IE-Fenster startet automatisch seit Virus

[clown011182 10]

Hallo,

 

ich habe zur Zeit einen Rechner zur Reparatur, der einen Java-Virus drauf hatte. Den Virus konnte ich mit einem Virenscanner mit Boot-CD problemlos beseitigen. Allerdings habe ich jetzt das Problem, dass der Rechner beim Starten nach der Benutzeranmeldung ein "verkrüppeltes" Internetexplorerfenster ohne jegliche Menüs etc.und dem Hinweis, dass der Inhalt nicht angezeigt werden kann, öffnet, das dann derartig penetrant im Vordergrund bleibt, dass man mit dem Rechner nichts mehr machen kann. Man merkt zwar, dass im Hintergrund z.B. der Bildschirmschoner ganz normal arbeitet, aber dieses störende Fenster kann man nicht schließen. Auch läßt sich der Taskmanager nicht verwenden, da vermutlich auch dieses Fenster hinter diesem IE-Fenster verdeckt liegt. :confused:

Ich hatte auch schon versucht, den Rechner im abgesicherten Modus zu starten oder im abgesichterten Modus mit nur Eingabeaufforderung. In allen Fällen immer das gleiche.

 

Hat irgendwer einen Tipp für mich, was ich hier noch tun könnte, ohne den Rechner neu zu installieren?

 

Danke für alle Vorschläge.

 

 

Gruß

 

Thomas

[zahni 554]

Ein Java-Virus "befällt" den Rechner nicht, sondern dient nur dazu über Exploits in veralteten Java JRE's die "richtige" Schadsoftware herunterzuladen und auszuführen. Über die div. Blackhole-Exploit fängst Du Dir meistens einen Zeus-Bot ein.

 

Du solltest auf jeden Fall Deine Daten sichern, und den PC auber neu installieren.

 

-Zahni

[clown011182 10]

Hallo Zahni,

 

im Prnzip hast Du hier schon Recht, auf diesem "gewachsenen" Rechner aber weder der Eigentümer noch ich eine Ahnung habe, wo überall Daten versteckt sein könnten, die er gerne noch hätte. Wenn es nicht anders geht habe ich immer noch die Option, alles neu aufzusetzen, aber vorerst würde ich es gerne erst mal ohne diesen Schritt versuchen, dass der Rechner wieder einsatzbereit wird. Vorerst wäre ich schon glücklich, wenn ich irgendwie da ran käme, diesen "Autostart" des IE abzuschalten, damit man am Rechner an sich einmal etwas machen kann.

 

 

Gruß

 

Thomas

[Sunny61 806]

Ich hatte auch schon versucht, den Rechner im abgesicherten Modus zu starten oder im abgesichterten Modus mit nur Eingabeaufforderung. In allen Fällen immer das gleiche.

 

Daten sichern, notfalls ein Image erstellen und dem Kunden aushändigen. Auf jeden Fall neu installieren. Alles andere ist Bastelei.

[clown011182 10]

Hi Sunny61,

 

Auf jeden Fall neu installieren. Alles andere ist Bastelei.

 

mir ist durchaus bewusst, dass das in Richtung Bastelei geht, allerdings ist es oftmals genau das, was mich von anderen unterscheidet. Vollkommen neu installieren ist bequem, aber die Kunst ist es dann doch möglichst alles irgendwie zu retten, soweit das noch zu machen ist. Allerdings denke ich in dem Fall, dass da noch viel machbar ist, wenn man einmal den Dreh heraus hat.

 

Wo könnte denn hinterlegt sein, dass der den Ie startet und vor allem, wie kann ich das verhindern?

 

 

Gruß

 

Thomas

[Sunny61 806]

Vollkommen neu installieren ist bequem,

 

In einem solchen Fall ist es nicht bequem, sondern der einzige richtige Weg.

 

aber die Kunst ist es dann doch möglichst alles irgendwie zu retten, soweit das noch zu machen ist.

 

Ich habe dir ja einen Lösungsvorschlag gegeben.

 

Allerdings denke ich in dem Fall, dass da noch viel machbar ist, wenn man einmal den Dreh heraus hat.

 

Frag am besten den Hersteller des entfernten Virus, der sollte dir sagen was zu tun ist. ;)

[Xanathos 10]

Löscht immer gleich das ganze Betriebssystem^^

 

1. Festplatte ausbauen und woanders laden

2. alle Temporären Dateien per Hand löschen, Updatesdateien usw.

Wegen mir noch Ccleaner durchlaufen lassen

3. Kaspersky oder anderen Virenscanner die Festplatte gründlich Untersuchen lassen.

4. die Registry säubern MalbareByte oder google mal was der Virus genau geändert hat

und stelle den Eintrag wieder zruück.

