Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.01.2012, 22:47   #1
Strobe
 
Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner - Beitrag

Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner



Huhu alle zusammen,

ersteinmal ein Lob an die Board-Crew.

Meine Alternative zur Datensicherung.
!!! WICHTIG !!!


Code:
ATTFilter
Diese Methode entfernt den Wurm nicht von eurem Rechner und 
Ihr werdet gegebenfalls bei einer Datensicherung die infizierte Datei mit Kopieren.
         
Getestet auf Windows 7 Ultimate x64

-> Windows im Abgesicherten Modus mit EINGABEAUFFORDERUNG starten
-> mit Notepad.exe in der Kommandozeile den Editor starten
-> im Editor folgendes eingeben
Code:
ATTFilter
@echo off
taskkill.exe /im InetAccelerator.exe
         
// InetAccelerator.exe kann varieren wenn die Crew die anderen
// prozessnamen hat, kann man sie gerne noch einfügen.

-> Datei Speichern unter
-> Dateityp ändern zu Alle Datein (*.*)
Code:
ATTFilter
C:\Users\*BENUTZERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
         
-> *BELIEBIGERNAME*.bat
-> und speichern drücken
-> Computer neustarten
-> Normal starten und Anmelden

// Jetzt solltet ihr kurz ein weisses Fenster sehen (Wurm) das sich denn
// wieder schließt. Denn kommt noch kurz ein "CMD" fenster und verschwindet
// wieder. Nun solltet Ihr wieder die Normale Windows Oberfläche haben

Ich sag es nochmal DIE SCHADSOFTWARE IST IMMERNOCH DA !


Was macht die Datei ?
Der Befehl Taskkill dient im Grunde als Taskmanger -> Prozess Beenden nur das man nicht in den Taskmanager dazu braucht da dieser bekannterweise in den Hintergrund geschoben wird. Selbstverständlich ist es möglich jetzt einen Komplett-Scan zu machen doch es besteht die Möglichkeit das die Schadsoftware einen Einfluss auf das Anti-Vir Programm hat

Kritik, Kommentare und Fragen sind gerne gesehen. Ich hoffe ich konnte euch helfen.

Mit freundlichen Grüßen

Strobe

Alt 01.02.2012, 12:44   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner - Standard

Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner



Zitat:
Meine Alternative zur Datensicherung.
Sry aber wo ist denn jetzt die Alternative zur Datensicherung?
Das Löschen von irgendwelchen Objekten in fest vorgegeben Ordnern kann ja wohl schlecht ein Backup ersetzen.
Auch befürchte ich, dass das nur wenn überhaupt in wenigen Fällen dazu führt, dass man Windows wieder halbwegs benutzen kann im normalen Modus. Und dann ist ja noch

Zitat:
Ich sag es nochmal DIE SCHADSOFTWARE IST IMMERNOCH DA !
also seh ich irgendwie keinen Vorteil bei deiner Vorgehensweise...
Was schlägst du denn vor, wenn nichtmal der abgesicherte Modus mit Eingabeaufforderung funktioniert?
__________________

__________________

Alt 01.02.2012, 16:42   #3
Strobe
 
Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner - Standard

Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner



Hallo cosinus,

danke das du meinen Beitrag so aufmerksam gelesen hast.

Zitat:
Das Löschen von irgendwelchen Objekten in fest vorgegeben Ordnern kann ja wohl schlecht ein Backup ersetzen.
Es werden keine Dateien in vordefinierten Ordnern gelöscht ...
es wird gar nichts gelöscht ...

Die *.bat Datei wird im Autostart gespeichert somit wird sie ausgeführt egal was die "GEMA" sagt und killt so den Prozess


Und zum Punkt Datensicherung ... ich gebe zu das ich mich ein wenig missverständlich ausgedrückt habe ... es soll eine alternative Methode um seine Dateien zu sichern (ohne live CD).

Zitat:
Auch befürchte ich, dass das nur wenn überhaupt in wenigen Fällen dazu führt, dass man Windows wieder halbwegs benutzen kann im normalen Modus.
nachdem ich den Task gekillt habe ... lief Malewarebytes durch einfach mal weil sich 3TB Video Footage nicht so einfach verschieben lassen ... und ich auf Nummer sicher gehen wollte ... es lief alles wunderbar ... und auch wenn du es mir nicht glauben solltest ich habe gestern die batch wieder aus dem Autostart geholt und heute startete der Rechner ganz normal ...

