Selbst-regenerierende Malware-Datei: Was kann man tun?

**petersch41** · 27.05.2010, 23:18

Hallo, Freunde,

mit PC ist kürzlich mit Malware verseucht worden. Zu der Zeit war Avira AntiVirus aktiv, hat den Befall nicht verhindern können (hat ihn auch nicht als solchen erkannt). Erst ein routinemäßiger Alternativ-Scan mit avast! brachte ihn ans Licht (avast! nennt ihn TR/Agent2.xyz); auch die zugehörige Schaddatei wurde aufgezeigt. Zur Beseitigung fiel avast! lediglich ein, diese Datei zu löschen - und innerhalb von 3 Sekunden war sie wieder da...

Ich habe dann händisch in der Registry nach einem RUN-Eintrag gesucht - und ihn auch gefunden. Selbes Spiel: Lässt sich löschen, und ist gleich wieder da.

Es geht also wohl darum, die ("harmlose") Datei zu finden, die diese Einträge immer wieder regeneriert.

AntiVir konnte es nicht, avast! konnte es nicht, MalwareBytes konnte es auch nicht.

Ich habe dann 'mal prophylaktisch alle Dateien in "System Volume Information" gelöscht, da ich schon öfter erlebt habe, dass sich ein Virus dort ganz harmlos unter den Systemwiederherstellungsdateien versteckt. Half diesesmal auch nichts.

Kennt jemand eine Methode, mit der man einem Übeltäter identifizieren kann, der etwas in die Registry schreibt!? Oder eine neue Datei unter z.B. Windows\System32 platziert?

Oder gibt's ganz andere Wege, mit denen man sich selber weiterhelfen kann?

Dank für alle Tipps!
Peter
Dank

**Spamkiller** · 27.05.2010, 23:40

ich würd zuerst mal im abgesicherten modus starten (vor dem erscheinen vom logo [F8] drücken)

dort nochmals versuchen alle manipulationen zu entfernen, auch über msconfig.msc die autostarteinträge anschauen.

oder eine AVIRA Boot CD brennen und damit unabhängig von windows den pc durchsuchen und funde entfernen lassen. allerdings wird die Boot CD keine registry manipulationen entfernen.

deshalb vl. die systemwiederherstellung nutzen, wenn du sie nicht deaktiviert hast. allerdings hast du diese einstellungen ja teilweise selber gelöscht.

ich will dich ja nicht beunruhigen, aber bei avira online haben trojaner mit der bezeichnung TR/Agent ein mittleres bis hohes schadenpotenzial...

ich hoffe, damit kannst du was anfangen. ansonsten musste dich halt nochmals melden.

P.S: ich persönlich geh nach virenbefall immer auf nummer sicher und installier das OS einfach neu und pass auf dass ich die viren nicht bei der datensicherung mitsichere. ist aber sehr umständlich...

**petersch41** · 28.05.2010, 12:43

Über den abgesicherten Modus habe ich's noch nicht versucht. Werde ich aber in jedem Fall testen. Das ist ja schon 'mal ein Anfang, danke.

Statt msconfig.msc verwende ich häufig Sysinternals Autruns - da gibt's immer 'ne Menge Einträge, die es wert sind, untersucht zu werden.

Die Recue CD werde ich brennen, und damit 'mal Erfahrungen sammeln.

Die Systemwiederherstellung habe ich generell ab gestellt, weil mein Antivir-Programm mir zu oft dort versteckte Schädlinge anzeigte. Ich nutze seit langem Acronis TrueImage und bin damit und seinen Wiederherstellungsmöglichkeiten sehr zufrieden.

**jubo14** · 28.05.2010, 13:26

Die doppelte Antwort habe ich mir erlaubt zu entfernen.

Und ansonsten warten wir das Ergebnis Deiner Bemühungen im abgesicherten Modus ab.

