Virusbefall beim Versuch eine Seite zu übersetzen
Verfasst: Fr 15. Feb 2013, 13:07
HINWEIS an ALLE:
Ein Freund hat über Google einen Guide für seinen Outlander gesucht und ist auf
einer englischsprachigen Seite fündig geworden. Da er kein englisch kann, klickte
er auf "Seite übersetzen" und erlebte eine böse Überraschung (Leider weiß er nicht
mehr, welche Seite das war):
Es kamen laufend Systemfehlerwarnungen mit massenweise Fenstern.
Er startete daraufhin den Rechner neu (Fehler!!!) und dann konnte er zusehen,
wie in der Schnellstartleiste und auf dem gesamten Desktop alle Icons sehr schnell
verschwanden. Ein Symbol namens "System repair" war noch zu sehen.
Der Desktophintergrund war schwarz. Das Virenschutzsymbol war jedoch noch da
und meldete laufend Schädlinge, welche jedoch nicht entfernt werden konnten.
In der Mitte startete des Programm "System repair" nun in deutsch und verlangte
eine Reperatur in 4 Schritten, welche man auf keinen Fall machen sollte, denn damit
wird der PC nur vollständig übernommen. Letztendlich waren alle Festplatten, Sticks
und externe Festplatten welche angeschlossen und aktiv waren >> LEER.
Auf jedem Laufwerk befand sich ein unsichtbarer Systemordner "Videos" mit Jahreszahl und
hunderten numerierten Unterordnern. In einigen waren kleine *.MPEG-Dateien.
Wie ich jetzt weiß, laden dese den Schädling nach. Diese befinden sich auch in den
"System Volumee Restore" - Ordnern, welche von Hause aus unsichtbar sind und nicht
zu öffnen gehen. Mit jedem Neustart des PCs verschlimmert sich die Sache.
Keiner der 7 bekanntesten Virenschutzprogramme konnte den Schädling sauber
entfernen und alles wiederherstellen.
Auch wurde jeder Versuch in das Internet zu gelangen oder ein anderes Programm
zu installieren vereitelt.
Ein weiterer Bekannter von mir hatte gestern das gleiche Problem. Er hatte sich eine
englischsprachige Produktwerbeseite für ein Nahrungsergänzungsmittel übersetzen
lassen (Name darf ich aus rechtlichen Gründen nicht nennen).
Was kann man tun, um wenigstens seine Daten zu retten,
denn diese sind nicht weg
sondern nur über die Registry ALLE als versteckte Systemdateien deklariert und das
noch mit der höchsten Berechtigungsstufe.
1. SOFORT INTERNET TRENNEN (Kabel oder WLAN-Router oder Internetstick)
2. Notitzen über den Hergang oder der Seite auf der man war machen.
3. PC herunterfahren und auslassen (Vorher eine Lifeboot-CD ins Laufwerk einlegen)
> Diese muss in der Lage sein, Berechtigungen zu ändern und das Dateisystem
anzuzeigen bzw. auch eine Internetverbindung aufzubauen oder zu nutzen
und USB-Schnittstellen zu verwalten sowie den Autostart zu verwalten.
4. Von einem anderen PC aus einen sauberen leeren Stick mit dem aktuellen kostenlosen
Malwarebytes-Programm anfertigen und die *exe-Datei unbedingt umbenennen (z.B. in ABCD.exe).
Optional eine externe Festplatte (leer) über USB anschliessen zur Datensicherung aller
wichtigen Dateien (muss gross genug sein)
5. befallenen PC mit der Life-Boot-CD drin starten und Internetverbindung herstellen.
> Die Kaspersky Rescue Disk 10 wär auch ok - damit kann man den PC (nach Virendefinitionsupdate)
durchsuchen lassen.
6. In Ordneroptionen "Alle Dateien anzeigen/Systemdateien anzeigen/Ordnerinhalte anzeigen"
aktivieren sowie Dateiendungen anzeigen markieren.
7. Auf allen beim Befall angeschlossenen Datenträgern ALLE Dateien markieren und in
Eigenschaften (Rechtsklick) das Häkchen bei Versteckt und Systemdatei entfernen
und OK drücken. Bei der Abfrage die Option für alle Unterordner nutzen.
Das kann sehr lange dauern, wenn man viele Daten hat.
8. Auf alle beim Befall angeschlossenen Datenträgern nach dem oben beschriebenen Ordner
"Videos" und "System Volumes Restore" oder so ähnlich suchen und diese löschen.
Dieses auch auf dem PC in allen Laufwerken machen (C: D: ...)
9. Den Stick anstecken und das Programm Malwarebytes (welches man ja umbenannt hat)
starten und die Installation starten >> jedoch den Laufwerksbuchstaben C: in D: (oder
wenn nicht vorhanden den vom Stick) umändern, Restlichen Pfad so lassen.
