Bevor ich mir die Mühe der vielen Scans mache, um dann am Ende doch nicht sicher sein zu können, ob wirklich alle Schadsoftware entfernt sind, habe ich vorher folgende Fragen an Euch.

Ich habe ein Win7 Pro, 64 bit-System auf meinem Notebook

Es wurden von Kaspersky als auch vom Microsoft Safety Scanner Malware Trojan-FakeAV.Win32.FakeSysDef.evp
Trojan-FakeAV.Win32.FakeSysDef.evd
Trojan-FakeAV.Win32.FakeSysDef.euo
entdeckt, obwohl ich von Anfang an die Microsoft Security auf meinem System installiert hatte.

Die Dateien tragen das Datum vom 14. - 16.11.

Als eigentlich immer vorsichtig gewesener Anwender, der Windows auf dem neuesten Stand hat, Downloads nur vom Chip.de-Server lädt und auch Backups anfertigt, hatte ich am 16.10. ein Image des Systems gezogen.

Wenn ich dieses Image zurückschreibe, kann ich dann sicher sein, diese Schädlinge eliminiert zu haben, obwohl ich ja nun vor diesem Restore alle neueren Dateien vom heutigen infizierten System (wie z.B. die Operamails vom 16.10. - heute und einige andere Dateien) sichern und auf das neu aufgesetzte System mit Stand vom 16.10. zurückschreiben muss?

Weiterhin habe ich ein Netzlaufwerk, auf dem meine Daten liegen und auf das ich natürlich auch immer zugegriffen habe, bevor ich von der Infektion wusste. Können diese Daten auch infiziert sein?

Darüber hinaus hatte vor Tagen Microsoft Security Essentials eine Java-Infektion mit Exploit: Java/CVE-2012-1723.cmt und mehrere andere Angaben gefunden, die es in Quarantäne geschickt hatte und von mir gelöscht wurden.

Hallo und

Zitat:

Es wurden von Kaspersky als auch vom Microsoft Safety Scanner Malware Trojan-FakeAV.Win32.FakeSysDef.evp
Trojan-FakeAV.Win32.FakeSysDef.evd
Trojan-FakeAV.Win32.FakeSysDef.euo
entdeckt, obwohl ich von Anfang an die Microsoft Security auf meinem System installiert hatte.

Das sind unvollständige Angaben. Wenn du nur die Schädlingsnamen postest weiß niemand welche Objekte in welchem Pfad bemängelt wurden. Aber ohne dieses Infos kann man nicht beurteilen ob dein System wirklich befallen ist oder ob schädliche Dateien nur so rumlagen (und nicht ausgeführt wurde) oder ob hier gar nur Fehlalarme vorliegen.

Hallo cosinus,

ich habe mir Eure Regeln durchaus vorher durchgelesen. Mir war bewusst, dass ich Euch nicht die Daten geliefert habe, die zum Entfernen der Schädlinge entsprechend Eurem Vorgehen benötigt werden.
Deshalb habe ich versucht, die Fragen so zu stellen, dass für mich ggf. nur ein Image-Zurückschreiben ausreicht, da mein Image vom 16.10 ist, der Befall meines Systems aber anscheinend erst in der Zeit vom 14 - 16.11. erfolgte. Wo ich mir auch nicht sicher bin: Kann ich meinen erstellten Dateien mit OneNote, Excel, Word etc. noch trauen?
Dafür bitte ich um Deine Einschätzung.

Hinzu gekommen ist, dass mein Notebook sich z.B. von CD starten läßt, wenn ich z.B. die Original-Win-CD einlege, nicht aber wenn ich die auf CD gebrannte ISO-Datei von Kaspersky (Rescue-CD und Windows Unlocker und Malware-Entferner) starten will.

