www.sarducd.it

[PeterP]

Hallo,

ich habe mir den "Live Security Platinium" Virus gefangen.

Über Sardu und USB Stick kann ich Aviara und Kaspesky starten, aber das Laufwerk C: mit Windows und dem Virus wird nicht erkannt.

Kann jemand helfen?

Danke,

Peter

[UFdFan]

Hallo

Den "Live Security Platinium" Virus kann man bisher IMHO nur mit einer Methode umgehen.
Es sind noch keine Tools bekannt, die aufdecken, was genau geschädigt wurde.

Mit der folgenden Weise, entfernst Du die Scareware, so dass der PC wieder normal startet.

SARDU erstellen mit aktivem "Kaspersky Rescue 10" System unter "Antivirus
Erstelle dann einen USB-Stick mit SARDU

Starte Kaspersky im Grafikmodi. (Dauert am längsten, ist aber für Windowsuser das einfachste)
Schließ alle offenen Fenster.
Öffne ein neues Terminal.
Im Terminal gib ein: "windowsunlocker" ohne die Anführungszeichen.
Dann sollte die Scareware entfernt werden und in der Konsole kannst Du die Resultate sehen.
90% aller Festplatten werden erkannt. Diese tragen die Bezeichnung SDA1-x, da die Bezeichnung
hier, das auf Linuxbasis aufgesetzte Kaspersky übernimmt. Das ist bei Avira und Konsorten dasselbe.

Danach startet Windows wieder nochmal und die Scareware sind aus Registry und aus der Autostart entfernt.

Sollten Dateien auf Deiner Festplatte zusätzlich von der Scareware verschlüsselt worden sein, melde Dich hier noch mal.
Wenn Dein PC wieder normal läuft, führe in jedem Fall noch einen zusätzlichen Festplattenscan durch.
Nutze hierfür nicht nur Deinen Virenscanner, sondern zusätzlich noch "Malwarebytes" (Freeversion)

Hinweis: Alle Verschlüsselten Dateien beginnen mit "locked-.<4 zeichen>"

PS: Die "AviraDNSRepairEN.exe" führst Du unbedingt zur Sicherheit "auch" aus.

[PeterP]

Hallo,

danke für deine ausführliche Antwort.

Weil mir die Sache ziemlich unter den Nägeln gebrannt hat, bin ich wie folgt vorgegangen:

Windows im abgesicherten Modus hoch gefahren.
Dann Malwarebytes Fullscan gemacht. Dabei wurde Live Security Platimun gefunden und (hoffentlich) entfernt.
Zumindest in der Systemsteuerung (Software) taucht er nicht mehr auf.

Dann habe ich OTL laufen lassen und zuletzt Avira.

Jetzt sieht es so aus, als ob der PC wieder normal reagiert.

Ich werde aber trotzdem die von dir vorgeschlagene Methode ausführen.

Grüße,

Peter

[UFdFan]

Hallo

Wenn Du mit Malwarebytes den PC entsperren konntest, ist leider lange noch nicht alles erledigt. Malwarebytes öffnet IMHO die NTUser.dat wieder.
Bitte nach einem vollen Virenscan mit einem aktuellen LiveSystem von KAV bitte nicht vergessen, den PC auf die "locked-.<4 zeichen>"-Dateien zu untersuchen.
Das können vom User verschlüsselte Office oder Datenbankdateien sein. Also nicht löschen.
Da noch keine offiziellen Tools bekannt sind, die aufdecken, was genau geschädigt wurde, ist hier eine Neuinstallation nach der Datensicherung zu raten.

Eine neue Variante von Scareware verschickt an Dein komplettes Adressbuch, (solltest Du eines haben) Mails von den betroffenen Benutzern mit Links zu verschiedener Scareware.
Das kann im Freundes- und Bekannten sowie auch im Geschäftskreis einen Haufen Ärger mit sich bringen, da diese von einer vertrauenswürdigen Person infizierte Links erhalten.

Also Vorsicht ist geboten.

[PeterP]

Hallo,

Im Terminal gib ein: "windowsunlocker" ohne die Anführungszeichen.
Dann sollte die Scareware entfernt werden und in der Konsole kannst Du die Resultate sehen.
90% aller Festplatten werden erkannt. Diese tragen die Bezeichnung SDA1-x, da die Bezeichnung
hier, das auf Linuxbasis aufgesetzte Kaspersky übernimmt.

Wenn ich "windowsunlocker" im Terminal eingeben, kommt "please select ... :
1 - unlock windows
2- save boot sector copies
0- exit"

Leider komme ich da nicht weiter: die Festplatte wird immer noch nicht erkannt.

Hast du noch einen Tip?

Vielen Dank,

Peter

[UFdFan]

Sehr gut. Passt doch alles.

Gib 1 ein und bestätige mit Enter.
Was passiert dann?

Gruß,