Externes Medium RICHTIG überprüfen und desinfizieren
 

Hallo liebe Forengemeinde,
ich bin der Neue ;) und das wird dann wohl mein erster post/Frage…

Ich habe die Foren-Regeln gelesen und versuche sie natürlich auch umzusetzen.


Zum Thema:

Ein Freund von mir, im übrigen ein noch größerer PC-Noob wie ich,
Hat seinen Laptop nicht gerade geschont und ihm im Laufe der Zeit
Immer mehr mit „Schadsoftware“ zu gemüllt.
Dieses Problem haben wir einfach gelöst in dem wir das System
neu aufgesetzt und die hier im Forum aufgezählten Sicherheitstipps und Richtlinien umgesetzt haben.

Jetzt zum eigentlichen Problem,
er besitzt eine Externe Festplatte die natürlich auch immer
am Infizierten System angeschlossen war,
auf der sich persönlich und materiell wichtige Daten befinden
die man sich leider nicht mehr oder nur sehr schwierig
wider beschaffen könnte.
Also fällt formatieren leider schon mal weg.

Wie ich hier gelesen habe soll man eigentlich keine Ausführbare-Dateien sichern und mit auf das neue System nehmen,
aber wie schon oben beschrieben müssen wir es leider so weit wie möglich.

Der Inhalt der Festplatte:

Eine MP3 Sammlung ca.200GB
Bilder ca.50GB
Schul/Firmen Dokumente und Programme ca.50GB

Daher meine Frage wie man ein Externes Medium richtig überprüft
und desinfiziert.
Um so weit wie es geht, wider sagen zu können die Platte ist sauber.

Anstatt von Anfang an hier zu posten war ich leider etwas voreilig
und habe mit Malwarebytes einen Suchlauf gestartet der zwei Infizierte Register-Schlüssel gefunden hat die ich gleich habe entfernen lassen.

Desweitern will ich noch erwähnen das mir ein Netbook (SamsungNC10)
Mit Samsung Recoversolution zu Verfügung steht
was mir ermöglicht innerhalb von 15min
wieder zu einem „frischen“ System zu gelangen.

(leider ist aber auch dies der Grund warum ich das Malwarebytes Log-File nicht mehr habe und keine genauen Angaben
über die infizierten Register-Schlüssel geben kann)



Sollte ich eine Anleitung übersehen oder eine Regel nicht beachtet haben
Bitte ich euch mich darauf hin zu weisen,
mit freundlichen Grüßen und besten dank im Voraus… FDZDS

Hallo und :hallo:

Wozu? Programmsetups kann man sich eigentlich alle aus einer vertrauenswürdigen Quelle neu herunterladen, Originalversionen wird man ja wohl auf CDs liegen haben.

Also doch die wichtigen Daten nur reine Datendateien und nichts Ausführbares dabei?

Du meinst Registrierungschlüssel. Die sind mehr oder weniger nur Bestandteil des installierten Windows, aber nicht der externen Platte.
Wenn Du alle ausführbaren Dateien von der ext. Platte gelöscht hast, hast Du im Grunde jede Gefahr eliminiert. Du solltest aber noch drauf achten, dass eine evtl. autorun.inf direkt auf der ext. Platte auch gelöscht werden sollte, manche Schädlinge verbreiten sich per Autorun auf Windows-Systemen, deswegen rate ich grundsätzlich zur Verwendungen von eingeschränkten Rechten und dem Abschalten der Autorunfunktion auf allen Laufwerken:

Autostart auf allen Laufwerken deaktivieren (Windows XP)
Ich empfehle, den Autostart grundsätzlich zu deaktivieren. Falls Du einen verseuchten Stick dransteckst und der Virenscanner erkennt das nicht hast Du den Salat.

Um den zu deaktivieren hab ich mal die noautoplay.reg hochgeladen. Lad das mal auf dem Desktop herunter, führ die Datei aus und bestätige mit ja. Nach einem Neustart des Rechners ist der Autostart auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Autostart auf allen Laufwerken deaktivieren (Windows Vista und höher
Klick auf die Systemsteuerung => Automatische Wiedergabe => auf allen typen "keine Aktion durchführen"

Hey… Danke für die schnelle Antwort :)

Also auf die Programme, Treiber, usw.… Haben wir uns geeinigt
das sie gelöscht werden können.
Auf der Festplatte sind sehr, sehr, sehr viel Unterverzeichnisse und Ordner
in den auch zusammenhanglos irgendwelche Dateien kopiert wurden.

Also suche ich z.B. nach .exe, .dll , usw. per Windows-Suche
auf der Festplatte und lösche sie alle per Hand?!

Was zählt alles als Potenziell-Gefährlich also Ausfürhbare-Datei?
.exe ist mir klar, aber was alles noch?

Habe auch immer gedacht das Dokument- und Audi-Dateien infiziert werden können.