Die Dateien die der auf der lokalen Festplatte installierte Kaspersky Security Scan gefunden hat (nur bei vollständigem Scan), waren die folgenden:

Trojan-FakeAV.Win32.FakeSysDef.evp
7ewGdjRnnhDqFJ.exe.tmp
C:\Documents and Settings\Kurt\AppData\Local\Temp

Trojan-FakeAV.Win32.FakeSysDef.evd
U9h1CWCM7VoDqa.exe.tmp
C:\Documents and Settings\Kurt\AppData\Local\Temp

Trojan-FakeAV.Win32.FakeSysDef.euo
PY2DYmBLEhthyn.exe.tmp
C:\Documents and Settings\Kurt\AppData\Local\Temp

Nachdem ich MSE auch noch Mal per vollständigem Scan habe drüberlaufen lassen, wurden mir ebenfalls die folgenden 3 Schädlinge als "Entfernt" gemeldet (vermutlich dieselben):

Trojan:Win32/Bumat!rts Entfernt
Trojan:Win32/Dynamer!dtc Entfernt
Trojan:Win32/Tibs.IT Entfernt

Was mich aber nach wie vor sehr mißtrauisch macht, ist das Verhalten meines PC`s beim Start von CD (s. oben). Auch ein bootfähiger Stick, von dem ich eine exe-Datei für einen Memorytest starten wollte, funktionierte nicht. Es wird in beiden Fällen sofort der Startbildschirm von Win7 Pro, 64 bit angezeigt.

Zitat:

Trojan-FakeAV.Win32.FakeSysDef.evp
7ewGdjRnnhDqFJ.exe.tmp
C:\Documents and Settings\Kurt\AppData\Local\Temp

Ja definitiv Befall sag ich da, also schreib dein Image zurück
Großartig weiter analysieren willst du ja nicht

Zitat:

Kann ich meinen erstellten Dateien mit OneNote, Excel, Word etc. noch trauen?

In den allermeisten Fällen ja wobei ich mich aber frage warum man keine halbwegs aktuellen Sicherheitskopien dieser Dateien hat
Lass die Dateien noch mit einem Virenscanner deiner Wahl checken (auf dem zurückgespielten System zB mit Avast ) bevor du mit den weiterarbeitest.

Hallo cosinus,

bevor ich das Image zurückschreibe, noch bitte eine Info aufgrund Deiner Erfahrung.

Wie ich geschrieben habe, teilte mir MSE mit, dass es die 3 Schädlinge beseitigt habe.

a) Kann man darauf vertrauen?

b) Ich nutze als Backup-Programm Drive Image XML und sehe, dass das Programm das Image unter Windows zurückschreibt (von Acronis war ich es gewohnt, dass das Image auf DOS-Ebene zurückgeschrieben wird). Ist das Zurückschreiben unter Windows sicher?

Weiterhin habe ich mir Eure Anleitung zum Neuaufsetzen des Systems genau angesehen.
Wie Ihr schreibt, sollte man die Festplatte ja komplett formatieren, andererseits schreibt Ihr aber, dass man die Recovery-Partition vom Hersteller erhalten soll.
Beide Forderungen kann ich doch nicht gleichzeitig erfüllen. Habe ich Euch falsch interpretiert oder wie macht man das?

Zitat:

a) Kann man darauf vertrauen?

Nein
einem Virenscanner allein zu trauen, dass er sicher das System allein und komplett bereinigt hat ist ein wenig naiv
Wenn dem so wäre, wären hier diese ganzen Analysen- und Bereingungsanfragen ein wenig fragwürdig/unlogisch hier oder meinst du nicht auch?

Zitat:

b) Ich nutze als Backup-Programm Drive Image XML und sehe, dass das Programm das Image unter Windows zurückschreibt (von Acronis war ich es gewohnt, dass das Image auf DOS-Ebene zurückgeschrieben wird). Ist das Zurückschreiben unter Windows sicher?

Warum soll das vom OS abhängig sein?
Wenn du DriveImageXML nicht traust warum nutzt du es dann?

Zitat:

Beide Forderungen kann ich doch nicht gleichzeitig erfüllen. Habe ich Euch falsch interpretiert oder wie macht man das?

