Lernen zu bereinigen - Der Virennotfall ^^
 

Hi, ich weiß das es so ein Thema schonmal gab, habe es per Suchfunktion nichtmehr gefunden...

Ich weiß aber noch das es dort nicht ganz beantwortet wurde.

Wie lerne ich ein Befallenes System zu seubern?
Ich mache derzeit eine Website zur Internetsicherheit. Dort geht es Hauptsächlich darum WIE man denn sich vor Viren schützt. Aber was man macht wenn man sich bereits Infiziert habt weiß ich nicht wirklich.

Natürlich, Online Scan, eScan, malwarebytes, antivir scharf stellen, HiHackThis (kann ich auch auswerten) aber wie z.B diese Scripts für dieses tool, wie hieß es noch..? funktionieren, oder mit z.B Combofix etwas auswerten bzw, logfile erstellen wie mach ich das denn genau?

Außerdem, in welcher reihenfolge sollte man solche tools denn benutzen?

Das würde mich auch mal interessieren, finde ich interesant :)

Ich hatte gestenr auch Jig_Saw sowas ähnliches Gefragt, naja hier ist im Prinzip das selbe, ich hoffe auf antworten :)

könnten denn nicht ein paar leute mal helfen?

Mir reichen links zu seinen wo ich viieeeel darüber lesen kann xD

Warum denn:confused:
Ihr steht mit Tante Google wohl auf Kriegsfuss.

Rama

*recht geb*

Ein bissel Eigeninitiative ist ja wohl nicht zu viel verlangt.

Google ist dein Freund

Tipp geb:
Es gibt in zig Foren sogenannte FAQ oder Leitfaden die sehr interressant sind.;)

Gruß

King

M.E. guter Einstieg: heise Security - 02.11.06 - Der Virendoktor

Das OS zu kennen, sollte nicht schaden. :D

@DaleCooper

Ja das ist ein guter Anfang:daumenhoc:aplaus:

Das ist auch Informativ:
Datenrettung von (möglicherweise) infizierten Datenträgern/Rechnern

und

Leitfaden PC-Sicherheit

Oder einfach das machen bei Virenbefall::killpc:

Gruß

King

Wenn man weiß wie der Feind tickt, ist man schon einen Schritt weiter:

heise Security - Windows Rootkits 2005 - Teil 1
heise Security - Windows Rootkits 2005 - Teil 2
heise Security - Windows Rootkits 2005 - Teil 3

Marc

@Ramazottel
@King Pin
Natürlich google ich,
http://www.google.de/search?hl=de&client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&hs=aFF&q=ComboFix+Scripten&btnG=Suche&meta=

http://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=reihenfolge+der+bereinigung

http://www.google.com/search?hl=de&ei=7B2xSaWuIomR_gb5ktirBA&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=Pc+von+viren+s%C3%A4ubern&spell=1

Wie ich einen PC sauberhalte weis ich, wie ich aber ihn sinnvoll (reihenfolge) bereinige finde ich nicht.

Könnte keiner der Profis mal sagen was er so macht wenn er ein system bereinigt?

Das von Chip kenn ich schon fast auswenig und damit kenn ich mich aus. Aber wie bereinigen wenn es passiert ist?

Das mit der Datenrettung hat mir allerdings geholfen.


Also wenn ich immer beiträge lese versuchen die experten den pc erst zu reinigen aber den user auf eine neuinstallation hinzuweisen.

Wenn das stimmen sollte was du sagst müsste es in dem ganzen board hier keinen geben der pc bereinigt da überall nur die antwort kommen würde:
Neuinstallieren


Sehr Informativ und nützlich. Danke aber ich bräuchte noch mehr Infos.

Danke, aber wie schädlinge (jedenfalls wie die meisten) arbeiten weis ich. Nur wie bekommt man Sie aus dem System. Nach welcher reihenfolge geht ihr vor und gibt es da bestimmte tricks?

Wenn man anfängt sich mit Malware zu beschäftigen ist ein grober Überblick wo man in der Registry nach solchen Befällen suchen soll sicherlich ganz gut:
Eine Liste der Orte an denen sich Malware zum Starten einträgt von Tony Klein: A Collection of Autostart Locations - Gladiator Security Forum (englisch)

Eine *zuverlässige* Liste zum Nachschlagen von Autostarteinträgen gibt es hier: Systemlookup

Die Orte an denen siche die Malware abgelegt hat, sieht man dann normalerweise in den Einträgen gleich auch.

lg myrtille

EDIT:
Was wichtig ist und imho in letzter Zeit zu kurz kommt ist die Identifikation des Befalls:

1. Welcher Befall wird von welchen Programmen gemeldet, wieso?
2. Sind die Meldungen der Programme korrekt oder Fehlalarme oder nur aus den temporären Dateien -> wenn nicht das erste zutrifft, den PC routinemäßig noch überprüfen, aber nicht drauf bestehen, dass er befallen ist.
3. Welche unbekannten/bösartigen Dateien und Registryschlüssel finden sich auf dem System
4. Kann man anhand der Einträge den Befall genauer identifizieren ->entsprechend bereinigen.
5. Gibt es zu den Dateien/Schlüssel Präzendezfälle: Ist der Bereiniger jemand der weiß was er tut/gibts mehrere Bereiniger die dieselbe Bereinigung durchgeführt haben ->wenn ja die Bereinigung anpassen und übernehmen
6. wenn nein Dateien bei VT prüfen lassen, weitersuchen. Weitere mögliche Symptome kontrollieren ->ANALYSE-Tools anwenden RSIT, Rootkitscanner, etc

und erst wenn man weiß wie man die komplette Infektion bereinigt anfangen etwas zu löschen.

my2cents

Wenn du weißt wie die Schädlinge vorgehen/arbeiten, sollte es ein leichtes für dich sein diese Prozesse wieder rückgängig zu machen. ;)

Nach einer ordentlichen Problembeschreibung -> analysieren -> definieren -> executieren! :kloppen:

Genau sowas habe ich gesucht, vielen Dank!


Jedes Wort mit Gold aufgewogen oder gesteinigt.
Ich weis natürlich nicht wie jeder einzielne Schädling arbeitet. Aber ich weis wie ein z. B. ein Rootkit arbeitet und das der unterschied zu einem Virus oder anderen Schädlingen ist.


Und was muss ich bevor ich anfange zu bereinigen beachten? Also
die Systemwiederherstellung sollte Deaktiviert werden da sich Viren darin einnisten können. Sonst noch wichtige punkte?

Hallihallo,

rein theoretisch müsste man folgende Reihenfolge einhalten, welche aber bei den meisten Viren stark übertrieben ist:

1.) Überprüfung des BIOS
Als erstes, wenn der Computer gestartet wird, wird auf das BIOS zugegriffen. Das BasicInputOutputSystem löst das Dilemma, dass Programme nur ausgeführt werden können, wenn irgendwas sie lädt. Aber wer lädt das erste Programm, das die anderen lädt -> das BIOS. Hierauf können auch Viren gespeichert werden (wenn auch der Speicherplatz extrem begrenzt ist). Um also sicher zu gehen, dass alle weiteren Programme (auch Betriebssystem) richtig funktionieren, sollte dies zuerst überprüft werden.
Ein BIOS kann auch neu beschrieben werden. Scheitert jedoch der Versuch, muss man bei älteren Computern mit festgelötetem BIOS-Chip das ganze Motherboard wegwerfen.

2.) Überprüfung des MBR
Quelle: Wikipedia
Auch hier ist es möglich, dass ein Virus sich einnistet und die Ausführung des Betriebssystems (teilweise) unterbindet.

3.) Überprüfung des Kernels / Rootkit-Viren
Nachdem nun das BIOS initialisiert wurde und der Boot-Loader aktiv wurde, wird nun das Betriebssystem auf der ausgewählten Partition geladen. Wenn sich hier ein Virus einnistet, kann er theoretisch alles tun, verschleiern etc.
Es gibt vier sog. Ringe in der x86-Prozessorarchitektur. Windows benutzt zwei der vier Ringe (0 und 3). Jedoch kann der Kernel (Ring 0) auch verschoben werden und ein Virtual Machine Based Rootkit das Betriebssystem ausführen. Eine Erkennung des Virus ist dann durch das Betriebssystem und darauf laufenden Programmen nicht möglich! Hierfür müssten spezielle Boot-CDs eingesetzts werden. Die meisten Rootkits laufen in Windows in Ring 3 und können z.B. aufgrund der Reaktionszeit einer Anfrage an das Dateisystem erkannt werden (wenn ein Rootkit zwischengeschaltet ist, dauert die Anfrage etwas länger).

4.) Viren auf Anwendungsebene
Diese Viren sind gleichzusetzen mit "normalen" Programmen und können als Prozess erkannt werden. Dies ist die einfachste und am weitest verbreitetste Variante von Viren. Um jedoch einen Virus als einen solchen zu erkennen, muss eine Virendefinition in einem Virenprogramm vorhanden sein und der Virus darf das Antivirenprogramm nicht an dessen Arbeit behindern.

Virendefinitionen:
Wie schon erwähnt, müssen Virendefinitionen vorhanden sein, damit Viren erkannt werden können oder es muss ein Algorithmus vorhanden sein, welches "verdächtiges" Verhalten erkennt. Bei erster Methode ist vor allem die Gefahr der Unvollständigkeit (Viren werden nicht erkannt), bei der zweiten Methode vor allem die Gefahr der False Positives (Fehlalarme).

Hash-Berechnungen:
eine sichere, aber extrem aufwendige Methode der Virenerkennung ist die Berechnung von Hash-Werten (eine Art Fingerabdruck einer Datei), z.B. File Checksum Integrity Verifier für Windows. Ändert sich eine Datei, wird dies erkannt und es kann überprüft werden, ob die Änderungen legitim sind oder durch einen Virus verursacht. Hierbei bedarf es jedoch auch eines enormen Wissens über das Betriebssystem.

Über eine Bewertung würde ich mich freuen. Bin gespannt, ob sich das Fingerwundtippen gelohnt hat ;-)

Grüße
a5cl3p1o5

Nicht jedes Rootkit "arbeitet" gleich, auch wenn es hier oftmals so leicht aussieht -> Treiber ausfindig machen, Treiber deaktivieren und löschen, damit ist meist nicht getan.
Wenn der Coder des Rootkits ein Hook eingebaut hat, sowie weitere Maßnahmen die ein Entfernen unmöglich machen (Änderung des Adminpassworts, Anlegung eines neuen Benutzers etc), dann wird es schon schwieriger!

Der Begriff Sasser sollte dir noch ein Begriff sein ;), und dieser Wurm wurde immer wieder verändert und umfunktioniert das folgendes passierte:

Das Thema ist so komplex, das es eigentlich keine Standardlösung zur Entfernung gibt, es ist immer sehr individuell mit der Bereinigung bei infizierten System.

Wichtige Punkte bei der bereinigung sind imho:
Weißt du genau was das Programm tut, dass du auf dem fremden Recner einsetzt? Hast du es bereits selbst (in einer virtuellen Umgebung) getestet? Hast du geprüft dass deine Anleitung alle wichtigen Einstellungen enthält, auch wenn die Anleitung so bereits von anderen genutzt wird muss sie nicht feherfrei sein.

Sind die benutzten Programme aktuelle? Ein Scan mit veralteter Software wird neue Malware wahrscheinlich übersehen. Das passiert
vor allem wenn user die Software bereits früher installiert hatten.
Ist das Log aktuell

Ist der Rechner sicher genug um während der Bereinigung einer weiteren neuen Infektion vorzubeugen?

Sind die benutzten Programme korrekt installiert? (->wenn HJT zb ausm Temp-Ordner ausgeführt wurde, dann ists Essig mit dem Wiederherstellen von Backups bei Problemen)

SWH würde ich erst zu allerletzt bereinigen: Lieber eine Sicherung mit Malware als gar keine Sicherung.

Wenn das gesamte nicht von Hand gelöscht wird, dann VORHER überprüfen ob die Programme mit dem Betriebssystem kompatibel sind. Sind die genutzen Programme mit bereits installierten /von dir genutzten Programmen kompatibel.

Nach der Bereinigung sollte man noch gucken, dass alle programme aktuell sind und die zur bereinigung installierten programme wieder entfernen.
wahrscheinlich fehlen noch ein paar.. das jetzt so dass was

@heilergott
Prinzipiell stimme ich dir zu. Nur lass die Finger von BIOS. Zum einen läuft auf dem Niveau eigentlich malwaretechnisch nichts mehr. Zum andern ist ein BIOS-Update sehr anfällig für falsche Handhabung.

