Finden, wie sich ein Virus immer wieder neu installiert?

320
Kurausukun

Ich wurde vor kurzem mit einer Menge Viren infiziert und konnte die meisten von ihnen entfernen, aber es gibt immer noch einen, den ich nicht loswerden kann. Hier sind die Details (auf dem Computer läuft Windows 10 x64):

-Die Wirkung des Virus ist eher winzig; Wenn ich mit der oberen Leiste in Google Chrome suche, werden meine Suchanfragen an Yahoo weitergeleitet, obwohl meine Einstellungen auf Google festgelegt sind.

-Der Name des Programms lautet msmnlbvsrv.exe. Es erscheint in meinem Windows / temp-Ordner. Dies ist der Ordner für temporäre Dateien, der von meinen Umgebungsvariablen angegeben wird.

- Das Exe selbst kann nicht aus Windows gelöscht werden, da einige Berechtigungen vorhanden sind, die ich nicht umgehen konnte. Grundsätzlich verweigert es mir den Zugriff, um ihn zu löschen, selbst wenn ich den Besitzer wechsle. Tatsächlich können Sie den Prozess auch nicht vom regulären Task-Manager abbrechen, da Ihnen erneut der Zugriff verweigert wird. Ich konnte es jedoch beenden, indem ich Process Explorer als Administrator verwendete.

Aber das eigentliche Problem ist folgendes: Ich habe Gparted Live gebootet, um es von dort zu löschen, um es zu entfernen, aber wenn ich meinen Computer neu starte, ist es wieder in meinem temporären Ordner. Dies bedeutet, dass eine andere Anwendung der eigentliche Täter ist und beim Booten ausgeführt wird und dieses Programm erstellt, das meine Suchanfragen umleitet. Wie kann ich herausfinden, was genau den Prozess erstellt und aus der Quelle entfernt hat? Weder Windows Defender noch Malwarebytes konnten die Quelle selbst loswerden, und ich möchte wirklich NICHT wirklich mein Betriebssystem neu installieren. Ich habe auch gesehen, dass Process Monitor hier und dort erwähnt wurde, aber er läuft auf meinem Computer nicht, egal was ich mache. Es öffnet sich kein Fenster, und wenn ich den Process Explorer anschaue, wird der Prozess in derselben Sekunde angezeigt und ausgeblendet.

-1

1 Antwort auf die Frage

0
DrMoishe Pippik

Ein paar Auswahlmöglichkeiten, der Einfachheit halber:

  • Löschen Sie das Laufwerk vollständig und stellen Sie die Wiederherstellung von Ihrem letzten als fehlerfrei bekannten Image her, nachdem Sie alle kürzlich gespeicherten Daten offline gespeichert und die Offlinedateien auf Malware überprüft haben .
  • Führen Sie ein Malware-Entfernungsprogramm von USB oder CD aus, z. B. Avira Rescue System, Panda Cloud Cleaner Rescue ISO oder Kaspersky Rescue Disk .
  • Durchsuchen Sie das gesamte Laufwerk nach dem String "msmnlbvsrv.exe", um herauszufinden, wo es neu erstellt wird, und ändern Sie den Dateinamen manuell, wenn er auftritt, um die Erweiterung zu ändern, z. B. "msmnlbvsrv.xxe". Dies muss auch von einem externen bootfähigen Gerät aus erfolgen und ist unbrauchbar, wenn der Dateiname verschlüsselt ist.
Ich verstehe deinen letzten Vorschlag nicht ganz; Wie würde ich das gesamte Laufwerk nach einer Zeichenfolge durchsuchen, und wie würde es mir sagen, was es erstellt? Kurausukun vor 6 Jahren 0
Das würde ein Sechskant-Bearbeitungstool erfordern und dessen Kenntnis einsetzen. Es gibt keinen Raum in diesem Forum, um dies zu erweitern, und ich empfehle es nicht ... nur als eine andere Möglichkeit. Übrigens, * am wichtigsten *, welche Antimalwaresuite verwenden Sie? Es gibt viele gute Möglichkeiten, und die meisten hätten eine Infektion von vornherein verhindert. DrMoishe Pippik vor 6 Jahren 0
Ich habe damals noch nichts verwendet, aber danach habe ich sowohl mit Windows Defender als auch mit Malwarebytes gescannt, wie ich bereits erwähnt habe. Ja, es ist meine Schuld, dass ich nicht gescannt habe. Ja, ich hatte einen Grund, warum ich es nicht hatte. Nein, das war kein guter Grund. Kurausukun vor 6 Jahren 0
Okay, ich habe gerade etwas gefunden, nicht sicher, ob es relevant ist. Ich habe den Wmic-Prozess get processid, parentprocessid, executablepath | find mit der Prozess-ID des Programms ausgeführt und sagt mir, dass der übergeordnete Prozess services.exe / svchost ist. Das hört sich an, als ob ich sehr tief scheiße bin. Bin ich Kurausukun vor 6 Jahren 0
Haben Sie von der infizierten Festplatte oder von einem sauberen bootfähigen Gerät gescannt? Einige Malware kann nicht entfernt werden, während sie auf dem infizierten Laufwerk ausgeführt wird. Vertrauen Sie auf die oben genannten AV-Rettungsdisketten. DrMoishe Pippik vor 6 Jahren 0
Ich habe von der infizierten Festplatte gescannt. Aber haben Sie oben meinen Kommentar gelesen / ist er relevant? Kurausukun vor 6 Jahren 0
Wenn Malware sich als Windows-Dienst eingebettet hat, müssen Sie wissen, welcher Dienst beendet und deaktiviert werden soll. Verwenden Sie wieder eine startfähige Festplatte oder ein USB-Gerät. DrMoishe Pippik vor 6 Jahren 0
In Ordnung, ich gebe einen von ihnen, aber ich bin gefährlich nahe daran, meine Festplatte zu formatieren und Windows neu zu installieren. Danke für Ihre Hilfe, egal was ich am Ende mache. Kurausukun vor 6 Jahren 0
Okay, Kaspersky hat nichts gefunden, also werde ich nur formatieren und neu installieren. Danke, dass Sie meine Dummheit in Kauf genommen haben. Dies kann geschlossen werden, wenn jemand möchte. Kurausukun vor 6 Jahren 0

Verwandte Probleme