**leader** · 28.05.2010, 19:26

Ich weiß nicht ob das aktuell noch so ist...AVAST hatte aber zumindest mal einen "Boot Time Scan" und damit habe ich vor längerer Zeit auf einem System...das sich sobald Windows lief auch nicht reinigen ließ...den Schädling ausschalten können.

Wie gesagt ist eine Neuinstallation nach Befall aber die beste Lösung.

Hier noch ein Link dazu: KLICK

**Spamkiller** · 29.05.2010, 10:29

ich galube eine vollständige neuinstallation ist gar nicht notwendig, wenn er sagt, dass er mit TrueImage regelmäßig backups macht. dann kann er, wenn die letzte sicherung nicht zu lange her ist, die einspielen. in der zwischenzeit neu erstellte dokumente etc. muss man dann eben noch extra sichern. aber dabei nicht den virus mitkopieren.

wenn der virus nach dem löschen immer wieder auftaucht, ist wie gesagt eine registrymanipulation vorgenommen worden oder er hat sich als windows dienst eingenistet.

überleg dir mal, wenn die anderen tipps nicht funtionieren, ob das mit dem backup eine lösung für dich wäre???

hoffenbtlich klappt's

P.S.: einen virenbefallenen computer sollte man vom internet und heimnetz trennen (also lan kabel oder w-lan adapter raus/deaktivieren), da der sonst - wie ers auch soll - persönliche daten übers netz verschicken könnte.
Bei der AVIRA RescueCD brauchst du aber ne internetverbindung zum updates herunterladen.

**petersch41** · 29.05.2010, 18:30

Dank für alle Tipps!

Die letzten Stunden waren ziemlich stressig: Ich musste unbedingt an den PC - und natürlich sollte er virenfrei sein. Also habe ich kurzerhand eine TrueImage-Sicherung von vor einer Woche zurückgespielt. Damit war der Virus weg - aber auch die Möglichkeit, Eure Tipps auszuprobieren...

Aber der nächste Virus kommt bestimmt... Und ich bin dann vielleicht ein wenig besser gewappnet.

**iwier** · 29.05.2010, 18:43

Zitat von petersch41

Aber der nächste Virus kommt bestimmt... Und ich bin dann vielleicht ein wenig besser gewappnet.

Hallo,

entschuldige bitte, aber wer solche Aussagen äußert, verhält sich irgendwie falsch oder macht etwas falsch.

Wo und wie treibst du dich im Internet herum?

Ein aktuell gehaltenes Betriebssystem, eine vernünftige Freewarevirensoftware (sie muss ja nicht AVIRA heißen) und eine Freewarefirewall bzw. bei Windows 7 die Betriebsystemeigene, und vor allen Dingen ein aktuell gehaltenes Brain.exe (z.B. zuerst überlegen und dann erst klicken) und für alle Eventualitäten, insbesondere Hardwareproblemen, ein vernünftiges Sicherungskonzept machen eine solche Aussage überflüssig.

Gruß

iwier

**konrad** · 30.05.2010, 02:23

Würde dir raten Spybot S&D zu installieren (und Spybot Resident einzuschalten > PS: Dieser schützt vor ungewünschten Änderungen von Registryeinträgen).

Spybot gibt's unter: www.spybot.info

**Spamkiller** · 30.05.2010, 16:13

oder wenn du dich auf solchen seiten rumtreibst, dann nutz nen virtuellen pc. ist zu (fast) 100% sicher für dein wirtssystem. ich nutze virtuelle pcs zum beispiel wenn ich was ausprobiere und dabei größere systemänderungen vornehmen müsste. oder um neue programme auszuprobieren, wie z.b. office 2010 testversion.

für sowas - und wahrscheinlcih auch für deine zwecke - sind virtuelle pcs einfach ideal!

P.S.: ich glaube an seinem "konzept" braucht er nicht so viel zu ändern. wenn er wöchentlich sicherungen macht, dann ist das im vergleich zu vielen anderen hier schon ein großer fortschritt - und er ist auf der sicheren seite!!!