> Das Programm versucht sich zu aktualisieren und beginnt dann seine Arbeit, wobei man
beim Scann ALLE befallenen Laufwerke markieren sollte.
Das wird evtl. mehrere Stunden dauern.
10. gefundene Schädlinge notieren und dann Löschen bzw. in Quarantäne anschauen und
dann entfernen/bereinigen. Evtl. im Autostart nach verdächtigen Einträgen schauen
und deaktivieren.
11. Internetverbindung trennen und Daten sichern, die wichtig sind.
Sollte vorher ein Neustart verlangt werden, nochmals die Life-CD starten und dann erst
Daten auf den leeren Datenträger kopieren/sichern. Auch muss man auf C: auf jedenfall
den Desktop-Ordner suchen und diesen sichtbar machen + vom Schreibschutz befreien.
Dann den Datenträger, auf den die Dateien gesichert wurden, entfernen.
Auch den Stick entfernen.
HINWEIS:
Man kann auch auf dem PC in C: und den anderen Laufwerken alle Dateien sichtbar machen,
um so diejenigen Daten zu sichern (Eigene Dateien/Eigene Dokumente/...)
welche man erhalten will. Grundsätzlich kann man alle Dateien ausserhalb von C:
sichtbar machen und den Schreibschutz entfernen. In C: ist das so eine Sache,
da viele Dateien schreibgeschützt und auch versteckt sein müssen (vom System aus).
Ideal ist es, wenn man eine saubere Acroniskopie oder ein Backup von Laufwerk C: hat
und dieses zurücklädt. Auch kann man versuchen, eine Wiederherstellung des Systems zu
einem früheren Zeitpunkt zu machen - aber es ist nicht garantiert das dieses klappt.
Man sollte auch nicht vergessen, seine E-Mails zu sichern, falls man z.B. Outlock benutzt,
bevor man eine Rückladung oder Neuinstallation macht oder seine Adressbücher.
12. PC wieder hochfahren und in Start-Programme das hinzugekommene Programm
"System repair" deinstallieren.
13. Den PC mit einem Virenschutz, Spywareschutz oder ähnlichem nochmals
durchsuchen und reinigen.
>> Aber letztendlich wird man wohl nicht um eine Rückladung/Backup/Wiederherstellung
oder sogar Neuinstallation umhinkommen.
Ich hoffe, ich kann euch mit der Anleitung etwas helfen, den JAVA-Exploit und seine
schadhaften Programme und Viren zu entfernen.
Ich hab ca. 12 Stunden für alles gebraucht.
Ein Freund hat über Google einen Guide für seinen Outlander gesucht und ist auf
einer englischsprachigen Seite fündig geworden. Da er kein englisch kann, klickte
er auf "Seite übersetzen" und erlebte eine böse Überraschung (Leider weiß er nicht
mehr, welche Seite das war):
Es kamen laufend Systemfehlerwarnungen mit massenweise Fenstern.
Er startete daraufhin den Rechner neu (Fehler!!!) und dann konnte er zusehen,
wie in der Schnellstartleiste und auf dem gesamten Desktop alle Icons sehr schnell
verschwanden. Ein Symbol namens "System repair" war noch zu sehen.
Der Desktophintergrund war schwarz. Das Virenschutzsymbol war jedoch noch da
und meldete laufend Schädlinge, welche jedoch nicht entfernt werden konnten.
In der Mitte startete des Programm "System repair" nun in deutsch und verlangte
eine Reperatur in 4 Schritten, welche man auf keinen Fall machen sollte, denn damit
wird der PC nur vollständig übernommen. Letztendlich waren alle Festplatten, Sticks
und externe Festplatten welche angeschlossen und aktiv waren >> LEER.
Auf jedem Laufwerk befand sich ein unsichtbarer Systemordner "Videos" mit Jahreszahl und
hunderten numerierten Unterordnern. In einigen waren kleine *.MPEG-Dateien.
Wie ich jetzt weiß, laden dese den Schädling nach. Diese befinden sich auch in den
"System Volumee Restore" - Ordnern, welche von Hause aus unsichtbar sind und nicht
zu öffnen gehen. Mit jedem Neustart des PCs verschlimmert sich die Sache.
Keiner der 7 bekanntesten Virenschutzprogramme konnte den Schädling sauber
entfernen und alles wiederherstellen.
Auch wurde jeder Versuch in das Internet zu gelangen oder ein anderes Programm
zu installieren vereitelt.
Ein weiterer Bekannter von mir hatte gestern das gleiche Problem. Er hatte sich eine
englischsprachige Produktwerbeseite für ein Nahrungsergänzungsmittel übersetzen
lassen (Name darf ich aus rechtlichen Gründen nicht nennen).
Was kann man tun, um wenigstens seine Daten zu retten,
denn diese sind nicht weg
sondern nur über die Registry ALLE als versteckte Systemdateien deklariert und das
noch mit der höchsten Berechtigungsstufe.
