Antimalware Doctor - mehrere Fragen (infizierte Datei ausfindig machen)
 

Zuerst einmal mein Betriebssystem:
Windows 7 Ultimate 64bit.

Ich habe hier diese Thema eröffnet weil mein Rechner mit den Antimalware Doctor infiziert ist und ich jetzt unbedingt die Ursprungsdatei ausfindig machen wollte.
Am besten wäre auch wenn ich herausfinden könnte wie ich mich mit diesen Virus infiziert habe.

1. Kann es auch sein dass der Antimalware Doctor durch Java auf meinen Rechner gekommen ist? Ich habe gestern, als ich Meldungen von diesen Antimalware Doctor bekommen habe nichts heruntergeladen und kurz vor den Meldungen habe ich das Javazeichen im Tray gesehen.

Ich wollte meine Systempartition jetzt formatieren um diesen Virus wieder los zu werden aber wollte auch die Ursprungsdatei löschen die eventuell noch auf meinen Rechner sitzt bevor ich Windows neu aufsetze.

2. Ich habe zwei Rechner Zuhause und deshalb meine Frage.
Kann sich der Antimalware Doctor auch über eine Fritzbox ausbreiten?
Und wenn ja, geht das nur wenn der infizierte und der nichtinfizierte gleichzeitig mit der Fritzbox verbunden sind oder kann der nicht infizierte Rechner noch infiziert werden wenn der andere Rechner nicht mehr mit den Internet verbunden ist?

Der saubere Rechner war aus als ich die Antimalware Doctor Meldungen bekommen habe.

3. Reicht es wenn ich die Windows Systempartitionen lösche, um den Virus los zu werden?
Ich habe zwei, Windows 7 Ultimate 64bit und Windows XP 32 bit und eine Partition für alle meine Daten. Letztere wollte ich behalten und nicht formatieren.

4. Wie kann es sein dass mir Kaspersky Internetsecurity 2010 nichts angezeigt hat?

5. Was könnte dieser Antimalware Doctor anrichten?
Oder wofür ist er da?
Sammelt er Passwörter oder sonstiges?
Was haben die Urheber vom Antimalware Doctor davon andere Rechner damit zu infizieren?

6. Könnt ihr anhand dieser Logfiles sehen ob ich noch Viren auf meinen Computer habe? Oder sehen welche Datei mit den Virus infiziert ist?

Ich habe gerade die Exe von Malwarebyte auf den Computer getan und die wurde direkt gelöscht.
Ich weiß nicht ob es Kaspersky war oder dieser Virus. Aber ich tippe eher mal auf den Virus da Kaspersky Malwarebytes auf den anderen Rechner nicht löscht.

Ich habe auch schon eine Systemwiederherstellung versucht, die erfolglos war:
http://s10.directupload.net/images/100720/6lwes8yp.png

Inzwischen habe ich alle Schritte, wie hier beschrieben:
http://www.trojaner-board.de/83172-a...entfernen.html

http://www.trojaner-board.de/69886-a...-beachten.html

befolgt.

Habe als erstes im abgesicherten Modus Malwarebyte Antimalware installiert und die Suche gestartet. Danach habe ich alles gefundene löschen lassen.
Danach habe ich den CCleaner ausgeführt und mit OTL zwei Logdateien erstellt.

Hier sind sie:
OTL Logfile:
OTL EXTRAS Logfile:
--- --- ---

--- --- ---

Und hier die Extras:
OTL EXTRAS Logfile:
--- --- ---

Könnt ihr mir sagen ob mein System jetzt bereinigt ist und mir eventuell noch meine Fragen aus den ersten Post beantworten?
Oder sollte ich besser die Systempartition löschen und Windows 7 neu aufsetzen.

Ich bedanke mich schon einmal im voraus.

Wozu? :confused:
Wenn Du formatierst gehts alles weg, daher ist die vorherige manuelle Löschung bestenfalls überflüssig.

Nein.

Normalerweise ja. Du solltest nur keine ausführbaren Dateien, die vom infizierten System verarbeitet wurden, mehr verwenden, gleich löschen.

Wenn Du Win7 neu installierst, sollte das Setup das bestehende WinXP erkennen und Du solltest auch nach der Neuinstallation WinXP starten können.
Weil Virenscanner prinzipielle Schwächen haben und niemals alle Viren finden können! Neue bzw. bis zu eine Woche "alte" Schädlinge werden mit hoher Wahrscheinlichkeit nicht entdeckt.
Du musst selbst was für Deine Sicherheit tun und darfst Dich nicht blind in (Schein-)sicherheit wiegen, weil Virenscanner und Firewall ja aktiv sind.
Ganz nebenbei => Internet Security Pakete sind nonsens, warum steht hier => Editorial | c't
Was der genau anrichtet wissen wohl nur die Autoren. In erster Linie sollen die "Kunden"/Opfer dieses Fakeprogramm kaufen. => http://www.trojaner-board.de/83172-a...entfernen.html

Und warum postest Du das Malwarebytes-Logfile nicht?

