|
Plagegeister aller Art und deren Bekämpfung: Trojaner entfernen oder Image zurückschreiben?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.11.2012, 17:58 | #1 |
| Trojaner entfernen oder Image zurückschreiben? Bevor ich mir die Mühe der vielen Scans mache, um dann am Ende doch nicht sicher sein zu können, ob wirklich alle Schadsoftware entfernt sind, habe ich vorher folgende Fragen an Euch. Ich habe ein Win7 Pro, 64 bit-System auf meinem Notebook Es wurden von Kaspersky als auch vom Microsoft Safety Scanner Malware Trojan-FakeAV.Win32.FakeSysDef.evp Trojan-FakeAV.Win32.FakeSysDef.evd Trojan-FakeAV.Win32.FakeSysDef.euo entdeckt, obwohl ich von Anfang an die Microsoft Security auf meinem System installiert hatte. Die Dateien tragen das Datum vom 14. - 16.11. Als eigentlich immer vorsichtig gewesener Anwender, der Windows auf dem neuesten Stand hat, Downloads nur vom Chip.de-Server lädt und auch Backups anfertigt, hatte ich am 16.10. ein Image des Systems gezogen. Wenn ich dieses Image zurückschreibe, kann ich dann sicher sein, diese Schädlinge eliminiert zu haben, obwohl ich ja nun vor diesem Restore alle neueren Dateien vom heutigen infizierten System (wie z.B. die Operamails vom 16.10. - heute und einige andere Dateien) sichern und auf das neu aufgesetzte System mit Stand vom 16.10. zurückschreiben muss? Weiterhin habe ich ein Netzlaufwerk, auf dem meine Daten liegen und auf das ich natürlich auch immer zugegriffen habe, bevor ich von der Infektion wusste. Können diese Daten auch infiziert sein? Darüber hinaus hatte vor Tagen Microsoft Security Essentials eine Java-Infektion mit Exploit: Java/CVE-2012-1723.cmt und mehrere andere Angaben gefunden, die es in Quarantäne geschickt hatte und von mir gelöscht wurden. |
22.11.2012, 15:22 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben? Hallo und
__________________Zitat:
__________________ |
22.11.2012, 17:41 | #3 |
| Trojaner entfernen oder Image zurückschreiben? Hallo cosinus,
__________________ich habe mir Eure Regeln durchaus vorher durchgelesen. Mir war bewusst, dass ich Euch nicht die Daten geliefert habe, die zum Entfernen der Schädlinge entsprechend Eurem Vorgehen benötigt werden. Deshalb habe ich versucht, die Fragen so zu stellen, dass für mich ggf. nur ein Image-Zurückschreiben ausreicht, da mein Image vom 16.10 ist, der Befall meines Systems aber anscheinend erst in der Zeit vom 14 - 16.11. erfolgte. Wo ich mir auch nicht sicher bin: Kann ich meinen erstellten Dateien mit OneNote, Excel, Word etc. noch trauen? Dafür bitte ich um Deine Einschätzung. Hinzu gekommen ist, dass mein Notebook sich z.B. von CD starten läßt, wenn ich z.B. die Original-Win-CD einlege, nicht aber wenn ich die auf CD gebrannte ISO-Datei von Kaspersky (Rescue-CD und Windows Unlocker und Malware-Entferner) starten will. Die Dateien die der auf der lokalen Festplatte installierte Kaspersky Security Scan gefunden hat (nur bei vollständigem Scan), waren die folgenden: Trojan-FakeAV.Win32.FakeSysDef.evp 7ewGdjRnnhDqFJ.exe.tmp C:\Documents and Settings\Kurt\AppData\Local\Temp Trojan-FakeAV.Win32.FakeSysDef.evd U9h1CWCM7VoDqa.exe.tmp C:\Documents and Settings\Kurt\AppData\Local\Temp Trojan-FakeAV.Win32.FakeSysDef.euo PY2DYmBLEhthyn.exe.tmp C:\Documents and Settings\Kurt\AppData\Local\Temp Nachdem ich MSE auch noch Mal per vollständigem Scan habe drüberlaufen lassen, wurden mir ebenfalls die folgenden 3 Schädlinge als "Entfernt" gemeldet (vermutlich dieselben): Trojan:Win32/Bumat!rts Entfernt Trojan:Win32/Dynamer!dtc Entfernt Trojan:Win32/Tibs.IT Entfernt Was mich aber nach wie vor sehr mißtrauisch macht, ist das Verhalten meines PC`s beim Start von CD (s. oben). Auch ein bootfähiger Stick, von dem ich eine exe-Datei für einen Memorytest starten wollte, funktionierte nicht. Es wird in beiden Fällen sofort der Startbildschirm von Win7 Pro, 64 bit angezeigt. |
22.11.2012, 19:37 | #4 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben?Zitat:
Großartig weiter analysieren willst du ja nicht Zitat:
Lass die Dateien noch mit einem Virenscanner deiner Wahl checken (auf dem zurückgespielten System zB mit Avast ) bevor du mit den weiterarbeitest.
