moin moin
ich habe heute durch einen Fehlklick eine Verseuchte Datei ausgeführt. Der darin enthaltene Virus läd seine Freunde ein und infiziert alle .exe Dateien im System. Zusätzlich löscht er einige kleinigkeiten(mmc.exe, cmd.exe...)
Nun die Frage: Gibt es die Chance die Exe Files zu bereinigen, bzw gibt es dazu ein Programm, mit dem ich eine Infizierte .exe mit einer nicht infizierten Vergleichen kann und so ein Muster erstellen?
2. (eine Bitte) kann mir jmd aus seinem System die Dateien mmc.exe und cmd.exe schicken?(zb upload per Rapidshare)
System ist Windows XP 32Bit Service Pack 3
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hi,
selbst ich, mit meiner Vorliebe zum "Reparieren", kann da nur noch zu "Format C:\" raten.
Eine infizierte EXE-Datei von einer nichtinfizierten EXE-Datei zu unterscheiden funktioniert meines Wissens nur durch einen Bit für Bit Vergleich. Der Aufwand dürfte den einer Neuinstallation bei weitem übersteigen und währe nicht einmal sicher.
Bei den heutigen Preisen für Festplatten kann, und sollte man sich einen "Systemklon" leisten (also ein Image des BS). Dann kann man nach 5 Minuten wieder über seinen Fehlklick lachen.
Gruß
hatterchen45
Leider nein.
Die "Freunde" und das Original können schon Systemstatus erreicht haben.
Ein sichern benötigter Daten auf eine CD oder DVD
und Xp neuaufsetzen ist schneller und sicher.
Es gibt die Möglichkeit einen autonomen Scanner von einer Bootbaren CD einzusetzen.
Aber, auch Systemdateien wo der Scanner nicht anschlägt können modifiziert sein.
Die gesicherten Daten müssen auch gescannt werden.
Das dauert alles länger als Xp neu zu installieren und hinterher ist man nicht sicher. Auch wenn nichts mehr gefunden wird.
In der Tat steht die neuinstallation auf dem Programm.
1. Problem: Zum installieren brauche ich den Treiber für den SATA-RAID Controller, da meine Boot-Platten in einem RAID-0 verschachtelt sind. Dieser ist von der BIOS-Version des Controllers abhängig. Die Version des BIOS wird nur beim Reboot des Systems angezeigt oder aber im gerätemanager. Da ich zweifel habe, dass ich das System nochmal so starten kann, benötige ich die mmc.exe um den gerätemanager aufzurufen und die BIOS version auszulesen.
2. Problem: Ich muss morgen(so oder so) 12TB an daten durchgehen, und alle vorhandenen exe-Files löschen(wäre eigentlich sowieso mal nötig :-() wenn man die Files "bereinigen" könnte, wäre mir das lieber. m.E. geht die modifikation von PE dateien ja nur über eine Veränderung des Einsprungspunktes im PE-Header der Datei und dann eben dem anhängen der "zusätzlichen" Programmdaten des Virus. dementsprechend dachte ich mir dass eine Reinigung evtl möglich wäre.
Nuja, über eine mmc.exe und eine cmd.exe würde ich mich immernoch freuen :-)
nábend S_C,
wenn Du mir sagst wo ich die auf dem Rechner finde, lade ich Sie kurz auf mein Webspace hoch.
mmc.exe + cmd.exe konnte ich mit der Suchfunktion nicht finden.
Weiss nur das es Windowsprozesse sind, welche im Taskmanager angezeigt werden.
Vielleicht kann ich ja behilflich sein und dazu lernen tu ich sowieso immer.
Gruss
Jonny 9
die sollten unter windows\system32 liegen. evtl als Systemdatei / versteckt gemarkert. hat sich allerdings durch einen systemabsturz erledigt. wie zu erwarten war hat das system danach einen start verweigert. Ich kämpfe mich hier mit Vista durch mein Xp-Image. Ich denke wohl ich werde mich morgen aus Frust daran machen meinen PC auseinanderzunehmen und die Backup-Platten einbauen. 5 Tage Arbeitsverlust kann man wohl hinnehmen...
Was ich jetzt allerdings mal sagen muss, was mich tierisch aufregt(gerade):
Eben habe ich auf der Seite von SiliconImage erfahren, dass die Treiber für deren Referenzdesigns nur noch durch die Hersteller der PCBs verteilt werden. Ich sitze jetzt auf einem Controllerbios, das ich nicht updaten kann, weil ich nirgendwo passende FW images kriege, und auf einem Hersteller, der Für meine BIOS version keine Treiber anbietet.
Eigentlich eine tierische Unverschämtheit. Was meint ihr dazu?
In der Tat unverschämt!
Bei diesem Umfang würde ich mich auch die Platze ärgern.
Schon mit a-squared dauert das Scannen von deutlich weniger Daten lange.
Ist es nicht möglich nur den Systemteil isoliert wiederherzustellen?
Die Daten sind ja passiv und könnten dann in Ruhe gescannt werden.
Obwohl,
ob es bei Raid 0 eine so getrennte Backup oder rückspiel Möglichkeit gibt?
Die anderen Raid geschichten sind unleugbar teuer.
hmm, den Systemteil zu isolieren wird nicht ausreichen. Sämtliche Ausführbare dateien auf allen Festplatten sind infiziert worden.
Zum thema Redundanz: Ich mache 1x in der Woche über nacht eine komplette 1:1 kopie meines Systems auf meine Backup-Festplatten. Fällt eine aus, nimmt man aus dem schrank ihre kopie, baut sie ein, organisiert ne neue, aktualisiert das backup auf der neuen und legt die dann in den schrank.
Ich habe jetzt erstmal alle Festplatten getauscht und bin gerade dabei die Alten platten zu überschreiben. Wird noch so um die 5h dauern.