Also habe ich dich richtig verstanden das ich mich um z.B. MP3´s, Microsoft Office Formate, PDF´s, … Nicht kümmern muss?

Was genau versteht man alles unter Datendateien,
ist das jede Datei für die Ich zum verwenden
ein zusätzliches Programm brauche um damit
etwas an fangen zu können/ausführen zu kann?

Also wie gesagt Audi-,Bild-,Textdatein?

Hatte da mal eine eigene Erfahrung mit der Musik-Sammlung einer Freundin,
die ich sortieren wollte.
Ich habe den USB-Stick angeschlossen und mit KIS gescannt,
es wurde nichts gefunden.
Als ich aber dann mit dem Programm „TheGodFather“ die Audiodatein
Ordnete gab mir KIS die Meldung das dass Programm „TheGodFather“
auf ein Potenziell Gefähliches Progamm (Trojaner Downloader oder so ähnlich)
zu greifen will und einen Virus gefunden.
Das war denke ich eine .wav oder .wma Datei

Das verunsichert mich gerade etwas… :confused:

Die Regriestirungschlüssel die auf der Festplatte gefunden worden stammen also vom alten infizierten System und sind auch nicht so tragisch?!


Sorry für die vielen Fragen, ich möchte halt nichts falsch machen… ;)

Danke für den Tipp mir dem Autorun und im Allgemeinen :daumenhoc


Edit: Ja, es handelt sich (so weit ich dich richtig verstanden habe)
nur noch um Datendateien.

Es ist also auch kein Scann und die kommplette Prozedur
wie es bei Betriebssystemen (mit diversen Programmen) gemacht wird nötig?

Löscht am besten alles, was nicht unbedingt notwendig ist.
Bei Wiki gibts es auch noch eine Liste ausführbarer Dateitypen

Das ist prinzipiell möglich, aber auch sehr unwahrscheinlich. In Office-Dokumenten können schädliche Makros enthalten sein, wohl aber nicht in Deinen eigenen Dokumenten.
Ich kenne jetzt so aus dem Stehgreif keine schädliche Musikdatei, aber damit eine Infektion darüber stattfindet, müsstest Du eine speziell präparierte Datei mit einem veralteten Player öffnen - rel. unwahrscheinlich das ganze, während des Ausführen einer schädlichen *.exe sofort zum Befall führt (bei Adminrechten!)

Nein musst Du nicht, das sind ja auch Deine eigenen Dateien!

ich verstehe unter "Datendateien" alles nicht ausführbare wie Dokumente (auch wenn die ausführbare Makros enthalten könnten) Musik, Videos, Bilder.

Das kann ein Fehlalarm gewesen sein oder das Programm war verseucht. Ohne genauen Logs kann ich nichts sagen, nur dass die "eigenen" Musikdateien keine Schadinhalte hatten.

Ohne das Log selbst kann ich nichts zu den Reg-Schlüsseln sagen.

Hi...

So,habe über das Wochenende die Festplatte durchforstet.

Ich habe alle Dateien die in der Liste von Wikipedia standen
über die Windows-Suche auf der Platte gesucht und gelöscht.

Jetzt sind nur noch Audio-,Video-, Textdateien und zwei .iso-Abbilder
auf dem Datenträger die auch wirklich benötigt werden.
Wie sieht es mit den .iso Dateien aus?
Die haben wir selber erstellt, könnte sich nachträglich
eine Schadsoftware in die Dateien schreiben?

Auch noch zwei Fragen zu Makroviren und den Registrierungsschlüssel:

Laut diesen Wikipedia-Artikel: Makrovirus ? Wikipedia
verbreiten sie sich auf andere Dokumente, mit welchem
Programm kann man Textdateien am besten auf solche Viren überprüfen?
Da nicht alle Dateien „Eigen-Dateien“ sind sondern auch von Firmen
und anderen Personen.

Und welchen Stellenwert nehmen die beiden infizierten Registrierungsschlüssel
ein? Sind da weitere Schritte notwendig,
da ich leider das Log-File nicht mehr besitze?!
Ein weiterer Scann mit einem anderen Programm oder abhacken?

Mit freundlichen Grüßen... FDZDS :)

Unwahrscheinlich. Wenn die ISOs aber ersetzbar sind, dann lösch sie.

Textdateien tragen idR keinen virulenten Code mti sich, das sind reine Datendateien. Wenn Du Officedateien hast, die übernommen werden müssen, dann prüf sie mit einem aktuellen Virenscanner. Im Zweifel alles Ersatzbare löschen.

Einen sehr unbedeutenden würde ich sagen, geht aber nicht mit Gewissheit da Du die Schlüssel nicht mehr nennen kannst.

Kay... Dann war´s das denk ich mal...

Ich bedanke mich noch mal für die schnelle und kompetente Hilfe... :daumenhoc

Dir und dem Forum alles Gute, bis zum nächsten mal... ;)




MFG, FDZDS... :D