Entfernen von hartnäckiger Schadsoftware
// March 19th, 2009 // IT, Kaspersky
Ab und zu gibt es Situationen, in denen bereits vor der Installation eines Virenschutzes ein Schädling sein Unwesen getrieben hat. In diesem Fall kann selbst eine Anti-Viren-Software Probleme bei der Entfernung haben, da sich die Schadsoftware bereits in die Systemwiederherstellung geschrieben hat oder im Speicher residiert.Hier nun die gängigsten Probleme und deren Lösung:
1) Die Malware befindet sich in der Systemwiederherstellung
Wenn sich Malwarereste in der Systemwiederherstellung verstecken (das kann durch den Pfad x:\System volume information\_restore\... erkannt werden) muss die Systemwiederherstellung deaktiviert werden.
Rechtsklick auf den Arbeitsplatz und Eigenschaften wählen. Dann im Systemwiederherstellung-Reiter den Eintrag Systemwiederherstellung auf allen Laufwerken deaktivieren wählen, den Vorgang im Popup mit OK bestätigen und den PC rebooten.
Nach dem Reboot sollten alle Wiederherstellungspunkte gelöscht sein und die Systemwiederherstellung kann wieder gestartet werden.
2) Malware kann nicht gelöscht werden und befindet sich nicht in der Systemwiederherstellung
In diesem Fall ist es empfohlen, den PC im abgesicherten Modus zu starten. Zuerst den PC herunterfahren.
Ein paar Sekunden warten und ihn wieder einschalten.
Jetzt, bevor Windows zu laden beginnt, während die BIOS-Information angezeigt wird F8 drücken. F8 darf mehrmals gedrückt werden
Es wird ein Menü erscheinen. Mittels den Aufwärts- 
und Abwärts- 
Tasten den Eintrag "Abgesicherter Modus" wählen und auf die Eingabetaste drücken.
Wenn Windows vollständig geladen ist, Kaspersky über das Start-Menü starten und einen Vollscan machen. Das Gefundene desinfizieren/löschen.
3) Malware kann auch nicht im abgesicherten Modus entfernt werden
In diesem Fall muss das manuell gelöst werden.
Erstelle einen neuen Topic im Kaspersky-Forum (sofern Du Kaspersky-Lösungen nutzt) unter http://forum.kaspersky.com/ mittels 
Wenn nach einem AVZ Log gefragt wird, so kann man es erstellen:
1)Ich habe Kaspersky Anti-virus/Internet Security 2009 installiert:
Unter Support>Protokollierung>Bericht über Systemstatus erstellen. Wenn der Wizard fertig ist und das Fenster verschwindet, auf den Anzeigen Button gehen und die syinfo.zip Datei in der Nachricht als Anhang hinzufügen.
2)Ich habe eine ältere Version von Kaspersky Produkten installiert.
AVZ4 hier herunterladen und es in einem Ordner auf dem Desktop entpacken. AVZ.exe ausführen und unter File->System Analysis anklicken. Dort die Option "Attach System Analysis log to ZIP" aktivieren und dann auf Start klicken. Wenn der Scan komplett ist, die gezippte Datei (avz_sysinfo.zip) in der Nachricht als Anhang hinzufügen.
Danke an Lucian Bara für die super Anleitung.
8 Responses to “Entfernen von hartnäckiger Schadsoftware”
Leave a Reply
Letzte Kommentare
- Bilderrahmen on Leichtsinnige Passwort-Verwaltung bietet Angriffsfläche für Cyberkriminelle
- LiberrY on Teamspeak 3 – Umstellen von SQLite auf MySQL
- Sabrina on Gina Lisa Sex-Video nun doch aufgetaucht und fertig zum Download
- Dankender on Windows Installer im abgesicherten Modus nutzen
- credit loans on 3D Supply mit neuer Aktion
- curdin on [Tutorial] WPA gesichertes WLAN ‘hacken’
- Andrea on Leichtsinnige Passwort-Verwaltung bietet Angriffsfläche für Cyberkriminelle
letzte Artikel
- 3D Supply mit neuer Aktion
- RIP Jan
- Leichtsinnige Passwort-Verwaltung bietet Angriffsfläche für Cyberkriminelle
- Überprüfen des Patchstands von Kaspersky Anti-Virus Produkten über das Administration Kit
- Mit gekaperten Rechnern bares Geld verdienen! Wer hinter dem erfolgreichen Geschäftsmodel Botnetze steht
Partner
Wie hast du das .gif erstellt? Auf Kriegspfad mit Youtube oder nur mal neue Technik ausprobiert? 200kb für dieses Video ist schon nicht schlecht aber es startet automatisch, was etwas verwirrend werden kann und verlangsamt den Seitenaufbau, oder wird dieses Element als letztes aufgebaut?