[zahni 554]

Löscht immer gleich das ganze Betriebssystem^^

 

Wegen mir noch Ccleaner durchlaufen lassen

 

 

Au ja, unbedingt. Damit das Fehlersuchen hinterher noch mehr Spaß macht.

 

Wenn man ausreichend Kenntnisse hat um Viren aufzuspüren mag man die manuelle Methode probieren. Aber auch hier übersieht man was. Besonders bei fiesen Rootkits. Ist für den vermuteten Level des TO nicht zu empfehlen. Zumal er gegenüber seinem Kunden dafür Haften muß.

 

-Zahni

[clown011182 10]

Hallo Xanthos,

 

Löscht immer gleich das ganze Betriebssystem^^

 

1. Festplatte ausbauen und woanders laden

2. alle Temporären Dateien per Hand löschen, Updatesdateien usw.

Wegen mir noch Ccleaner durchlaufen lassen

3. Kaspersky oder anderen Virenscanner die Festplatte gründlich Untersuchen lassen.

4. die Registry säubern MalbareByte oder google mal was der Virus genau geändert hat

und stelle den Eintrag wieder zruück.

 

das hört sich schon einmal besser an. Wenn ich das Ganze nun auch noch ohne HDD ausbauen mit einer Boot-CD oder so machen könnte, dann wäre das perfekt. Bei Laptops ist der Ausbau der HDD nicht immer ganz einfach, aber zur Not auf jeden Fall machbar.

MalbareByte finde ich nicht, Du meintest hier nicht zufällig MalwareByte?

 

Kennt hier vielleicht irgendwer eine Software, mit der ich eine Registry durchsuchen kann, die nicht zum aktiven Betriebssystem gehört, also in dem Fall eine Registry, die auf einer Sicherungskopie auf einer externen HDD liegt.

 

Danke für die Ratschläge.

 

 

Gruß

 

Thomas

[Sunny61 806]

das hört sich schon einmal besser an. Wenn ich das Ganze nun auch noch ohne HDD ausbauen mit einer Boot-CD oder so machen könnte, dann wäre das perfekt. Bei Laptops ist der Ausbau der HDD nicht immer ganz einfach, aber zur Not auf jeden Fall machbar.

 

Dafür hat jemand einen entsprechenden Adapter im Handgepäck. Damit ist das alles kein Problem. USB IDE SATA als Stichworte für die Suche bei einem Elektronik Vertrieb.

 

Kennt hier vielleicht irgendwer eine Software, mit der ich eine Registry durchsuchen kann, die nicht zum aktiven Betriebssystem gehört, also in dem Fall eine Registry, die auf einer Sicherungskopie auf einer externen HDD liegt.

 

Regedit benutzen. Dort den HIVE laden. Das sollte jemand wissen der einen Virus beseitigen möchte. Load a hive into the registry: Core Services

http://www.veder.com/nwdskpe/loadhive.htm

[clown011182 10]

Hi Zahni,

 

Wenn man ausreichend Kenntnisse hat um Viren aufzuspüren mag man die manuelle Methode probieren. Aber auch hier übersieht man was. Besonders bei fiesen Rootkits. Ist für den vermuteten Level des TO nicht zu empfehlen. Zumal er gegenüber seinem Kunden dafür Haften muß.

 

-Zahni

 

das mit dem vermutetem Level des TOs gefällt mir. Ich bin zwar weder MCSE noch sonst so etwas in der Richtung, aber ich habe durchaus etwas mehr als nur ein paar Grundkenntnisse. Dafür bin ich schon zu lange im Beruf. :)

Aber Du hast durchaus recht, dass man leicht etwas übersehen kann und dass das dann nicht so lustig ist, aber ich denke mal, dass es hier kein so schwerer Fall ist. Der "defekte" IE ist meiner Meinung nach das Überbleibsel von der Beseitigung des Virus durch den Virenscanner auf der Boot-CD. Wahrscheinlich ist hier irgendwie noch die Registry irgendwie "angeschlagen".

Zu Verlieren gibt es hier ja nichts, denn im schlimmsten fall klappt es nicht und dann kann ich immer noch den Rechner komplett neu aufsetzen.

Haften muss ich in dem Fall auch nicht, da es sich hier diesmal um einen Freundschaftsdienst handelt, bei dem ich zudem nie versprochen habe, dass ich es schaffe, irgendetwas retten zu können. Die erste Vermutung bei dem Laptop war ja ein Hardwaredefekt.

 

 

Gruß

 

Thomas

[clown011182 10]

Hi Sunny61,

 

 

Dafür hat jemand einen entsprechenden Adapter im Handgepäck. Damit ist das alles kein Problem. USB IDE SATA als Stichworte für die Suche bei einem Elektronik Vertrieb.

