Wie ich meinen total verseuchten Rechnern gereinigt bekam.

Wer diese Beiträge kennt:

http://www.pcwelt.de/forum/thread149505.html
und
http://www.pcwelt.de/forum/thread150400.html

der weiß auch, dass ich ein ziemlich kaputtes Windows hatte. Das Windows war deswegen so kaputt, weil es an einem Versuch teilnahm. Da ging nichts mehr. Als ich es dann löschen wollte, überlegte ich mir dieses Windows aus Spaß zu reparieren. Ich suchte zuerst Hilfe in einigen Foren… aber das habe ich bereits geschrieben.

Hier ist der Weg wie ich es hingekriegt habe.

Das größte Problem war, dass ich überhaupt nicht auf den Rechner zugreifen konnte. Jeder Klick endete damit, dass ich zwei bis fünf Minuten warten musste. Zuerst musste ich einen Zustand ereichen, der mir das Arbeiten mit dem System erlaubte.

Ad-Aware sollte zuerst ein wenig Luft schaffen. Es dauerte allerdings fast zehn Minuten bis ich Ad-Aware Setup vor den Cursor kriegte. Jeder Klick und jede Aktion dauerten Minuten. Den ersten Installationsversuch musste ich dann doch abbrechen, da das System zu ausgelastet war. Also Windows neu gestartet und sofort nach dem Neustart die Installation ausgeführt. Es dauerte dann seine Zeit, aber ich hab es hingekriegt und Ad-Aware wurde ausgeführt. Danach hab ich den Rechner arbeiten lassen und mich anderen Dingen gewidmet. Nach etwa einer Stunde war Ad-Aware nicht weit gekommen. Der Rechner war in einem permanentem Schreib- und Lesezustand, und das wurde mir doch zu gefährlich. Ich hatte Angst, dass sich die Festplatte zu sehr erhitzt, und so hab ich Ad-Aware abgebrochen. Es war ja nicht nur Ad-Aware die permanent gelesen hat. Es waren auch die vielen Schadware Programme die ständig gelesen und geschrieben haben.

Also hab ich den Rechner rebootet und Windows in der Eingabeaufforderung gestartet. Die HiJackThis Log-Datei zeigte mir vorher, dass der Rechner fast 6000 Programme hatte, die automatisch bei Windows gestartet werden sollten. Zumindest waren 6000 Programme im RUN der Registry eingetragen. Der Programmierer dieser Schadware hielt sich wahrscheinlich für genial, war aber eigentlich doch etwas blöde. Wahrscheinlich sah er vor seinem geistigen Auge überforderte Computernutzer, die wie wild im Taskmanager versuchen seine Programme zu beenden, aber auf Grund der Menge es nicht hinkriegen. Insoweit war er schon erfolgreich. Allerdings war er insoweit blöde, als dass sein Vorhaben den Rechner überlastete.

Wie funktionierte das ganze? Wenn man sich den "Windows" Ordner im Explorer angesehen hat, dann stellte man festgestellt, dass alle 10 Sekunden eine neue 32KByte großen Exe Datei erstellt wurde. Nebenbei wurde sie in der RUN der Registry eingetragen. Der Windowsordner war voll davon. Die Dateien fingen bei A an und gingen bis Z. Alle hörten mit *srv.exe auf. Da permanent auf das Netzwerk zugegriffen wurde, waren es wahrscheinlich Server, die in das Internet sendeten. Mit 6000 Kopien und dem Versuch alle 6000 Programme gleichzeitig zu starten, haben die Programme das System allerdings so ausgelastet, dass es zusammengebrochen war. Die Verbindung ins Internet hatte ich relativ früh gekappt, aber für paar (zig) Minuten muss ich das Internet wohl nur so bombardiert haben. Allerdings war das wahrscheinlich so, als würden 6000 Leute gleichzeitig auf eine Tür drängen. Alle haben sich gegenseitig behindert und keiner kam so richtig raus.

