|
Plagegeister aller Art und deren Bekämpfung: sasser & coWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.05.2004, 02:02 | #1 |
| sasser & co Hallo maspel! </font><blockquote>Zitat:</font><hr />Original erstellt von maspel: 1) ich habe gelesen, es wäre ratsam die systemwiederherstellung zu aktivieren, bevor man manuell sasser entfernt.</font>[/QUOTE]Nur als deutliche Hervorhebung: du meinst hier sicher deaktivieren. </font><blockquote>Zitat:</font><hr />Danach nach der entfernung die systemwiederherstellung wieder aktivieren. Warum sollte man so vorgehen?</font>[/QUOTE]Nun, die Systemwiederherstellung ist eine Funktion, die es dem Nutzer ermöglichen soll, bei einem ggf. beschädtigen System, z.B. nach einer missglückten De-/Installation einer Software (z.B. Treiber), das System wieder in den letzten funktionsfähigen Zustand zurückzuversetzen. Damit dies möglich wird, müssen in gewissen Abständen (automatisch im Hintergrund) Systemwiederherstellungspunkte angelegt werden, die quasi ein Abbild eines funktiosfähigen Zustandes anlegen und abspeichern. In solche Abbilder fallen dann auch Dateien, die sich in den Ordnern Windows und Windows\System32 befinden. Schadsoftwaredateien schreiben sich in der Regel aber eben auch in genau diese Verzeichnise, und werden somit auch in den automatisch angelegten Systemwiederherstellungspunkten erfasst. Das hat den Nachteil zur Folge, dass entweder durch eine automatische oder manuell vom User eingeleitete spätere Systemwiederherstellung auch die Schadsoftwaredateien wiederhergestellt werden, selbst dann, wenn man diese Dateien zuvor gelöscht hatte. Folglich ist es notwendig, nach einem Schadsoftwarebefall alle Systemwiederherstellungspunkte zu löschen. Und dies geschieht eben am einfachsten, indem man die Systemwiederherstellung deaktiviert und dann das System neu startet. Somit werden a) erstmal keine neuen Punkte angelegt, und b) die alten gelöscht. Wurde die offensichtliche Schadsoftware entfernt, kann man die Systemwiederherstellung reaktivieren. Neue Punkte werden aber auch hier erst wieder nach einem weiteren Systemneustart angelegt. </font><blockquote>Zitat:</font><hr />(Es geht lediglich um wissen; selbstverstänglich wäre es vielleicht praktischer z. b. stinger zu verwenden).</font>[/QUOTE]Nein, Stinger hat damit nichts zu tun. Stinger entfernt auch nur wenige Würmer, ist also keinesfalls als "Universal-Entfernungstool" geeignet! </font><blockquote>Zitat:</font><hr />2) Ist es erforderlich sasser im abgesicherten modus zu entfernen oder geht es auch im normalen modus? Erzielt man also auch im normalen modus daselbe ergebnis, oder?</font>[/QUOTE]Das hängt u.a. von der Art der Schadsoftware ab. Generell ist aber eine Entfernung im abgesicherten Modus unproblematischer, da hier Windows mit Minimalkonfiguration gestartet wird. Oftmals wird daher die ein oder andere Malware beim Start im abgesicherten Modus gar nicht aktiv. Ein Beenden laufender Schadsoftwareprozesse über den Taskmanager entfällt so in einigen Fällen. </font><blockquote>Zitat:</font><hr />3) Warum mit einem anti-virus programm mit aktuellen definizionen bekommt man die meldung dass sasser auf dem computer ist, aber wird der wurm nicht von dem antivirus entfernt?Weil vielleicht das prozess aktiv ist?</font>[/QUOTE]Exakt. </font><blockquote>Zitat:</font><hr />Und wenn das prozess deaktiviert wird, kann man mit einem antivirus den wurm entfernen?</font>[/QUOTE]Auch das gelingt nicht immer, z.B. bei speicherresidenter Malware. Der Wurm Sober.a zum Beispiel konnte sogar anfangs von einigen speziellen Entfernungstools nicht entfernt werden, da er sich durch zwei parallel laufende Prozesse vor dem Deaktivieren schützt. </font><blockquote>Zitat:</font><hr />4) Kann man "Stinger" mit neuen definitionen updaten, oder muss man jedes mal das kleine programm herunterladen?</font>[/QUOTE]Stinger ist kein updatefähiges AV-Programm. Es ist nur ein kleines Tool gegen ein paar Würmer. Die Leistungsfähigkeit und Wirkungsbreite von Stinger werden leider zu oft deutlich überschätzt! </font><blockquote>Zitat:</font><hr />Die normale user wie ich, die nicht von fach sind, benötigen auch solche erklärungen, um die sache besser zu verstehen.</font>[/QUOTE]Dann vielleicht noch ein paar Infos zum Schutz [1], denn "Entfernen" von Schadsoftware ist nicht sinnvoll bzw. nicht nachhaltig sicher [2]. [1] http://www.mathematik.uni-marburg.de...ompromise.html [2] http://oschad.de/wiki/index.php/Kompromittierung |
25.05.2004, 10:21 | #2 |
