Gruss an Kundige
auf einen PC habe ich festgestellt, dass der obige Wurm eingefallen war. Ein Zugriff auf die MS-Updateseite war nicht mehr möglich. Ich hatte dann, da kein Antivirusprogramm installiert war mit dem MS-Tool zur Entfernung schädlicher Software (von winfurure.de heruntergeladen) den Wurm vernichten lassen. Danach mussten noch Dienste neu gestartet werden laut Anleitung von MS. Danach lief wieder alles.
Jetzt kam die Meldung: kein Internetzugang mehr möglich. Falls es keine andere Ursache hat, muss ich vermuten, dass der Wurm doch noch tätig ist und wieder zuschlug.
Frage: kann ich auf ein solch ggf. infiziertes System z.b. das Virenprogram AVG installieren und dieses dann auf den Rechner loslassen, dass es die Schädlinge beseitigt oder ist das so nicht möglich?
Wenn nein, was tue ich jetzt am besten?
gruss T.
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Zwei Möglichkeiten.
Das ist die Erste:
Ich rate allerdings zu Methode 2:
Daten sichern - formatieren - neu installieren - Image erstellen.
Dabei rate ich dazu, das die Installation mit einem Datenträger erfolgen sollte, in welches das entsprechende (hast kein Betriebssystem genannt) SP, die nachfolgenden Patches und die aktuellen Runtimes eingebunden (slipgestreamt) sind.
Es gibt keinerlei Garantieen, das mit Hilfe zahlreich angebotener Entfernungs- Tools ein kompromittierter Rechner wieder sauber wird.
Jürgen
Ohne wenn und aber "Neuinstallation". Sollte aber selbstverständlich sein, oder ?
Wenn jetzt jeman von den selbsternannten Computerprofis kommt und beschreibt Di wie man den PC säubert indem man 3 Dateien löscht, kannst Du getrost ignorieren. Es sei denn der Computerprofi ist der Programmierer des Wurms selbst, denn nur er weiß, welche Dateien sich im System befinden und welche Dateien schon geändert worden sind.
Beachte bitte unbedingt, dass dieser Wurm über verschiedene Verbreitungsmöglichkeiten verfügt - er kann bei Schwachstellen im Heim-Netzwerk, aber auch bei verseuchten Wechseldatenträgern (USB-Sticks- Foto-Speicherkarten, externe Festplatten, MP3-Player, usw.) und verwundbaren Systemen angreifen, die, wie XP und Vista, ohne manuelles Patchen durch den Benutzer, über keinen Schutz vor Autorun-Würmern verfügen.
Heißt für Dich: Es reicht nicht aus, sich nur um den Wurm auf dem System zu kümmern - auch alle anderen Systeme im Haushalt sowie alle Wechseldatenträger müssen auf eine Autorun-Infektion hin überprüft werden, am besten mit Hilfe eines Live-Systems (z.B. Knoppix), auf die der Schädling nicht übergreifen kann.
Schenkst Du den beiden Verbreitungswegen (Netzwerk, Wechseldatenträger) keine Beachtung, so wird es wahrscheinlich, dass Du, selbst nach der notwendigen Systemneuinstallation, anschließend wieder mit den gleichen Schwierigkeiten zu kämpfen hast.
Da sich Foren- Neuling tina-2wk nicht meldet:
Vielleicht noch nicht wieder reingeschau?
Aber - möglicherweise will tina-2wk absolut nicht neu installieren, sucht nur Hinweise, wie sie die Schadsoftware unsichtbar machen kann. Gibts ja auch und nicht mal selten.
Dazu - sollte es so sein:
Nickles ist ein Forum, in dem hauptsächlich wirkliche und gestandene Fachleute fachliche Ratschläge geben..
Es gibt da eine Reihe anderer Foren, in denen sich massig "Virenbeseitigungsspezialisten" tummeln. Der letzte, mit dem ich mich da vor einiger Zeit auseinandersetzte, erwies sich als 13- jähriger Knabe.
Trat aber als "Schenie" auf und bezeichnete die entsprechenden Fachkommissionen verschiedener Unis als "Dummköpfe".
Seit der Zeit lasse ich es.
Hier, bei Nickles, wirst Du anderen, keine bequemen und sympathischen Hinweise bekommen - nur fachlich exakt Vertretbare.
Jürgen
Wenn mmk sich zu diesem Thema äußert, habe ich überhaupt kein Problem damit, ihn als "gestandenen Fachmann" wertzuschätzen.
Anders verhält es sich jedoch mit denjenigen, die selber nie so richtig in die Schädlings-Materie vorgedrungen sind, dennoch aber so auftreten, als wüssten sie, dass manuelle Beseitigungen nichts als Humbug sei.
Gruß
Shrek3
Full ACK.
Und warum gibst Du dann in diesem Thread Ratschläge?
Weil Du nicht lesen kannst!
Nur mal angenommen, ich könnte wirklich nicht lesen - musst Du "dafür" dann andere mit Tipps, die deren System- und Datensicherheit kurz- und mittelfristig gefährden, beglücken? Da fehlt jeglicher Kausalzusammenhang.
Die da lauten...?
Bist du es jetzt, der seine eigenen Postings nicht lesen kann?
Och gucke mal da, wie Pat & Patachon.
Wenn ihr beiden jetzt zugebt, dass ihr im 2. Semester an der Fernuni Hagen Informatik belegt und hier mal ein Forum aufmischen wollt, nehme ich euch das nicht einmal übel.
Ich sehe mich und meine Hinweise im Einklang mit der gängigen, offiziellen Meinung, die man hier ganz einfach nachlesen kann:
https://www.bsi-fuer-buerger.de/BSIFB/DE/MeinPC/BasisschutzComputer/basisschutzComputer_node.html
Insbesondere verweise ich Dich auf den Punkt 1. (Man muss lesen können)
Danach hast Du ja eine Adresse bei der Du Deine Mantras ablassen kannst.
Bleib sachlich und beantworte die Sachfragen. Trollpostings und private Seitenhiebe verfehlen in einem technisch orientierten Forum ihren Zweck.
Und was die "gängige, offizielle (welch Euphemismus) Meinung betrifft:
Am Ende kommst du mir noch mit der Theorie, dass die Erde gar nicht der Mittelpunkt des Universums ist! Lächerlich. Ketzern wie dir wünsche ich manchmal, dass sie vom Rand der Erdscheibe herunterfallen! [Felix von Leitner in dasr]
Willkommen im 21. Jahrhundert, in dem die offizielle Meinung keineswegs immer korrekt ist.
Ich hab`s mir doch gedacht, alles Scheiße selbst die offiziellste aller offiziellen Computersicherheitsseiten vom Bund ist keineswegs immer korrekt
Für wie blöd hältst Du eigentlich alle Anderen. Ich stelle mir das schmerzhaft vor.
Trollpostings Damit hast Du doch selber schon seit 2003 Erfahrung "IRON".
Das schöne Zitat, in diesem Zusammenhang, ist absoluter Schwachsinn.
Langsam nehmen Deine Schreiben groteske Züge an, aber ich bin sicher -wenn ich so alles lese- ein paar neue Anhänger hast Du sicher rekrutiert. http://250kb.de/u/110322/g/hfKTu4Dlf6PG.gif
...ist auch nur von Menschen gemacht und Menschen können sich nicht nur äußerst missverständlich oder gar schlecht ausdrücken (wie du unter Beweis stellst), sondern sich tatsächlich auch irren.
Für wie blöd hältst Du eigentlich alle Anderen...
Was hat das mit dem Thema Computersicherheit zu tun?
Das schöne Zitat, in diesem Zusammenhang, ist absoluter Schwachsinn.
Sagt einer, der es nicht versteht und es geflissentlich vermeidet, auch nur ein einziges Mal Sachfragen zu beantworten. DAS ist grotesk, aber auch DAS ist hier thematisch irrelevant. Also komm bitte mit Sachargumenten zu Sachfragen.
Hauptsache Du irrst nicht und drehst fleißig deine Glocke (Om mani padme hum).
Sehr richtig. Ich sehe das sehr gelassen.
Mir ist allerdings auch noch kein Fachmann begegnet, der aus der Ferne, nur gestützt auf die hier niedergeschriebenen Aussagen eines Laien, mit ebenfalls hier niedergeschriebenen Empfehlungen einen kompromittierten PC ferngereinigt hat.
Und nur darum dreht es sich hier - und das ganz konkret.
Das es ein wirklicher Fachmann schafft, einem vor ihm stehenden PC mit hoher Wahrscheinlichkeit zu reinigen, halte ich hingegen für möglich.
Wobei auch hier nicht das Wort "mit Sicherheit" steht, sondern nur "mit hoher Wahrscheinlichkeit".
Jürgen
Da stimme ich dir wiederum zu - zumal relativ unbedarfte User wohl kaum mehr tun, als sich auf das Ergebnis des Entfernungstools zu verlassen und keine Ahnung davon haben, wie man den Rechner danach einigermaßen sicher jenseits von Virenschutz und Firewall auf verdächtige Veränderungen überwachen kann.
