Hallo zusammen.
Meine Mutter hat sich soeben einen Virus eingefangen. Dieser fährt den Computer sofort nach Neustart wieder herunter. Nachdem ich jetzt gegoogelt habe, bin ich mir ziemlich sicher, dass es der "Sasser"-Virus ist.
Meine Frage: Wie kann ich ihn entfernen? Das Problem ist, dass ich ungefähr zwei Sekunden im Startmenü bin und der Computer dann wieder automatisch herunterfahren will, und das Startmenü damit verschwindet...kann also keine Befehle ausführen oder Tools installieren (so wie es mir auf mehreren Seiten als Lösung empfohlen wird).
hey, danke für deine hilfe, habe es jetzt mit dem abgesicherten modus reingescafft. Habe vergessen zu erwähnen, dass es Windows XP ist. Kannst du mir erklären wie die Datei genau heisst? Oder wie ich herausfinde, welche es ist. Thx für die grosse Hilfe
Ohne zu wissen, welche Programme Du auf dem Rechner hast, wird sich ExXxtrem93 vermutlich schwer tun.
Um genau herauszufinden, welche Dateien bei Dir Probleme verursachen, müsste man wissen, was Du im Autostart hast, und / oder welche Prozesse beim normalen Start aktiv sind und die Probleme verursachen.
Falls Du Zeit, Geduld und Langeweile hast, kannst Du Dir ja durchlesen, wie man Prozesse und Autostart-Programme ohne vernünftige Software herausfindet und hier posten kann.
Um die aktiven Prozesse zu sehen, die bei einem normalen Start aktiv sind, drücke ALT + Strg + Entf, um den Taskmanager aufzurufen.
Alternativ kannst Du auch einen Rechtsklick auf die Taskleiste machen und dort den Taskmanager auswählen.
Nun maximierst Du den Taskmanager und machst einen Screenshot von allen Prozessen, die unter dem Reiter (dem Tab) Prozesse aufgelistet sind.
Falls Du kein Screenshot-Programm hast, drücke die DRUCK-Taste einmal und starte dann das Programm Paint.
Das wiederum findest Du unter Startmenü - > Programme -> Zubehör -> Paint. Hier wählst Du nun in der Dateileiste oben unter Bearbeiten den Punkt Einfügen aus. Nun sollte ein Screenshot von dem Taskmanager erscheinen. Wenn nicht, wiederhol das ganzte oder frage nochmal nach.
Den Screenshot schneidest Du nun auf ein erträgliches Maß zurecht, färbst aus Gründen der Anonymität die Spalte mit den Benutzernamen schwarz, lädst ihn hier ([ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]) hoch und fügst den Link zu dem Bild in Deiner Antwort mit ein, damit wir uns das ansehen können.
Soviel zu den Prozessen.
Was Du im Autostart hast, lässt sich folgendermassen herausfinden unter Win XP: Startmenü - > Programme -> Zubehör -> Systemprogramme -> Systeminformationen -> Softwareumgebung -> Autostart-Programme
Allerdings listet Win XP hier wirklich alles mit auf, was extrem unübersichtlich und somit für normale User eher unbrauchbar ist.
Hast Du denn kein Analyse-Tool wie zB Everest mit drauf? Ich selbst nutze den System Explorer, der wäre jetzt extrem hilfreich...
Nun, zurück zu dem Systeminformationstool von Windows. Wenn Du dort den Bereich Autostart-Programme wie oben beschrieben geöffnet hast, siehst Du eine ewig lange Liste.
Oben stehen die einzelnen Kategorien, also Programm, Befehl, Benutzername und Ort.
Klicke nun auf Benutzername, damit die Einträge nach Benutzernamen sortiert werden.
Für uns interessant sind nur die Einträge unter Deinem Benutzernamen sowie jene, bei denen All Users steht.
Du könntest diese Liste nun entweder exportieren in eine txt-Datei, oder aber speichern als eine NFO-Datei. Wie Du es auch machst - das Ergebnis wird noch unübersichtlicher als die Liste in den Systeminformationen.
Als nächstes müsstest Du in der abgespeicherten oder exportierten Liste alle Beiträge löschen, die nicht zu den genannten Kategorien All Users und Benutzername gehören, denn diese würden die Übersicht nur erschweren und im übrigen geht das keinen was an, was Du sonst noch auf dem Rechner hast.
Danach solltest Du bei den Einträgen, hinter denen Dein Benutzername steht, diesen anonymisieren - oder willst Du, das jeder hier weiß, wie Du heißt bzw welchen Namen Du Dir auf Deinem PC gegeben hast? Am besten löscht Du diesen Namen einfach; interessant sind ohnehin nur die Programme selbst.
Diese Liste - falls Du nicht schon lang aufgegeben hast, wie ich es getan hätte - fügst Du nun in einem neuen Beitrag hier in diesem Thema ein.
Dann markierst Du diese Liste und drückst im Antwort-Editor den Code-Button (das ist die Raute # neben dem zitieren-Button), damit es übersichtlicher wird.
Falls dann Programme dabei sind, die eigentlich nicht okay sind, werden wir es Dir dann schreiben, sofern sie dort aufgelistet sind.
Achte mal auf einen Prozess oder einen Eintrag in den Prozessen oder im Autostart namens avserve.exe. Das würde das ganze vermutlich erheblich vereinfachen - denn das ist der Sasser, der im übrigen ein Wurm (und kein Virus) ist.