Zitat:
Was schlägst du denn vor, wenn nicht mal der abgesicherte Modus mit Eingabeaufforderung funktioniert?
Plattmachen ?! Live CD ?! ...
Mal ne andere frage was ist wenn der letzte Rohling um 22 Uhr abends nen fehlburn wurde .... oder man gar kein zweiten Rechner zum abbrennen hat ?

und nein ... man muss kein Rechner haben um das hier zu lesen ... man muss noch nicht mal was runter laden ... was für Leute mit aktiv beschränkten Ressourcen evtl. gar nicht mal so schlecht ist oder ?

ach ja meintest du

Zitat:
C:\Users\*BENUTZERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
mit dem vordefinierten Ordner ?

Wenn ja ist es mir eine Ehre dir den Pfad zum Autostart vorstellen zu dürfen und ja der ist wirklich vordefiniert xD

__________________

Alt 02.02.2012, 11:26   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner - Icon32

Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner



Zitat:
Es werden keine Dateien in vordefinierten Ordnern gelöscht ...
Hm, ok, ich dachte erst du wolltest darauf hinaus, dass die Schädlingsdatei (Image Path des Schädlingsprozesses) sich im diesem Autostart Verzeichnis immer befindet.. aaaber(!)

Code:
ATTFilter
C:\Users\*BENUTZERNAME*\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
         
1.) C:\User gibt es nur bei Vista und Win7. XP-User schauen bei deiner Anleitung in die Röhre?

2.) Statt "harte" Pfade wäre es IMHO besser Variablen zu nehmen. Statt sowas wie C:\User\Benutzer\... sollte man auch einfach %userprofile% angeben, gerade für den Laien ein besserer Weg als mühsam da den für ihn bestimmten Pfad in der Konsole rauszufinden - kompletter Pfad also

Code:
ATTFilter
%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
         

Zitat:
Die *.bat Datei wird im Autostart gespeichert somit wird sie ausgeführt egal was die "GEMA" sagt und killt so den Prozess
3.) Was machst du wenn der Prozessname random (zufällig) ist? Da kann man auch keine Liste pflegen und der Versuch per Autostart einen Prozess zu killen führt sauber ins Leere
Was machst du wenn der böse Prozess sich als MS-Datei tarnt, also den gleichen Abbildnamen trägt wie eine legitime Windows-Systemdatei wie zB svchost.exe? Willst du dann ein taskkill.exe /im svchost.exe machen?

Zitat:
es soll eine alternative Methode um seine Dateien zu sichern (ohne live CD).
Na da würde ich dringend von abraten. Wie du ja selbst festgestellt hast, ist der Schädling noch aktiv und kann somit auch das Backup beeinflussen. Und erstmal musst du es schaffen so auf diese Methode den Prozess zu killen, warum ich meine Bedenken habe hab ich ja gepostet.
Zur Datensicherung von infizierten Systemen sollte man tunlichst ein Live-System verwenden, da dort keine aktiven Schädlinge sind...abgesehen davon, sollte man sich nicht erst Gedanken um eine Datensicherung machen wenn es im Prinzip schon zu spät ist

Zitat:
Mal ne andere frage was ist wenn der letzte Rohling um 22 Uhr abends nen fehlburn wurde .... oder man gar kein zweiten Rechner zum abbrennen hat ?
Das sind doch eher Ausreden als Argumente gegen einen Live-Modus. Aber ich könnte jetzt noch dutzende andere Beispiele nennen, die das Booten der Live-CD "verhindern", deswegen sollte man aber nicht einen so suboptimalen Weg gehen.