Nachdem ich Windows in der Eingabeaufforderung hatte, hab ich zuerst die 6000 Dateien aus dem Windowsordner gelöscht. Hier hat sich bezahlt gemacht, dass ich ein wenig von DOS verstehe. Von der Löschaktion habe ich mir erhofft, dass ich beim nächsten Start ein wenig Luft haben werde. War auch so. Ich starte das Windows und war erst einmal im "Administrator" Konto und Administrator Modus. Zeit war Geld, also machte ich mich schnell an die Arbeit. Als erstes in die Benutzerverwaltung und dem "Administrator" Konto ein Passwort vergeben. An einem Administrator Konto ohne Passwort sollte die ganze Sache später nicht scheiten. Als nächstes ein Administrator Konto mit dem Namen "Admin" erstellt. Microsoft will anscheinend nicht, dass man als Computeradministrator mit dem "Administrator" Konto arbeitet. Deshalb kann man ein eingeschränktes Konto erst nach einem zweiten Administrator Konto erstellen. Jetzt endlich konnte ich ein eingeschränktes Konto erstellen. Ich nannte dieses Konto "Test". Allerdings bringt ein eingeschränktes Konto nicht viel wenn man nur Fat32 hat. Besser ist NTFS, denn da kann man besser Rechte verteilen. Also mit "c:\windows\system32\CONVERT c: /FS:NTFS" das Laufwerk in NTFS konvertiert. Dazu musste der Rechner noch einmal neu gestartet werden.

Jetzt endlich hatte ich ein Windows mit dem man arbeiten konnte, denn endlich konnte ich Rechte einschränken. Allerdings musste ich zuerst wieder als Computeradministrator arbeiten. Kurz nach dem Start zeige der Taskmanager an die 20 bis 30 IExplore Prozesse, und die schluckten Ressourcen. Man konnte sie zwar alle beenden, aber sie würden wieder kommen. Also zuerst im "Programme" Verzeichnis beiden Konten ("Admin" und "Test") die Berechtigungen für IExplore.exe entzogen. Somit konnte der Internet Explorer nicht mehr gestartet werden. Das gleiche hab ich mit dem "Program Files" Verzeichnis gemacht. Da kein dort installiertes Programm von mir war, konnte ich auch kein wichtiges Programm blockieren. Zuletzt hab ich noch das "Administrator" Verzeichnis im "Dokumente und Einstellungen" Ordner für beide Konten gesperrt. Sollten da in "Temp" Ordnern noch Dateien sein, so konnten die auch nicht ausgeführt werden.

Dann den Rechner neu gestartet und im eingeschränktem Konto angemeldet. So konnte nichts mehr im Windowsverzeichnis geschrieben werden. Ich startete jetzt die Ad-Aware und Spy-Sweeper mit Administratorrechten und bereinigte das System von dem, was die Beiden gefunden haben. Damit hatte ich erst einmal das Grobe weg.

Da ich im eingeschränkten Konto arbeitete, konnten einige Programme nicht mehr wie sie gerne wollten, Andere Programme konnten zumindest ausgeführt werden. Deshalb startete ich HiJackThis und fixte alles was keine Miete zahlte. Der Taskmanager zeigte noch einen Schädling, der an die 60% der Systemleistung verbrauchte. Er ließ sich zwar beenden, aber startete immer wieder aufs Neue. Dann gab es dann noch eine Guard.tmp Datei in System32, die nicht ausgeführt werden konnte. Wahrscheinlich wurde die Datei immer wieder kopiert. Da das Windowsverzeichnis jetzt aber zu war, konnte von der Datei keine Kopie erstellt werden. Auch war im eingeschränkten Konto ein Teil der Registry nicht mehr zugänglich. Das Problem mit den Dateien war, dass man sie nicht löschen konnte. Also noch mal in als Computeradministrator angemeldet und für die Dateien die Berechtigungen entzogen. Das ging ohne Probleme. Dann Rechner neu gestartet und nach dem Neustart die Dateien gelöscht. Da beide Konten keine "Lesen" und "Ausführen" Berechtigungen für die Dateien hatten, konnten die Programme auch nicht gestartet werden. Und weil ich schon dabei war, habe ich auch alles gelöscht, was in der gleichen Minute auf dem Rechner erstellt wurde. Keines der Dateien kam mir bekannt vor, und deshalb war die Wahrscheinlichkeit groß, dass die zu den beiden Schädlingen gehören. Ich deinstallierte noch alles was sich deinstallieren ließ und löschte das "Program Files" Verzeichnis. Der IExplorer.exe durfte wieder gestartet werden. Ich bereinige alle Temp Ordner und den Papierkorb.

