Moin Leute,

schade, dass ich mich aus so einem unerfreulichen Anlass hier melde, aber nach vielen Jahren "unfallfreien" surfens hat es mich nun auch mal erwischt. Konkret habe ich mir die Malware "Thinkpoint" eingefangen gehabt.
Für alle, denen das nix sagt (seid froh wenn es so ist ... :evil:) hier ein :arrow: Info-Link bei chip.de (http://www.chip.de/news/Think-Point-Hartnaeckigen-Trojaner-entfernen_45363261.html).

Ich habe mein System so wie es aussieht wieder sauber, zumindestens habe ich keine Symptome mehr und verschiedene Scanner finden auch nix mehr, scheinbar habe ich es geschafft, das Ding vorerst loszuwerden.

Jetzt habe ich aber zwei externe Platten, die ich unbedingt überprüfen muss und bin unsicher wie ich das machen soll.
Ich habe Panda Antivirus Pro 2011 laufen.
Die eine Platte war während der Spuk losging am Notebook aktiv und wurde benutzt, die andere habe ich Verdacht, dass da was komisches drauf sein könnte.

Einfach anschließen und sofort das Scanprogramm auf den aufpoppenden Laufwerksbuchstaben losjagen ?
Oder wie würdet ihr das machen ?

Danke Euch schonmal
Peter

Hallo,

... wie sieht es mit einer Linux Boot CD aus, da sollte so schnell nichts passieren.

http://de.wikipedia.org/wiki/Knoppicillin

Gruß André

Zuerst mal ein herzliches Hallo,
ich bin zwar Computerdummi, aber ich würde die Platte an einen anderen Computer anschließen und dort überprüfen.

Andere Frage,
kannst du nachvollziehen, wo du dir das eingefangen hast und was waren die Symptome

Gruß Wolfgang

Die Symptome sind unter dem Chip-Link eigentlich ganz gut beschrieben. Das Zeug tut so, als ob es einen Windows-Alert-Meldung wäre, behauptet einen Trojaner Windows32irgendwas gefunden zu haben, fängt dann an angeblich eine Lösung zu suchen und behauptet diese dann gefunden zu haben und fordert auf, auf einen Download zu klicken. Wer das macht hat verloren.
Ich hatte dann so ein komisches Gefühl und habe auf die Ausschalttaste gedrückt bis die Kiste ausging (also hart ausgeschaltet).
Danach habe ich den Rechner wieder gestartet und konnte über ein paar Kniffe an den Task-Manager kommen. Auf meinem Desktop ist dann immer die Oberfläche von ThinkPoint gestartet und hat alles andere geblockt. Dann habe ich meinen uralten an sich inzwischen berenteten Desktop angeworfen und nach Anleitungen gesucht, mit deren Hilfe bin ich das Ding wohl auch wieder losgeworden, ob dauerhaft wird sich zeigen.
Momentan läuft alles wieder sauber und stabil und ich kontrolliere jetzt immer brav, ob nicht meine Schutzsoftware wieder ausgeschaltet ist, so wie vor ein paar Tagen. Ich habe auf jeden Fall mal ein paar wichtige Kennworte geändert.

Jetzt würde ich aber gerne meine Daten sichern und außerdem benötige ich Bilder von einer der Festplatten.
An einen anderen (nicht befallenen PC) möchte ich die Platten eigentlich nicht anschließen, solange nicht klar ist, dass die Laufwerke definitiv sauber sind.


Wie geht das mit so einer Knoppix-Dingens ?

Hallo,

... auf einem sauberen System saugen, CD brennen, von CD booten.
Es sind wohl 3 Scanner drauf.
Ganz unten ist der Link zur eigentlichen Seite: http://www.heise.de/ct/projekte/desinfect

So eine CD wird auch oft mit der CT geliefert, aber dann halt nur kurze Zeit wirklich aktuell.

Gruß André

Wenn du noch irgendwo eine XP-Setup-CD (nicht eine Recovery-CD!) herumliegen hast, hilft dir wahrscheinlich BartPE weiter. Google mal danach, damit ist man in der Lage, ein von CD startendes Windows-XP zu erstellen. Dienste wie der Wechselmediendienst laufen dort allerdings nicht (ich bin nicht ganz aktuell, auch für Vista gibt es so etwas und sicher auch schon für Win7, und dort läuft auf der CD dann auch der Wechselmediendienst), d.h. ein Erkennen von USB-Sticks funktioniert nicht, solange dieser beim Starten von der CD nicht schon angesteckt war.