Doch während ich das hier schreibe, fällt mir etwas ganz anderes ein...
Wenn ich Windows neu aufsetze, die Updates alle eingespielt und einen Virenschutz installiert habe, scanne ich mit diesem Virenschutz vorhandene weitere Partitionen der Festplatte, um das Risiko zu verringern, dass nicht von dort aus eine erneute Infektion ausgelöst wird.
Doch in all den Jahren hat ein solcher Scan nicht ein einziges Ergebnis gezeigt...
Und da die jeweiligen Kundenrechner in der nächsten Zeit ebenfalls allesamt "clean" blieben (soweit ich das ab dem Zeitpunkt der Rechnerübergabe aus der Ferne überhaupt beurteilen kann), kann ich auch zu 99,9% ausschließen, dass mir überhaupt mal eine infektionsfähige Datenpartition untergekommen ist.
Verstehen kann ich es nicht, da es doch nur ein Klacks für die Schädlingsprogrammierer sein müsste, Ableger ihres Schädlings auf eine benachbarte Datenpartition abzulegen.
Irgendwie passt das nicht richtig zusammen - machte ich meine Erfahrungen zur Grundlage, müsste ich zu dem Schluss kommen, dass Warnungen vor weiteren infizierten Datenträgern, Partitionen schon recht nahe an der Grenze zur Kategorie "überflüssig" stehen.
Können andere diese Beobachtung bestätigen?
Gruß
Shrek3
Ja. Ich kann das vollinhaltlich bestätigen. Und das ist einer der Gründe, weshalb ich wieder und wieder empfehle, die Daten (und auch die statischen Daten der Programme) vom System zu trennen und in eine logische Partition zu verlegen.
Auch ich habe schon eine ganze Reihe von korrumpierter PCs in den Händen gehalten.
In nicht einem einzigen Fall war die Datenpartition verseucht!
Ich scanne selbige vor der Neuinstallation grundsätzlich mit einem immer frisch gezogenen, eigens für diesen Zweck bereitgestellten CD von AviraAntivir Professional - diese beinhaltet die neuesten Virensignaturen.
Dem nicht genug, auch noch mit Spybot.
Das sich Schädlinge außerhalb des Systems aufhalten und von dort aus wirken, scheint mir eher ein theoretisch möglicher, aber kaum praktizierter Zustand zu sein.
Jürgen
Danke für dein Feedback.
Das wird Einfluss auf meine künftige Vorgehensweise haben, zumal ich (wenn ich beim Kunden vor Ort die zu sichernden Daten mit ihm durchgehe) auch dann kein Überschwappen der Schädlinge auf ein anderes Laufwerk feststellen konnte, wenn ich die Daten vom befallenen System aus kopierte oder verschob.
Zwar werde ich auch weiterhin nach einer Neuinstallation sicherheitshalber externe Datenträger/Partitionen scannen, aber weder mir noch Nicklesusern zumuten, so viel Aufhebens bei der Sicherung von Daten zu machen, wie z.B. diese von einer LIve-CD aus sichern, um bloß nicht in Kontakt mit dem Schädling zu treten.
Falls du, tine-w2k, hier noch mitliest - kopiere all deine Daten (die des Sticks wie auch diejenigen, die auf der C-Partition liegen) jetzt schon einfach nur alle auf einen einzigen Speicherort wie z.B. externer Festplatte oder in eine evtl. vorhandene Datenpartition.
Solange du diese Daten nach einer Neuinstallation nicht vor einem Virenscan anfasst, bist du auf der sicheren Seite.
Gruß
Shrek3
Dem muss ich leider insofern deutlich widersprechen, als dass diese Aussage unter keinen Umständen als Verallgemeinerung aufgefasst werden darf. So sind mir persönlich etliche Fälle bekannt, in denen sich insbesondere Autorun-Schädlinge auf alle Partitionen aller eingebauten und angeschlossenen Festplatten kopiert haben, sodass für sie sichergestellt war, dass, wann immer auf eine der Datenträger zugegriffen wurde, der Schädling erneut zur Ausführung gelangte.
Dazu gibt es auch etliche "schriftliche" Beispiele:
1.)
http://www.f-secure.com/v-descs/worm_vbs_autorun_b.shtml
The autorun.inf file causes the __.vbs file to be executed when an infected drive is accessed with a computer that has autorun enabled on the drive in question.
The script copies all four files to the root of local hard drives, network drives, and removable drives not labeled A:\ or B:\. The four files are also copied under %windir%\system32.
2.) http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Autorun-BP/detailed-analysis.aspx
W32/Autorun-BP copies itself to the root folder of every available drive with the name music.exe, together with an autorun.inf file. The autorun.inf file is also detected as W32/Autorun-BP.
3.) http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Autorun-EL/detailed-analysis.aspx
When run W32/Autorun-EL copies itself to /sys.vbs and also copies itself to all available drives to the file /sys.vbs and creates an autorun.inf file which will autorun sys.vbs.
4.) http://gsa.ca.com/virusinfo/virus.aspx?id=77675
Win32/SillyAutorun variants propagate by enumerating removable drives and/or physical drives, and copying the worm executable to those available drives. Most variants also drop the file "autorun.inf" in the removable drive with file attributes set to Hidden and Read-Only. This enables the worm to run the next time the drive is accessed.
5.) http://www.eset.eu/encyclopaedia/win32-autorun-delf-cb-virus-delf-ct-generic-dx-hllw-autoruner-1073?lng=en
Spreading
Win32/AutoRun.Delf.CB is a worm that spreads by copying itself into the root folders of available drives
Vergleichbares gilt bei Fileinfektoren und ausführbaren Dateien sowie Ransomware, die Verschlüsselungen von Dateien auch auf anderen Partitionen vornimmt.
6.) Ransomware, http://www.viruslist.com/de/weblog?weblogid=207319345
[...] Es ist fast so, als wenn man die Daten unwiderruflich von der Festplatte gelöscht hätte. [...]
a) http://www.securelist.com/en/blog/6165/Ransomware_GPCode_strikes_back
[...] At this point, the hard drives are being scanned for files to encrypt. [...]
b) http://www.f-secure.com/v-descs/gpcode.shtml
[...] Gpcode is a trojan that encrypts files with certain extensions on local and remote drives and then asks a user to contact its author to buy a decryption solution. [...]
[...] Activity
The trojan starts to scan local and remote drives for files with the following extensions: [...]
7. MBR-Wurm, http://www.eset.eu/press-computer-worldwide-targetted-by-MBR-Worm
[...] It is a type of threat that overwrites MBR (Master Boot Record) of all available drives with its own data, making the data stored on the user’s computer inaccessible. [...]
[...] The worm uses two ways to spread – either via embedding in legitimate websites, in the form of a self-unpacking ZIP file or as an IQ test program, or via Exchangeable media, such as USB devices. The fact that it relies on USB devices to propagate is responsible for its rapid dissemination, which is likely to increase even further. [...]
a) NTFS-Bootsektor-Rootkit, http://www.viruslist.com/de/weblog?weblogid=207319597
In letzter Zeit wird die Modifizierung der Festplattenbereiche, die für das Hochfahren des Systems verantwortlich sind, unter Cyberkriminellen immer beliebter. [...]
[...] # Sie schreibt den entsprechenden Treiber in die freien Sektoren am Anfang der Festplatte.
# Für die Infizierung wählt sie einen Abschnitt aus, der in der Sektorentabelle im MBR als Bootsektor vermerkt ist. Wichtig dabei ist, dass nur Sektoren mit dem Dateisystem NTFS infiziert werden.
# Sie schreibt einen Teil ihres Codes über den Bereich Extended NTFS IPL (Initial Program Loader), der für die Analyse der MFT (Master File Table), die Suche der Boot-Datei im Kernelverzeichnis des Sektors (ntldr — bis Vista, bootmgr — Vista+), das Lesen dieser Datei von der Festplatte und die Übergabe der Steuerung an diese Datei verantwortlich ist. Dabei wird der Originalinhalt von Extended NTFS IPL in verschlüsselter Form gespeichert und ans Ende des schädlichen Codes geschrieben. [...]
8.) Fileinfector, http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99
W32.Sality is an entry-point obscuring (EPO) polymorphic file infector. It will infect executable files on local, removable and remote shared drives. [...]
Letztlich sollten also alle Partitionen aufgelöst bzw der MBR sowie der Bereich des NTFS-Bootsektors gesondert überschrieben werden, um dort persistierende Malware mit Sicherheit zu eliminieren.
Wechseldatenträger bzw. andere Festplatten dürfen nicht an das infizierte System angeschlossen werden, um zu verhindern, dass ...
a) darauf befindliche Dateien infiziert (ausführbare Dateien durch Fileinfektoren),
b) durch Datenspione ausgelesen,
c) von Ransomware verschlüsselt, sowie
d) Partitionen bzw. Wechseldatenträger mit Autorun-Malware beschrieben oder
e) Startbereiche angeschlossener Festplatten infiziert werden.
