Bundestrojaner

Shor

Shor

Abload Support
Thread Starter
Mitglied seit
25.06.2006
Beiträge
238
Ort
Berlin
Hi,

mein Onkel hat einen Bundestrojaner, mit dem ich leider trotz Google überfordert bin. Denn:

1) Er hat sich eingenistet, obwohl auf dem System (Windows XP) angeblich die neueste Free Avira AntiVir-Version drauf war.
2) Obwohl wir das Netzwerkkabel abgeklemmt und das System im abgesicherten Modus hochgefahren haben, lässt sich die Meldung nicht umgehen. Andere Lösungsansätze hat meine Recherche nicht ergeben.

Was können wir tun?

img-20130503-wa00008xiji.jpg


Viele Grüße und danke
Jens
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Soweit nötig, das System über ene Linux-LiveCD booten und alle notwendigen Daten sichern.
Anschließend alles formatieren und neu aufsetzen.

Achso - und keinesfalls bezahlen! ;)
 
Zuletzt bearbeitet:
Also ich hätte leider nur einen für den abgesicherten Modus: vor dem Windows-Ladebildschirm ->F8 drücken und dann im save Mode starten.

->Start ->Ausführen ->regedit eingeben und unter:
*Hkey_Local_Machine\Software\Microsoft\Windows\Current Version\Run
*Hkey_Current_User\Software\Microsoft\Windows\Current Version\Run
nach einer .exe mit einem verdächtigen Namen suchen und diese löschen (z.B. vasja.exe o.ä.).

Anschließend Neustart und im abgesicherten Modus mit McAffee Stinger nochmal sauber machen.
Ohne diesen bleibt Dir wohl tatsächlich nur der Linux Start mit anschließender Neuinstallation:(
 
Daten sichern und neu aufsetzen ist meiner Meinung nach weniger Stress und man kann sich zu 100% sicher sein, dass der Rechner danach sauber ist.
Irgendwo irgendwie rumsuchen und Einträge löschen usw. da übersieht man schon mal was. Mit dem Restrisiko würde ich nicht leben wollen.

BTW: will dein Onkel nicht vllt auf W7 umsteigen? Optisch lässt es sich wieder in den XP-Modus zurück setzen und läuft dann auch ebenso flüssig mit älterer Hardware. Das Problem ist nämlich (aus meiner Sicht) dass die alten OS einfach nicht mehr richtig sicher sind. Zudem stellt MS den Support bald ein, dh es wird keine Sicherheitsupdates mehr geben. Warum also nicht einfach jetzt schon umsteigen?

Und: kann er dir vllt erklären, wie er sich den Trojaner geholt hat?
 
und für die Zukunft...nicht mit adminaccount arbeiten und dann derartige Probleme über den adminaccount lösen.
 
Kaspersky Windows Unlocker könntest Du noch versuchen.
Die ISO auf CD brennen und dann starten.
Aber wie schon empfohlen, Daten sichern über Linux Live System, oder die HDD per Adapter an anderen Rechner hängen und dann die Daten sichern.
Danach Platte formatieren und das System frisch aufsetzen.

Kannst aber auch wie eine Gemeinde in Mecklenburg Vorpommern kürzlich alles wegschmeissen (Spaß) und neu kaufen. :lol: :stupid:
Waren schlappe 187.300 EUR.
So werden Steuergelder verpulvert....
 
Soweit ich weiß wars da der banalere Cornficker. :fresse:
 
Geht in Normalfall auch mit einer Kaspersky 2013 Rescue Disk. Kann man von der Seite herunterladen und auf CD brennen. Von CD booten, Signaturen updaten und alles durchlaufen lassen. Dateien am Besten löschen.
Danach im abgesicherten Modus noch mal MBAM drüber laufen lassen, wer weiß was da noch alles drauf ist.
Und dann vielleicht einen wirkungsvollen Virenschutz nehmen ;)
 
Kaspersky Rescue funktioniert.
Mit rescue2usb auf nen Stick gemacht und los geht's.
Hab es vorgestern erst bei nem Bekannten gemacht, der sich den Trojaner auch eingefangen hatte.
Auch die Systemwiederherstellung half nichts mehr.
Kasperski hat das System zumindest wieder lauffähig bekommen und den Trojaner gelöscht.
Es wird aber nichts drum rum führen, das System neu aufzusetzen.

Achja, die CTFMon.exe hatte ich noch manuell gelöscht.
 
Zuletzt bearbeitet:
Hi ihr,

danke für eure Hilfe. Ich habe nun über den abgesicherten Modus mit Eingabeaufforderung die Systemwiederherstellung bemüht und das System auf einen Punkt in der Vergangenheit gesetzt, an dem ich noch booten konnte. Anschließend habe ich Kaspersky WindowsUnlocker - Download - CHIP Online installiert und durchlaufen lassen. Nun werde ich das System noch neu installieren.