Danach wurde es erst einmal ruhig auf dem Rechner. Die Systembelastung war normal, im Taskmanager waren keine unbekannten Prozesse und auch HiJackThis zeigte nichts. Ad-Aware und Spy-Sweeper zeigen keine Schädige. Das Einzige war noch eine gelegentliche Meldung, dass auf Guard.tmp nicht zugegriffen werden kann. Allerdings fand ich nichts was drauf zugriff. Also führte ich noch eScan durch. eScann fand Guard.tmp und einige Kopien dieser Datei. Dann gab es auch einige weniger gefährlich not-a-virus Dateien. eScan ist für Privat zwar kostenlos, verlangt aber leider für Löschen Geld. Also löschte ich die Dateien nicht, sonder entzog dem Konto die Rechte. Nach einem Neustart konnte ich die Dateien in einen Quarantäne Ordner verschieben. Nur eine Datei lies sich nicht löschen. Ich würde gerne schreiben wie ich die dann endgültig gelöscht bekam, aber so richtig weiß ich es nicht. Weder das "Admin" Konto, noch sonstige Konten, hatten irgendwelche nennenswerten Rechte an der Datei. Ich versuchte alles was mir einfiel, aber die Datei konnte nicht gelöscht werden. Es war so also ob irgendwer die Datei schützen würde. Auch Neustarts halfen nicht. Also versuchte ich es von außen. Ich startet WindowsXP PE von der CD und ging an die Datei. Hier konnte wirklich keiner die Datei schützen. Aber auch hier kein Löschen möglich. Also noch mal Windows gestartet und intensives Scanndisk durchgeführt. Kein Ergebnis. Als mich dann einer anrief und ich so am Telefon gequatscht habe, klickte ich die Datei noch mal an und drückte die Entf Taste. Und plötzlich war die Datei weg. Soviel Theater und dann einfach so weg. Wenn ich jetzt wüsste was es gewesen ist. Vielleicht wurde die Datei nicht geschützt, sondern war einfach nur defekt. Ich hab mir die Datei vorher mit einem Hex Editor angesehen und sah eine EXE Signatur am Anfang. Obwohl sich die Datei als DLL tarnte, war sie doch ein Programm. Dieser Punkt war dann auch erledigt.

SpyHunter 2 fand dann noch Gator auf dem Rechner. Allerdings löscht die Freeware nichts, und so musste ich von Hand ran.

Stinger fand auch noch einen QHost Trojaner und entfernte ihn. Dieser verändert die Host Datei und leitet URL's um.

 

Danach ging ich erst einmal wieder ins Internet. Vorher hab ich noch eine PFW installiert. Aber weder die PFW, noch das LAN Symbol in der Taskleiste zeigten ein Zugriff oder Trafik. Der Internet Explorer arbeitet vorzüglich und wurde nicht entführt. Auch im Administrator Modus gab es keine Probleme. Ich arbeitete eine halbe Stunde mit dem System, aber nichts tat sich. Kein Internet Trafik und auch nichts was ausgeführt wurde. Auch nicht nach mehreren Neustarts. Ich teste das System dann noch einmal mit den Scannern, aber alles bleib sauber. Das total kaputte System hatte ich in etwa drei bis vier Stunden wieder sauber gekriegt. Ich weiß, dass in der Regel hier der Einspruch kommt, dass es zwar sauber ist, aber nicht rein. Aber was ist im Leben schon 100% sicher? Nichts tut sich und ich hab kein Trafik. Ich kann surfen und lande auch nicht auf den falschen Seiten. Ich werden noch paar Scanner Programme installieren und sehen ob die was finden. Allerdings arbeite ich inzwischen seit einigen Tagen damit, ohne irgendwelche Probleme. Die verschiedenen Scanner zeigen nur noch einen sauberen Rechner.

Somit zeigt dieses Beispiel, dass man jedes System wieder sauber kriegen kann, wenn man nur hartnäckig ist. Direktes Löschen bringt oft nichts, da sich alles nachladen kann. Gelegentlich muss man den längeren Weg gehen und zuerst überall die Rechte beschränken. Erst dann kann man an das Löschen ran.

An dieser Stelle möchte ich mich bei Mr. X für seine Hilfe bedanken. Er schrieb mich an und begleitet mich per ICQ bei diesem Vorhaben. Er half mir einige Zusammenhänge besser zu verstehen und gab mir andauernd gute Tipps. Leider bat er mich seinem Namen in diesem Bericht wegzulassen. Vielleicht fürchtet er in dieser "Format c:" Welt irgendwelche Konsequenzen. Wenn ich mir die Reaktionen auf mich ansehe, dann kann ich das nachvollziehen. Dennoch Danke.

 

@dinges opfer
Ich mach sowas in 15 Minuten, Du lieber in 4 oder 5 Tagen, oder noch länger

Edit: Du hast es ja in 10 Tagen geschafft:

 

Also wenn ich wüßte was du damit sagen willst, dann wäre ich wirklich glücklich. Also gucken wir uns deinen Satz an:

Ich mach sowas in 15 Minuten,

Ok, das klingt noch einigermaßen ...