Da ich weiß, dass einige User vereinzelt auch ihre Bootplatte ihres Zweitrechners aus- und in den infizierten einbauen, um die zu sichernden Daten vom infizierten System auf die Platte des Zweitsystems zu schieben, habe ich zusätzlich Beispiel 7) a) angeführt.
Das sich Schädlinge außerhalb des Systems aufhalten und von dort aus wirken, scheint mir eher ein theoretisch möglicher, aber kaum praktizierter Zustand zu sein.
Sie "wirken" von dort praktisch durchaus insofern, als dass sie später für Reinfektionen (neu aufgesetzter) oder Neuinfektionen von zuvor noch sauberen, anderen Systemen sorgen.
Ich stelle mir mal folgendes, in Privathaushalten übliches Ausgangsszenario vor:
Windows auf C (infiziert durch einen der von dir aufgelisteten Schädlinge, die auf andere Datenträger und Partitionen überspringen), evtl. noch eine weitere Partition auf der selben Festplatte.
Hinzu kommt eine externe Festplatte, die meistens am Rechner angeschlossen ist und auch bis dem Zeitpunkt, in der die Infektion bemerkt wurde, mit dem Rechner verbunden war.
Weitere Datenträger (ausgenommen vielleicht ein bisher ungenutzter USB-Stick, der allerdings nicht alle Daten aufnehmen kann) sind nicht Teil des Haushalts.
Da alle Datenträger, bzw. Partitionen betroffen sind, werden die Daten auf die ohnehin schon infizierte externe Festplatte verlagert.
Windows wird unter Neupartitionierung der internen HDD neu eingerichtet, mit Updates auf den aktuellsten Stand gebracht und ein Virenschutz installiert.
Nun kommt der Moment, in dem es darum geht, die externe Festplatte mit ihren Daten ins Spiel zu bringen...
Wie gehst du da vor?
Gruß
Shrek3
Hinzu kommt eine externe Festplatte, die meistens am Rechner angeschlossen ist und auch bis dem Zeitpunkt, in der die Infektion bemerkt wurde, mit dem Rechner verbunden war.
Somit sind bereits zu diesem Zeitpunkt die Daten auf der externen Festplatte als nicht mehr vertrauenswürdig anzusehen. Das betrifft in Bezug auf konkrete Maßnahmen insbesondere ausführbare Dateien, die in der Folge zu verwerfen wären.
Gleichzeitig ist neben dem "insbesondere" auch das Augenmerk auf vermeintliche Ordner zu richten, die allerdings als Malware lediglich die bisherigen Ordnernamen tragen und nur wie Ordner aussehen:
- http://www.precisesecurity.com/qa/?p=1226
Oder ursprüngliche Fotos werden durch Malware ersetzt ...,
- https://community.mcafee.com/thread/31828?tstart=0
- http://www.johns-web-site.com/index.php?month=2010-12&id=2149320
... behalten jedoch Dateinamen und jpg-Icon bei.
Weitere Datenträger (ausgenommen vielleicht ein bisher ungenutzter USB-Stick, der allerdings nicht alle Daten aufnehmen kann) sind nicht Teil des Haushalts.
Insofern sich keine vertrauenswürdigen Systeme im Haushalt befinden, wird mindestens ein solches "importiert" werden müssen. Das kann durch den Kauf eines Computermagazins geschehen, dem eine bootfähige Heft-CD beiliegt, aber auch durch Freunde, Kollegen, Verwandte und Bekannte, die saubere Medien mit bootfähigen Systemen er- und bereitstellen können.
Da alle Datenträger, bzw. Partitionen betroffen sind, werden die Daten auf die ohnehin schon infizierte externe Festplatte verlagert.
OK. Somit bilden System und alle derzeit verfügbaren Datenträger eine "Einheit".Doch bereits das Verlagern von Dateien auf die externe Platte vom infizierten System ist problematisch:
- Sieht der Nutzer überhaupt (noch) alle wichtigen Dateien?
- Kann er als Laie die Hürden aktueller Scareware überwinden, die den Computer als "gesperrt" anzeigt und/oder Dokumentenordner ausblendet?
- Kopiert er nicht womöglich die falschen Dateien, also Schaddateien, die lediglich den gleichen Namen tragen wie die ursprünglichen Dokumente bzw. Ordner (siehe oben)?
- Verlaufen die Kopiervorgänge vom infizierten System aus fehlerfrei?
Bei wirklich erhaltenswerten Dateien kann diese Unsicherheit in eine Art Glücksspiel bei so einer nachträglichen Datensicherung münden.
Windows wird unter Neupartitionierung der internen HDD neu eingerichtet, mit Updates auf den aktuellsten Stand gebracht und ein Virenschutz installiert.
Eine Frage davor wäre noch: Wie sieht es mit dem Router aus? Klar, diese Malware ist nicht so häufig vertreten, dennoch muss man auch auf sowas achten. Sonst sind die Downloads, die über alle am Router betriebenen Geräte zunächst als nicht vertrauenswürdig einzustufen, und dürften nicht zur Installation gelangen.
Für einen Laien ist so eine Prüfung des Routers freilich schwierig - daher um so wichtiger, dass von ihm vorher die noch vergleichsweise(!) einfachen Dinge, wie das Ändern von Standardpasswörtern, umgesetzt werden.
Nun kommt der Moment, in dem es darum geht, die externe Festplatte mit ihren Daten ins Spiel zu bringen...
Wie gehst du da vor?
Ich beantworte diese Frage zunächst isoliert, bezogen auf Deine vorgegebene Situation, und versetze mich dabei in die Position des Laien, beschreibend, wie dieser mindestens vorzugehen hätte, wenngleich dies nicht, wie ich später noch weiter begründen werde, meine präferierte Empfehlung zum generellen Vorgehen in solchen Situationen darstellt.
A.) 1.) Das System wurde frisch aufgesetzt (XP von vornherein mind. mit SP3). Zunächst erfolgte die Treiberinstallation von der Original-Hersteller-CD (Chipsatztreiber, Grafik, etc.), ein eingeschränktes Benutzerkonto ist eingerichtet, das Adminkonto mit sicherem Passwort versehen.
2.) Im Rahmen der ersten Internetverbindung erfolgte die Aktivierung von Windows, gleich darauf der Aufruf des Windowsupdates mit Installation aller wichtigen Service-Packs und Updates, für XP und Vista auch der optionalen Updates (ausgenommen dort angebotene Treiber). Begründung: Deaktivierung von Autorun ist bei dieser Konstellation zwingend erforderlich, die entsprechenden Patches für XP und Vista werden allerdings nur über die optionalen Aktualisierungen offeriert.
3.) Sowohl im Admin- als auch im Benutzerkonto ist sodann in den Ordneroptionen folgendes so umzustellen. dass alles angezeigt wird:
- Bekannte Dateinamenerweiterungen
- Versteckte Dateien und Ordner
- Versteckte/geschützte Systemdateien-/Ordner
So wird sichergestellt, dass einem die wesentlichen Informationen zu den nicht vertrauenswürdigen Dateien und Ordnern auf der externen, nicht vertrauenswürdigen Platte, nicht vorenthalten werden.
Zusatz: Das Öffnen von Dateien sollte auf "Doppelklick" belassen werden, um ein versehentliches Ausführen einer Malwaredatei nicht zu erleichtern.
4.) Im Benutzerkonto kann die externe Platte angeschlossen und gesichtet werden. Sollten Dateien, z.B. Fotos, die ursprünglich auf der externen Platte gespeichert waren, nicht aufgefunden werden können, so kann versucht werden, diese sofort und vor jeglichen Schreibzugriffen mit Hilfe von Spezialprogrammen (Recuva usw.) zu rekonstruieren.
5.) Danach sind alle ausführbaren Dateien zu löschen, und auch sofort aus dem Papierkorb zu entfernen.
Deine Vorgabe lässt aber noch eine andere Option offen, die ich an zweiter Stelle favorisieren würde: Den Spezialeinsatz des sauberen USB-Sticks. Und zwar wie folgt:
B.) 1.) Siehe Vorgehen A.) 1.) bis 3.)
2.) Zum Beispiel Unetbootin laden und installieren, den USB-Stick anschließen, mittels Unetbootin eine einfach zu bedienende Linux-Live-Distribution laden (z.B. Mint, Ubuntu oder Parted Magic, letzteres als schlanke Option für User mit Schmalband-Internet auf dem Lande) und bootfähig auf den Stick bringen lassen.
3.) Anschließend das System vom Stick booten, wenn fertig, die externe Platte anschließen und Sichtung sowie Sortierung und Löschen von Dateien darüber vornehmen. Die Gefahr eines versehentlichen Ausführens von Windows-Malware entfällt dabei. Ich persönlich würde allerdings auch im Live-System, und auch, wenn es ein Linux-OS ist, zuvor die dortige Autoplay-Funktion abschalten.
(Ich erwähne dies explizit, um auch an dieser Stelle Mitlesern noch einmal zu verdeutlichen, dass im wesentlichen der Nutzer selbst durch entsprechende Konfigurationen betriebssystemunabhängig gefordert ist.)
Sodann ist eine Kopie der nicht gelöschten Dateien in einen Ordner auf der Festplatte des frisch aufgesetzten Systems möglich, denn wichtige Daten müssen ja mehrfach vorhanden sein. Allerdings ist diese nachträgliche Sicherung immer einem vernünftigen Backupkonzept im laufenden Betrieb hintan zu stellen, nicht zuletzt deswegen, weil etliche Schädlinge Nutzerdaten verschlüsseln bzw. löschen, oder durch Fehler als Nebeneffekt unbrauchbar machen. Spätestens ist's nix mehr mit nachträglicher Sicherung.
Nun abschließend mein favorisierter Weg, den ich z.B. so umsetzen würde, wenn ich jeweils vor Ort wäre:
C.) 1.) Erstellen eines Live-Systems von einem sauberen System aus, wahlweise auf einem USB-Stick, einer bootfähigen externen Festplatte oder einer CD/DVD.
2.) Diese(s) booten am infizierten Rechner.
3.) Sichten aller Dateien, sowohl auf der internen als auch der externen Platte. Vorteile dabei unter anderem:
- Alle Dateiendungen sind ohne Weiteres ersichtlich, alle Informationen zu Dateitypen, Dateigröße, MIME Type, etc. sind vertrauenswürdig.
- Kopiervorgänge laufen von Malware unbeeinflusst ab.
- Es ist eine nachträgliche Integritätskontrolle der kopierten Dateien möglich.
- Autorun-Infektionen werden zuverlässig unterbunden
4.) Kopierendes Sichern nicht ausführbarer Dateien von der internen auf die externe Platte, Löschen ausführbarer Dateien
5.) Überschreiben des MBR / PBS vom Live-System aus mit Nullen/Zufallszahlen.
6.) Tätigen von Downloads für die folgende Windows-Neuinstallation via Live-System (z.B. Service-Packs, Browser, Treiber), und speichern derselben auf der externen Platte in einem separaten Ordner, oder auf einer bereits über das Live-System eingerichteten Nicht-Systempartition der internen Platte.
6.) Neuinstallation des Windows-Systems.
Nachdem ein wenig Ruhe in diesem Thread eingekehrt ist, will ich es mal "wagen", dir zu antworten.
Zunächst danke für deine mehr als ausführlichen Darlegungen.
Es ist doch ein qualitativer Unterschied, Belege für bestimmte Infektionsfolgen präsentiert zu bekommen (ich denke da z.B. an umgewandelte Bilderordner).
Die Frage nach der Häufigkeit exotisch anmutender Spezialfälle stellt sich mir natürlich trotzdem (z.B. deine Erwähnung befallener Router) und als Dienstleister muss ich auch immer Aufwand und damit verbundene Kosten für den Kunden im Auge behalten.
Damit will ich sagen:
Wenn das Risiko einer Re-Infektion trotz erheblicheren Aufwand eher nur im Promillebereich verringert werden kann, scheidet dieser zusätzliche Aufwand aus. Stattdessen bin ich eher dazu bereit, ohne weiteres Entgelt meine Arbeit neu zu beginnen, sollte der exotische Schadensfall dennoch mal eintreten.
Stärker berücksichtigen werde ich in meinen Maßnahmen (entgegen meiner Aussage vier Postings höher) allerdings die Möglichkeit, es mit einem auf andere Laufwerke überspringenden Schädling zu tun haben zu können, obwohl ich schon immer die optionalen Updates bei einer Neuinstallation mit installierte.
Per Live-System (klappt allerdings leider nicht mit jeder Hardware) oder mit eingeschränkten Benutzerrechten auf die zuvor ausgelagerten Daten zugreifen - das hört sich gut an und wird konsequent umgesetzt.
Alles Maßnahmen, die zudem von jedem umgesetzt werden können, der sich eine Windows-Neuinstallation zutraut. ;-)
Nochmals danke.
Gruß
Shrek3
Wenn Du das alle glaubst, was die beiden Spezi (mmk und IRON67) hier ablassen, kannst du deinen Rechner nur noch als Sondermüll entsorgen.
Ich finde, das da nichts zu "glauben" ist.
Denn es wurde recht fundiert dargelegt. Jedenfalls soweit ich das einschätzen kann.
Wenn man vor Gefahren warnt und diese Gefahren beschreibt, bedeutet das nicht, das man alle PCs sogleich verschrotten soll - das bedeutet meiner Meinung nach, das man sich damit beschäftigen muß. Denn eine erkannte Gefahr hat bereits ihren Schrecken weitestgehend verloren.
Eine beliebige Gefahr allerdings zu verniedlichen oder gar abzustreiten, macht da keinen Sinn.
Jürgen
Die du nicht beseitigen kannst, weil alles verseucht ist, b.z.W. sofort beim Anschluss verseucht wird.
Du musst auch alles lesen, was die schreiben.
Davon habe ich tatsächlich nirgendwo etwas gelesen.
Jürgen
Wie gesagt, man muss auch alles lesen (besonders den ganzen Sermon den er @shrek3, auf dessen Frage, geschrieben hat).
Und die Jungs vergessen in ihrer Paranoia ganz, das die Systeme schon von Hause aus verseucht sein können.
Da traue ich den Amerikanern alles zu. ;-)
Du meinst also, es gibt weder Viren, noch Trojaner und auch keine Würmer. Und wenn sie in seltenen Fällen mal auftreten sollten, ist es ein Klacks, diese wieder zu entfernen. Lohnt nicht, darüber zu reden?
Tut mir aufrichtig Leid. Aber da kann ich Dir nicht folgen.
Jürgen
Braucht dir nicht leid zu tun. Wirklich nicht. :D
"Wie gesagt" - genau das ist in diesem Zusammenhang das Problem: Du "sagst" vieles immer "wieder", jedoch mehrfache Aufforderungen, dies endlich stichhaltig zu begründen, laufen ins Leere. Im wahrsten Sinne des Wortes.
Und die Jungs vergessen in ihrer Paranoia ganz, das die Systeme schon von Hause aus verseucht sein können.
Da traue ich den Amerikanern alles zu. ;-)
Wenn Du der Ansicht bist, mit einem von vornherein nicht vertrauenswürdigen System zu arbeiten, weil Du dem Hersteller nicht vertraust, dann verwende es nicht.
1.) -ablassen +darlegen
2.) Es geht nicht um "Glauben", sondern um "nachvollziehen", um "selber denken".
kannst du deinen Rechner nur noch als Sondermüll entsorgen.
Abermals falsch. Das hatte ich aber bereits ausführlich dargelegt. Wenn Du sachlich bleibst, ist die Formulierung "Sondermüll" absolut nicht haltbar, zumal am Ende wieder ein vertrauenswürdiges, voll einsatzfähiges System auf dem Tisch steht. Entsprechende Gegenargumente bist Du in fachlicher Hinsicht stets schuldig geblieben.
Es ist natürlich einfach, dies so umzusetzen, sich auf diese Weise aus der Affäre zu ziehen und gleichzeitig fachliche Ausführungen anderer in die "Wenn-du-das-alles-glaubst"-Schublade zu stecken, aber es ist eben nicht nur einfach, sondern mindestens ebenso durchsichtig.
Daher: Bitte bemühe Dich um etwas mehr sachliches Niveau. Danke.
Du willst sachliches Niveau?
Mit dem was Du @shrek3 auf dessen Frage geantwortet hast, kannst du sicher auf der Uni eine tolle theoretische Stunde abhalten. Aber wir sind nicht auf der Uni, sondern in der Realität.
Und in der Realität nehmen Deine Forderungen schon paranoide Züge an.
Nach der Lektüre dieses Aufsatzes, der Titel könnte lauten "Alles ist verseucht", komme ich zu dem Schluss, eine Wiederbelebung des verseuchten PCs ist selbst für einen Prof. Dr. Inf. keine ganz einfache Aufgabe.
Der Kauf einer neuen Festplatte kommt sicher billiger.
Man muss sich doch selbst begnadet vorkommen (auch in Rhetorik), wenn man in so einem Forum -wo einfache PC-User Fragen stellen- so mit seinem vermeintlichen profunden Wissen glänzen kann.
Sollte ich zu dem Schluss kommen, Wissenslücken schließen zu müssen, werde ich mich vertrauensvoll an diese Adresse wenden:
https://www.bsi.bund.de/DE/Themen/InternetSicherheit/internetsicherheit_node.html
Welche Forderungen mmk's konkret sind denn paranoid und warum? Beispiele bitte.
...komme ich zu dem Schluss, eine Wiederbelebung des verseuchten PCs ist selbst für einen Prof. Dr. Inf. keine ganz einfache Aufgabe.
Mal abgesehen davon, dass deine Schlussfolgerungen nicht zwangsläufig korrekt sein müssen, nur weil es deine sind, räumst du ja selbst ein, dass die Aufgabe zwar nicht einfach, aber keineswegs unlösbar ist. Man muss sich halt reinknien.
Man muss sich doch selbst begnadet vorkommen...so mit seinem vermeintlichen profunden Wissen glänzen kann.