Ein Upgrade der OS kommt nicht in Frage, da er beruflich mit individueller Uralt-Software arbeitet, die dann nicht mehr funktioniert. Klassisches Problem.

Viele Grüße
Jens
 
..die alte SW in eine VM verbannen und den Host upgraden.
Hat auch den Vorteil, dass man von den virtuellen Platten mal nen Snapshot machen kann und nicht auf die ollen, internen Wiederherstellungspunkte limitiert ist.
 
Dafür gibt's doch bei Windows 7 Professional und Ultimate den XP Modus (ist 'ne XP VM)
Habe aber offen gestanden bislang nur eine einzige Software gehabt, die nicht über die "normalen" Kompatibilitätsmodi (Win9x - XP) und evteuellen Admin Rechten untger Win7 zum Laufen zu bekommen war.

Ulead DVD Fatory 2
Da war unter Win 7 kein Ton raus zu bekommen- letztendlich war dann die XP VM aber zu langsam dafür.

Und mal ganz ehrlich:
beruflich und Uralt Software passt eigentlich auch nicht wirklich zusammen!
- wer garantiert, daß hier nicht irgendwelche gravierende Sicherheitslücken aufgerissen werden?
- wer garantiert , daß nicht irgenein unentdeckter Programmierfehler nicht eines Tages das Programm und die Daten unbrauchbar macht?
- vermutlich gibt es auch schon lange keinen Support mehr
- existiert die Herstellerfirma überhaupt noch?
 
Digi-Quick schrieb:
Und mal ganz ehrlich:
beruflich und Uralt Software passt eigentlich auch nicht wirklich zusammen!
- wer garantiert, daß hier nicht irgendwelche gravierende Sicherheitslücken aufgerissen werden?
- wer garantiert , daß nicht irgenein unentdeckter Programmierfehler nicht eines Tages das Programm und die Daten unbrauchbar macht?
- vermutlich gibt es auch schon lange keinen Support mehr
- existiert die Herstellerfirma überhaupt noch?
Zum Vergrößern anklicken....

Willkommen in der Realität der IT :-D
Klar hast du recht, aber es geht hier ja normalerweise auch nicht um irgend ein Stück Standard-Software. IdR sind das irgendwelche - oft eigens für das entsprechende Unternehmen erstellte - Spezialapplikationen, die sich nur mit riesigem finanziellen und zeitlichen Aufwand (und Risiko) austauschen lassen... Sowas findest du gefühlt in jeder zweiten Firma - Größe egal...
 
hab das teil vor kurzem soweit runterbekommen das ich wieder zugriff auf alle dateien hatte. nach einem backup habe ich aber selbstverständlich neu aufgesetzt. ich hatte eine neure version die mit herrkömmlichen verfahren nicht entfernbar war. (kein zugriff auf diverse files)

ich habe im abgesicherten modus mit cmd einen neuen adminaccount angelegt und den bisherigen account lediglich gastrechte eingeräumt.

cmd-command: control userpasswords2

dann restart, wieder abgesicherter modus mit cmd starten:
eine os-gleiche explorer.exe von einem usb-stick genommen, und mit die file des infizierten rechners ersetzt

das kann via replace befehl getan werden, einfacher aber wäre ein boot von einer unix und der manuelle replace. (hier könnte man direkt erste files backuppen) diese methode hat den vorteil das man auf jeden fall an die explorer.exe rankommt. ich habe eine verschlüsselte hdd und konnte daher kein andres os laden. ich musste mir relativ aufwändig meinen weg durch die console kämpfen und diverse exe-files taskkillen (insofern es ging), hatte dann aber letztlich auch die möglichkeit dfie vorhandene explorer-file zu replacen. der trojaner hatte sich anscheinend ziemlich clever die rechte am system gesichert. unter den eigenschaften konnte ich aber auch den dateizugriff für meine accounts durch häkchen setzen wieder herstellen - vorher war kein ordner auf der system-drive zugänglich!) das alles umgeht ihr mit nem knoppix-boot oder ähnlichem - war aber aus genannten gründen keine option bei mir.

restart und wieder abg. mit cmd

diesmal "msconfig"

im reiter systemstart befinden sich geladene files:
hier nach verdächtigen einträgen suchen, meine waren tatsächlich auf kyrillisch (kann ich lesen) und hiessen übersetzt "microsoft corporation". unter dem angegeben dateipfad konnte ich sie manuell löschen.

beim nächsten restart den gastaccount laden und dateien sichern. vorsichtshalber würde ich den lanstecker draußen lassen, da man nicht genau sagen kann was der trojaner noch so macht. möglicherweise hat er einen stealer auf ftp basis oder ähnliches. mit diesem rechner dann ins netz zu gehen ist in meinen augen unverantwortlich.

gruß
 
Zuletzt bearbeitet:
FLiNTx schrieb:
Willkommen in der Realität der IT :-D
Klar hast du recht, aber es geht hier ja normalerweise auch nicht um irgend ein Stück Standard-Software. IdR sind das irgendwelche - oft eigens für das entsprechende Unternehmen erstellte - Spezialapplikationen, die sich nur mit riesigem finanziellen und zeitlichen Aufwand (und Risiko) austauschen lassen... Sowas findest du gefühlt in jeder zweiten Firma - Größe egal...
Zum Vergrößern anklicken....

