# Taskmgr.exe Virus O_o



## Voldemôrd (24. Oktober 2011)

Hallo Leute ich hab da anscheinend einen Virus (oder nicht?) also es fing vorhin damit an das die Taskmgr.exe eine Adminberechtigung wollte (und immernoch will denn ich hab sie ihr natürlich nicht gegeben ) Im selben moment hat Antivir das Trojanische Pferd TR/Shadow.B in C/user/Jonas/AppData/Local/4f23dff/X gefunden, Hijackthis Logfile Auswertung sagt aber da ist nix, was tun?
System: Windows 7 64Bit
Amd Phenom II 940 
4gb RAm
Ati Radeon Hd 5850 
1TB HDD

Bilder sagen mehr als 1000 Worte 



			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.
        




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## Tikume (24. Oktober 2011)

AntiVir meldet sich üblicherweise nur wenn es kein Virus ist 
Datei bei einem Online Scanner einreichen wäre eine Idee.


----------



## Voldemôrd (24. Oktober 2011)

guter plan soweit, aber wie kommt man jetzt an die Datei ran Antivir hat sie ja gelöscht(bzw Quarantäne), aber die Taskmgr.exe gibt keine ruhe ;D


----------



## Tikume (24. Oktober 2011)

Wenn sie gelöscht wäre dann hättest Du ja Ruhe.

Um mal einen Artikel zu zitieren: "Normalerweise plädiere ich dafür, infizierte Systeme komplett neu einzurichten"

Ach ja und investire vielleicht in einen Virenscanner.


----------



## Voldemôrd (24. Oktober 2011)

argh neu einrichten klingt nicht nach spaß, hab gerade die cds etc nicht zur hand, aber normal ist das doch nicht das der taskmgr auf die festplatte zugreifen will und dafür meine Bestätigung braucht O_o
welcher Virenscanner ist denn gut? gibts da auch umsonst einen guten ;D?


----------



## Klos1 (24. Oktober 2011)

Könntest dir auch mal Spybot Search&Destroy holen, oder Antimalewarebytes und versuchen, es mit denen zu entfernen.
Denn anscheinend ist das Spyware.

Die sicherste Methode wäre allerdings, alles platt zu machen.^^

Edit:

Hier hab ich noch mehr gefunden:


1. Boot your computer into safe mode to close all running processes.
2. Remember to back up your system before making any changes for future restore job when necessary.
 
3. Remove these TR/Dldr.Shadow.B.trojan files:
 
%Program Files%\Protection Center\protext.dll
%Documents and Settings%\[UserName]\Start Menu\ Protection Center Support.lnk
 
4. Open Registry Editor to delete the following registry entries:
 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 'DisableTaskMgr' = '1'
HKEY_CURRENT_USER\Software\Paladin Antivirus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations 'LowRiskFileTypes' = '.exe'
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download 'RunInvalidSignatures' ='1'
HKEY_CURRENT_USER\Software\Malware Defense
 
5. It is possibly for TR/Dldr.Shadow.B.trojan to load by hiding within the system WIN.INI file and the strings "run=" and "load=". So you must check carefully in order to thoroughly remove it from your computer.
6 It is necessary for you t clean the IE temporary files where the original carrier may store.


----------



## Voldemôrd (24. Oktober 2011)

also ist es jetzt wirklich ein Virus der noch nicht wirklich aktiv ist weil ich ihn nicht zugreifen lasse =)? Bei Hkey machines ist diese X datei nicht da, ich kann ja gleich mal die Methode mit dem safe mode etc probieren
kann ich auch einfach sone windows wiederherstellung von einem Wiederherstellungspunkt machen? Das bringt gar nichts oder ? ich hab nämlich einen Wiederherstellungspunkt von vorgestern


----------



## skyline930 (24. Oktober 2011)

Wiederherstellungspunkte helfen da wenig. Das Problem ist auch weniger der gefundene Trojaner, der ist "nur" ein Downloader, sondern das was er möglicherweise nachgeladen hat.