Was die Befindlichkeiten der Diskutierenden betrifft, darfst du ja gerne Vermutungen anstellen, aber was hat das mit dem Thema zu tun? Nichts. Du trollst.
Das sollte doch bereits Dein eigener Anspruch an Dich selbst sein. Und abgesehen davon, eine Selbstverständlichkeit gegenüber dem Fragesteller. Ohne dass Dich ein Außenstehender erst daran erinnern muss.
Mit dem was Du @shrek3 auf dessen Frage geantwortet hast, kannst du sicher auf der Uni eine tolle theoretische Stunde abhalten.
Die Änderungen der Ordneroptionen etc. im Rahmen einer notwendigen Systemgrundkonfiguration stellen nicht gerade Uni-Niveau dar, dafür muss es schon einiges mehr sein.
Aber wir sind nicht auf der Uni, sondern in der Realität.
Eben. Und in der Realität werden oft, wie hier und im anderen Thread zur Virenscanner-Diskussion, von Dir wesentliche Fakten zu aktueller Malware unberücksichtigt gelassen und fehlerhafte Empfehlungen ausgesprochen.
Daraus resultiert, dass entsprechende Herleitungen und Begründungen notwendig werden, diese Fehler zu belegen. Möchte man dies fundiert umsetzen, kann der entsprechende Text auch mal etwas länger ausfallen, das liegt in der Natur der Sache.
Und in der Realität nehmen Deine Forderungen schon paranoide Züge an.
Ich habe an den User "shrek3" keine Forderungen gestellt, sondern lediglich im Rahmen seiner Fragestellung sinnvolle Vorgehensweisen aufgezeigt. Im Übrigen machst Du es Dir erneut zu einfach, indem Du a) einerseits selbst wesentliche Wirkungen aktueller Malware unberücksichtigt lässt, und dieses eigene Versäumnis dann b) als Klassifizierung "paranoid" auf andere projizierst.
Nach der Lektüre dieses Aufsatzes, der Titel könnte lauten "Alles ist verseucht", komme ich zu dem Schluss, eine Wiederbelebung des verseuchten PCs ist selbst für einen Prof. Dr. Inf. keine ganz einfache Aufgabe.
Sowas haben durchaus schon blutige Laien selbst umgesetzt, dazu braucht es keinen Professor.Wenn es allerdings für Dich zu schwierig erscheint, ist es doch völlig in Ordnung. Die Tipps sind ja nicht für Dich gedacht, sondern für Betroffene mit etwas Lernbereitschaft.
Der Kauf einer neuen Festplatte kommt sicher billiger.
Die Grundkonfiguration des Betriebssystems, selbst nach Anleitung durchgeführt, ist kostenfrei. Eine entsprechende Datensicherung oder vorausgegangene Neuinstallation ebenfalls. Und wenn man es nicht selbst kann oder möchte, gibt es doch genügend erfahrene PC-User, die ihren Freunden, Verwandten, Bekannten und Kollegen unter die Arme greifen können - so sie denn nicht zu sehr mit Schweinen, Gebüschen und anderem Themenfremdem beschäftigt sind, und darüber hinaus fachlich notwendige Maßnahmen vernachlässigen.
Man muss sich doch selbst begnadet vorkommen (auch in Rhetorik), wenn man in so einem Forum -wo einfache PC-User Fragen stellen- so mit seinem vermeintlichen profunden Wissen glänzen kann.
1.) Du stellst erneut Ausführungen in einem Nebensatz beiläufig implizit als inhaltlich nicht korrekt hin, bist aber nach wie vor nicht in der Lage, dies durch auch nur eine fundierte Argumentation herzuleiten.
2.) Du lenkst wiederholt mit Abschweifungen vom eigentlichen Thema ab, um damit Deine fachlichen Defizite zu kaschieren. Auch das ist und bleibt durchsichtig.
3.) Das Schreiben von Beiträgen, deren Inhalt sich damit beschäftigt, "gefährliche" Tipps anderer zu widerlegen, die für die Fragesteller zu nachhaltig problembehafteten Systemen führen können, ist "aufwändige Arbeit" und somit alles andere als Glanz, da dieser, selbst falls vorhanden, im Rauch der gefährlichen Nebelkerzen, wie Du sie hier teils absetzt, gar nicht sichtbar wäre.
Sollte ich zu dem Schluss kommen, Wissenslücken schließen zu müssen, werde ich mich vertrauensvoll an diese Adresse wenden:
https://www.bsi.bund.de/DE/The ... _node.html
Ja, mach das bitte unbedingt. Notwendig ist es:
http://www.buerger-cert.de/extraausgabe_archiv.aspx?param=Wmr75oC1mx3QJWL8cMWPjju9q7Ko4tykY%2BH%2FrrosI50%253d
"In beiden Fällen jedoch gilt: Es kann nicht ausgeschlossen werden, dass bei der Infektion zeitgleich auch noch weitere Schadsoftware auf dem PC installiert wurde. Daher empfiehlt das BSI, infizierte Systeme grundsätzlich neu aufzusetzen oder eine Komplettsicherung (Backup) des PCs von einem Zeitpunkt vor der Infektion zurück zu spielen."
Eine Seite reicht dazu allerdings nicht aus. Denn bedenke, dass Du auch dort vom Selbst-Denken nicht befreit wirst, weil es auch hier, teils abhängig von gewählten Kooperationen, wechselnde Standpunkte gibt, Stichwort "botfrei.de".
Ich warte immer noch darauf, dass DU uns damit erhellst, wie DU Malware zuverlässig entfernst, nachdem sie blöderweise schon auf dem Rechner aktiv geworden ist. Ich bitte um nachvollziehbare, anfängertaugliche Schritt-für-Schritt-Anleitungen. Gerne auch bebildert.
Über andere meckern, weil sie deinen Ansichten widersprechen, ist kindisch. Anderswo schriebst du:
Ich kann Dich beruhigen, ich stehe da drüber und kann solche Leute auch mit Nichtbeachtung belegen.
Ich habe bis heute noch jeden, gnadenlos, meine Meinung gesagt und das wird sich auch nicht mehr ändern.
Auch wenn das nicht immer förderlich für mich war, habe ich es überlebt.
Wenn jemand eine andere Meinung hat ist das für mich OK, nur sollte er es unterlassen mich auf seine Linie zu bringen zu wollen.
Sieht anders aus. Und dabei will NIEMAND dich auf seine "Linie" bringen - nur andere vor Schaden bewahren, den DU anrichtest.
Dazu braucht es allerdings streng einzugrenzende Voraussetzungen. So wäre es beinahe "überlebenswichtig" (im sicherheitstechnischen Sinne), dass Prüfsummen vorliegen, die einen noch sauberen Systemzustand dokumentieren.
Bei Privatnutzern liegt sowas in der Regel nicht vor, weil eben im Vorfeld einer Infektion daran nie gedacht wurde. Insofern hat auch ein Fachmann, der direkt vor Ort Einblick nehmen kann, deutliche Schwierigkeiten der Führung eines Nachweises. Abgesehen davon, würde so eine "forensische" Arbeit mehr kosten als eine saubere Systemneuinstallation.
Diese ist zudem auch aus anderen Gründen indiziert, denn erfahrungsgemäß sind viele infizierte Systeme insgesamt nicht gut "gepflegt", sie wurden mit Tuningprogrammen und Styles (-> gepatchte Systemdateien) malträtiert, Anwendungen sind total veraltet, das System bootet und reagiert nur langsam bzw. teils fehlerhaft, usw.
Da lohnt es oft alleine schon deswegen nicht, einzeln die Würmer aus dem Müllhaufen zu sezieren.
Den Fachmann will ich sehen, bei dem dieses der Fall ist!
Abgesehen davon, würde so eine "forensische" Arbeit mehr kosten als eine saubere Systemneuinstallation
Der Zeitaufwand ist das Eine.
Die Beschaffung der Installationskeys und Aktivierungen der installierten Programme ist das Andere.
Mindestens dreiviertel der mir bekannten Neuinstallations- Verweigerer hat ganz genau diese Gründe - lebt lieber mit einem korrumpierten PC. Die Hauptsache, er sieht es nicht.
Noch eines:
So sind mir persönlich etliche Fälle bekannt, in denen sich insbesondere Autorun-Schädlinge auf alle Partitionen aller eingebauten und angeschlossenen Festplatten kopiert haben, sodass für sie sichergestellt war, dass, wann immer auf eine der Datenträger zugegriffen wurde, der Schädling erneut zur Ausführung gelangte
Danke für diese Ausführungen. Da werde ich in Zukunft wesentlich sorgfältiger prüfen müssen. Welche -für den Laien nachvollziehbaren- Prüfmethoden würdest Du empfehlen?
Mir genügte es bisher, wenn die Prüfung mit der frisch gezogenen und gebrannten CD von Avira nichts vermeldete.
Und, das vergaß ich zu sagen, wenn die Prüfung des Traffic keinerlei unerlaubte Korrespondenz mehr anzeigt.