An sich aber nen guter Post für Hilfesuchende.
Das gif-File habe ich aus dem Kaspersky Forum von einem Kollegen übernommen.
Habe gestern verpennt den more-Tag entsprechend zu platzieren, dass die Grafik nicht direkt auf der Startseite zu sehen ist. Werde dies jetzt noch nachholen.
Backup einspielen oder Neuinstallieren ist die einzig wirklich sinnvolle Methode einen Virus und Konsorten los zu werden. Man weiß nie was seit der Infektion alles an Viren nach geladen wurde und von den ach so tollen Antiviren Suiten nicht entdeckt wurde. Selbst Microsoft schreibt das auf seiner Webseite. Das was Du empfiehlst ist höchst unseriös.
Ich stimme Dir sogar zu. Genau wie die Hersteller der ach so tollen Antiviren Suiten. Backup oder Neuinstallation sollte die erste Wahl sein. Leider ist dies aber nicht immer möglich.
Administratoren von kleinen Netzwerken, in denen es z.B. nur einen einzigen DC gibt werden in den wenigsten Fällen zu einer Neuinstallation greifen. Und Backup ist bei einem einzelnen DC, auf welchem evtl. sogar noch ein Exchange läuft, auch nur bedingt möglich. Daher ist dieser Artikel auch nicht 'unseriös'.
Deiner Aussage nach scheint Dir scheinbar einfach nur die Erfahrung zu fehlen, aber ist ja np. Lasse ja mit mir reden.
In diesem Fall fehlt mir wirklich Die Erfahrung. Es war mir leider nicht ersichtlich in welcher Umgebung so zu handeln ist wie bei dir beschrieben. Nehme in diesem fall auch das unseriös gerne zurück.
MFG
Respekt... diese Rückmeldung von Dir zeugt von Charakter. Die meisten anderen hätten jetzt angefangen zu flamen oder sich nicht mehr blicken lassen. Bist auf meinem Blog jederzeit wieder willkommen.
Wie gesagt, grundsätzlich hast Du mit Deiner Aussage Recht. Traue keinem infizierten System und auch ich als Techniker bzw. Supporter bei Kaspersky würde jede Büchse, auf welcher eine Schadsoftware war, neu aufsetzen. Nur leider ist dies nicht immer möglich oder zumindest nicht mit einem angemessenen Aufwand. Da muss man dann eben weiterhin die Maschine beobachten und dafür Sorge tragen, dass man schnell reagiert, sollte sich herausstellen, dass dort nicht alles sauber ist.
Genau das was Du gerade geschrieben hast hatte mich brennend interessiert wie Du das weiter Hand haben tust. Weil man ja nie weiß ob eine einmal befallene Maschine noch vertrauenswürdig ist. Das ist, glaube ich, wirklich keine einfache Sache. Man möchte ja Nachts noch ruhig schlafen können als Administrator.
Werde mich bestimmt noch öfter hier blicken lassen.
Lg MFG
Das lässt sich leider nicht so pauschal sagen. Während ich nach einer Wurminfektion eher ein Auge auf die Netzwerkaktivität des vermeintlich infizierten Rechners werfen würde, wäre es bei einer Infektion durch einen Virus das Dateisystem. Hängt alles vom Einzefall ab. Das Windows Eventlog, Wireshark und die Tools von Sysinternals wären hierbei meine erste Wahl. Ansonsten den Rechner von einem bootfähigen Medium, z.B. RettungsCD mit Virenscanner, booten und scannen lassen. Weiterhin natürlich einen Virenscanner mit aktuellsten Virensignaturen auf dem Betriebssystem selbst.