Damit hast du ein System, das autark vom installierten Windows ist und sich damit und mit Hilfe von Virenscannern, die auf einem USB-Stick liegen und von dort aus laufen können (TrendMicro Sysclean, schwierig zu finden, die aktuellen Pattern sind ebenfalls notwendig oder ClamWin in der Portable-Version) gut zum Reinigen eignet. Selbst Rootkits können hier keinen Schaden anrichten. Das wichtigste ist halt, daß das Ding auf einem System erzeugt wird, das sicher sauber ist. Dein Zweitsystem wäre da so ein Fall, mit dem du das Ding erstellen kannst.

Zwei Scanner habe ich schon genannt, von Safer Networking gibt es dann noch den Spyware Search and Destroy, der auf Trojaner etc. spezialisiert ist und bei denen auf der Homepage findet sich auch noch ein Autoruns-Tool, das nicht nur die automatisch startenden Programme und Dienste etc. des gebooteten Systems listet, sondern auch die Registry der gefundenen anderen Windows-Installationen berücksichtigt. Da findet sich dann oft allerhand Zeugs, das man hiermit recht einfach deaktivieren kann - weil das System von der CD schließlich definitiv sauber ist.

Edit: die desinfect von Heise ist ebenfalls ein geschicktes Tool :top:

Viel Erfolg !

Ich würde da nicht lange herumprobieren... der letzte Satz auf der Chipseite wäre mein handeln:

Auch wenn es weh tut: Die sicherste Methode, um ThinkPoint wieder loszuwerden, ist die Formatierung der Festplatte und das Neuaufsetzen des Betriebssystems. Denn auch wenn die Symptome verschwunden sind, heißt das nicht, dass ThinkPoint restlos entfernt wurde. (ry)

Wenigstens kann man seine Daten noch sichern, dann mit einem aktuellen Virenscanner prüfen und dann das System neu aufsetzen.

Gruß Wolfgang

nur damit ich das richtig kapiere.

Ich fahre die Kiste runter.
Dann stecke ich die zu untersuchende Festplatte dran.
Dann boote ich von dieser CD und dann lasse ich die darauf befindlichen Tools auf die externen laufwerke los (das kann ich dann irgendwie auswählen ?).

Woher weiß ich, dass die Version von Desinfect, die ich auf mein System loslasse den ekligen Thinkpoint schon erkennt `(den gibt es erst seit ca. 10 Tagen) ?

Woher weiß ich, dass die Version von Desinfect, die ich auf mein System loslasse den ekligen Thinkpoint schon erkennt `(den gibt es erst seit ca. 10 Tagen) ?

c't desinfekt ist das Mittel der Wahl, weil du da ein garantiert sauberes System bootest. Die Virendefinitionen der zugehörigen Antivirenprogramme kannst du via Internet wie sonst üblich aktualisieren.

desinfec`t8 kann ich leider nirgendwo zum download finden :(

desinfec`t8 kann ich leider nirgendwo zum download finden :(

Klar, der Heise-Zeitschriften-Verlag will ja auch die c't verkaufen, der der Datenträger beilag. Ich dachte, du hättest die betreffende Ausgabe.

...
Woher weiß ich, dass die Version von Desinfect, die ich auf mein System loslasse den ekligen Thinkpoint schon erkennt `(den gibt es erst seit ca. 10 Tagen) ?

Moin Peter,

beim Start der Cd wird ein aktuelles Update aus dem Netzt geladen. Das dauert zwar - aber es funktioniert.

Gruß
Klaus

ich geh dann morgen mal zum Zeitungskiosk.
Danke Euch bis hierher schon ganz herzlich.

Hier noch was zum Thema.

Registry Einträge die Du gegebenenfalls noch löschen solltest, falls sie noch da sind.

Impacted Registry Entries, Files and Folders.

Regidstry Entries.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell"
HKEY_CURRENT_USER\Software\PAV
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run "Think Point"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "Shell" = "%Documents and Settings%\[UserName]\Application Data\hotfix.exe"

Process
hotfix.exe
Think Point.exe
[Random Characters].exe

Files & Folders
C:\Documents and Settings\User\Application Data\hotfix.exe
%UserProfile%\Application Data\hotfix.exe

Quelle (http://trojan-killer.net/thinkpoint-uninstall-guide-how-to-get-rid-of-thinkpoint/)

Ich denke, den Gang kannst du dir sparen, Peter.