Ich bin zuerst einmal froh eine Antwort bekommen zu haben und bedanke mich ganz herzlich.

Sry, musst mich für total blöde halten.
Ne, dass bei einer Formatierung alles gelöscht wird ist mir klar aber ich wollte nur meine Systempartitionen löschen und die Datenträgerpartition behalten da ich auf ihr Dateien sichern wollte.

Die manuelle Löschung habe ich durchgeführt da ich mein System noch nicht direkt formatieren wollte, da ich mitten in der Woche nicht so viel Zeit hatte.
Aber auch weil ich meine dritte Datenträgerpartition zuerst sauber haben wollte bevor ich Windows neu aufsetze.
Ich kenne mich mit Viren und wie sie funktionieren überhaupt nicht aus.
Ich habe auch von selbstausführenden Dateien gehört und ich habe Angst dass der Antimalware Doctor solche auf meine Datenträgerpartition gespeichert haben könnte. Kann das sein?

Ich habe gar nicht an den Malwarbyteslogfile gedacht. :)
Hier ist der Logfile:
Sry, habe mich doof ausgedrückt.
Ich meinte dass ich drei Partitionen habe.
Eine Partition Win7, eine Win XP (also zwei Systempartitionen) und eine dritte reine Datenträgerpartition.
http://s7.directupload.net/images/100723/57t4f3nb.png
Ich wollte jetzt wissen ob es reicht wenn ich nur die Win7 und die Win XP Partition lösche, die Partition zur Datensicherung aber behalten kann oder ob sich dort auch Viren eingenistet haben können.

Wollte, wenn ich Windows neu aufsetze nur noch Win7 installieren da ich Win XP gar nicht mehr benötige. Ich wollte die zwei jetzigen Systempartitionen dann zu einer Systempartition für Win7 zusammenfassen.

Das verstehe ich nicht ganz. Wie will ich herausfinden welche EXE's von den Virus bearbeitet wurden?
Was meinst du damit? Meinst du dass ich jetzt alle Exe-Dateien löschen muss um sicher zu gehen dass ich den Virus nicht mehr aufn Rechner habe? :heulen:
Ich habe ne ganze Menge ausführende Dateien auf meinen Rechner, die ich eigentlich auf der dritten Partition sichern wollte. Wenn du aber sagst dass sie sicherheitshalber gelöscht werden müssen, werde ich es direkt tun.

Das machen dann wahrscheinlich nur totale PC-Noobs, wie alte Leute. :D

Könntest du noch einmal auf Frage 1 eingehen, das ist einer meiner brennensten Fragen.

Meine Mutter hat in ihrer Arbeit mal einen PC-Spezialisten gefragt wie man den Antimalware Doctor bekommt, der hatte gesagt dass man ihn selbststädig installieren muss und einwilligen muss das Fakeprogramm zu installieren.
Das kann aber wirklich nicht sein, denn wenn ich eine solche Meldung bekommen hätte dann hätte ich bestimmt nicht eingewilligt, mein kleiner Bruder auch nicht.
Ich habe die erste Meldung bekommen als ich am Surfen war, nach kurzer Zeit habe ich das Java-icon im Tray gesehen und kurz danach kam die Meldung von diesen Fakeprogramm dass ich Viren aufn Rechner habe.

Danach habe ich ne Meldung von der Win7-Benutzerkontosteuerung bekommen die mich gefragt hat ob ich Änderungen am System machen will, da habe ich natürlich direkt nein gedrückt und habe den Lanstecker gezogen. (Was das Programm aber nicht daran gehindert hat etwas zu installieren, denn kurz danach erschien aufn Deskop eine Antimalware Doctor-Verknüpfung)
Das erste was ich gemacht habe ist den PC neuzustarten, dann habe ich wieder ne Meldung von den Programm bekommen. Mir ist dann natürlich eingefallen dass ich vergessen habe die Windowsstartprogramme zu überprüfen, dort waren zwei Programme mit Namen aus willkürlichen Zahlen und Buchstabenabfolgen. Dort habe ich dann die Häkchen herausgenommen und habe den PC neugestartet.
Dann habe ich das System um einige Tage zurückgesetzt, was aber nicht ganz funktionierte. (Die Meldung ist ja oben im zweiten Post zu lesen)
Der Antimalware Doctor war dann aber nicht mehr unter Software zu erkennen und dann habe ich mit der Bereinigung des Rechners begonnen.

Kann man den Malwaredoctor nicht über ein Javaupdate bekommen?
Oder ist das Programm nur in anderen Installs integriert, die man vorher heruntergeladen hat?

Der Arbeitskollege von meiner Mutter meinte auch dass man dieses Fakeprogramm nur durch ein neuaufsetzen des System wieder wegbekommt. Ist das war?

zuerst mal: Was genau soll das sein? Was ist eine patch.exe in einem Programm?

