Externe HDD mit Malware verseucht

eraser777

eraser777

Urgestein
Thread Starter
Mitglied seit
22.01.2006
Beiträge
2.780
Hallo Gemeinde,

vor gut einer Woche habe ich mir den Virus tr crypt.xpack.gen gefangen. Dieser breitete sich schnell auf meinen Hauptsystem sowie meiner externen Festplatte und einem USB Stick aus.

Mein Hauptsys habe ich nun komplett neu aufgesetzt, alle Windows Updates gemacht (Windows 7 32Bit) und Norton Internet Security 2010 (60-tage-trail) draufgemacht.

Nun wollte ich die externe Platte "cleanen", allerdings sitzen dort 2 interessante Dateien "fest":

w32.ramnit!html

sowie

w32.ramnit.b!inf

Ich habe Norton die Platte scannen lassen, die Viren werden gelöscht, tauchen aber kurze Zeit später in allen möglichen Dateien wieder auf. Meistens sind die Spieleordner befallen.

Habe den Scan abgebrochen und die Festplatte wieder abgeklemmt. Dann habe ich einen kurzen QuickScan auf meinem Hauptsys gemacht - es scheint aber als sei keine Datei "rübergesprungen".

Habt ihr Lösungsvorschläge? Meine Sicherung welche sich über 5 Jahre zieht befindet sich auf der externen HDD. Kriege ich die überhaupt wieder sauber?

Vielen Dank!
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Disketten LW drin ? Win 98 Se Disk starten und Format C:

Bekommt man bestimmt wieder Sauber aber ist Garantiert ein Haufen Arbeit
 
eraser777 schrieb:
allerdings sitzen dort 2 interessante Dateien "fest":
Zum Vergrößern anklicken....

Was heißt "sitzen fest"?


"Mein Hauptsys habe ich nun komplett neu aufgesetzt, alle Windows Updates gemacht (Windows 7 32Bit) und Norton Internet Security 2010 (60-tage-trail) draufgemacht."

Und was hast du sonst noch wieder installiert?!
 
Zuletzt bearbeitet:
1. Autoload deiner externen Datenträger deaktivieren. Wichtig!
2. Anderen Virenscanner instalieren, Eset NOD32 AV gibts als Testversion. Mit Symantec habe ich leider keine guten Erfahrungen gemacht im Business-Umfeld.
3. Von Linux-Distri-CD booten (inkl Antivirus), exteren Laufwerke mounten lassen und DANN mal alles scannen.

Es gibt u.a.: Eset NOD32, GMER, Hijackthis und AdAware.. mal drüberlaufen lassen.
 
Nochmal:

Mein Hauptsys inklusive Windows Festplatte war auch total verseucht, deswegen habe ich meine System komplett neu aufgesetzt. An Programmen habe ich nur ICQ, Winamp, Firefox, 7-Zip und Norton installiert.

Meine externe Platte kann ich ja nicht einfach formatieren... Die ist nur voller wichtiger Daten.

Mit "fest" sitzen meine ich, dass die sich andauernd neu in andere Ordner setzen. Deswegen bringt ein Virenscan mit Norton nichts, weil die selbe Datei 5 Minuten später in einem anderen Ordner auftaucht.

Disketten LW habe ich keins.

Dann werde ich mal die von heuchler genannten Maßnahmen machen. Wobei ich Schritt 3 nicht ganz verstehe bzw. keine Linux CD hier habe.

Danke schonmal!
 
Was hast du sonst installiert? Da müsste noch was sein.

Selbst wenn auf der externen Platte autorun/autoload aktiv ist, sollte das ja nur fragen, ob die Platte im Explorer geöffnet werden soll.

Es sei denn, dass da gleich etwas gestartet wird. Da kann man aber die UAC verschärft einstellen. Da sollte sich auch jedes Antivirenprogramm dazwischen stellen.

Also musst du auf deinem neuen System wieder etwas installiert haben, was auf die externe Platte und auf den Schädling zugreift/startet.

Procmon könnte da weiter helfen.

Process Monitor
 
Zuletzt bearbeitet:
Was soll ich sonst noch an Programmen installiert haben? Das System ist frisch aufgesetzt, dass meine ich.

Ich wüsste nicht was auf der externen drauf ist, was automatisch gestartet werden könnte. Programme sind dort ja keine drauf, nur Fotos, Videos, Filme, Spiele (Image und Ordner), Setups von wichtigen Programmen, etc...

Wie deaktivier ich denn Autorun? Ist das einfach nur das Fenster, welches sich öffnet, wenn man die HDD anschließt? Sprich ob der Inhalt angezeigt werden soll, ob die Musikdateien abgespielt werden sollen, etc?
 
Zuletzt bearbeitet:
Habe jetzt mit "Drive-Thru" schonmal den Autorun von der externen deaktiviert.

Ja das dort irgendeine .exe oder so auf der externen sein muss, welche den Virus immer wieder neu verteilt, habe ich auch gelesen. Aber woher soll ich wissen wo die sitzt? Das wollte ich eigtl. den Virenprogrammen überlassen ;)
 
eraser777 schrieb:
Habe jetzt mit "Drive-Thru" schonmal den Autorun von der externen deaktiviert.

Ja das dort irgendeine .exe oder so auf der externen sein muss, welche den Virus immer wieder neu verteilt, habe ich auch gelesen. Aber woher soll ich wissen wo die sitzt? Das wollte ich eigtl. den Virenprogrammen überlassen ;)
Zum Vergrößern anklicken....

Schädlinge können sich in allen möglichen Dateien verbergen, auch in Bildern.

Wenn du bisher kein Antivirenprogramm GEKAUFT hast, dann geschieht es dir ganz recht. Und man kann eben nicht alles nur den Programmen überlassen, man muss auch den Verstand benutzen. Wenn du so weiter machen willst - gerne, aber ohne mich.
 