| sasser & co </font><blockquote>Zitat:</font><hr />Original erstellt von mmk:
__________________Folglich ist es notwendig, nach einem Schadsoftwarebefall alle Systemwiederherstellungspunkte zu löschen. </font>[/QUOTE]Hi mmk, Frage...: ist das nicht nur dann notwendig, wenn die Malware auch in der SWH/RESTORE gefunden wird bzw dort vorhanden ist ? (Mal davon ausgegangen, dass der aktualisierte AV-Scanner die Malware erfasst, dann sollte imho auch der entsprechende AV-Guard/Monitor das Ding im RESTORE melden..) Denn es wird afaik ja nicht bei JEDER Änderung sofort ein SWH-Punkt angelegt, oder doch ?? (Hab 2000, daher Wissenslücken diesbzgl..) |
25.05.2004, 11:18 | #3 |
| sasser & co Hallo,
__________________ich möchte auf einmal 4 fragen stellen, die mit sasser und andere würmer zu tun haben. Es ist ein bisschen viel, aber diese einfache fragen beschäftigen nicht nur meine person sondern auch andere normale users. 1) ich habe gelesen, es wäre ratsam die systemwiederherstellung zu aktivieren, bevor man manuell sasser entfernt. Danach nach der entfernung die systemwiederherstellung wieder aktivieren. Warum sollte man so vorgehen? (Es geht lediglich um wissen; selbstverstänglich wäre es vielleicht praktischer z. b. stinger zu verwenden). 2) Ist es erforderlich sasser im abgesicherten modus zu entfernen oder geht es auch im normalen modus? Eigentlich habe ich eine dritte person geholfen, sasser im normalen modus zu entfernen: a) unter "prozesse" avserve.exe ( oder andere varianten) deaktiviert, b) entfernung in C:\win.log...up.exe, c) entfernung in C:\Windows\avserve.exe, d) entfernung in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind ows\CurrentVersion\Run den eintrag "avserve.exe". Erzielt man also auch im normalen modus daselbe ergebnis, oder? 3) Warum mit einem anti-virus programm mit aktuellen definizionen bekommt man die meldung dass sasser auf dem computer ist, aber wird der wurm nicht von dem antivirus entfernt? Weil vielleicht das prozess aktiv ist? Und wenn das prozess deaktiviert wird, kann man mit einem antivirus den wurm entfernen? 4) Kann man "Stinger" mit neuen definitionen updaten, oder muss man jedes mal das kleine programm herunterladen? Ich bedanke mich im voraus und wünsche mir, eine antwort zu erhalten. Die normale user wie ich, die nicht von fach sind, benötigen auch solche erklärungen, um die sache besser zu verstehen. Grüße Maspel |
25.05.2004, 13:12 | #4 |
| sasser & co Hallo mmk: vielleicht ist es nicht sonderlich nett in verschiedene foren dieselbe fragen zu posten. Der einzige grund ist dass ich in der vergangenheit ein großes problem hatte und habe meine frage in einem forum gepostet aber leider keine antwort erhalten. Wenn ich zuvor gewusst hätte, dass ich hier bei trojaner-board eine solche ausführliche antwort auf meine fragen erhielt, hätte nur hier gepostet. Ich fand deine antwortet super, aber ich habe noch eine allgemeinse frage was prozesse angeht: </font><blockquote>Zitat:</font><hr />Und wenn das prozess deaktiviert wird, kann man mit einem antivirus den wurm entfernen?</font>[/QUOTE]Auch das gelingt nicht immer, z.B. bei speicherresidenter Malware. Der Wurm Sober.a zum Beispiel konnte sogar anfangs von einigen speziellen Entfernungstools nicht entfernt werden, da er sich durch zwei parallel laufende Prozesse vor dem Deaktivieren schützt. was die parallele laufende prozesse angeht: wenn man die namen der prozesse bekannt sind, kann man die alle deaktivieren, um in normalen modus oder mit einem antivirus programm die schädlinge zu entfernen? Das frage ich lediglich um zu wissen, ob das klappen wurde. Selbsverständlich ist es ratsam wie du schreibst, das ganze im abges. modus zu machen. Vielen Dank und Schöne Grüße Maspel |
25.05.2004, 15:10 | #5 |
| sasser & co </font><blockquote>Zitat:</font><hr />Original erstellt von maspel: was die parallele laufende prozesse angeht: wenn man die namen der prozesse bekannt sind, kann man die alle deaktivieren, um in normalen modus oder mit einem antivirus programm die schädlinge zu entfernen?</font>[/QUOTE]Leider ist das nicht ganz so einfach, wie man sich das vielleicht vorstellt. Siehe hier: http://www.rokop-security.de/board/i...showtopic=1049 |
Themen zu sasser & co |
abgesicherten modus, antivirus, automatisch, automatische, beenden, computer, dateien, ellung, entfernen, ergebnis, folge, gelöscht, hintergrund, hängt, laufende prozesse, malware, neu, neue, ordner, programm, schutz, software, system neu, system32, taskmanager, treiber, update, voll, windows |