Es werden sicherlich deutlich mehr BIOS durch falsche Handhabung beim Updaten zerstört als durch Malware...

lg myrtille

@myrtille: Hatte deswegen auch geschrieben, dass der Lösungsweg übertrieben ist und man Gefahr läuft, dass das BIOS (+ Motherboard) kaputt ist.

Und schön, dass Du den Witz in meinem Namen entdeckt hat :Boogie:

Grüße
a5cl3p1o5

Meist bringt es nichts einem User zu erklären was er wie machen soll damit ein Befall rückgängig gemacht wird.
Das würde meißt den Rahmen sprengen und die meißten User überfordern.;)

Wenn du wirklich mal befallen bist kannst du nie 100% sicher sein das der Befall danach weg ist.
Rückstände und/oder eine vielleich geänderte Registry sind immer möglich.
Deswegen bin ich immer dafür nach einem frisch installierten BS(mit allen Sicherheitsupdates)ein Image anzufertigen das man zurückspielen kann.
Sollten Daten von einem Infizierten System noch gebraucht werden dann würde ich diese nur über eine LiveCD sichern.(Mit vorheriger Onlineprüfung)


Gruß

King

Danke! Hab mir alle eure Beiträge auf die Festplatte gespeichert ^.^
und gebe allen n dickes lob. Wenn es hier n danke button geben würde würde ich draufklicken :)

a5cl3p1o5
Danke für die Schreibarbeit, hab mir alles n paar mal durchgelesen!

Ich beschäftige mich jetzt noch näher damit!

Genau sowas wollte ich wissen, danke!

my2cent:

Wenn die User hierher kommen weil die "normalen" AntiViren Programme an ihre Grenzen stießen ist es meist zu spät.
In 90% der Fälle sollte der Betroffene sich von seinem System verabschieden und neuaufsetzen!

@undoreal
Das ist es was ich mit meinem letzten Posting sagen wollte.:party:

In den meisten Fällen ist es schon zu spät für eine wirkliche Rettung.:rolleyes:

Gruß

King

=) Ich wollte dich quasi unterstützen... ;)

Danke.:party:

Dennoch ist ein Neuaufsetzen nicht immer zwingend erforderlich.

Leider wird dem hilfe suchendem User das aber als erstes empfohlen.

Man sollte ihm immer die Wahl lassen und beide Wege aufzeigen.
(Wenn man dafür die nötige Erfahrung hat)
;)


Gruß

King

wenn man es wirklich lernen will sollte man an einem englischen board in ausbildung gehen, aber das wird harter tobak und viel zu lernen ;)

Diese Boards unterscheiden bei Bereinigungen leider nicht zwischen machbar und sinnvoll.

Marc

Stimmt so nicht oder besser nicht mehr. Und immer noch besser mit richtig ahnung alles zu versuchen wie ohne Ahnung wahllos tools einzusetzen ;)

Zumindest bis vor einem Jahrwar es gängige Praxis in den einschlägigen Foren keinen Qualitätsunterschied zwischen Spyware und Backdoor zu machen.

Jein. Ich habe in solchen Foren schon gesehen, dass man Backdoorinfektionen "bereinigt" hat, ohne dem User mitzuteilen was überhaupt los ist.

Marc

dass es da verschiedene meinungen zu gibt, backdoor zu bereinigen oder nicht, is ja allseits bekannt, brauch man auch nicht mehr breit zu treten.

dass die user aber nicht mitgeteilt bekommen, dass es sich um einen backdoor handelt wäre mir neu, kam mir bis jetzt noch nicht unter die augen.

und im moment, zb bei der aktuellen, neuen version von virut raten selbst die englischen experten zu format c:

Hi *.*
Ich hab hier n Virtuellen PC. Frisch aufgesetzt XP. Service Pack 1 2 3 noch nicht installiert.

Ich würde jetzt halt gerne mal AV tools testen, versuchen viren zu löschen und diverse scanns auszuprobieren.

Ja, alles ist da nur kein Virus *.*

Wie bekomm ich am besten n Virus oder Trojaner her? Ich weis eine konkrete Antwort mit einer Seite kann mir keiner geben, aber vieleicht eine PN oder irgentwas.

Am besten ein mehr oder weniger Aktueller Trojaner der etwas schwerer zum entfernen ist.