Du lieber in 4 oder 5 Tagen, oder noch länger

Aber was zum Henker hat der Satz für einen Sinn? Ich mach das, du lieber in 4 Tagen das? Das ist der dämlichste Satz, den ich je gelesen habe. Du bist zu doof um einen Satz zu formulieren, und willst das in 15 Minuten hinkriegen?

Edit: Du hast es ja in 10 Tagen geschafft

Und lesen kannst du auch nicht. Dabei hab ich geschrieben, daß ich drei bis vier Arbeits-Stunden dafür gebraucht habe. Davon gehen noch eine Stunde auf den ersten nutzlosen Ad-Aware Test und andere späteren Scannst drauf. Macht locker über zwei Stunden nur für Testcanns. Wie willst du das in 15 hinkriegen.

Du kriegst so was in 15 Minuten hin? Kann es sein, daß du dich ein wenig aufspielen willst, du Null? Wenn du so was in 15 Minuten hinkriegst, dann wundere ich mich daß du mir dabei nicht geholfen hast. Wo warst du als ich hier gefragt habe?

Du hast 31 Beiträge, aber bis auf stänkern ist nichts dabei.

Du willst so was in 15 Minuten hinkriegen? Du hast bisher keinem einzigen bei seinem Windowsbefall geholfen. Und du willst das in 15 Minuten hinkriegen? Wieso bist du hier nicht der Sicherheits-Guru #1, der alle PC's gereinigt bekommt?

Du bist eine Nulpe, die sich hier aufspielen will. Mehr nicht. Der 15 Minuten Boy.

 

@dinges opfer
du hast nur 19 Beiträge und versucht hier alle Lächerlich zu machen.
Was soll das, is doch gut gewesen

 

Jajaja

 

und wieder
AMEN

 

Und wieviel Foren hast Du versucht zu verarschen

 

bzw. zu Verseuchen

 

Ist das alles was ihr hinkriegt? Amen? Ich verstehe schon Mr. X und sein Wunsch hier nicht genannt zu werden. Ist schon eine Schande wenn Leute die Ahnung haben nicht genannt werden wollen. Nur weil ihr es nicht hinkriegt, ist format c: die einzige Möglichkeit. Aber macht mal den PC Fan fertig. Der macht auch so was und sogar in 15 Minuten.

 

@GrafKoks
Wer ist denn Manne07

 

Mann Mann Mann,
ich dachte immer solch ein Forum ist für Leute die Hilfe erwarten weil sie nicht so viel Ahnung von der Materie haben.
Aber durch solche Leute wie du, die sich dann über die Leute lustig machen die versuchen zu Helfen.
Wieso hast du überhaupt hier gepostet, bist du von der "Stiftung Warentest" oder was.
Gib doch mal was von deinem wissen ab, und helf den Leuten, anstatt hir große Sprüche zu klopfen, nur so könntest du dich Beweisen, falls die das zu Sehlenfrieden hilft

 

Ich kann da "PC Fan" nur Recht geben, dieser "dinges opfer" hat doch in mehreren Foren versucht, die Leute zu verarschen, habt Ihr das noch nicht mitbekommen
Wie er selbst postet, hat man Ihn dort gleich wieder rausgeworfen, ich denke mit Recht. Wäre hier vielleicht auch angebracht

 

Warten wir auf die Dinge die noch kommen, der hat sein letztes Wort noch nicht gesprochen

 

@dinges opfer

Entweder kannst Du es nicht verstehen oder willst es einfach nicht:

Woher nimmst Du die Sicherheit, dass Du alle Schädlinge beseitigt hast?
(Jetzt schreib nicht, durch einen Scan mit einem Antivirenprogramm, das womöglich noch auf Deinem versifften Rechner installiert ist, so naiv kann ein Mensch nicht sein...)

Mit einem Neuaufsetzen des Systems hättest Du die Sicherheit eines sauberen Systems.

...aber wenn Du Deinen Umgang mit dem Internet nicht geändert hast, wäre das wahrscheinlich sowieso nur ein sehr kurzes schädlingsfreies Intermezzo gewesen...

Schon schlimm, dass Du auf diese Kurpfuscherei auch noch stolz bist...