1. SOFORT INTERNET TRENNEN (Kabel oder WLAN-Router oder Internetstick)
2. Notitzen über den Hergang oder der Seite auf der man war machen.
3. PC herunterfahren und auslassen (Vorher eine Lifeboot-CD ins Laufwerk einlegen)
> Diese muss in der Lage sein, Berechtigungen zu ändern und das Dateisystem
anzuzeigen bzw. auch eine Internetverbindung aufzubauen oder zu nutzen
und USB-Schnittstellen zu verwalten sowie den Autostart zu verwalten.
4. Von einem anderen PC aus einen sauberen leeren Stick mit dem aktuellen kostenlosen
Malwarebytes-Programm anfertigen und die *exe-Datei unbedingt umbenennen (z.B. in ABCD.exe).
Optional eine externe Festplatte (leer) über USB anschliessen zur Datensicherung aller
wichtigen Dateien (muss gross genug sein)
5. befallenen PC mit der Life-Boot-CD drin starten und Internetverbindung herstellen.
> Die Kaspersky Rescue Disk 10 wär auch ok - damit kann man den PC (nach Virendefinitionsupdate)
durchsuchen lassen.
6. In Ordneroptionen "Alle Dateien anzeigen/Systemdateien anzeigen/Ordnerinhalte anzeigen"
aktivieren sowie Dateiendungen anzeigen markieren.
7. Auf allen beim Befall angeschlossenen Datenträgern ALLE Dateien markieren und in
Eigenschaften (Rechtsklick) das Häkchen bei Versteckt und Systemdatei entfernen
und OK drücken. Bei der Abfrage die Option für alle Unterordner nutzen.
Das kann sehr lange dauern, wenn man viele Daten hat.
8. Auf alle beim Befall angeschlossenen Datenträgern nach dem oben beschriebenen Ordner
"Videos" und "System Volumes Restore" oder so ähnlich suchen und diese löschen.
Dieses auch auf dem PC in allen Laufwerken machen (C: D: ...)
9. Den Stick anstecken und das Programm Malwarebytes (welches man ja umbenannt hat)
starten und die Installation starten >> jedoch den Laufwerksbuchstaben C: in D: (oder
wenn nicht vorhanden den vom Stick) umändern, Restlichen Pfad so lassen.
> Das Programm versucht sich zu aktualisieren und beginnt dann seine Arbeit, wobei man
beim Scann ALLE befallenen Laufwerke markieren sollte.
Das wird evtl. mehrere Stunden dauern.
10. gefundene Schädlinge notieren und dann Löschen bzw. in Quarantäne anschauen und
dann entfernen/bereinigen. Evtl. im Autostart nach verdächtigen Einträgen schauen
und deaktivieren.
11. Internetverbindung trennen und Daten sichern, die wichtig sind.
Sollte vorher ein Neustart verlangt werden, nochmals die Life-CD starten und dann erst
Daten auf den leeren Datenträger kopieren/sichern. Auch muss man auf C: auf jedenfall
den Desktop-Ordner suchen und diesen sichtbar machen + vom Schreibschutz befreien.
Dann den Datenträger, auf den die Dateien gesichert wurden, entfernen.
Auch den Stick entfernen.
HINWEIS:
Man kann auch auf dem PC in C: und den anderen Laufwerken alle Dateien sichtbar machen,
um so diejenigen Daten zu sichern (Eigene Dateien/Eigene Dokumente/...)
welche man erhalten will. Grundsätzlich kann man alle Dateien ausserhalb von C:
sichtbar machen und den Schreibschutz entfernen. In C: ist das so eine Sache,
da viele Dateien schreibgeschützt und auch versteckt sein müssen (vom System aus).
Ideal ist es, wenn man eine saubere Acroniskopie oder ein Backup von Laufwerk C: hat
und dieses zurücklädt. Auch kann man versuchen, eine Wiederherstellung des Systems zu
einem früheren Zeitpunkt zu machen - aber es ist nicht garantiert das dieses klappt.
Man sollte auch nicht vergessen, seine E-Mails zu sichern, falls man z.B. Outlock benutzt,
bevor man eine Rückladung oder Neuinstallation macht oder seine Adressbücher.
12. PC wieder hochfahren und in Start-Programme das hinzugekommene Programm
"System repair" deinstallieren.
13. Den PC mit einem Virenschutz, Spywareschutz oder ähnlichem nochmals
durchsuchen und reinigen.
>> Aber letztendlich wird man wohl nicht um eine Rückladung/Backup/Wiederherstellung
oder sogar Neuinstallation umhinkommen.
Ich hoffe, ich kann euch mit der Anleitung etwas helfen, den JAVA-Exploit und seine
schadhaften Programme und Viren zu entfernen.
Ich hab ca. 12 Stunden für alles gebraucht.