__________________ Logfiles bitte immer in CODE-Tags posten |
26.11.2012, 09:17 | #5 |
| Trojaner entfernen oder Image zurückschreiben? Hallo cosinus, bevor ich das Image zurückschreibe, noch bitte eine Info aufgrund Deiner Erfahrung. Wie ich geschrieben habe, teilte mir MSE mit, dass es die 3 Schädlinge beseitigt habe. a) Kann man darauf vertrauen? b) Ich nutze als Backup-Programm Drive Image XML und sehe, dass das Programm das Image unter Windows zurückschreibt (von Acronis war ich es gewohnt, dass das Image auf DOS-Ebene zurückgeschrieben wird). Ist das Zurückschreiben unter Windows sicher? Weiterhin habe ich mir Eure Anleitung zum Neuaufsetzen des Systems genau angesehen. Wie Ihr schreibt, sollte man die Festplatte ja komplett formatieren, andererseits schreibt Ihr aber, dass man die Recovery-Partition vom Hersteller erhalten soll. Beide Forderungen kann ich doch nicht gleichzeitig erfüllen. Habe ich Euch falsch interpretiert oder wie macht man das? |
26.11.2012, 10:10 | #6 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben?Zitat:
einem Virenscanner allein zu trauen, dass er sicher das System allein und komplett bereinigt hat ist ein wenig naiv Wenn dem so wäre, wären hier diese ganzen Analysen- und Bereingungsanfragen ein wenig fragwürdig/unlogisch hier oder meinst du nicht auch? Zitat:
Wenn du DriveImageXML nicht traust warum nutzt du es dann? Zitat:
Wer Recovery-DVDs hat, braucht die Recoverypartition aber nicht
__________________ --> Trojaner entfernen oder Image zurückschreiben? |
26.11.2012, 10:29 | #7 |
| Trojaner entfernen oder Image zurückschreiben? Hallo Cosinus, a) Meine Frage ob man gesicherte Imagedateien unter Windows zurückschreiben sollte, hat den Hintergrund, dass es - bei Trojaner- oder Virenbefall - geschehen kann, dass ein Trojaner unter Windows die Dateien beim Zurückschreiben verändern und sich selbst wieder installieren könnte. Wenn sich z.B. ein Programm wie Acronis True Image sofort nach dem Start meldet, gehe ich davon aus, dass die Angriffsmöglichkeiten (unter DOS) dann geringer sind. b) Warum nutze ich das Backupprogramm Drive Image XML, wenn ich (neuerdings) kein Vertrauen mehr habe? Nun ein Trojanerbefall kann ja auch einen positiven Aspekt haben........ Dadurch befasst man sich noch intensiver mit Fragen, die man sich vorher nicht gestellt hat. Das Wissen schreitet fort....... Neue Frage: Ich habe mir zwischenzeitlich 2 Rescue-CDs gebrannt: Kaspersky Rescue 10 und von F-Secure. Bei beiden Programmen habe ich nach dem Start das Problem, dass ein Update der Virendatenbank nicht möglich ist, da anscheinend der Netzwerktreiber nicht zur Verfügung steht. Ich habe das Notebook dann neu im abgesicherten Modus nur mit Netzwerktreibern gestartet. In diesem Mode steht eine Internetverbingung zur Verfügung. Hast Du eine Idee, woran das sonst liegen könnte? |
26.11.2012, 10:40 | #8 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben?Zitat:
Zitat:
Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (26.11.2012 um 10:55 Uhr) Grund: typo |
26.11.2012, 10:54 | #9 |
| Trojaner entfernen oder Image zurückschreiben? Hallo cosinus, kannst Du mir Frage a) und die neue Frage beantworten oder nicht? Wenn nicht, sollten wir uns nicht gegenseitig die Zeit stehlen. Ich meine schon, dass die Fragen vor dem Rückschreiben eines Images mit dem Aufwand von Anpassungen, die man zwischenzeitlich vorgenommen hat, berechtigt sind. Ich hatte mir von diesem Forum Hilfe versprochen und wenn sich meine Ansicht zum weiteren Vorgehen im Zuge der Beschäftigung mit diesem Thema und dem Lesen von anderen Forenbeiträgen geändert hat...what shells. Mit dem Fragment "Dann schreib doch das Image über seine (was ist seine?) saubere Umgebung wie z.B. BartPE zurück", kann ich nichts anfangen. Kannst Du mir das näher erläutern? |