Ist schon klar, deswegen laufen vermutlich auch immer noch vereinzelt Geräte mit Dos oder Dos/Windows 3.x, win 9x, NT 3.x , NT 4.0, W2K .....
Wenn ich mich aber auf der anderen Seite an das Tohuwabohu vom Y2K Bug erinnere, dürfte es eigentlich keine Anwendung mehr geben, die nicht in irgendeiner Weise unter Win7 zum laufen zu bringen ist (und wenn es mit dem XP-Modus ist, der aber performancetechnisch die wohl schlechteste Möglichkeit einer VM unter Win7 wäre)
 
XP-modus und vm fallen im geschäftlichem Sektor eher weg, da ist der Aufwand viel zu groß, denn dieses zweite System muss ja auch gewartet, mit Updates versorgt werden usw..
Natürlich bezogen auf große Firmen.

Und Software , die nicht mit w7 oder nur mit ie6 läuft, gibt es leider noch viel zu viel.
 
Techlogi schrieb:
XP-modus und vm fallen im geschäftlichem Sektor eher weg, da ist der Aufwand viel zu groß, denn dieses zweite System muss ja auch gewartet, mit Updates versorgt werden usw..
Natürlich bezogen auf große Firmen.
Zum Vergrößern anklicken....
Gerade in großen Firmen zieht das Argument nicht, da das dort idR sowieso komplett automatisiert läuft...
 
Jo und damit das automatisiert läuft, muss sich da aber erst einmal einer ran setzen. ;) Verwaltung, testen von Patches, paketierung von Software, ... .
 
Techlogi schrieb:
Jo und damit das automatisiert läuft, muss sich da aber erst einmal einer ran setzen. ;) Verwaltung, testen von Patches, paketierung von Software, ... .
Zum Vergrößern anklicken....

Ja... aber wie wir gerade festgestellt haben, sind wir in einer großen Firma, in der alles Automatisch läuft... Also ist da sojemand schon da und das ist kein Argument mehr gegen eine VM-Lösung...
Egal, mit der Fragestellung des TO hat das nix mehr zu tun...
 
Der Grund dagegen ist der erhebliche Mehraufwand, egal ob "derjenige" schon da ist oder nicht.
 
Welcher Mehraufwand? Den Automatismus für die Verteilung von Updates und Co. muss man eh aufsetzen - ob darüber jetzt 10.000 PCs oder 10.000 PCs und 3.000 VMs gemanaged werden, macht nun wirklich nullkommagarkeinen Unterschied... Das schöne ist ja eben, dass sich die VMs zu einem riesig großen Teil exakt wie ein eigenständiger PC verhalten...
Und die paar Treiber für die VM in das Standard-Image einzubauen (wenn sie das nicht eh schon sind) ist nun wirklich kein Aufwand mehr... Schon garnicht im Vergleich zu dem, was man durch die Virtualisierung einsparen kann...
 
Wie auch immer... .
 
FLiNTx schrieb:
Welcher Mehraufwand? Den Automatismus für die Verteilung von Updates und Co. muss man eh aufsetzen - ob darüber jetzt 10.000 PCs oder 10.000 PCs und 3.000 VMs gemanaged werden, macht nun wirklich nullkommagarkeinen Unterschied...
Zum Vergrößern anklicken....
naja wenn man auf win 7 umstellt muss man nur für win 7 testen
wenn man für irgendwelche vm`s brust durchs auge lösungen noch für xp testen will/muss ist der aufwand schon höher


FLiNTx schrieb:
Schon garnicht im Vergleich zu dem, was man durch die Virtualisierung einsparen kann...
Zum Vergrößern anklicken....
was spart man denn durch vm`s alà xp mode (sprich virtual pc) ein? Das was man dadurch bekommt ist auf clientseite höhere Komplexität aber mehr fällt mir da nicht ein.
 
Zuletzt bearbeitet:
Hardware nicht.
 
Hab gerade bisschen im thread gelesen und bei meinen Prozessen cft mon.exe auch gefunden?
Ist das malware oder so??
:O
 
cftmon oder ctfmon? Ersteres dürfte warscheinlich schadcode seni...letzteres eher nicht.

Einfach die Datei mal bei virustotal.com hochladen und schauen was rauskommt, dann biste schlauer.
 
Ok, bin mir nicht sicher aber, müsste Kaspersky Pure das nicht erkennrn?
 
Anmelden, um zu antworten.

Ähnliche Themen

loompa21
Windows 10 bootet nicht mit UEFI
Antworten
1
Aufrufe
628
HerrGausS
H
M
[User-Review] LG gram 17 17Z90S-G.AA78G
Antworten
7
Aufrufe
1K
mz_z
M
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh