Lernen zu bereinigen - Der Virennotfall ^^
 

Hi, ich weiß das es so ein Thema schonmal gab, habe es per Suchfunktion nichtmehr gefunden...

Ich weiß aber noch das es dort nicht ganz beantwortet wurde.

Wie lerne ich ein Befallenes System zu seubern?
Ich mache derzeit eine Website zur Internetsicherheit. Dort geht es Hauptsächlich darum WIE man denn sich vor Viren schützt. Aber was man macht wenn man sich bereits Infiziert habt weiß ich nicht wirklich.

Natürlich, Online Scan, eScan, malwarebytes, antivir scharf stellen, HiHackThis (kann ich auch auswerten) aber wie z.B diese Scripts für dieses tool, wie hieß es noch..? funktionieren, oder mit z.B Combofix etwas auswerten bzw, logfile erstellen wie mach ich das denn genau?

Außerdem, in welcher reihenfolge sollte man solche tools denn benutzen?

Das würde mich auch mal interessieren, finde ich interesant :)

Ich hatte gestenr auch Jig_Saw sowas ähnliches Gefragt, naja hier ist im Prinzip das selbe, ich hoffe auf antworten :)

könnten denn nicht ein paar leute mal helfen?

Mir reichen links zu seinen wo ich viieeeel darüber lesen kann xD

Warum denn:confused:
Ihr steht mit Tante Google wohl auf Kriegsfuss.

Rama

*recht geb*

Ein bissel Eigeninitiative ist ja wohl nicht zu viel verlangt.

Google ist dein Freund

Tipp geb:
Es gibt in zig Foren sogenannte FAQ oder Leitfaden die sehr interressant sind.;)

Gruß

King

M.E. guter Einstieg: heise Security - 02.11.06 - Der Virendoktor

Das OS zu kennen, sollte nicht schaden. :D

@DaleCooper

Ja das ist ein guter Anfang:daumenhoc:aplaus:

Das ist auch Informativ:
Datenrettung von (möglicherweise) infizierten Datenträgern/Rechnern

und

Leitfaden PC-Sicherheit

Oder einfach das machen bei Virenbefall::killpc:

Gruß

King

Wenn man weiß wie der Feind tickt, ist man schon einen Schritt weiter:

heise Security - Windows Rootkits 2005 - Teil 1
heise Security - Windows Rootkits 2005 - Teil 2
heise Security - Windows Rootkits 2005 - Teil 3

Marc

@Ramazottel
@King Pin
Natürlich google ich,
http://www.google.de/search?hl=de&client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&hs=aFF&q=ComboFix+Scripten&btnG=Suche&meta=

http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=reihenfolge+der+bereinigung

http://www.google.com/search?hl=de&ei=7B2xSaWuIomR_gb5ktirBA&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=Pc+von+viren+s%C3%A4ubern&spell=1

Wie ich einen PC sauberhalte weis ich, wie ich aber ihn sinnvoll (reihenfolge) bereinige finde ich nicht.

Könnte keiner der Profis mal sagen was er so macht wenn er ein system bereinigt?

Das von Chip kenn ich schon fast auswenig und damit kenn ich mich aus. Aber wie bereinigen wenn es passiert ist?

Das mit der Datenrettung hat mir allerdings geholfen.


Also wenn ich immer beiträge lese versuchen die experten den pc erst zu reinigen aber den user auf eine neuinstallation hinzuweisen.

Wenn das stimmen sollte was du sagst müsste es in dem ganzen board hier keinen geben der pc bereinigt da überall nur die antwort kommen würde:
Neuinstallieren


Sehr Informativ und nützlich. Danke aber ich bräuchte noch mehr Infos.

Danke, aber wie schädlinge (jedenfalls wie die meisten) arbeiten weis ich. Nur wie bekommt man Sie aus dem System. Nach welcher reihenfolge geht ihr vor und gibt es da bestimmte tricks?

