Dieses Blog durchsuchen

Samstag, Mai 12, 2012

Vir jagen Viren auf allen Vieren

Steht da also diese Kiste auf meinem Schreibtisch, von einem anonymen Mitarbeiter verstrubbelt. Antivirus drauf, aber abgeschaltet. Weil kaputt, Echtzeitscanner von Trend-Micro startet nicht mehr. Will auch nicht mehr die Platte scannen. Faules Viech. Windows XP Sp2, Firewall ist an, immerhin etwas. Aber die schützt nur vorm Reinfunken, nicht vorm Rausfunken durch Malware. Beim Runterfahren beschwert sich XP über diverse Programme mit Namen wie 12d3245.exe, die schwer zu stoppen sind. Oh-oh. Ein Blick in /Documents and Settings/ zeigt eben diese Exen, ein jemand mit Muroro oder dergleichen hat sich als Autor eingetragen. Oh-oh-o. Fast alle der Apps können gelöscht werden, eine aber nicht.

Trend-Micro deinstallieren? Passwortgeschützt. Das ist wohl ein Feature, abel nul del loothaalige Sysadministrator mit der IT-Erfahrung von Pumuckl dem Kobold weiß es und wird es mir bestimmt nicht sagen. Jetzt müsste man eigentlich die Kiste neu installieren, aber irgendwie war mir nach Virenjagd zu mute.

Ich ahnte und vermutete, die Trend-Micro-Antivir-Software lies sich über die Systemdienste abschalten. Also in die Systemsteuerung, Computerverwaltung, Dienste und alles was Office-Scan oder dergleichen heißt abgeschaltet. Sträubt sich, also erstmal den Trend-Micro-Dienst zum Manupulationsschutz abgeschaltet, Kiste neu gebootet und ja, Trend-Micro startete immer noch und lies sich immer noch nicht deinstallieren. Also trotzdem Avira (von Avira.de) runtergeladen und installiert, Avira meckert über Trend-Micro und deinstalliert es ohne mit der Wimper zu zucken (Applaus! Also gibt es da wohl ein Masterpasswort....).
Avira fährt erstmal hoch, kann aber auch den Echtzeitscanner nicht starten.

Spybot-SD installiert, upgedatet, Platte gescannt, findet 2 Trojaner (also getarnte Schadsoftware), entfernt diese. Rechner neu starten, 1 Trojaner immer noch da. Avira die Platten scannen lassen, 17 (!) Virusmeldungen, alles entfernt bis auf den Trojaner, auch Rootkit genannt.. Den legt Avira immer wieder in die Quarantaine aber beim Neustart ist er wieder da der Trojaner. Avira verrät den Installationspfad des Rootkits, in Windows/System32/driver und heißt 2344b3433.sys oder so und hat gleich noch einen Zwilling daneben.

Also Windows runterfahren, neu hochbooten mit einer Linux-Live-CD (Kubuntu 9.02). Bios muss Start von CD eingestellt haben, dann Option auswählen "Kubuntu ausprobieren ohne das System zu verändern", ein bunter KDE4-Popart-Desktop erscheint. Unten links auf das Start-Button-Äquivalent geklickt, Dateimanager "Dolphin" auf, links sieht man sofort die Windowssystempartition. Den ganzen Dreck (Rootkit und Zwillingsbruder mit ähnlichem Namen) in Windows/System32/driver gelöscht, die Datei in /Documents and Settings/ gelöscht (geht jetzt, weil Linux sich einen feuchten Kehrricht um Windowsdateien und ihre Schreib- und Löschsperren kümmert, insbesondere kann nichts eine Laufzeitsperre haben weil ja nichts mehr läuft). Kiste durchgestarten und peng, Avira startet ordentlich.

Platte gescannt, scheinbar virenfrei. Aber noch ein paar Warnungen von unlesbaren Dateien. Morgen noch mal spielen. Damned, und so verbringe ich meine Mittagspause. Beruflich mache ich ja Linux, das ist einfach zu problemlos in Sicherheitsdingen, da muss man sich in der Pause mit Windows beschäftigen ;-)

Kommentare:

Patrick_Secret hat gesagt…

würde das sing plattmachen und neu aufspielen. die meisten Virenscanner erkennen eh nur 60-70 % der Viren aber so kann man auch seine Mittagspause verbringen ;-)

"Ludigel" hat gesagt…

Js, das werde ich auch. Mal Virenjagd zu spielen war aber nett ;-)