Scanne dein System wie hier beschrieben mit Malwarebytes Anti-Malware mit einem *Voll-Scan*: Klick , eventuell gibt es noch eine Chance der Bereinigung. Trenne nach dem Update von MBAM den Rechner *physikalisch vom Netz*, d.h Kabel raus!

Fang gar nicht erst heute an, der Scan dauert je nach Festplattengröße 5 Stunden aufwärts, außerdem kann ich dich erst morgen ab ca. halb 5 weitersupporten, bzw. das Logfile analysieren.


----------



## Dagonzo (24. Oktober 2011)

Voldemôrd schrieb:


> welcher Virenscanner ist denn gut? gibts da auch umsonst einen guten ;D?


Wenn die guten umsonst wären, hätten die kostenpflichtigen Virenscanner wohl keine Daseinsberechtigung oder?

Einer der besten Virenscanner zur Zeit:
http://www.antivirus-programme.info/virenscanner-test/emsisoft-anti-malware.html

Oder wenn es eine Internet-Security-Paket sein soll (ist zu empfehlen) dann:
http://www.antivirus-programme.info/internet-security-test/trend-micro-internet-security.html

Kleiner Tipp auch wenn es im Text auf der Seite schon steht. Bei der Internet-Security von Trend-Micro, kann man als Promocode *AVTREND* eingeben. Gibt 15% Rabatt.

Günstiger bekommt man gute Virenscanner nun mal nicht. Wer Kohle für WoW/Rift übrig hat, wird auch mal ein paar Euro in die Sicherheit investieren können oder?


----------



## Voldemôrd (24. Oktober 2011)

skyline930 schrieb:


> Wiederherstellungspunkte helfen da wenig. Das Problem ist auch weniger der gefundene Trojaner, der ist "nur" ein Downloader, sondern das was er möglicherweise nachgeladen hat.
> 
> Scanne dein System wie hier beschrieben mit Malwarebytes Anti-Malware mit einem *Voll-Scan*: Klick , eventuell gibt es noch eine Chance der Bereinigung. Trenne nach dem Update von MBAM den Rechner *physikalisch vom Netz*, d.h Kabel raus!
> 
> Fang gar nicht erst heute an, der Scan dauert je nach Festplattengröße 5 Stunden aufwärts, außerdem kann ich dich erst morgen ab ca. halb 5 weitersupporten, bzw. das Logfile analysieren.



Meine Festplatte ist 1 Terabyte groß bzw davon nur 235gb belegt von 931 ;D ich denke ich lass es einfach über nacht laufen



Dagonzo schrieb:


> Günstiger bekommt man gute Virenscanner nun mal nicht. Wer Kohle für WoW/Rift übrig hat, wird auch mal ein paar Euro in die Sicherheit investieren können oder?


ohje ganz schön teuer ;D nee hab kein Geld für WoW/Rift über im moment spar ich für den Führerschein ;D bin fast gar nicht mehr am zocken aber ich denke um BF3 komm ich dann doch nicht rum =Ddeine message hab ich aber durchaus verstanden 


Edit: Avira ist grad ein bisschen am suchen hat schon 5 Funde hüm ich glaube ich setze neu auf das letzte mal ist schon 1 Jahr her, hatte in der Zeit auch keine viren und heute zap X_Xnaja bei avira kann es aber auch 5 mal fehlalarm sein das stimmt schon -.-


----------



## Klos1 (24. Oktober 2011)

Systemwiederherstellung? Rofl...schön wäre es, wenn das gehen würde.^^

Ich habe mich im übrigen noch ein bisschen über deinen Schädling schlau gemacht. Anscheinend lädt das Ding noch weitere Komponenten vom Internet runter.
Mit dabei ist auch eine Möglichkeit von Remote-Verbindungen zu deinem Rechner. Hört sich böse an.


----------



## Voldemôrd (24. Oktober 2011)

wahrscheinlich braucht irgendeiner der Schädlinge erstmal ein ja um auf die festplatte zuzugreifen und richtig party zu machen D: 
kann ich eigentlich in zip dateien verpackte exe dateien vom Infizierten system auf das neue übernehmen? hab seit längerer zeit ein paar treiber die noch verpackt sind, man soll ja keine Programme vom Infizierten system exportieren weil die infiziert sein könnten D:

achja beim Avira suchen hat er auch den gefunden
http://www.avira.com...VA.OpenStream.L
oho dieser Virus hat wie es scheint die folgenden Auswirkungen: 


> *Auswirkungen:*
> &#8226; Lädt eine Dateien herunter


und 
http://www.avira.com...t/JAVA.Fester.A

Edit:
Wenn man dem Taskmgr.exe den zugriff erlaubt öffnet sich son Fake virenscanner (sagen die comments bei virustotal keiner der Virenscanner hat irgendein result zu dem fake taskmanager der bei C:\Users\name eingenistet ist) ;Dwenn man die besagte exe einfach löscht kommt unendlich mal die Fehlermeldung C:\Users\nam\taskmgr.exe konnte nicht gefunden werden


----------



## Konov (25. Oktober 2011)

Setz den Rechner neu auf und du hast Ruhe... glaub alles andere wäre fahrlässig.


----------



## Voldemôrd (25. Oktober 2011)

jau ich klatsch mir schon sämtliche externe festplatten und usb sticks mit filmen Musik und Dokumenten voll die ich finde ;D


----------



## Konov (25. Oktober 2011)

Voldemôrd schrieb:


> jau ich klatsch mir schon sämtliche externe festplatten und usb sticks mit filmen Musik und Dokumenten voll die ich finde ;D



Naja du meintest ja es wären nur so 200GB oder so. Ist bei mir auch so, von daher ist es eine Sache von 10 Minuten bis man alles kopiert hat. 
Möchte nicht wissen wie es wäre wenn Terabytes von Daten darauf warten würden gerettet zu werden


----------



## Voldemôrd (25. Oktober 2011)

Konov schrieb:


> Naja du meintest ja es wären nur so 200GB oder so. Ist bei mir auch so, von daher ist es eine Sache von 10 Minuten bis man alles kopiert hat.
> Möchte nicht wissen wie es wäre wenn Terabytes von Daten darauf warten würden gerettet zu werden



jo das wär bitter X.X aber das meiste was drauf ist sind spiele oderso, die kann ich wegen infektionsgefahr ja eh nicht importieren musik und ein paar filme sind nur 100gb oderso, und ich muss halt alle dokumente zusammenklauben die hier rumfliegen, gut das man auch die firefox favoriten exportieren und importieren kann ;D


----------



## seanbuddha (26. Oktober 2011)

Also wenn du den Speicherort des Virus' kennst, versuch doch ihn über die Cmd zu löschen.
Ps: Avira ist schrott. Hatte auf nem anderen (alten Pc) das drauf, Virus war drauf. Erkannte er auch, nur löschen konnte er ihn nicht.
Über cmd gelöscht und alles war wieder in petto.


----------



## Soulii (26. Oktober 2011)

und du meinst wirklich das wäre eine empfehlenswerte methode ?


----------



## seanbuddha (26. Oktober 2011)

Soulii schrieb:


> und du meinst wirklich das wäre eine empfehlenswerte methode ?



Besser als nix oder?


----------



## Grushdak (26. Oktober 2011)

Wenn man den Virusnamen weiß und ihn löschen will,
sollte man aber noch etwas beachten.

Diese Trojaner oder Viren werden oft (nicht immer) in versteckten Dateien (meist irgendwas mit Benutzer ... Lokale ...) gespeichert.
Zum Auffinden muss man die Dateiansicht so ändern, daß alle Dateien angezeigt werden - also auch die versteckten Dateien.

Wenn man nun den Schädling gefunden hat ihn erfolgreich gelöscht hat 
(falls er sich beim Löschen nicht noch schnell woandershin kopiert - schon erlebt)
sollte man das System neustarten.