Wenn man anfängt sich mit Malware zu beschäftigen ist ein grober Überblick wo man in der Registry nach solchen Befällen suchen soll sicherlich ganz gut:
Eine Liste der Orte an denen sich Malware zum Starten einträgt von Tony Klein: A Collection of Autostart Locations - Gladiator Security Forum (englisch)

Eine *zuverlässige* Liste zum Nachschlagen von Autostarteinträgen gibt es hier: Systemlookup

Die Orte an denen siche die Malware abgelegt hat, sieht man dann normalerweise in den Einträgen gleich auch.

lg myrtille

EDIT:
Was wichtig ist und imho in letzter Zeit zu kurz kommt ist die Identifikation des Befalls:

1. Welcher Befall wird von welchen Programmen gemeldet, wieso?
2. Sind die Meldungen der Programme korrekt oder Fehlalarme oder nur aus den temporären Dateien -> wenn nicht das erste zutrifft, den PC routinemäßig noch überprüfen, aber nicht drauf bestehen, dass er befallen ist.
3. Welche unbekannten/bösartigen Dateien und Registryschlüssel finden sich auf dem System
4. Kann man anhand der Einträge den Befall genauer identifizieren ->entsprechend bereinigen.
5. Gibt es zu den Dateien/Schlüssel Präzendezfälle: Ist der Bereiniger jemand der weiß was er tut/gibts mehrere Bereiniger die dieselbe Bereinigung durchgeführt haben ->wenn ja die Bereinigung anpassen und übernehmen
6. wenn nein Dateien bei VT prüfen lassen, weitersuchen. Weitere mögliche Symptome kontrollieren ->ANALYSE-Tools anwenden RSIT, Rootkitscanner, etc

und erst wenn man weiß wie man die komplette Infektion bereinigt anfangen etwas zu löschen.

my2cents

Wenn du weißt wie die Schädlinge vorgehen/arbeiten, sollte es ein leichtes für dich sein diese Prozesse wieder rückgängig zu machen. ;)

Nach einer ordentlichen Problembeschreibung -> analysieren -> definieren -> executieren! :kloppen:

Genau sowas habe ich gesucht, vielen Dank!


Jedes Wort mit Gold aufgewogen oder gesteinigt.
Ich weis natürlich nicht wie jeder einzielne Schädling arbeitet. Aber ich weis wie ein z. B. ein Rootkit arbeitet und das der unterschied zu einem Virus oder anderen Schädlingen ist.


Und was muss ich bevor ich anfange zu bereinigen beachten? Also
die Systemwiederherstellung sollte Deaktiviert werden da sich Viren darin einnisten können. Sonst noch wichtige punkte?

Hallihallo,

rein theoretisch müsste man folgende Reihenfolge einhalten, welche aber bei den meisten Viren stark übertrieben ist:

1.) Überprüfung des BIOS
Als erstes, wenn der Computer gestartet wird, wird auf das BIOS zugegriffen. Das BasicInputOutputSystem löst das Dilemma, dass Programme nur ausgeführt werden können, wenn irgendwas sie lädt. Aber wer lädt das erste Programm, das die anderen lädt -> das BIOS. Hierauf können auch Viren gespeichert werden (wenn auch der Speicherplatz extrem begrenzt ist). Um also sicher zu gehen, dass alle weiteren Programme (auch Betriebssystem) richtig funktionieren, sollte dies zuerst überprüft werden.
Ein BIOS kann auch neu beschrieben werden. Scheitert jedoch der Versuch, muss man bei älteren Computern mit festgelötetem BIOS-Chip das ganze Motherboard wegwerfen.

2.) Überprüfung des MBR
Quelle: Wikipedia
Auch hier ist es möglich, dass ein Virus sich einnistet und die Ausführung des Betriebssystems (teilweise) unterbindet.

3.) Überprüfung des Kernels / Rootkit-Viren
Nachdem nun das BIOS initialisiert wurde und der Boot-Loader aktiv wurde, wird nun das Betriebssystem auf der ausgewählten Partition geladen. Wenn sich hier ein Virus einnistet, kann er theoretisch alles tun, verschleiern etc.
Es gibt vier sog. Ringe in der x86-Prozessorarchitektur. Windows benutzt zwei der vier Ringe (0 und 3). Jedoch kann der Kernel (Ring 0) auch verschoben werden und ein Virtual Machine Based Rootkit das Betriebssystem ausführen. Eine Erkennung des Virus ist dann durch das Betriebssystem und darauf laufenden Programmen nicht möglich! Hierfür müssten spezielle Boot-CDs eingesetzts werden. Die meisten Rootkits laufen in Windows in Ring 3 und können z.B. aufgrund der Reaktionszeit einer Anfrage an das Dateisystem erkannt werden (wenn ein Rootkit zwischengeschaltet ist, dauert die Anfrage etwas länger).