- wenn die Rohlinge alle sind kauft man sich neue
- wenn kein zweiter Rechner da ist kann man durchaus mal auch einen Bekannten fragen ob er eine CD brennen könne
- es gibt auch sowas wie Zeitschiftenläden/Kiosks, die auch Computerzeitschriften verkaufen, auf irgendeiner findet sich eigntlich immer eine CD/DVD mit Live-OS als Rettungsystem

Zitat:
und nein ... man muss kein Rechner haben um das hier zu lesen ... man muss noch nicht mal was runter laden ... was für Leute mit aktiv beschränkten Ressourcen evtl. gar nicht mal so schlecht ist oder ?
"Leute mit aktiv beschränkten Ressourcen" - das ist ja mal ne nette Bezeichung. Wer zu "beschränkte Ressourcen" hat und sich nicht mal eine Live-CD besorgen kann, muss sich nicht wundern, wenn er auch nur beschränkte Wege gehen kann, die mitunter halb oder garnicht funktionieren


Zitat:
Wenn ja ist es mir eine Ehre dir den Pfad zum Autostart vorstellen zu dürfen und ja der ist wirklich vordefiniert xD
Ich muss zugeben, dass ich erst das so aufgefasst habe, du willst nur in diesem einen Autostart-Ordner die Datei löschen, wobei es doch noch zig andere Orte für den Autostart bei Windows gibt.

Also die größten Schwachstellen deiner Anleitung sind imho:

- du stellst einen funktionierenden abgesicherten Modus als Voraussetzung, geht der nicht versagt dein Konzept, weil es offensichtlich keine Live-CD vorsieht oder als Alternative vorschlägt
- du versuchst einen Prozess per Autostart zu beenden, die Idee ist ja garnicht mal abwegig. Ich hab da aber so meine Zweifel, dass das eingermaßen zuverlässig funktioniert, wie gesagt, bei einem random Prozessnamen ist dein Weg machtlos und wenn der Prozess sich gegen ein Töten wehrt ebenfalls
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner
alternative, appdata, beenden, bundes, center, cmd, code, computer, datei, datensicherung, eingabeaufforderung, folge, frage, gema wurm, hintergrund, infizierte, infizierte datei, microsoft, payload, programm, prozess, rechner, roaming, speicher, speichern unter, taskmanager, trojane, trojaner, ukash, wichtig, windows, windows 7 ultimate, wurm, ändern



Ähnliche Themen: Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner


  1. Datensicherung nach netbanking-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 18.06.2015 (7)
  2. Datensicherung nach Trojaner - Reinigung nur kurzzeitig erfolgreich
    Plagegeister aller Art und deren Bekämpfung - 10.09.2013 (21)
  3. Bereinigung GVU Trojaner SSD
    Plagegeister aller Art und deren Bekämpfung - 16.08.2013 (4)
  4. Windows neu installiert - wie mit evtl. verseuchter Datensicherung umgehen?
    Log-Analyse und Auswertung - 17.06.2013 (23)
  5. GVU Trojaner auf Windows 7 - keine Möglichkeit auf abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 30.05.2013 (22)
  6. GVU Trojaner 2.12 - Bereinigung
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (24)
  7. BKA Trojaner - Datensicherung - Bereinigung
    Plagegeister aller Art und deren Bekämpfung - 09.03.2013 (127)
  8. GVU-Trojaner - vollständige Bereinigung
    Log-Analyse und Auswertung - 20.01.2013 (41)
  9. GVU Trojaner, Datensicherung
    Plagegeister aller Art und deren Bekämpfung - 19.10.2012 (1)
  10. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Log-Analyse und Auswertung - 09.01.2012 (13)
  11. BKA Trojaner - letzte Möglichkeit OTLPE?
    Plagegeister aller Art und deren Bekämpfung - 30.12.2011 (1)
  12. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (9)
  13. Einfache Möglichkeit gegen BKA Trojaner
    Plagegeister aller Art und deren Bekämpfung - 03.06.2011 (2)
  14. Datensicherung versus Trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.08.2010 (2)
  15. Trojaner BDS/Sinowal.fsp: Richtig entfernt? Datensicherung etc.?
    Plagegeister aller Art und deren Bekämpfung - 24.12.2009 (1)
  16. Datensicherung erstellen mit Trojaner an Board
    Plagegeister aller Art und deren Bekämpfung - 06.11.2009 (1)
  17. Gibt es eine Möglichkeit Trojaner Bots nachzuweisen?
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (15)

Zum Thema Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner - Huhu alle zusammen, ersteinmal ein Lob an die Board-Crew. Meine Alternative zur Datensicherung. !!! WICHTIG !!! Code: Alles auswählen Aufklappen ATTFilter Diese Methode entfernt den Wurm nicht von eurem Rechner - Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner...
Archiv
Du betrachtest: Möglichkeit zur Datensicherung und evtl. bereinigung GEMA Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.