Man sollte es so verstehen: komplette Festplatte, also alle Festplattenpartitionen bis auf die Recoverypartition lösschen/formatieren
Wer Recovery-DVDs hat, braucht die Recoverypartition aber nicht

Hallo Cosinus,

a) Meine Frage ob man gesicherte Imagedateien unter Windows zurückschreiben sollte, hat den Hintergrund, dass es - bei Trojaner- oder Virenbefall - geschehen kann, dass ein Trojaner unter Windows die Dateien beim Zurückschreiben verändern und sich selbst wieder installieren könnte.
Wenn sich z.B. ein Programm wie Acronis True Image sofort nach dem Start meldet, gehe ich davon aus, dass die Angriffsmöglichkeiten (unter DOS) dann geringer sind.

b) Warum nutze ich das Backupprogramm Drive Image XML, wenn ich (neuerdings) kein Vertrauen mehr habe?
Nun ein Trojanerbefall kann ja auch einen positiven Aspekt haben........
Dadurch befasst man sich noch intensiver mit Fragen, die man sich vorher nicht gestellt hat. Das Wissen schreitet fort.......

Neue Frage:
Ich habe mir zwischenzeitlich 2 Rescue-CDs gebrannt: Kaspersky Rescue 10 und von F-Secure.
Bei beiden Programmen habe ich nach dem Start das Problem, dass ein Update der Virendatenbank nicht möglich ist, da anscheinend der Netzwerktreiber nicht zur Verfügung steht.
Ich habe das Notebook dann neu im abgesicherten Modus nur mit Netzwerktreibern gestartet. In diesem Mode steht eine Internetverbingung zur Verfügung.
Hast Du eine Idee, woran das sonst liegen könnte?

Zitat:

Wenn sich z.B. ein Programm wie Acronis True Image sofort nach dem Start meldet, gehe ich davon aus, dass die Angriffsmöglichkeiten (unter DOS) dann geringer sind.

Dann schreib doch das Image über eine saubere Umgebung wie zB BartPE oder so her.

Zitat:

Ich habe mir zwischenzeitlich 2 Rescue-CDs gebrannt: Kaspersky Rescue 10 und von F-Secure.

Warum schreibst du jetzt nicht einfach dein Image zurück? Dein erster Satz in diesem Thread war doch:

Zitat:

Zitat von JackoJ

Bevor ich mir die Mühe der vielen Scans mache, um dann am Ende doch nicht sicher sein zu können,

Hallo cosinus,

kannst Du mir Frage a) und die neue Frage beantworten oder nicht? Wenn nicht, sollten wir uns nicht gegenseitig die Zeit stehlen.
Ich meine schon, dass die Fragen vor dem Rückschreiben eines Images mit dem Aufwand von Anpassungen, die man zwischenzeitlich vorgenommen hat, berechtigt sind.

Ich hatte mir von diesem Forum Hilfe versprochen und wenn sich meine Ansicht zum weiteren Vorgehen im Zuge der Beschäftigung mit diesem Thema und dem Lesen von anderen Forenbeiträgen geändert hat...what shells.

Mit dem Fragment "Dann schreib doch das Image über seine (was ist seine?) saubere Umgebung wie z.B. BartPE zurück", kann ich nichts anfangen. Kannst Du mir das näher erläutern?

Zitat:

kannst Du mir Frage a) und die neue Frage beantworten oder nicht? Wenn nicht, sollten wir uns nicht gegenseitig die Zeit stehlen.

Ich kenn DriveImageXML nicht
Ich kenn aber zB das von DriveSnapshot so, dass es NICHT direkt unter Windows ein Image wiederherstellt, sondern einen Task anlegt, der das bei nächsten Reboot macht, denn im laufenden Windows-Betrieb hat man keinen exklusiven Schreibzugriff auf der Systempartition.

Zitat:

Ich meine schon, dass die Fragen vor dem Rückschreiben eines Images mit dem Aufwand von Anpassungen, die man zwischenzeitlich vorgenommen hat, berechtigt sind.

So? Ich dachte du wolltest auf keinen Fall analysieren weil das Zurückschreiben eines Images ja so schnell ist?
Was willst du denn jetzt?