4.) Viren auf Anwendungsebene
Diese Viren sind gleichzusetzen mit "normalen" Programmen und können als Prozess erkannt werden. Dies ist die einfachste und am weitest verbreitetste Variante von Viren. Um jedoch einen Virus als einen solchen zu erkennen, muss eine Virendefinition in einem Virenprogramm vorhanden sein und der Virus darf das Antivirenprogramm nicht an dessen Arbeit behindern.

Virendefinitionen:
Wie schon erwähnt, müssen Virendefinitionen vorhanden sein, damit Viren erkannt werden können oder es muss ein Algorithmus vorhanden sein, welches "verdächtiges" Verhalten erkennt. Bei erster Methode ist vor allem die Gefahr der Unvollständigkeit (Viren werden nicht erkannt), bei der zweiten Methode vor allem die Gefahr der False Positives (Fehlalarme).

Hash-Berechnungen:
eine sichere, aber extrem aufwendige Methode der Virenerkennung ist die Berechnung von Hash-Werten (eine Art Fingerabdruck einer Datei), z.B. File Checksum Integrity Verifier für Windows. Ändert sich eine Datei, wird dies erkannt und es kann überprüft werden, ob die Änderungen legitim sind oder durch einen Virus verursacht. Hierbei bedarf es jedoch auch eines enormen Wissens über das Betriebssystem.

Über eine Bewertung würde ich mich freuen. Bin gespannt, ob sich das Fingerwundtippen gelohnt hat ;-)

Grüße
a5cl3p1o5

Nicht jedes Rootkit "arbeitet" gleich, auch wenn es hier oftmals so leicht aussieht -> Treiber ausfindig machen, Treiber deaktivieren und löschen, damit ist meist nicht getan.
Wenn der Coder des Rootkits ein Hook eingebaut hat, sowie weitere Maßnahmen die ein Entfernen unmöglich machen (Änderung des Adminpassworts, Anlegung eines neuen Benutzers etc), dann wird es schon schwieriger!

Der Begriff Sasser sollte dir noch ein Begriff sein ;), und dieser Wurm wurde immer wieder verändert und umfunktioniert das folgendes passierte:

Das Thema ist so komplex, das es eigentlich keine Standardlösung zur Entfernung gibt, es ist immer sehr individuell mit der Bereinigung bei infizierten System.

Wichtige Punkte bei der bereinigung sind imho:
Weißt du genau was das Programm tut, dass du auf dem fremden Recner einsetzt? Hast du es bereits selbst (in einer virtuellen Umgebung) getestet? Hast du geprüft dass deine Anleitung alle wichtigen Einstellungen enthält, auch wenn die Anleitung so bereits von anderen genutzt wird muss sie nicht feherfrei sein.

Sind die benutzten Programme aktuelle? Ein Scan mit veralteter Software wird neue Malware wahrscheinlich übersehen. Das passiert
vor allem wenn user die Software bereits früher installiert hatten.
Ist das Log aktuell

Ist der Rechner sicher genug um während der Bereinigung einer weiteren neuen Infektion vorzubeugen?

Sind die benutzten Programme korrekt installiert? (->wenn HJT zb ausm Temp-Ordner ausgeführt wurde, dann ists Essig mit dem Wiederherstellen von Backups bei Problemen)

SWH würde ich erst zu allerletzt bereinigen: Lieber eine Sicherung mit Malware als gar keine Sicherung.

Wenn das gesamte nicht von Hand gelöscht wird, dann VORHER überprüfen ob die Programme mit dem Betriebssystem kompatibel sind. Sind die genutzen Programme mit bereits installierten /von dir genutzten Programmen kompatibel.

Nach der Bereinigung sollte man noch gucken, dass alle programme aktuell sind und die zur bereinigung installierten programme wieder entfernen.
wahrscheinlich fehlen noch ein paar.. das jetzt so dass was

@heilergott
Prinzipiell stimme ich dir zu. Nur lass die Finger von BIOS. Zum einen läuft auf dem Niveau eigentlich malwaretechnisch nichts mehr. Zum andern ist ein BIOS-Update sehr anfällig für falsche Handhabung.

Es werden sicherlich deutlich mehr BIOS durch falsche Handhabung beim Updaten zerstört als durch Malware...

lg myrtille