 

 

 

Regedit benutzen. Dort den HIVE laden. Das sollte jemand wissen der einen Virus beseitigen möchte. Load a hive into the registry: Core Services

http://www.veder.com/nwdskpe/loadhive.htm

 

den besagten Adapter kenne ich und habe ich auch schon verwendet. Auch die Methode mit Regedit ist mir bekannt. Ich habe mich hier ein wenig ungeschickt ausgedrückt... Ich meinte eine Software analog einem Virenscanner, der eben diesen HIVE automatisch auf "Unregelmäßigkeiten" untersuchen kann. Die Möglichkeit per Hand ist mir zur Genüge bekannt. Die hatte ich auch schon zur Genüge verwendet. Allerdings wusste ich damals noch, um welchen Virus es sich gehandelt hatte und konnte somit gezielt die entsprechenden Registry-Einträge suchen und abändern.

 

 

Gruß

 

Thomas

 

 

Gruß

 

Thomas

[zahni 554]

Wie gesagt, ein Java-Virus verankert sich nicht. Das *muss* etwas sein, was im Schlepptau des Java-Downloaders kam und scheinba von Deinem Scanner nicht gefnden wurde ? Vielleicht ist ja ein "BKA-Trojaner" der "seine" Website nicht mehr findet. Wie gesagt, das bringt alles nichts.

 

-Zahni

[Xanathos 10]

Au ja, unbedingt. Damit das Fehlersuchen hinterher noch mehr Spaß macht.

 

Wenn man ausreichend Kenntnisse hat um Viren aufzuspüren mag man die manuelle Methode probieren. Aber auch hier übersieht man was. Besonders bei fiesen Rootkits. Ist für den vermuteten Level des TO nicht zu empfehlen. Zumal er gegenüber seinem Kunden dafür Haften muß.

 

-Zahni

 

Das würde ich den Kunden entscheiden lassen. Wenn das OS neu installiert werden muss + Treiber + Updates. Dann sind 2 Stunden der Kostensatz. So nur eine Halbe Stunde und weg ist der Kram dann auch.

 

Bisher haben wir hier alle hinbekommen ohne Format C: :):)

 

 

Hallo Xanthos,

 

 

 

das hört sich schon einmal besser an. Wenn ich das Ganze nun auch noch ohne HDD ausbauen mit einer Boot-CD oder so machen könnte, dann wäre das perfekt. Bei Laptops ist der Ausbau der HDD nicht immer ganz einfach, aber zur Not auf jeden Fall machbar.

MalbareByte finde ich nicht, Du meintest hier nicht zufällig MalwareByte?

 

Kennt hier vielleicht irgendwer eine Software, mit der ich eine Registry durchsuchen kann, die nicht zum aktiven Betriebssystem gehört, also in dem Fall eine Registry, die auf einer Sicherungskopie auf einer externen HDD liegt.

 

Danke für die Ratschläge.

 

 

Gruß

 

Thomas

 

MalwareByte? Ja das meinte ich, Sorry :)

 

Wenn du solche Dinge öfters behandeln musst, baue dir aus ner alten Kiste einen Test PC oder lege dir nen Adapter zu wo alle gängigen Festplattenstandards dran sind. :)

[clown011182 10]

Hallo Xanthos,

 

Das würde ich den Kunden entscheiden lassen. Wenn das OS neu installiert werden muss + Treiber + Updates. Dann sind 2 Stunden der Kostensatz. So nur eine Halbe Stunde und weg ist der Kram dann auch.

 

Bisher haben wir hier alle hinbekommen ohne Format C: :):)

 

bei einer Neuinstallation fehlen sicher jede Menge Programme und Treiber, die der Eigentümer so nach und nach da drauf installiert hat. Den Weg möchte ich nur gehen, wenn es sich gar nicht mehr vermeiden läßt.

Ich habe es jetzt geschafft, mit Hilfe einer Reparatur-CD von Vista eine DOS-Ebene zu starten, mit der ich zumindest mal was anschauen kann.

Ich habe jetzt alle Autostart-Programme aus dem Startmenü entfernt und in der Registry alle Einträge bei "Run" unter HKEY_LOCAL_MACHINE... Ausserdem habe ich alles aus dem "Temp"-Ordner gelöscht. Zudem habe ich diverse Programmordner z.B. vom FireFox gelöscht, von denen ich den Verdacht hatte, dass diese Programme hier hineinspielen. Leider bis jetzt alles ohne Erfolg und dieses nicht zu definierende Fenster öffnet sich beim "normalen" Starten des Rechners nach wie vor. :confused:

Hat noch irgendwer einen Tipp, wo noch irgendso eine "Autostart-Routine versteckt sein könnte?

 

 

 

Gruß

 

Thomas