Antivirus XP 2008: falsche Sicherheit
- Ersteller maedi100
- Erstellt am
Dieser Thread ist Teil einer Diskussion zu einem Artikel:
Zum News-Artikel gehen
Hi @ all
Da beim PC-threat kein Kommentar möglich war, hier mal eine kleine Anleitung was zu machen ist bei Problemen.
Hab das ganze Spiel am Wochenende beim Laptop eines Kollegen durchgeführt.
Zunächst muss man sich mal die Rechte auf seinem PC wieder besorgen, das Teil sperrt Taskmanager und diverse andere Sachen wie regedit usw. Dazu eignet sich die Shareware "Security Administrator", die durch googeln leicht zu finden ist. Wenn man seine Rechte wiederhat, kann man schon mal die diversen Arbeiten durchführen wie Prozesse stoppen, dll's deregistrieren und löschen. Manchmal muss man nach jedem Neustart den "Security Administrator" erneut durchführen, solange die bestimmte .dll aktiv ist, die dafür sorgt, dass beim Start die Policies geändert werden. Diese (meist sind es 2) .dll's lassen sich nur im abgesicherten Zustand und nur an der Eingabeaufforderung löschen.
Wenn das System soweit sauber ist, stellt man fest, dass manche Seiten im Internet, u.a. sogar Windowsupdate nicht erreichbar sind. Das liegt an einem Rootkit, das in den Tiefen des Systems verankert ist und mit normalen Rootkit-scannern nicht gefunden wird. Es besteht aus 2 dll's und einer .sys. Diese konnte ich mit der Rettungs-CD von Avira (Linux basierend) entfernen. Dieses Tool kann diese 3 Dateien zwar nicht entfernen, aber umbenennen (auf .dll.XXX), beim nächsten Neustart lassen sich die 3 Dateien dann leicht entfernen.
Noch was, ganz am Anfang die Systemüberwachung zumindest des Bootlaufwerks abschalten, damit die "System volume information" gelöscht wird, sonst aktiviert sich das Teil immer wieder selbst.
Wenn dann alles wieder läuft, die neusten updates und ein guter Virenscanner installiert ist sollte man mit dem "Security Administrator" nochmals alle Rechte kontrollieren, ist alles i.O., kann diese Soft wieder entfernt werden. Nun würde ich mit dem "regcleaner" die registry säubern (Sicherung nicht vergessen). Dann kann auch die Systemüberwachung wieder eingeschaltet werden. Systemwiederherstellungspunkte zu aktivieren, selbst auf 3 Monate zurück, waren, obwohl vorhanden, auf dem System, das ich reparierte, nicht möglich.
Zeitaufwand war ca. 8 Stunden mit etlichen Neustarts, musste mich halt durchkämpfen, jetzt würde ich es wohl wesentlich schneller schaffen.
Gruss und viel Erfolg
Heri
P.S. klar geht neuaufsetzen oder Backup einspielen schneller, aber so lernt man auch was draus...
Da beim PC-threat kein Kommentar möglich war, hier mal eine kleine Anleitung was zu machen ist bei Problemen.
Hab das ganze Spiel am Wochenende beim Laptop eines Kollegen durchgeführt.
Zunächst muss man sich mal die Rechte auf seinem PC wieder besorgen, das Teil sperrt Taskmanager und diverse andere Sachen wie regedit usw. Dazu eignet sich die Shareware "Security Administrator", die durch googeln leicht zu finden ist. Wenn man seine Rechte wiederhat, kann man schon mal die diversen Arbeiten durchführen wie Prozesse stoppen, dll's deregistrieren und löschen. Manchmal muss man nach jedem Neustart den "Security Administrator" erneut durchführen, solange die bestimmte .dll aktiv ist, die dafür sorgt, dass beim Start die Policies geändert werden. Diese (meist sind es 2) .dll's lassen sich nur im abgesicherten Zustand und nur an der Eingabeaufforderung löschen.
Wenn das System soweit sauber ist, stellt man fest, dass manche Seiten im Internet, u.a. sogar Windowsupdate nicht erreichbar sind. Das liegt an einem Rootkit, das in den Tiefen des Systems verankert ist und mit normalen Rootkit-scannern nicht gefunden wird. Es besteht aus 2 dll's und einer .sys. Diese konnte ich mit der Rettungs-CD von Avira (Linux basierend) entfernen. Dieses Tool kann diese 3 Dateien zwar nicht entfernen, aber umbenennen (auf .dll.XXX), beim nächsten Neustart lassen sich die 3 Dateien dann leicht entfernen.
Noch was, ganz am Anfang die Systemüberwachung zumindest des Bootlaufwerks abschalten, damit die "System volume information" gelöscht wird, sonst aktiviert sich das Teil immer wieder selbst.
Wenn dann alles wieder läuft, die neusten updates und ein guter Virenscanner installiert ist sollte man mit dem "Security Administrator" nochmals alle Rechte kontrollieren, ist alles i.O., kann diese Soft wieder entfernt werden. Nun würde ich mit dem "regcleaner" die registry säubern (Sicherung nicht vergessen). Dann kann auch die Systemüberwachung wieder eingeschaltet werden. Systemwiederherstellungspunkte zu aktivieren, selbst auf 3 Monate zurück, waren, obwohl vorhanden, auf dem System, das ich reparierte, nicht möglich.
Zeitaufwand war ca. 8 Stunden mit etlichen Neustarts, musste mich halt durchkämpfen, jetzt würde ich es wohl wesentlich schneller schaffen.
Gruss und viel Erfolg
Heri
P.S. klar geht neuaufsetzen oder Backup einspielen schneller, aber so lernt man auch was draus...
maedi100
Stammgast
P.S. klar geht neuaufsetzen oder Backup einspielen schneller, aber so lernt man auch was draus...
Klar, und nachher Rechnung stellen