Datenträger kopieren/sichern. Auch muss man auf C: auf jedenfall
den Desktop-Ordner suchen und diesen sichtbar machen + vom Schreibschutz befreien
.
Dann den Datenträger, auf den die Dateien gesichert wurden, entfernen.
Auch den Stick entfernen.
HINWEIS:
Man kann auch auf dem PC in C: und den anderen Laufwerken alle Dateien sichtbar machen,
um so diejenigen Daten zu sichern (Eigene Dateien/Eigene Dokumente/...)
welche man erhalten will. Grundsätzlich kann man alle Dateien ausserhalb von C:
sichtbar machen und den Schreibschutz entfernen. In C: ist das so eine Sache,
da viele Dateien schreibgeschützt und auch versteckt sein müssen (vom System aus).
Ideal ist es, wenn man eine saubere Acroniskopie oder ein Backup von Laufwerk C: hat
und dieses zurücklädt. Auch kann man versuchen, eine Wiederherstellung des Systems zu
einem früheren Zeitpunkt zu machen - aber es ist nicht garantiert das dieses klappt.
Man sollte auch nicht vergessen, seine E-Mails zu sichern, falls man z.B. Outlock benutzt,
bevor man eine Rückladung oder Neuinstallation macht oder seine Adressbücher.

12. PC wieder hochfahren und in Start-Programme das hinzugekommene Programm
"System repair" deinstallieren
.
13. Den PC mit einem Virenschutz, Spywareschutz oder ähnlichem nochmals
durchsuchen und reinigen.
>> Aber letztendlich wird man wohl nicht um eine Rückladung/Backup/Wiederherstellung
oder sogar Neuinstallation umhinkommen.

Ich hoffe, ich kann euch mit der Anleitung etwas helfen, den JAVA-Exploit und seine
schadhaften Programme und Viren zu entfernen.
Ich hab ca. 12 Stunden für alles gebraucht.
TL 2 nur mit weissen Items bis Stufe 100
. spielen ist eine Herausforderung,
der sich > Die Weiße Legion < stellt !
Benutzeravatar
Emptyage
Medeavernichter
Beiträge: 159
Registriert: Mo 3. Dez 2012, 11:58

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von Emptyage »

Vielen Dank für diesen Sehr Wichtigen Hinweis und die Tolle erläuterung dazu!!!
Umfrage
Mod-Idee

"Viele abstrakte hochkomplizierte und mathematisch schwer
zu fassende Performances eines dreidimensionalen Objektes im freien Raum
lassen sich doch ganz einfach mit einem Smiley beschreiben: :kopfnuss: "
FOE
Moderator der Technik
Moderator der Technik
Beiträge: 5450
Registriert: Di 11. Aug 2009, 07:37
Wohnort: Vösendorf bei Wien
Kontaktdaten:

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von FOE »

Hallo WR!

Auch wenn es ein "enorm wichtiges Thema" ist, so habe ich es nach "Off Topic" verschoben, da es keine direkte Relevanz mit TL2 hat, aber ich habe es dafür mal als "Wichtig" markiert.

In diesen Zusammenhang vielleicht auch noch eine Maßnahme, die man gleich tun sollte, als Vorbeugung:

» Wie deaktiviere ich Java in meinem Webbrowser?

Hier steht beschrieben wie man im Webbrowser deaktivieren kann, ev. kann man so schon im Vorfeld so einen Befall unterbinden.

Ev. sollte man auch gleich dann Java aktualisieren ...


Interessant wäre auch noch, woher das "Seite übersetzen" her kommt!? Vom Google-Suchergebnis oder von der gefundenen Seite!?
Servus, Erwin
--
Mein « Bild » Thema :!:
^^ Meine PC's, Meine Char's, Kompendien, Links, ...
--
Ein (techn.) Problem :?:   » [Sammlung] Probleme mit/um Torchlight 1 // Torchlight 2 :!:
Malgardian
Moderator der Zeraphi
Moderator der Zeraphi
Beiträge: 1645
Registriert: Sa 24. Apr 2010, 11:43
Wohnort: Marktplatz von Zeryphesh

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von Malgardian »

Kleiner Hinweis noch dazu: Der Firefox deaktiviert von Haus aus das Java-Plugin (Chrome glaube ich auch...).
Gido
Rattenfänger
Beiträge: 8
Registriert: Mi 3. Jul 2013, 13:46

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von Gido »

Echt? Da muss man kein Häkchen bei Firefox aktivieren oder so?
Tschüss Niveau und Anstand. Bis Montag :-)
FOE
Moderator der Technik
Moderator der Technik
Beiträge: 5450
Registriert: Di 11. Aug 2009, 07:37
Wohnort: Vösendorf bei Wien
Kontaktdaten:

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von FOE »

Vorsicht!

Dabei ist nur zu Beachten, dass es "2 Paar Schuhe" sind!

Einmal "JavaScript" und einmal "Java-Plugin"!

Siehe hierzu:
» JavaScript-Einstellungen für interaktive Webseiten | Hilfe zu Firefox
» Das Java-Plugin mit Firefox nutzen | Hilfe zu Firefox

Ich habe z.B. beim FF ATM keine "Java-Plugin" installiert, JavaScript aber erlaubt, bzw. schalte ich es via NoScript ein/aus.

Java selber ist zwar installiert, aber die Browser-Unterstützung ist deaktivert, siehe meinen Beitrag weiter Oben.
Servus, Erwin
--
Mein « Bild » Thema :!:
^^ Meine PC's, Meine Char's, Kompendien, Links, ...
--
Ein (techn.) Problem :?:   » [Sammlung] Probleme mit/um Torchlight 1 // Torchlight 2 :!:
frx
Held von Torchlight
Beiträge: 1430
Registriert: Di 9. Aug 2011, 15:54

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von frx »

Das richtig Gefährliche ist das JavaPlugin. Das sollte man eigentlich immer deaktiviert haben oder am besten garnet erst installiert haben.

JavaScript is ne andere Sache und hat weniger Potenzial, heißt aber net, dass auch das net genug Schaden anrichten kann. Ich würde jedem dringend raten NoScript zu nutzen, da es sowohl JavaScript, als auch Flash blocken kann. Es ist zwar bissel Arbeit, aber es lohnt sich.


@WeisserRitter: Thx für die ausführliche Beschreibung und Anleitung. Könnte einigen sehr weiterhelfen.
FOE
Moderator der Technik
Moderator der Technik
Beiträge: 5450
Registriert: Di 11. Aug 2009, 07:37
Wohnort: Vösendorf bei Wien
Kontaktdaten:

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von FOE »

frx hat geschrieben:Ich würde jedem dringend raten NoScript zu nutzen, da es sowohl JavaScript, als auch Flash blocken kann. Es ist zwar bissel Arbeit, aber es lohnt sich.
^^ Dass kann ich so nur Unterschrieben und Bestätigen!
Servus, Erwin
--
Mein « Bild » Thema :!:
^^ Meine PC's, Meine Char's, Kompendien, Links, ...
--
Ein (techn.) Problem :?:   » [Sammlung] Probleme mit/um Torchlight 1 // Torchlight 2 :!:
Benutzeravatar
Vito
Rattenfänger
Beiträge: 10
Registriert: Do 10. Jul 2014, 08:08

Re: Virusbefall beim Versuch eine Seite zu übersetzen

Beitrag von Vito »

Gut zu wissen! Gerade erst gesehen und durchgelesen...
"Computer sind nutzlos. Sie können nur Antworten geben."
Antworten