Bis dato bin ich mit Testversionen über 7 Jahre problemlos zurecht gekommen. Oder anders gesagt: AntiVir hatte ich durchgehend drauf und war immer zufrieden damit.

Zu sagen dass es mir recht geschieht ist auch nicht die feine englische Art, aber naja, gegen Charakterschwäche deinerseits kann man an dieser Stelle nichts machen.

Wäre nett wenn weiterhin User antworten würden, die mir helfen wollen, statt mir Vorwürfe zu machen.
 
So, ich melde mich mal wieder.

Autorun deaktiviert -> Platte(n) mit allen möglichen Scannern durchsuchen lassen (die genannte Malware wurde auch gefunden und (angeblich) entfernt).

Seitdem ist Ruhe und die Scans die ich ab und zu mache zeigen nichts mehr an.

Allerdings habe ich von T-Online eine Mail gekriegt, dass von unserem Netzwerk aus Spam-Mails, etc. verschickt wurden. Die besagten Mails wurden kurz nachdem ich die Malware drauf hatte abgesendet.

Naja, ich hoffe, dass es das jetzt war.
 
laß mal bei nächster gelegenheit mit linux live cd virenscanner Knoppicillin den PC inkl. ext. Platte scannen lassen.

Die Online Scans auf einem verseuchten System sind mit Vorsicht zu genießen. Die Mail von T-Online würde mich dazu veranlassen das System nochmal platt zu machen und neu zu installieren. Die externe potenziell verseuchte Platte dann so nicht mehr anschließen-> Mit Linux System scannen, alles was nur verdächtig erscheint weglöschen, den Rest wo anders hinsichern und die Platte formatieren.
Dazu würde ich an deiner Stelle sofort sämtliche Passwörter die du im Internet benutzt ändern... hoffen reicht da imho nicht.
 
Habe mittlerweile alle möglichen (auch hier gennanten) Scanner über die Platten laufen lassen. Außer harmlosen Tracking Cookies wird nie was gefunden.

Oder ist die Malware einfach "inaktiv" in irgendeiner Datei? Und sobald ich diese ausführe geht der ganze Kram von vorne los?
 
Verstehe ich das richtig, dass die genauso scannen wie deren Anti-Viren-Programme? Nur halt vorm booten? Weil mein System ja einwandfrei läuft.

Aber ich werde die CDs trotzdem mal zum scannen nehmen. Danke.

Noch was:

Wenn ich meine Externe HDD formatieren will... Einfach übern Explorer (Rechtsklick -> formatieren)? Weil von Seagate einige Dateien dort drauf sind (unter anderem eine Setup Datei, die sich nicht ausführen lässt [ließ sie noch nie ;)]).
 
wenn dein PC Spammails verschickt hat, könnte es ein das du ungewollter Teilnehmer eines Botnetzes warst oder bist. Es soll inzwischen auch möglich sein den Router zu kapern und für sowas zu benutzen. Um ganz sicher zu gehen würd ich alles komplett platt machen. Wie das mit dem Routerreset geht, falls du einen hast und da was drin hängt weiß ich allerdings nicht.
 
Verstehe ich das richtig, dass die genauso scannen wie deren Anti-Viren-Programme? Nur halt vorm booten? Weil mein System ja einwandfrei läuft.
Zum Vergrößern anklicken....

Ja, die CDs scannen ohne das Hauptsystem zu booten. Das hat den Vorteil das evtl. auf dem Hauptsystem vorhandene Malware keine Chance hat sich zu "verstecken" bzw. den Virenscanner zu manipulieren. Außerdem kann so jede Datei direkt gelöscht werden, da sie sich nicht im Zugriff eines Betriebssystem befindet.

Nimm zuerst die Antivir CD, die musst du wirklich nur brennen, davon booten und scannen.

Wenn ich meine Externe HDD formatieren will... Einfach übern Explorer (Rechtsklick -> formatieren)? Weil von Seagate einige Dateien dort drauf sind (unter anderem eine Setup Datei, die sich nicht ausführen lässt [ließ sie noch nie ;)]).
Zum Vergrößern anklicken....

Genau, einfach Rechtsklick formatieren. Die Seagate Dateien sind dann zwar weg, aber die hast du scheinbar eh noch nie benötigt.
 
Zuletzt bearbeitet:
Sodele,

Antivir hat nichts gefunden, da ich auch irgendwie meine Externe damit nicht scannen konnte. Kaspersky hat tatsächlich 4 Bedrohungen erkannt und gelöscht:

cxy4h3aw.jpg


Alles auf meiner externen. Die Ordner werde ich noch manuell mit "Eraser" löschen, nur um sicher zu gehen. Unsere Fritz.Box habe ich schon zurückgesetzt bzw. 1x am Tag startet die sich auch neu (neue IP-Adressen, etc.).

Kennwörter sind mittlerweile auch alle relevanten geändert.

Werde mir die wircklich wichtigen Sachen von meiner externen auf eine alte externe ziehen und dann alles noch einmal platt machen. Dann sollte dann aber genügen.

Danke für die Hilfe!
 
wenn die Probleme alle von deiner Spieleplatte kommen, könnte das auch an Trainern, Nointro,NoCD uind so liegen. Die werden zum Teil fälschlich als Viren erkannt.
 
So ein kram wurde bei den 1. Scans erledigt. Es war ja schon malware, siehe screenshot. Momentan setze ich mein system neu auf. Andere rechner aus unserem netzwerk überprüfe ich später.
Gibt es solche bootscans auch für usb sticks? Mein eeepc könnte sowas mal vertragen.
 
Anmelden, um zu antworten.

Ähnliche Themen

R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
7K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh