Trend-Micro deinstallieren? Passwortgeschützt. Das ist wohl ein Feature, abel nul del loothaalige Sysadministrator mit der IT-Erfahrung von Pumuckl dem Kobold weiß es und wird es mir bestimmt nicht sagen. Jetzt müsste man eigentlich die Kiste neu installieren, aber irgendwie war mir nach Virenjagd zu mute.
Ich ahnte und vermutete, die Trend-Micro-Antivir-Software lies sich über die Systemdienste abschalten. Also in die Systemsteuerung, Computerverwaltung, Dienste und alles was Office-Scan oder dergleichen heißt abgeschaltet. Sträubt sich, also erstmal den Trend-Micro-Dienst zum Manupulationsschutz abgeschaltet, Kiste neu gebootet und ja, Trend-Micro startete immer noch und lies sich immer noch nicht deinstallieren. Also trotzdem Avira (von Avira.de) runtergeladen und installiert, Avira meckert über Trend-Micro und deinstalliert es ohne mit der Wimper zu zucken (Applaus! Also gibt es da wohl ein Masterpasswort....).
Avira fährt erstmal hoch, kann aber auch den Echtzeitscanner nicht starten.
Spybot-SD installiert, upgedatet, Platte gescannt, findet 2 Trojaner (also getarnte Schadsoftware), entfernt diese. Rechner neu starten, 1 Trojaner immer noch da. Avira die Platten scannen lassen, 17 (!) Virusmeldungen, alles entfernt bis auf den Trojaner, auch Rootkit genannt.. Den legt Avira immer wieder in die Quarantaine aber beim Neustart ist er wieder da der Trojaner. Avira verrät den Installationspfad des Rootkits, in Windows/System32/driver und heißt 2344b3433.sys oder so und hat gleich noch einen Zwilling daneben.
Also Windows runterfahren, neu hochbooten mit einer Linux-Live-CD (Kubuntu 9.02). Bios muss Start von CD eingestellt haben, dann Option auswählen "Kubuntu ausprobieren ohne das System zu verändern", ein bunter KDE4-Popart-Desktop erscheint. Unten links auf das Start-Button-Äquivalent geklickt, Dateimanager "Dolphin" auf, links sieht man sofort die Windowssystempartition. Den ganzen Dreck (Rootkit und Zwillingsbruder mit ähnlichem Namen) in Windows/System32/driver gelöscht, die Datei in
Platte gescannt, scheinbar virenfrei. Aber noch ein paar Warnungen von unlesbaren Dateien. Morgen noch mal spielen. Damned, und so verbringe ich meine Mittagspause. Beruflich mache ich ja Linux, das ist einfach zu problemlos in Sicherheitsdingen, da muss man sich in der Pause mit Windows beschäftigen ;-)
2 Kommentare:
würde das sing plattmachen und neu aufspielen. die meisten Virenscanner erkennen eh nur 60-70 % der Viren aber so kann man auch seine Mittagspause verbringen ;-)
Js, das werde ich auch. Mal Virenjagd zu spielen war aber nett ;-)
Kommentar veröffentlichen