Doch vor dem Reboot ist es ganz wichtig, zuerst die Systemwiederherstellung zu deaktivieren.
Tut man das nämlich nicht, wird der Schädling wohl wieder hergestellt.

Nach dem Rebooten die Wiederherstellung aktivieren und üblicherweise versteckte Dateien wieder ausblenden ...

Bei manchen Trojanern/Viren ist es allerdings empfehlenswert, das System gleich komplett neu aufzusetzen.


greetz


----------



## skyline930 (27. Oktober 2011)

seanbuddha schrieb:


> Also wenn du den Speicherort des Virus' kennst, versuch doch ihn über die Cmd zu löschen.
> Ps: Avira ist schrott. Hatte auf nem anderen (alten Pc) das drauf, Virus war drauf. Erkannte er auch, nur löschen konnte er ihn nicht.
> Über cmd gelöscht und alles war wieder in petto.





Grushdak schrieb:


> Diese Trojaner oder Viren werden oft (nicht immer) in versteckten Dateien (meist irgendwas mit Benutzer ... Lokale ...) gespeichert.
> Zum Auffinden muss man die Dateiansicht so ändern, daß alle Dateien angezeigt werden - also auch die versteckten Dateien.
> 
> Bei manchen Trojanern/Viren ist es allerdings empfehlenswert, das System gleich komplett neu aufzusetzen.



Wie gesagt, das Problem ist nicht der gefundene Virus selbst. Der TE sagt, es öffnet sich ein Fake-Antivirus. Das ist "nur" ein Rogue und laut der Bezeichnung von Avira ein Downloader. Das Problem das auftritt, ist das sich solche Malware-Typen ihre Befehle per Script/IRC/whatever holen, d.h. das System kann durch diesen Downloader vollautomatisch mit bspw. einem Backdoor oder einer anderen Art Bot infiziert werden. Wenn man dann den Downloader selbst löscht, ändert das genau nichts an dem Systemzustand, denn der Downloader hat seinen Zweck bereits erfüllt, und der Rechner bleibt infiziert.

Es ist wohl besser wenn du den Rechner neuaufsetzt, das wäre bei der Analyse vermutlich eh das Ergebnis gewesen. Ganz ganz unwahrscheinlich wäre dir eine Neuinstallation erspart geblieben.
Pass allerdings auf das du keine Ausführbaren Dateien sicherst (Listen gibts im Netz).

Außerdem, 


> spiele oderso, die kann ich wegen infektionsgefahr ja eh nicht importieren musik und ein paar filme


ich will dir ja nichts unterstellen, aber die Formulierung klingt für mich nach zwielichtigen Quellen. Ich will keinen Moralapostel spielen, aber pass auf mit Cr4cks & co. Da diese so gut wie immer ausführbar sind, und die Person die runterlädt das Spiel/Programm auch starten will, muss der Cr4ck dafür eben auch ausgeführt werden, daher sind diese sehr oft Malware.


----------



## Soulii (27. Oktober 2011)

Grushdak schrieb:


> Bei *manchen* Trojanern/Viren ist es allerdings empfehlenswert, das System gleich komplett neu aufzusetzen.



ersetze "manchen" durch "fast allen".

Ein einmal kompromittiertes System wird zu 95% nicht mehr sauber.

in Zeiten wo Windows 7 in unter 10min installiert ist sollte da ja nun wirklich kein beinbruch mehr sein.


----------



## Voldemôrd (27. Oktober 2011)

Wie gesagt ich hab die dubiose taskmgr.exe ja nicht bestätigt, das heißt der downloader hat wahrscheinlich noch gar nix gewonloadet, und diese Bestätigungsanfrage kam nicht mehr nachdem ich die fake taskmgr.exe gelöscht habe, das sich dann ein Fake Antivirenprogramm öffnet was zig viren findet und die nur ,,löscht´´ wenn man das programm für viel Geld kauft weiß ich nur da ich den Virus im Internet gegooglet hab. Hab allerdings trotzdem neu aufgesetzt zur sicherheit ;D


----------



## Soulii (28. Oktober 2011)

die einzig richtige lösung


----------