Das ist ein ziemlich "altes" Heft (auch wenn die Virenscanner dort drauf und die Technik dahinter aktuell sind) und am ehesten bekommst du das bei heise direkt. Der Link zur Nachbestellung findet sich unter dem Text des verlinkten Heise-Artikels.

Ich fahre die Kiste runter.
Dann stecke ich die zu untersuchende Festplatte dran.
Dann boote ich von dieser CD und dann lasse ich die darauf befindlichen Tools auf die externen laufwerke los (das kann ich dann irgendwie auswählen ?).

Stimmt so ziemlich :)

Ich hab inzwischen 4 scareware-verseuchte PCs wieder zum Laufen bringen müssen und jedesmal am Ende doch die Kiste neu aufgesetzt. Allerdings waren das andere Programme als Deines, vielleicht klappt es bei Dir ja besser.

Es lohnt sich auf jeden Fall, die Desinfect-CD zu holen, auch wenn Du dazu die Zeitung nachbestellen musst. Was Du dann brauchst ist ein PC mit Internetverbindung, optimal per Kabel. Das kann ruhig auch die verseuchte Kiste sein, denn durch das Booten von CD kann nichts passieren. Dann Laufwerke dran und booten. Knoppix fährt hoch, guckt sich die Kiste an, schaut nach der Internetverbindung, holt sich erst mal notwendige Updates fürs System und fängt dann an, seine Virendefinitionen zu aktualisieren. Das ist dann der richtige Moment für nen Kaffee, denn für 3 Scanner dauert das. Und dauert. Und dauert.

Danach kannst Du die Laufwerke auswählen, die er scannen soll, und Du musst ihm sagen, was er mit verseuchten Dateien machen soll. Soll er versuchen, sie in Ordnung zu bringen, oder sie verschieben oder einfach löschen. Und dann legt er los. Und das dauert. Und dauert. Und dauert. Und dauert. Sowas läuft optimal über Nacht.

Die Idee ist, dass Du alle drei Scanner nacheinander auf die Laufwerke loslässt, wobei am Ende irgendeiner der Scanner den Eindringling erkannt haben wird. Bei "normalen" Viren, also keiner Scareware, hat das bei meinen Scans (Rechner von Freunden und Bekannten) immer schon mit dem ersten Scanner funktioniert, die anderen waren dann nur für die Nerven.

Viele Grüsse,

Michael

@alberich: ja, die Dinger habe ich schon alle plattgemacht, ich bin wohl beim googeln auf die gleiche Liste gestoßen.

Mal ne blöde Frage:
wenn ich ein neues Windows-Benutzerkonto rein zum Surfen ohne Admin-Rechte erstelle, kann ich dann ohne allzuviel Gefummel meine Einstellungen (Favoriten, Personas etc.) vom Firefox auf das neue Konto übertragen ?

wenn ich ein neues Windows-Benutzerkonto rein zum Surfen ohne Admin-Rechte erstelle, kann ich dann ohne allzuviel Gefummel meine Einstellungen (Favoriten, Personas etc.) vom Firefox auf das neue Konto übertragen ?

Peter, deine Lesezeichen kannst du exportieren :arrow: click (http://support.mozilla.com/de/kb/Lesezeichen+in+eine+HTML-Datei+exportieren?s=Einstellungen+exportieren&as=s).

Du solltest nicht nur zum Surfen sondern generell unter Windows 7 ohne Admin-Rechte an deinem PC angemeldet sein. Falls du Admin-Rechte brauchst (etwa um ein Programm zu installieren): Rechtsklick auf die das entsprechende Symbol und unter "Ausführen als" dein Administratoren-Konto wählen.

Martin

So.

Weder brandaktuelles Panda pro, Malwarebites noch Spybot search and Destroy finden auf meinen externen Platten irgendwas verdächtiges.
Meine Kiste läuft nach den ganzen Aktionen (Registry bereinigt etc.) besser als je zuvor und ich habe beschlossen, es damit gut sein zu lassen.

Wenn der Spuk irgendwann wieder losgehen sollte kann ich mich immer noch reinstressen.

Gesurft wird künftig nicht mehr als Admin und jetzt gehe ich erstmal wieder zur Tagesordnung über.