SonyUserforum - Computerfrage - unklare Fragen nach "Thinkpoint"-Befall

PeterHadTrapp · 08.11.2010, 20:07

Moin Leute,

schade, dass ich mich aus so einem unerfreulichen Anlass hier melde, aber nach vielen Jahren "unfallfreien" surfens hat es mich nun auch mal erwischt. Konkret habe ich mir die Malware "Thinkpoint" eingefangen gehabt.
Für alle, denen das nix sagt (seid froh wenn es so ist ...

) hier ein

Info-Link bei chip.de.

Ich habe mein System so wie es aussieht wieder sauber, zumindestens habe ich keine Symptome mehr und verschiedene Scanner finden auch nix mehr, scheinbar habe ich es geschafft, das Ding vorerst loszuwerden.

Jetzt habe ich aber zwei externe Platten, die ich unbedingt überprüfen muss und bin unsicher wie ich das machen soll.
Ich habe Panda Antivirus Pro 2011 laufen.
Die eine Platte war während der Spuk losging am Notebook aktiv und wurde benutzt, die andere habe ich Verdacht, dass da was komisches drauf sein könnte.

Einfach anschließen und sofort das Scanprogramm auf den aufpoppenden Laufwerksbuchstaben losjagen ?
Oder wie würdet ihr das machen ?

Danke Euch schonmal
Peter

André 69 · 08.11.2010, 20:14

Hallo,

... wie sieht es mit einer Linux Boot CD aus, da sollte so schnell nichts passieren.

http://de.wikipedia.org/wiki/Knoppicillin

Gruß André

About Schmidt · 08.11.2010, 20:15

Zuerst mal ein herzliches Hallo,
ich bin zwar Computerdummi, aber ich würde die Platte an einen anderen Computer anschließen und dort überprüfen.

Andere Frage,
kannst du nachvollziehen, wo du dir das eingefangen hast und was waren die Symptome

Gruß Wolfgang

PeterHadTrapp · 08.11.2010, 20:26

Die Symptome sind unter dem Chip-Link eigentlich ganz gut beschrieben. Das Zeug tut so, als ob es einen Windows-Alert-Meldung wäre, behauptet einen Trojaner Windows32irgendwas gefunden zu haben, fängt dann an angeblich eine Lösung zu suchen und behauptet diese dann gefunden zu haben und fordert auf, auf einen Download zu klicken. Wer das macht hat verloren.
Ich hatte dann so ein komisches Gefühl und habe auf die Ausschalttaste gedrückt bis die Kiste ausging (also hart ausgeschaltet).
Danach habe ich den Rechner wieder gestartet und konnte über ein paar Kniffe an den Task-Manager kommen. Auf meinem Desktop ist dann immer die Oberfläche von ThinkPoint gestartet und hat alles andere geblockt. Dann habe ich meinen uralten an sich inzwischen berenteten Desktop angeworfen und nach Anleitungen gesucht, mit deren Hilfe bin ich das Ding wohl auch wieder losgeworden, ob dauerhaft wird sich zeigen.
Momentan läuft alles wieder sauber und stabil und ich kontrolliere jetzt immer brav, ob nicht meine Schutzsoftware wieder ausgeschaltet ist, so wie vor ein paar Tagen. Ich habe auf jeden Fall mal ein paar wichtige Kennworte geändert.

Jetzt würde ich aber gerne meine Daten sichern und außerdem benötige ich Bilder von einer der Festplatten.
An einen anderen (nicht befallenen PC) möchte ich die Platten eigentlich nicht anschließen, solange nicht klar ist, dass die Laufwerke definitiv sauber sind.

Wie geht das mit so einer Knoppix-Dingens ?

André 69 · 08.11.2010, 20:35

Hallo,

... auf einem sauberen System saugen, CD brennen, von CD booten.
Es sind wohl 3 Scanner drauf.
Ganz unten ist der Link zur eigentlichen Seite: http://www.heise.de/ct/projekte/desinfect

So eine CD wird auch oft mit der CT geliefert, aber dann halt nur kurze Zeit wirklich aktuell.

Gruß André

konzertpix.de · 08.11.2010, 20:38

Wenn du noch irgendwo eine XP-Setup-CD (nicht eine Recovery-CD!) herumliegen hast, hilft dir wahrscheinlich BartPE weiter. Google mal danach, damit ist man in der Lage, ein von CD startendes Windows-XP zu erstellen. Dienste wie der Wechselmediendienst laufen dort allerdings nicht (ich bin nicht ganz aktuell, auch für Vista gibt es so etwas und sicher auch schon für Win7, und dort läuft auf der CD dann auch der Wechselmediendienst), d.h. ein Erkennen von USB-Sticks funktioniert nicht, solange dieser beim Starten von der CD nicht schon angesteckt war.

Damit hast du ein System, das autark vom installierten Windows ist und sich damit und mit Hilfe von Virenscannern, die auf einem USB-Stick liegen und von dort aus laufen können (TrendMicro Sysclean, schwierig zu finden, die aktuellen Pattern sind ebenfalls notwendig oder ClamWin in der Portable-Version) gut zum Reinigen eignet. Selbst Rootkits können hier keinen Schaden anrichten. Das wichtigste ist halt, daß das Ding auf einem System erzeugt wird, das sicher sauber ist. Dein Zweitsystem wäre da so ein Fall, mit dem du das Ding erstellen kannst.

Zwei Scanner habe ich schon genannt, von Safer Networking gibt es dann noch den Spyware Search and Destroy, der auf Trojaner etc. spezialisiert ist und bei denen auf der Homepage findet sich auch noch ein Autoruns-Tool, das nicht nur die automatisch startenden Programme und Dienste etc. des gebooteten Systems listet, sondern auch die Registry der gefundenen anderen Windows-Installationen berücksichtigt. Da findet sich dann oft allerhand Zeugs, das man hiermit recht einfach deaktivieren kann - weil das System von der CD schließlich definitiv sauber ist.

Edit: die desinfect von Heise ist ebenfalls ein geschicktes Tool

Viel Erfolg !

ViewPix · 08.11.2010, 20:56

Ich würde da nicht lange herumprobieren... der letzte Satz auf der Chipseite wäre mein handeln:

Zitat:

Auch wenn es weh tut: Die sicherste Methode, um ThinkPoint wieder loszuwerden, ist die Formatierung der Festplatte und das Neuaufsetzen des Betriebssystems. Denn auch wenn die Symptome verschwunden sind, heißt das nicht, dass ThinkPoint restlos entfernt wurde. (ry)

About Schmidt · 08.11.2010, 20:59

Wenigstens kann man seine Daten noch sichern, dann mit einem aktuellen Virenscanner prüfen und dann das System neu aufsetzen.

Gruß Wolfgang

PeterHadTrapp · 08.11.2010, 21:09

nur damit ich das richtig kapiere.

Ich fahre die Kiste runter.
Dann stecke ich die zu untersuchende Festplatte dran.
Dann boote ich von dieser CD und dann lasse ich die darauf befindlichen Tools auf die externen laufwerke los (das kann ich dann irgendwie auswählen ?).

Woher weiß ich, dass die Version von Desinfect, die ich auf mein System loslasse den ekligen Thinkpoint schon erkennt `(den gibt es erst seit ca. 10 Tagen) ?

kearny · 08.11.2010, 21:32

Zitat:

Zitat von PeterHadTrapp

Woher weiß ich, dass die Version von Desinfect, die ich auf mein System loslasse den ekligen Thinkpoint schon erkennt `(den gibt es erst seit ca. 10 Tagen) ?

c't desinfekt ist das Mittel der Wahl, weil du da ein garantiert sauberes System bootest. Die Virendefinitionen der zugehörigen Antivirenprogramme kannst du via Internet wie sonst üblich aktualisieren.

08.11.2010, 20:07	#1
PeterHadTrapp Registriert seit: 07.09.2003 Ort: in Sichtweite der Wasserkuppe Beiträge: 28.341	Computerfrage - unklare Fragen nach "Thinkpoint"-Befall Moin Leute, schade, dass ich mich aus so einem unerfreulichen Anlass hier melde, aber nach vielen Jahren "unfallfreien" surfens hat es mich nun auch mal erwischt. Konkret habe ich mir die Malware "Thinkpoint" eingefangen gehabt. Für alle, denen das nix sagt (seid froh wenn es so ist ... ) hier ein Info-Link bei chip.de. Ich habe mein System so wie es aussieht wieder sauber, zumindestens habe ich keine Symptome mehr und verschiedene Scanner finden auch nix mehr, scheinbar habe ich es geschafft, das Ding vorerst loszuwerden. Jetzt habe ich aber zwei externe Platten, die ich unbedingt überprüfen muss und bin unsicher wie ich das machen soll. Ich habe Panda Antivirus Pro 2011 laufen. Die eine Platte war während der Spuk losging am Notebook aktiv und wurde benutzt, die andere habe ich Verdacht, dass da was komisches drauf sein könnte. Einfach anschließen und sofort das Scanprogramm auf den aufpoppenden Laufwerksbuchstaben losjagen ? Oder wie würdet ihr das machen ? Danke Euch schonmal Peter __________________ --> mein Käfer-Restaurierungs-BLOG

08.11.2010, 20:14	#2
André 69 Registriert seit: 15.01.2008 Ort: Freistaat Sachsen Beiträge: 5.052	Hallo, ... wie sieht es mit einer Linux Boot CD aus, da sollte so schnell nichts passieren. http://de.wikipedia.org/wiki/Knoppicillin Gruß André __________________ Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren (Benjamin Franklin)

08.11.2010, 20:15	#3
About Schmidt Registriert seit: 13.10.2007 Beiträge: 22.918	Zuerst mal ein herzliches Hallo, ich bin zwar Computerdummi, aber ich würde die Platte an einen anderen Computer anschließen und dort überprüfen. Andere Frage, kannst du nachvollziehen, wo du dir das eingefangen hast und was waren die Symptome Gruß Wolfgang __________________ Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau herunter und schlägt dich dort aufgrund seiner Erfahrung Flickr

08.11.2010, 20:26	#4
PeterHadTrapp Themenersteller Registriert seit: 07.09.2003 Ort: in Sichtweite der Wasserkuppe Beiträge: 28.341	Die Symptome sind unter dem Chip-Link eigentlich ganz gut beschrieben. Das Zeug tut so, als ob es einen Windows-Alert-Meldung wäre, behauptet einen Trojaner Windows32irgendwas gefunden zu haben, fängt dann an angeblich eine Lösung zu suchen und behauptet diese dann gefunden zu haben und fordert auf, auf einen Download zu klicken. Wer das macht hat verloren. Ich hatte dann so ein komisches Gefühl und habe auf die Ausschalttaste gedrückt bis die Kiste ausging (also hart ausgeschaltet). Danach habe ich den Rechner wieder gestartet und konnte über ein paar Kniffe an den Task-Manager kommen. Auf meinem Desktop ist dann immer die Oberfläche von ThinkPoint gestartet und hat alles andere geblockt. Dann habe ich meinen uralten an sich inzwischen berenteten Desktop angeworfen und nach Anleitungen gesucht, mit deren Hilfe bin ich das Ding wohl auch wieder losgeworden, ob dauerhaft wird sich zeigen. Momentan läuft alles wieder sauber und stabil und ich kontrolliere jetzt immer brav, ob nicht meine Schutzsoftware wieder ausgeschaltet ist, so wie vor ein paar Tagen. Ich habe auf jeden Fall mal ein paar wichtige Kennworte geändert. Jetzt würde ich aber gerne meine Daten sichern und außerdem benötige ich Bilder von einer der Festplatten. An einen anderen (nicht befallenen PC) möchte ich die Platten eigentlich nicht anschließen, solange nicht klar ist, dass die Laufwerke definitiv sauber sind. Wie geht das mit so einer Knoppix-Dingens ? __________________ --> mein Käfer-Restaurierungs-BLOG Geändert von PeterHadTrapp (08.11.2010 um 20:29 Uhr)

08.11.2010, 20:35	#5
André 69 Registriert seit: 15.01.2008 Ort: Freistaat Sachsen Beiträge: 5.052	Hallo, ... auf einem sauberen System saugen, CD brennen, von CD booten. Es sind wohl 3 Scanner drauf. Ganz unten ist der Link zur eigentlichen Seite: http://www.heise.de/ct/projekte/desinfect So eine CD wird auch oft mit der CT geliefert, aber dann halt nur kurze Zeit wirklich aktuell. Gruß André __________________ Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren (Benjamin Franklin)

08.11.2010, 20:38	#6
konzertpix.de Registriert seit: 28.09.2007 Ort: bei Ulm Beiträge: 5.888	Wenn du noch irgendwo eine XP-Setup-CD (nicht eine Recovery-CD!) herumliegen hast, hilft dir wahrscheinlich BartPE weiter. Google mal danach, damit ist man in der Lage, ein von CD startendes Windows-XP zu erstellen. Dienste wie der Wechselmediendienst laufen dort allerdings nicht (ich bin nicht ganz aktuell, auch für Vista gibt es so etwas und sicher auch schon für Win7, und dort läuft auf der CD dann auch der Wechselmediendienst), d.h. ein Erkennen von USB-Sticks funktioniert nicht, solange dieser beim Starten von der CD nicht schon angesteckt war. Damit hast du ein System, das autark vom installierten Windows ist und sich damit und mit Hilfe von Virenscannern, die auf einem USB-Stick liegen und von dort aus laufen können (TrendMicro Sysclean, schwierig zu finden, die aktuellen Pattern sind ebenfalls notwendig oder ClamWin in der Portable-Version) gut zum Reinigen eignet. Selbst Rootkits können hier keinen Schaden anrichten. Das wichtigste ist halt, daß das Ding auf einem System erzeugt wird, das sicher sauber ist. Dein Zweitsystem wäre da so ein Fall, mit dem du das Ding erstellen kannst. Zwei Scanner habe ich schon genannt, von Safer Networking gibt es dann noch den Spyware Search and Destroy, der auf Trojaner etc. spezialisiert ist und bei denen auf der Homepage findet sich auch noch ein Autoruns-Tool, das nicht nur die automatisch startenden Programme und Dienste etc. des gebooteten Systems listet, sondern auch die Registry der gefundenen anderen Windows-Installationen berücksichtigt. Da findet sich dann oft allerhand Zeugs, das man hiermit recht einfach deaktivieren kann - weil das System von der CD schließlich definitiv sauber ist. Edit: die desinfect von Heise ist ebenfalls ein geschicktes Tool Viel Erfolg ! __________________ LG, Rainer Robert Capa: If your photographs aren't good enough, you're not close enough. \| meine Heimatseite \| etwas zum Nachdenken \| ein typischer Kurt Hinweis: die deutsche Rechtschreibung ist Freeware, d.h. du darfst sie kostenlos nutzen. Allerdings ist sie nicht Open Source, d.h. du darfst sie nicht verändern oder in veränderter Form veröffentlichen.

08.11.2010, 20:59	#8
About Schmidt Registriert seit: 13.10.2007 Beiträge: 22.918	Wenigstens kann man seine Daten noch sichern, dann mit einem aktuellen Virenscanner prüfen und dann das System neu aufsetzen. Gruß Wolfgang __________________ Diskutiere nie mit einem Idioten. Er zieht dich auf sein Niveau herunter und schlägt dich dort aufgrund seiner Erfahrung Flickr

08.11.2010, 21:09	#9
PeterHadTrapp Themenersteller Registriert seit: 07.09.2003 Ort: in Sichtweite der Wasserkuppe Beiträge: 28.341	nur damit ich das richtig kapiere. Ich fahre die Kiste runter. Dann stecke ich die zu untersuchende Festplatte dran. Dann boote ich von dieser CD und dann lasse ich die darauf befindlichen Tools auf die externen laufwerke los (das kann ich dann irgendwie auswählen ?). Woher weiß ich, dass die Version von Desinfect, die ich auf mein System loslasse den ekligen Thinkpoint schon erkennt `(den gibt es erst seit ca. 10 Tagen) ? __________________ --> mein Käfer-Restaurierungs-BLOG

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Sponsored Links

Sponsored Links

Sponsored Links