Zitat:

Mit dem Fragment "Dann schreib doch das Image über seine (was ist seine?) saubere Umgebung wie z.B. BartPE zurück", kann ich nichts anfangen. Kannst Du mir das näher erläutern?

Es sollte "eine" saubere Umgebung heißen....ja Tippfehler können schonmal vorkommen ich hab es korrigiert
Wenn du mal eine große und sehr populäre Suchmaschine anschmeißen würdest, könntest du auf so einen Artikel stoßen => Bart
Da werden alle Fragen und zB was BartPE ist, erklärt

Hallo cosinus,

sorry, hatte ich nicht als Schreibfehler interpretiert, sonst hätte ich nicht nachgefragt.
Dein Tipp hat natürlich dazu geführt, dass ich nach BartPE win7 gegoogelt, aber leider nichts gefunden habe. Der Tipp war aber gut, ggf. gibt es noch anderer ähnliche Tools.

Kannst Du mir die im letzten Thread formulierte Frage noch beantworten?: Ich habe mir zwischenzeitlich 2 Rescue-CDs gebrannt: Kaspersky Rescue 10 und von F-Secure.
Bei beiden Programmen habe ich nach dem Start das Problem, dass ein Update der Virendatenbank nicht möglich ist, da anscheinend der Netzwerktreiber nicht zur Verfügung steht.
Ich habe das Notebook dann neu im abgesicherten Modus nur mit Netzwerktreibern gestartet. In diesem Mode steht eine Internetverbingung zur Verfügung.
Hast Du eine Idee, woran das sonst liegen könnte??

Danach sollten wir m.E. dieses Thema schließen, da ich danach und evtl. weiteren Überlegungen entweder nach Eurem Muster vorgehe oder nicht.
Falls ja, sollte ich wohl ein neues Thema aufmachen, oder?

Zitat:

Kannst Du mir die im letzten Thread formulierte Frage noch beantworten?: Ich habe mir zwischenzeitlich 2 Rescue-CDs gebrannt: Kaspersky Rescue 10 und von F-Secure.

Warum interessieren dich jetzt Rescue-CDs?
Was willst du jetzt? Bereinigen oder Image zurückschreiben?

Zitat:

Hast Du eine Idee, woran das sonst liegen könnte??

Steht doch da

Zitat:

Bei beiden Programmen habe ich nach dem Start das Problem, dass ein Update der Virendatenbank nicht möglich ist, da anscheinend der Netzwerktreiber nicht zur Verfügung steht.

Zitat:

Ich habe das Notebook dann neu im abgesicherten Modus nur mit Netzwerktreibern gestartet.

???

Was bitte hat die Rescue-CD mit dem abgesicherten Modus von Windows zu tun?

Wenn du von der Rescue-CD startest, startest du doch nicht dein Windows!

Hallo cosinus,

Was bitte hat die Rescue-CD mit dem abgesicherten Modus von Windows zu tun?

Ein anderere Anwender hatte dieselben Probleme mit der Rescue Disk von Kaspersky im Forum erläutert. Du hattest ihm dann den Vorschlag gemacht, erst einmal in den abgesicherten Modus von Windows zu gehen und zu schauen, ob das Netzwerk dann funktioniert (die Kommunikation wurde danach nicht weitergeführt). Daher hatte ich den von Dir empfohlenen Schritt schon vor meiner Frage an Dich durchgeführt.
Daher war meine weiterführende Frage an Dich, ob Du für den unter der Rescue-Disk nicht funktionierenden Netzwerkadapter (der im abgesicherten Modus von Win7 funktioniert) eine Lösung parat hast.

Nochmal: was willst du mit dieser Rescue-CD? Umfangreiche Analysen willst du doch nicht?

Angenommen du willst die Kiste hier bereinigen machen wir das in über 99% der Fälle ohne solche Rescue-CDs

Warum Kaspersky deinen Netzwerkadapter nicht erkennt weiß ich nicht


Und jetzt bitte endlich mal eine klare Ansage: was willst du jetzt machen?! Bereinigung oder Image zurückschreiben?