Rattiberta

 

und jetzt..........
ich freu mich schon

 

Na klar, das glaube ich Ihm auch, der hat eben ein BackUp , aber das ist bestimmt ein Fremdwort für Dich

och, ich glaube, davon gibts noch reichlich, bestes Beispiel siehe "dinges opfer"
Er vertraut lieber seinem "geheimen Mr.X"

 

T.ille, für wie blöde hältst du mich und die anderen? Helfen? Hier? Die hälfte der Leute hier sind doch Spinner. Guck dir z.B. PC Fan an. Er ist hier seit paar Tagen und macht einen auf großen Macker. Das ist noch nicht mal schlimm. Aber keinen stört es. Er behauptet, daß er einen so verseuchten PC in 15 Minuten sauber kriegt. Schon alleine das Konvertieren in NTFS und das erstellen aller Konten dauert 3/4 Stunde. Das sind Festzeiten und das kriegt man nicht schneller hin. Dann gibt es noch die Scanns die zusammen so 2 Stunden dauern. macht 2 3/4 Stunden Festzeiten. Aber dennoch gibt es Spinner hier die von sich behaupten Wunder vollbringen zu können, und keiner stört sich dran.

Und du willst hier etwas von Leuten die Helfen erzählen? Guck dir die Beiträge von PC Fan und GrafKoks an. Die sind erst seit paar Tagen hier, machen nichts als stänkern, und keinen stört es.

Das ist eine Freak Show hier. Was erzählst du von Leuten die Hilfe suchen und sie hier kriegen?

Warum ich hier gepostet habe? Weil ich einen Rechner sauber gekriegt habe. Ich arbeite damit bereits paar Tage und der ist immer noch sauber. Ich hab keinen ungeklärten Trafik, da ich jedes Byte überwache. Ich überwache jede Datei die neu dazukommt oder die Größe ändert. Ich mach das nicht um euch was zu beweisen, sondern um es selbst zu sehen. Ich schreibe hier nur die Ergebnisse hin.

Warum ich hier gepostet habe? Weil ihr bis auf format c: nicht viel drauf habt. Meinetwegen lästert über mich. Aber einige werden das gut studieren und in Zukunft das eine oder andere hieraus empfehlen. Ich hab mir nicht paar Stunden Arbeit mit dem Text gemacht nur um hier einen auf wichtig zu machen. Das kriege ich auch mit einem kurzen Text. Dazu brauche ich nicht einen Text zu schreiben und den paar Mal zu korrigieren. Wenn ich also so was gemacht habe, dann damit hier einige einen Praxistest sehen können. Hier wurde viel Amen gerufen und mit 15 Minuten geprallt. Aber es ist bisher keiner auf die Idee gekommen auf den Text einzugehen. GrafKoks kriegt geraden den Satz hin, daß jeder weiß, daß man so einen Rechner neu aufsetzt. Schön, daß GrafKoks nichts lernen will. Er empfiehlt hier die nächsten zwei Jahre nur noch das Formatieren und ist dann in zwei Jahren der große Guru mit 3000 Punkten.

Wenn ihr hier Profis wärt, denn würdet ihr euch den Text ansehen. Eventuell Vorschläge machen wo man es hätte besser machen können. Darüber diskutieren. Aber bis auf Aggressionen hab ich damit nichts ausgelöst.

Ihr seid nicht willig zu lernen. Ich hab was gelernt. ich hab einen Rechner sauber gekriegt. Wenn mich einer das nächste Mal um Hilfe bittet, dann weiß ich etwas. Ich hab gelernt und ein Gesellenstück abgeliefert. Ihr könnt euch das angucken oder einfach nur verurteilen. Dann komm aber nicht und behaupte, daß hier viele Leute kommen weil sie null Ahnung haben und hier Hilfe erwarten. So wie ihr auf den Beitrag reagiert habt, habt ihr nicht den Willen zu helfen.

 

@ Rattiberta

Woher ich das weiß? Weil ich jedes verdamte Byte überwache. Kurpfuscherei? Ach was, ihr kriegt doch sowas nicht hin. T.ille hat es auf den Punkt gebracht: ein 12 Jähriger kommt in ein Forum und zeigt den alten Hasen was sie drauf haben. Das hat er gesagt. Deshalb hab ich nie Begeisterung erwartet.

Aber was unterhalte ich micht hier mit 10 bis 30 Punkte Mitgliedern? Was haben die schon für eine Ahnung. Sollen die erst ein Mal zeigen was die drauf haben. Dann können sie auch mit Papa reden. Ansonsten habe ich keine Lußt mich mit Mitgliedern von den billigen Plätzen zu unterhalten.

 

@GrafKoks

Gib erst ein mal paar sinnvolle Antworten auf Beiträge, dann können wir uns wieder unterhalten. Bis dahin sehe ich dich, PC Fan und Der Baron für reine Punktejäger. Und mit sowas unterhalte ich mich nicht.