(Ich benutze dazu den Traffic- Monitor von Mirco Böer, den ich temporär auf den neu installierten PCs installiere)
Denn nur in seltenen Fällen kann man auch die vorhandenen Daten (Bilder, Dokumente usw) löschen!
Aber Deine Ausführungen überzeugen mich davon, auch in der Zukunft gegen die "Viren- und Trojanerbeseitiger" zu argumentieren.
Die Grundlage dafür legte vor langer Zeit ein (hier geschaßter) User Namens GarfTermy, der mir vor vielen Jahren diese Problematik überzeugend so erklärte, das ich es halbwegs verstand.
Jürgen
Was neben den richtigen Ratschlägen der Kollegen unbedingt erforderlich ist, dass nach der Neuinstallation des OS ein vernünftiger Virenschutz installiert werden muss.
Und zwar noch bevor du ins Netz gehst! Danach ist die Pflege das Systems angesagt, soll heißen alle Updates des OS und den Virenschutz aktuell halten.
Das ist jetzt alles viel Arbeit, muss aber sein und dann ist Ruhe in der Kiste...;-)
Gruß
luttyy
danke Leute für die vielen Hinweise, jedoch fragt man sich: ist diese Biest so zudringlich, dass nur Neuinstallation hilft. Dann geht die ganze Arbeit von vorn los.
Es ist ein XP home mit eine DSL Versorgung bei t-online. Sonst ist kein Netz weiter vorhanden.
Ich hatte immer gedacht ein Virensystem kann den Schädling aufspüren und entfernen. Statt dessen heisst es: tabula rasa. Natürlich ist das die sichere Methode, aber leider auch die schmerzlichste nachdem soviel installiert wurde.
Also, wenn ich richtig verstanden habe: nachträgliches Installieren von z.b. AVG und scan hat keinen Sinn?
Was mache ich mit den anderen Laufwerken auf denen sich z.b. viele Bilder befinden? Es sind zwei Platten mit je zwei LWs vorhanden. Kann sich der Wurm auch auf den anderen LWs sprungbereit verborgen halten und dann das Frischinstallierte C: wieder befallen?
Mit den USB-Wechseldatenträgern ist mir das schon klar. Die müssen ausserhalb untersucht werden. Aber auch da hatte ich einen Stift, der den Config-A hatte. Blieb nur Daten auslagern und formatieren. Das Sophos Programm konnte ihn nicht entfernen. Wofür hat man die Programme eigentlich? Nur das sie mal Alarm schlagen, wenn was reinkommt? Das wäre ein bisschen wenig. Ich hatte eigentlich die Säuberung erwartet.
Na ja, dann muss ich wohl in den sauren Apfel beissen
Gruss T.
habe noch vergessen zu fragen: angenommen man brennt Daten von dem infizierten System auf DVDs, um die Wechseldatenträger leerzubekommen. Kann sich dabei der Schädling auch beim Brennen mit auf die Scheibe bewegen? Und dann ggf beim Rückladen der Daten nach Neuinstallation wieder auf die Kiste kommen? Kommt mir obskur vor aber besser man fragt mal die Kundigen, denn diesmal muss es klappen und ein "ruhiger" Betrieb erreicht werden.
gruss T.
Brennvorgänge von infizierten Systemen sind kritisch zu bewerten. Gründe:
1.) Man übersieht auf dem infizierten und von Schädlingen bereits manipulierten System, dass man an Stelle von Fotos (Endung *.jpg) in Wirklichkeit Malware sichert (Endung *.jpg.exe), weil die letzte, die entscheidende Endung "exe", ausgeblendet wird.
2.) Es ist aufgrund der Infektion nicht von stabilen Brennvorgängen auszugehen. Wenn einem die Daten wichtig sind, sollten sie von einem vertrauenswürdigen System aus gesichert werden.
Hi,
Du brauchst unbedingt eine aktuelle Live-CD z. B.von Avira, um dein System von der CD zu starten und deine Daten zu scannen, BEVOR Du sie auf einen anderen, neuformatierten, Datenträger kopierst.
Und auch nicht mit dem kompromittierten System kopieren,
ansonsten kopierst Du den Wurm evtl. mit und das ist dann für die Tonne!
Aus der restlichen Diskussion (to be, or not to be) halte ich mich raus. ;-)
Obwohl, ein Schwein schlachtet man ja auch nicht, nur weil es eine Zecke im Pelz hat. ;-)
Hm.
Ein Trojaner macht noch keinen Zombi, kein Bot, meinst du?
Ein Schwein mit einer Zecke im Pelz ist immer noch ein Schwein.
Ein PC mit einem Trojaner (da gibts schon gaanz, gaanz kleine!) kann aber schon ein Zombi sein.
Solche Fragen, wie diese hier, stellen zu 100% Laien. Laien, die es sehr gerne hätten, wenn ihre Kompromittierung auf einfachste Weise behoben werden könnte.
Solange man diesem Laien keine exakten, nachvollziehbaren Merkmale liefert, nach denen sie zwischen "harmloser" und "gefährlicher" Kompromittierung unterscheiden können, halte ich die häßliche, unbequeme, aufwändige Empfehlung "Formatieren!" für die verantwortungsvollste Empfehlung.
Jürgen
Wenn schon Vergleiche aus der Tierhaltung, dann aber auch vollständig.
Massenschlachtungen auf zig Bauernhöfen, weil irgendwo in der Region ein Schweinevirus (wie schön - auch hier ist ein Virus im Spiel (-: ) ausgebrochen ist...
Gruß
Shrek3
Och Mann, immer muss der arme Hinkefuß herhalten.
Aber Virus und Zecke ist doch, in meinen Augen, ein kleiner Unterschied.
Während Viren relativ planlos zu Werke gehen, haben Trojaner (Zecke) eine relativ klare Aufgabenstellung und sind von daher besser zu bekämpfen.
Allerdings wollte ich in diesen Religionskrieg nicht weiter eingreifen.
Denn auch das neu Aufsetzen, und insbesondere das zurückspielen von Images ist nicht so sicher wie viele hier glauben machen wollen.
(Nach Diktat verreist)
Vielleicht liest du das, wenn du von Deiner Reise zurück kommst:
auch das neu Aufsetzen, und insbesondere das zurückspielen von Images ist nicht so sicher wie viele hier glauben machen wollen
Das ein Schadprogramm eine Formatierung oder eine Rückspielung eines Images übersteht, sollte aber eher sehr selten sein.
Ich habe da noch von keinem reellen Fall gehört oder gelesen - bisher nur von der theoretischen, und nur gezielt einsetzbaren Möglichkeit.
Jürgen
War nur ne Kurzreise. :-)
Du willst ja immer Garantien, wer garantiert dir dass das Image, von "Harry Hurtig" erzeugt Viren frei war als es erzeugt wurde? Wir sprechen ja hier nicht von uns, gelle, sondern von Anderen.
Genau so wird immer gesagt, Daten retten und kopieren.
Wenn man die zu kopierenden Daten aber nicht vorher scannt oder schon auf infizierte Datenträger kopiert, ist das alles für die Katz und absolut nicht sicher.
Und bei Neuinstallationen, von (für uns) unbekannten Datenträgern, ist die Sicherheit nicht viel höher.
Keiner. tatsächlich - keiner.
Aber ich habe mit den Empfehlungen in meinem Aufsatz
http://www.computerhilfen.de/jueki/Image-Erstellung.pdf
versucht, das so weit, wie irgend möglich, auszuschalten.
Das so zu machen - dazu kann (und will) ich niemanden zwingen.
Das der normale Nutzer oft erst dann eine Kompromittierung bemerkt, wenn seine gesamte DSL- Bandbreite sowie die Prozessorleistung zu 100% im Dienste einer fremden Macht steht, ist mir durchaus bewußt.
Also format c.
Jürgen
Gerade weil es um andere User geht, muss ihnen vermittelt werden (insofern sie nicht selbst recherchieren), wie sie es richtig machen. Ob nun eine Systemneuinstallation, eine Imageerzeugung der Neuinstallation oder die künftige Systemkonfiguration- und Pflege, etc.
Genau so wird immer gesagt, Daten retten und kopieren.
Wenn man die zu kopierenden Daten aber nicht vorher scannt oder schon auf infizierte Datenträger kopiert, ist das alles für die Katz und absolut nicht sicher.
1.) Hatten wir schon im anderen Thread: Das Scannen ist weit weniger geeignet, als Du es gewichtest. Eine Vorselektierung nach Dateitypen/MIME Types von einem vertrauenswürdigen Notfallsystem ist weitaus wichtiger.
2.) Verwendet man so ein Live-System, erfolgt das Kopieren auch nicht auf "infizierte Datenträger", da man diese vorher dementsprechend sichten kann. Im Zweifel kopiert man zu sichernde Daten an einen Ort, mach den zweiten in der Zwischenzeit "restlos sauber", und kopiert die Dateien anschließend zurück.
Deswegen hatte ich gleich eingangs in einem meiner ersten Postings in diesem Thread Knoppix erwähnt.
Und bei Neuinstallationen, von (für uns) unbekannten Datenträgern, ist die Sicherheit nicht viel höher.
Es ist natürlich Voraussetzung, dass vertrauenswürdige Installationsmedien verwendet werden. Verfügt der Betroffene über keine gültige OS-Lizenz bzw. hat sich das Windows-System "von irgendwo" aus dem Web geladen, am "besten" noch mit integrierter "Freischaltung", so ist ihm klar zu kommunizieren, diese Voraussetzungen entsprechend zu ändern. Ist doch ganz klar.
Was er dann letztlich macht, kann und will man aus der Ferne nicht kontrollieren, das ist dann sein privates Ding. Nur kann man dies keinesfalls als Grund dafür anführen, wegen eines unprofessionellen Verhaltens einiger Betroffener allen Usern wachsweiche Tipps zu geben, die ihre Systemsicherheit nachhaltig gefährden.
Geht es hier in diesem Thread nicht um einen sich selbst verbreitenden Wurm (Conficker)?
Einem Wurm, dessen Existenzzweck es (neben der eigenen Verbreitung) ist, als Plattform für das Nachladen der "eigentlichen" Schädlinge wie z.B. Scareware zu sorgen?
Auszug:
...Am 9. April wurde bekannt, dass Conficker.C SpywareProtect2009 installiert, eine Scareware, die dem Anwender eine Infektion vorspielt und gegen eine Geldzahlung scheinbar entfernt.
Quelle (weiter unten):
http://de.wikipedia.org/wiki/Conficker
Gruß
Shrek3
Ist dessen Arbeitsauftrag nicht klar definiert?
Würmer kann man relativ einfach und sicher eliminieren. Und darum ging es letztendlich.
Dann gib doch mal bitte eine konkrete und detaillierte Anleitung, gerne an einem Beispiel aus der jüngeren Vergangenheit, zum Besten. Ich bin auf deine fachkundigen Ausführungen überaus gespannt.
Erst ist es der in seinen Aufgaben klar und scharf umrissenene Trojaner, den du in Abgrenzung von Viren lieber mit einer Zecke vergleichst.
Dann, nachdem du darauf hingewiesen wurdest, dass es hier um einen sich wie Viren verbreitenden Schädling geht (also nix mit Zecke), der zudem als Schädlingsplattform weitere Schädlinge hineinzuspülen in der Lage ist, reduzierst du deine Antwort auf die pauschale Behauptung, dass Würmer (allgemein) relativ leicht zu eliminieren seien.
Fehlt eigentlich nur noch eine Antwort darauf, woher du wissen willst, ob es nicht Nachladungen durch den Conficker gegeben hat, weshalb man sich mit einer manuellen Bereinigung zufrieden könnte.
Gruß
Shrek3
-Religionskrieg +Wissensstandsunterschied
Während Viren relativ planlos zu Werke gehen, haben Trojaner (Zecke) eine relativ klare Aufgabenstellung und sind von daher besser zu bekämpfen.
Begründe fachlich fundiert und schlüssig, wie Du die Downloader-Funktionen Trojanischer Pferde, die zuvor auf einem System aktiv gewesen sind, hinsichtlich der Feststellung der Art und Anzahl der insgesamt nachgeladenen Schädlinge und deren Schadfunktionen, in den Griff bekommen möchtest.
Denn auch das neu Aufsetzen, und insbesondere das zurückspielen von Images ist nicht so sicher wie viele hier glauben machen wollen.
Das kommt auf die Vorgehensweise an. Erstellt man nach einem schulbuchmäßigen Neuaufsetzen eines Systems ein "Ersteinrichtungsimage", ist dieses als vertrauenswürdig anzusehen, und kann später immer wiederverwendet werden. Die anderen Punkte, die wichtig sind, um eine Übertragung "alter" Malware auf eine Neuinstallation zu verhindern, hatte ich in meinem 8-Punkte-Posting innerhalb dieses Threads dargelegt.
Dem entnehme ich, dass Dein PC grunzt.
Der Computer wird in diesem Fall nicht "geschlachtet", sondern läuft nach wenigen Stunden wieder vertrauenswürdig - und das ist das einzig entscheidende Kriterium. Ein Schwein hingegen transportiert keine sensiblen Daten, und eine mitreitende Zecke kann diese nicht vorhandenen auch nicht auslesen, geschweige denn kann sie in einer Sekunde Tausende von Paketen spucken, die eine große Sau am anderen Ende des Erdballs in die Suhle zwingen (-> "Distributed Denial of Sau").
Und auch nicht mit dem kompromittierten System kopieren,
ansonsten kopierst Du den Wurm evtl. mit und das ist dann für die Tonne!
Diese Aussage impliziert erneut, dass der Scanner alle relevanten Schädlinge schon erkennen wird, und ist daher nicht haltbar. Freilich kann man die letztlich zu sichernden bzw. gesicherten Daten (es dürfen eben keine ausführbaren Dateien darunter sein, egal, was der Scanner sagt) mit einem oder mehreren Malwarescannern auf Boot-CD-Basis überprüfen, diese Maßnahmen entbinden allerdings in keiner Form von grundsätzlichen Schritten.
Das System ist kompromittiert.
Du bist nicht die erste die da Lehrgeld, sprich viel Zeit investieren muss, um eine Neuinstallation durchzuführen.
Das haben wir alle leidvoll in den Jahren erlebt und aus Schaden wird man klug, man installiert alles neu, spiegelt dann diese kompl. Installation auf eine 2. Platte und legt sie ins Kämmerlein.
Wenn dann was passiert, ist durch eine Rückspiegelung alles wieder in ein paar Minuten hergestellt.
Daten, Bilder, Dokumente usw. sichern und den Rest ins Nirwana!
Augen zu und durch, es fliegt nebenbei auch viel Müll raus, der sich so angesammelt hat!
Gruß
luttyy
Daher schrieb ich, was zusätzlich zu beachten sei. ;) Ist wie beim Kuchenbacken: Fehlt das Fett, wird der Kuchen nix. Fehlt der Zucker, schmeckt er nicht ordentlich. Fehlt das Mehl, ist es kein Kuchen (ok, es gibt auch Rezepte ohne Mehl-Basis). ;)
Es ist ein XP home mit eine DSL Versorgung bei t-online. Sonst ist kein Netz weiter vorhanden.
OK, dann ist von einer Infektion via Wechseldatenträger auszugehen. XP Home wird bei Dir derzeit mit welchem Service-Pack-Stand betrieben? Schau bitte in die Systemsteuerung, Bereich Software. Lass Dir dort auch die installierten Windowsupdates anzeigen. Schau bitte nach, ob "KB971029" installiert (gelistet) ist.
Ich hatte immer gedacht ein Virensystem kann den Schädling aufspüren und entfernen. Statt dessen heisst es: tabula rasa.
Das Problem ist, dass wir es hier mit einem infizierten System zu tun haben. Nach einer Infektion ist der Zustand als nicht mehr vertrauenswürdig einzustufen.
Natürlich ist das die sichere Methode, aber leider auch die schmerzlichste nachdem soviel installiert wurde.
Sagen wir so: Es ist ein notwendiges Vorgehen, weil mögliche (Spät-)Folgen weit schmerzlicher sein können als die Neuinstallation. Wenn Du viele Programme nutzt, würde ich Dir empfehlen, öfter mal ein Sicherungsimage der aktuellen Systemzustände anzufertigen und extern abzuspeichern. Sollte es dann später mal zu Problemen kommen, auch solchen, die nichts mit Malware zu tun haben, kannst Du einen vorausgegangenen Zustand innerhalb weniger Minuten zurücksichern. Sowas erspart Zeit und Arbeit.
Also, wenn ich richtig verstanden habe: nachträgliches Installieren von z.b. AVG und scan hat keinen Sinn?
Mit der Intention zur Wiederherstellung eines vertrauenswürdigen Systemzustands: Nein. Für etwaige Analysen (z.B. Aufspüren etwaiger Exploits im Sinne der Ursachenforschung) kann sowas aber im ein oder anderen Fall in Betracht gezogen werden.
Was mache ich mit den anderen Laufwerken auf denen sich z.b. viele Bilder befinden?
Sind diese Bilder derzeit nicht extern auf zusätzlichen Datenträgern aus dem laufenden Betrieb gesichert? Falls nein, bereits an dieser Stelle der Hinweis, sowas künftig umzusetzen.
Bei Autorun-Malware muss damit gerechnet werden, dass auch andere Partitionen infiziert sind, und zwar insofern, dass bereits ein Öffnen des jeweiligen Laufwerks genügt, um den Schädling erneut auszuführen. Daher auch meine Empfehlung zum Einsatz von Knoppix.
Es sind zwei Platten mit je zwei LWs vorhanden. Kann sich der Wurm auch auf den anderen LWs sprungbereit verborgen halten und dann das Frischinstallierte C: wieder befallen?
Ja, gerade Autorun-Würmer (wie Conficker einer ist) können dies.