Und sagt nicht ich soll googlen oder meine e-mail im netz verteilen.
Troz c. a. 30 Spam-mails pro tag hab ich nie n trojaner mit dabei, ka warum *.*.
Und in Google findet man nur seiten die vorgeben viren zu haben, aber dann doch keine haben (wollen nur angst machen).

Soo wie bekomme ich nun n Trojaner/virus/malware? Antiviren hersteller anschreiben?


Oder wenn hier keine direkt Antwort drauf geben werden kann, wie testet ihr dass?

besuch doch mal en paar porno-seiten, dann hast du auch ein wenig ablenkung bis die malware da ist, falls du sie überhaupt bemerkst wenn sie auf dem system ist ;)

Hallo

:kloppen:jo da lernt man doch gern;)

Du kannst dir auch zum Spaß Messenger 3 Plus oder Webmediaplayer installieren, wenn du Popups wünscht:rolleyes:, du musst nur alle Bedingungen bei der Installation akzeptieren.
Aber eigentlich sollte ohne Updates eine richtig deftige Infektion nicht lange auf sich warten lassen:p

MFG

oder suche nach Cracks und Keygens im Internet. Installiere Dir Emule ...
Habe neulich ganze 5 Minuten gebraucht bis ich (absichtlich) ein paar Malware eingefangen hatte. Dummerweise konnten die Anti-Maleware-Software die meisten nicht erkennen. War aber ein tolles Training, sie wieder loszuwerden :)

1.) Einfach meine Anleitung befolgen, alles mit Ironie wegdenken.

2.) http://www.trojaner-board.de/71107-m...ink-virus.html. Dort gibt es ein schönes fieses Teil. Bekomme raus, ob es ein Backdoor oder ein Virentool ist.

ciao, andreas

Woher weisst du das so genau?

Suche im Internet nach Serials/Lizenz-Schlüsseln, Cracks und Keygens. Da ist immer was dabei.

Ich habe aber noch 'ne bessere Addresse für dich. Es gibt fertige Malware-Samples mit jeder Menge Spielzeug für dich.

auch haben will :D

@undoreal
Vielen Dank

Weil die nichmal n anhang haben *.* sind zwar lästige spams aber
scheinen ungefährlich zu sein.
@john.doe
Werd ich machen :)

Hab mir jetzt mal e-mule installiert und lade gerade alle files unter ein 1mb runter die ich finden kann und führ se danach aus^^

seltenes hobby :D

Hi, ich hab jetzt mit Viren rumgespielt und konnte von 7 Viren die ich Aktivierte 5 entfernen. ( natürlich nicht ausgeschlossen dass noch reste da sind.)
2 davon konnten weder von Malewarebytes, combofix, gmer, avira, Kapersky onlinescann, escan entfernt werden da sie immerwieder kamen.

Fragt mich nicht nach den namen, weis ich nichtmehr.

Habe mein VIrtuellen PC zurückgesetzt nachdem er sich nach dem Starten eines benutzerkontos von selber wiederabmeldete.

Was kann man in so einem fall tun? Windows CD, reperatur, systemwiederherstellung und Abgesicherter modus brauchen nichts.

PS; Avira Securety Suite Premuim Trial habe ich benutzt. Das is ja so ein Schrott!!! Als ich den PC beim ersten Virus neustartete kamen bevor explorer.exe startete schon c. a. 100 Avira meldungen, die immer gleich waren (irgendeine 28382dll.dll oder so). Die meldung kam so oft das erst nach 15 min klicken der explorer geladen wurde.

Das ist schon hart.

Klingt nach Rootkit?

Dieser Artikel fällt mir da ein:
Die besten Rootkit - Finder

Oder einfach mal Rootkit bei Google eingeben.;)

Gruß

King

Neuaufsetzen.

Was hast du denn erwartet?

Hab einige Rootkitscanner versucht, habe was gefunden aber konnten nichts löschen^^

Mit das ist Hart meinte ich dass wenn man Avira draufhat den Pc kaum noch hochfrahen kann wenn ein virus drauf ist.

Hart ist es, wenn man jedes Bit auf der Festplatte und jeden Schlüssel in der Registry wochenlang von Hand editiert, um nicht ein paar Stunden gemütlich eine Neuintallation hinzulegen :D