26.11.2012, 11:03 | #10 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben?Zitat:
Ich kenn aber zB das von DriveSnapshot so, dass es NICHT direkt unter Windows ein Image wiederherstellt, sondern einen Task anlegt, der das bei nächsten Reboot macht, denn im laufenden Windows-Betrieb hat man keinen exklusiven Schreibzugriff auf der Systempartition. Zitat:
Was willst du denn jetzt? Zitat:
Wenn du mal eine große und sehr populäre Suchmaschine anschmeißen würdest, könntest du auf so einen Artikel stoßen => Bart Da werden alle Fragen und zB was BartPE ist, erklärt
__________________ Logfiles bitte immer in CODE-Tags posten |
26.11.2012, 11:15 | #11 |
| Trojaner entfernen oder Image zurückschreiben? Hallo cosinus, sorry, hatte ich nicht als Schreibfehler interpretiert, sonst hätte ich nicht nachgefragt. Dein Tipp hat natürlich dazu geführt, dass ich nach BartPE win7 gegoogelt, aber leider nichts gefunden habe. Der Tipp war aber gut, ggf. gibt es noch anderer ähnliche Tools. Kannst Du mir die im letzten Thread formulierte Frage noch beantworten?: Ich habe mir zwischenzeitlich 2 Rescue-CDs gebrannt: Kaspersky Rescue 10 und von F-Secure. Bei beiden Programmen habe ich nach dem Start das Problem, dass ein Update der Virendatenbank nicht möglich ist, da anscheinend der Netzwerktreiber nicht zur Verfügung steht. Ich habe das Notebook dann neu im abgesicherten Modus nur mit Netzwerktreibern gestartet. In diesem Mode steht eine Internetverbingung zur Verfügung. Hast Du eine Idee, woran das sonst liegen könnte?? Danach sollten wir m.E. dieses Thema schließen, da ich danach und evtl. weiteren Überlegungen entweder nach Eurem Muster vorgehe oder nicht. Falls ja, sollte ich wohl ein neues Thema aufmachen, oder? |
26.11.2012, 11:21 | #12 | ||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben?Zitat:
Was willst du jetzt? Bereinigen oder Image zurückschreiben? Zitat:
Zitat:
Zitat:
Was bitte hat die Rescue-CD mit dem abgesicherten Modus von Windows zu tun? Wenn du von der Rescue-CD startest, startest du doch nicht dein Windows!
__________________ Logfiles bitte immer in CODE-Tags posten |
26.11.2012, 11:58 | #13 |
| Trojaner entfernen oder Image zurückschreiben? Hallo cosinus, Was bitte hat die Rescue-CD mit dem abgesicherten Modus von Windows zu tun? Ein anderere Anwender hatte dieselben Probleme mit der Rescue Disk von Kaspersky im Forum erläutert. Du hattest ihm dann den Vorschlag gemacht, erst einmal in den abgesicherten Modus von Windows zu gehen und zu schauen, ob das Netzwerk dann funktioniert (die Kommunikation wurde danach nicht weitergeführt). Daher hatte ich den von Dir empfohlenen Schritt schon vor meiner Frage an Dich durchgeführt. Daher war meine weiterführende Frage an Dich, ob Du für den unter der Rescue-Disk nicht funktionierenden Netzwerkadapter (der im abgesicherten Modus von Win7 funktioniert) eine Lösung parat hast. |
26.11.2012, 12:10 | #14 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner entfernen oder Image zurückschreiben? Nochmal: was willst du mit dieser Rescue-CD? Umfangreiche Analysen willst du doch nicht? Angenommen du willst die Kiste hier bereinigen machen wir das in über 99% der Fälle ohne solche Rescue-CDs Warum Kaspersky deinen Netzwerkadapter nicht erkennt weiß ich nicht Und jetzt bitte endlich mal eine klare Ansage: was willst du jetzt machen?! Bereinigung oder Image zurückschreiben?
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojaner entfernen oder Image zurückschreiben? |
dateien, entfernen, exploit, folge, frage, fragen, gelöscht, image, infektion, infizierte, installiert, java/cve-2012-1723; malware, kaspersky, lädt, malware, microsoft, netzlaufwerk, neues, quarantäne, scanner, schädlinge, security, trojan-fakeav.win32.fakesysdef, trojaner, win, win7, windows |