Mit den USB-Wechseldatenträgern ist mir das schon klar. Die müssen ausserhalb untersucht werden. Aber auch da hatte ich einen Stift, der den Config-A hatte. Blieb nur Daten auslagern und formatieren.
Richtig. Der Zugriff darauf sollte allerdings ebenfalls nur über ein nicht verwundbares System erfolgen (siehe obige Tipps).
Wofür hat man die Programme eigentlich?
Sie können kleine Hilfestellungen bieten, Hinweise geben. Danach ist es am Benutzer selbst, diese auszuwerten und die richtigen Maßnahmen zu ergreifen. Man darf nicht zuviel von den Programmen erwarten, insbesondere dann nicht, wenn eine Infektion längst "durch" ist.
Nur das sie mal Alarm schlagen, wenn was reinkommt? Das wäre ein bisschen wenig. Ich hatte eigentlich die Säuberung erwartet.
Zur erwarteten Säuberung lies bitte:
-> http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
-> http://www.malte-wetz.de/wiki/pmwiki.php/De/RemovalTools
Nicht speziell auf den Conficker bezogen - ganz allgemein auf Schädlinge, wie Trojaner usw:
Diese werden mehr und mehr von hochqualifizierten Programmieren erzeugt, die im Dienst der Internet- Mafia stehen.
So machen eine ganze Reihe dieser Schädlinge als Erstes eines - sie versichernd den installierten Anti- Tools, gute Freunde zu sein. Und machen diese Tools unwirksam. Desweiteren gibt es eine Reihe von Schädlingen, die gleich mal Administrator- Rechte übernehmen.
Bei meinen (sicher laienhaften) Tests konnte ich feststellen, das sich oft genug Schädlinge leicht entfernen ließen und nicht mehr angezeigt wurden. Und trotzdem blieben Teile zurück, die einzeln vollkommen ungefährlich waren.
Aber sozusagen nach gleichgesinnten Bruchstücken suchten und sich mit diesen ergänzten und letztlich wieder einen aktiven Trojaner bildeten.
Es ist ja nicht so, das du direkt und persönlich angegriffen wirst. Nein, es schwirren ungezählte -für sich allein ungefährliche- Bruchstücke im Internet herum, die sich dann, zusammengesetzt, ein Hintertürchen öffnen und Deinen PC bereit zur Fernsteuerung machen. Schon hat die große Gemeinschaft der Botnetz- PCs ein neues, wertvolles Mitglied gefunden.
aber leider auch die schmerzlichste nachdem soviel installiert wurde
Es gibt schon ein Mittelchen dagegen. Das habe ich hier beschrieben:
http://www.computerhilfen.de/jueki/Image-Erstellung.pdf
und den PC so einrichten, das das System von den Daten konsequent getrennt wird.
Ich verwende das und viele andere auch - ich mußte, seit ich das verwende, nie mehr "mit Tränen im Arsch" neu installieren.
Jürgen
PS: Die "Beseitiger" von Viren, Trojanern und Würmern können darauf verweisen, das man nichts mehr sieht- sie können in keinem Falle garantieren, das der Virus/Trojaner beseitigt wurde.
Die Verfechter der Formatierung / Neuinstallation können dies hingegen.
Es ist nicht in wenigen Worten möglich, deine Frage nach der Relevanz von Virenschutzprogrammen zufriedenstellend zu beantworten.
Als erste weiterführende Info schau mal hier rein - speziell die Beiträge von mmk, pema und IRON67 sind interessant: ;-)
http://www.nickles.de/forum/viren-spyware-datenschutz/2011/der-neueste-test-fuer-die-freunde-der-antiviren-software-538827426.html
Selber habe ich es beruflich recht häufig mit infizierten Rechnern zu tun, wobei ich zunehmend die Beobachtung mache, dass Virenschutzprogramme immer weniger dazu in der Lage sind, überhaupt noch Eindringlinge zu bemerken - geschweige denn zu eliminieren.
Ein typisches Beispiel (noch keine zwei Wochen her):
Ein Kunde rief mich an, weil er auf einmal Schwierigkeiten mit der Online-Bankingseite seiner Bank hatte.
Sein Rechner arbeitete ansonsten flüssig und zuverlässig - und es gab weder unter dem Windows-Explorer noch in den Autostartprogrammen (msconfig) oder dem Task-Manager Hinweise auf Schädlinge.
Einzig im Logfile von Antivir gab es einen einzigen Hinweis - ca. 4 Wochen zuvor verweigerte Antivir ein einziges mal den Zugriff auf einen Schädling, der als Spyeye klassifiziert wurde.
Seitdem aber schwieg sich Antivir aus, machte trotzdem regelmäßig seine Updates, so dass man meinen könnte, dass alles im grünen Bereich sei...
Was hinter Spyeye steckt, siehe hier - ein Blick auf die Schlagzeilen sollte reichen:
http://www.google.com/search?btnG=1&pws=0&q=Abk%C3%BCrzungen+in+Foren#sclient=psy&hl=de&lr=lang_de&tbs=lr:lang_1de&source=hp&q=spyeye&pbx=1&oq=spyeye&aq=f&aqi=&aql=&gs_sm=e&gs_upl=6055391l6057225l8l6057923l6l2l0l0l0l0l0l0ll0&bav=on.2,or.r_gc.r_pw.&fp=3bca11ccdd7c1d6f&biw=1024&bih=638
In einem anderen Fall (auch erst wenige Wochen her) gab es überhaupt keinen Hinweis auf Schädlingsbefall - einzig die Tatsache, dass vom Mailaccount des Kunden ohne sein Wissen Emails versandt wurden, führte dazu, dass der Kunde Verdacht schöpfte.
Virenschutzprogramme haben für mich längst an Bedeutung verloren - sie sind für mich mittlerweile längst in den Niederungen simpler Statisten angekommen, sind eine von mehreren Anlaufstellen, auf denen man mit etwas Glück wenigstens noch nachschauen kann, ob es irgendwann mal Hinweise auf Infektionen gab.
Mir drängt sich der Eindruck auf, dass der Vorsprung der Schädlingsmafia immer größer wird - vermutlich deswegen, weil sie immer professioneller vorgehen.
Und jetzt willst du am liebsten auf einem System, auf dem der Schädling bereits das Sagen hat, einen Virenschutz installieren - um wieviel leichter hat er es unter solchen Voraussetzungen...
Du wärest auf der sichereren Seite, wenn du im Netz nicht mit Adminrechten surfst und Programme auf den neuesten Stand hältst, wie z.B. FlashPlayer, Java (viel kommt über veraltete Java-Versionen hinein!), Acrobat Reader und wie die ganzen Plugins und Addons des Browsers sonst noch heißen.
Gruß
Shrek3
- ganz genau dafür hat man diese Programme. das sie Alarm schlagen, wenn etwas verdächtiges reinkommt und den Nutzer zu der richtigen Handlung veranlassen - sofort löschen!
Wird diese Warnung nicht befolgt und die Datei ausgeführt, ist es zu spät.
Weil weiter unten ein Vergleich aus der Tierhaltung zu lesen ist - ein weiterer Vergleich:
Das köstlich zubereitete, lecker anzusehende und gut riechende Gericht aus giftigen Pilzen schadet niemanden. Wenn der Hungrige auf den Warner hört - "Finger weg, das ist vergiftet!"
Hört er nicht darauf und kostet, kann er sein Ableben dann nicht dem Warner anlasten.
Jürgen
Hallo Tina,
100% sicher = neu installieren.
Weniger Sicherheit, mit Live CDs scanne. Die gibt es von Avira, Kaspersky, AVG, Dr. Web und F Secure. Die Scanner kann man runterladen.
Gruß
Kabelschrat
... unter paralleler Beachtung aller Möglichkeiten einer Re-Infektion, u.a. über Wechseldatenträger.
Weniger Sicherheit, mit Live CDs scanne. Die gibt es von Avira, Kaspersky, AVG, Dr. Web und F Secure. Die Scanner kann man runterladen.
Es ist richtig, dass Recue-CDs, also Virenscanner, die nicht auf dem zu prüfenden System selbst laufen, Ergebnisse liefern, die nicht der Manipulierbarkeit durch aktive Malware ausgesetzt sind. Insofern sind sie im Nachgang teils recht gut geeignet, um Infektionsverläufe teilweise zu erfassen und mögliche Rückschlüsse beispielsweise zum Infektionsweg zu finden.
Allerdings reicht dies nicht aus, um wieder für eine gegebene Vertrauenswürdigkeit des Systems zu sorgen - dies wäre nur dann der Fall, würden die Scanner alle existenten Schädlinge zuverlässig (er)kennen. Und dies ist alleine schon aus rein logischen Gründen nicht möglich, es befindet sich zu viele Malware im Umlauf, die niemals vollständig erfasst werden kann.
Wenn man also a) weiß, dass ein System infiziert ist, und b) die Beweisführung nicht erbringen kann (z.B. mit Integritätsprüfungen (Prüfsummen, etc.) von unabhängigen System), so muss man nach wie vor davon ausgehen, das System nicht mehr unter der eigenen Kontrolle zu haben.