Zur vollständigen Entfernung kannst Du Dir - ich hab nämlich kein Bock zum tippern mehr - diesen Eintrag hier durchlesen:
Falls es sich nicht um den Sasser handelt, musst Du die von mir vorgegebenen Prozeduren (Screenshot von den Prozessen und Liste Deines Autostarts) vermutlich ausführen, damit wir sehen, ob sich vielleicht etwas anderes bei Dir eingenistet haben könnte.
Natürlich würden Systemberichte externer Programme oder ein HiJackthis-Protokoll wesentlich aussagekräftiger sein, aber Du sagtest ja bereits, das Du nichts installieren kannst.
So erstmal danke der Beitrag ist sehr ausführlich, thx. Leider die Tage keine Zeit gehabt, heute Nachmittag werde ich es mal so versuchen, wie du es vorgeschlagen hast.
Frage: Ich kann ja jetzt im abgesicherten Modus rein, da müsste ich ja auch Programme installieren können oder? Ich hab ja meinen eigenen Laptop und einen USB Stick, den ich an den Computer anschliessen könnte... Welche Programme wären hilfsvoll, wenn ich im abgesicherten Modus Programme installieren kann?
Welche Software, hm.
Das kommt ganz darauf an. Wenn Du sicher bist, das es der Sasser-Wurm oder ein anderer Virus war, den Du drauf hattest, dann würden viele HiJackthis empfehlen, denn wenn sich jemand damit auskennt, dann kann er damit alle nicht auf Dein System gehörenden Prozesse erkennen.
Ich kenne mich nicht damit aus, und es macht auch viel Arbeit, das Logfile auszuwerten, soviel vorweg.
Ich persönlich schwöre auf meinen System Explorer, aber das sagte ich ja bereits. Erstens kann man den immer gebrauchen - und nicht nur, wenn's brennt. Und zweitens verfügt er ebenfalls über umfangreiche Analyse- und Informationsmöglichkeiten.
Es handelt sich hierbei um einen alternativen Taskmanager.
Für Admins und Mods: Bildgröße 640px × 471px
Wie könnte ich mit dem System Explorer meine laufenden Prozesse sehen?
Ganz einfach - geh auf "Prozesse" und schon siehst Du alle aktiven Prozesse, die auf Deinem System ihr Unwesen treiben. Natürlich kannst Du sie auch beenden, die Priorität abfragen, oder detailliertere Informationen verlangen. Dazu einfach einen rechts-klick auf den gewünschten Prozess und die Aktion auswählen.
Und wie sehe ich, was sich alles in meinem Autostart befindet?
Indem Du auf "Autostarts" gehst. Auch hier hast Du via rechts-klick umfangreiche Möglichkeiten zum Beeinflussen der Einträge und der dahinterstehenden Programme.
Und was hat der System Explorer mit Sicherheit zu tun?
Nun, es ist kein Sicherheitsprogramm, sondern ein erweiterter Taskmanager. Allerdings kannst Du jeden gewünschten Prozess direkt über Kontextmenü zu VirusTotal oder auch zu VirusScan.jotti.org hochladen (ich würde VirusTotal empfehlen).
Weiterhin kannst Du eine schnelle Sicherheitsprüfung einleiten, indem Du auf den kleinen Button drückst, den ich auf obenstehendem Bild markiert habe. Wenn die durchgelaufen ist, werden sichere Prozesse mit einem grünen Schild, unbekannte Prozesse mit einem blauen Fragezeichen-Schild, und potentiell schädliche Dateien mit einem (ich vermute mal) roten Schild gekennzeichnet - aber das hab ich noch nie gehabt.
Das ersetzt freilich noch lange keinen Virenscanner und auch kein Anti-Trojaner-Programm, aber es ist - für die schnelle Sicherheit mal eben zwischendurch - dennoch schon gut. Außerdem hast Du mit diesem Programm den totalen Überblick und umfangreiche Kontroll- und Konfigurations-Möglichkeiten, die weit über das hinausgehen, was mit dem Taskmanager möglich wäre.
Das dieses Programm spezielle Analyse-Tools wie HiJackthis ersetzt - soweit gehe ich allerdings nicht. Es kann Dir dabei helfen, schädliche Prozesse / Dienste / Software zu finden - garantieren werde ich aber nicht dafür
Solltest Du ernsthaft einen Virus oder gar einen Wurm an Board haben, empfehle ich Dir aber generell eine Neuinstallation von Windows. Immer und ausnahmslos. Bei Trojanern ist es meist wesentlich harmloser. Hier reicht es oft, alle Dateien zu entfernen.
Und bei anderen, supekten Dateien wie Cracks oder fragwürdigen Programmen reicht es, wenn Du deren Dateiendung durch das Wort Backup erweiterst (Beispiel: Lalala.exe in Lalala.backupexe) änderst, um zu sehen, ob dadurch Programme nicht mehr laufen oder sich sonstwas verändert. Wenn Dir nichts auffällt, kannst Du die Datei immer noch löschen. Ansonsten änderst Du sie wieder in den originalen Zustand.
Also danke nochmals für die Hilfestellungen
Leider sind mir die Woche einige Dinge dazwischengekommen. Ich habe/hatte nicht viel Zeit und habe beschlossen, die Partitionen ganz zu löschen und Windows XP neu zu installieren Dadurch, dass ich im abgesicherten Modus noch reinkam, konnte ich auch alle Daten retten. Soweit ist ja jetzt alles wieder in Ordnung richtig? Oder kann der Wurm noch existent sein?
Nein.
Es gibt nur einen Virus, soweit ich weiß, der sich in der Bootsequenz der Festplatte festsetzen kann - aber der ist sauschwer zu bekommen (allerdings auch sauschwer zu entfernen).
Mach Dir also keine Gedanken; Dein Windows sollte nun sauber sein.