Verdammt.
Das ist eine Exe die das Programm patched damit es eine Vollversion wird.
Ich hoffe dass ich jetzt trotzdem Hilfe bekomme. *schäm*
Das wird aber nichts gewesen sein da ich die Exe schon kannte und sie ungefährlich ist.

War mir schon klar, dass das was Illegales ist :pfui:
Da Du eh formatieren willst, kann ich Dir aber Deine Fragen beantworten, nur bereinigt wird dieses System wie es so jetzt ist nicht mehr!


Auf Deine Fragen geh gleich genauer ein.

Kann es sein, dass das Programm schon länger auf meine Rechner war, ich aber nach nen paar Tagen erst ne Meldung von den Programm bekommen habe?
Was meinst du genau damit?

Ich habe Post #4 noch einmal aktualisiert.

Kann es sein dass ich den Virus auch bekommen habe weil die Windowsfirewall aus war? Ich habe nämlich, wie gesagt Kaspersky Inetsecurity und dort ist ja ne Firewall mit drinn.

Kann der Virus eigentlich viel an meinen System geändert haben? Als die Nachricht von der Benutzerkontosteuerung kam habe ich schließlich nicht eingewilligt.

Ok, das klingt noch nachvollziehbar, dass man erst hier und da was löscht, damit man eingermaßen noch arbeiten kann, bis man richtig neu installiert - aber von konsequentem Handeln kann man da leider nicht reden.

Es gibt ausführbare Dateien und nicht ausführbare Dateien. "Selbst ausführend" gibt es nicht, auch wenn manchmal das bescheuerte Konzept von Windows diesen Eindruck vermittelt :lach:
(man denke da an die automatische Wiedergabe, die ja sooo praktisch ist :D )


ja, die kannst Du idR so belassen. Schädliche/Gefährliche Dateien sind normalerweise nur solche, die ausführbaren Code beinhalten. Durch die Neuinstallation der Betriebssysteme hast Du aber die aktiven Schädlinge entfernt. Normalweise ist auch das WindowsXP nicht infiziert, wenn "nur" Dein Win7 befallen wurde.


Ok, das geht natürlich problemlos.
Für den Fall der Fälle solltest Du aber etwaige wichtige Daten auf der Datenpartition aber noch extern sichern. Man kann schnell mal versehentliche die falsche Partition löschen und dann haste den Salat.

Verbreitet wird Antimalware Doctor über 'dubiose Seiten', Cracks, KeyGen und Warez.
Noch Fragen? :rolleyes: :D

Dann hast Du selbst Schuld oder hat Deine Omama den "Patch" installiert? :D

Ich weiß nicht warum Du Dich so sehr auf Java-Updates fixierst oder sollte das ein Ablenkungsmanöver vom Crack sein :balla: :pfui:
Es kommt drauf an, von wo Du das Update herbekommen hast, die Autoupdatefunktion, sofern sie nicht manipuliert wurde, wird Dir garantiert keinen Fakescanner unterschieben!! :kloppen:

Der Patch des GiF-Makers kann eigentlich nichts damit zutun haben da ich diesen auf den neuen Win7 System gar nicht ausgeführt hatte und ich den nur auf ein anderes System, dass nicht infiziert war, ausgeführt habe.

Ich habe an den besagten Tag, an dem ich die Virusmeldung bekommen habe nichts heruntergeladen und auch nichts installiert.

Nein, das soll kein Ablenkungsmanöver sein. Ich möchte nur wissen woher ich diesen Virus bekommen habe. Ich habe auch gesagt dass das Java-Icon, kurz bevor die Meldung vom AMD kam, im Tray war. ich dachte mir nur dass das kein Zufall sein muss. Ich habe auch schon von Viren gelesen die sich über Javaupdate aufn Rechner einnisten und deshalb ist das wirklich eine ernstgemeinte Frage.

Hier noch eine Frage aus einen vorherigen Post:
Der Arbeitskollege von meiner Mutter meinte auch dass man dieses Fakeprogramm nur durch ein Neuaufsetzen des System wieder wegbekommt. Ist das war?

Ich habe im Post #8 noch ein paar Fragen, kannst du mir diese auch noch beantworten?

Kannst du mir das mit den Exe-Dateien auch mal erklären?
Das beunruigt mich jetzt ziemlich.

Danke für die Antworten bisher.

Das wäre durchaus möglich, dennoch ist es allgemein hin bekannt, dass Warez, Crackz und Keygenz im Wesentlichen auch sazu dienen, Schadcode auf die "Kunden" PCs zu schleusen. Das ist dubiose/illegale Software, die man niemals ausführen sollte!

Er hat durchaus recht mit der Aussage, denn ein völlig vertrauenswürdiges System hat man nach einer Bereinigung nicht, das hat man nur nach format c: plus Neuinstallation des OS

Welches Programm? Antimalwaredoctor? Und was genau bringt das, selbst wenn man es klären könnte? :confused:
Ich weiß nicht genau wie Antimalwaredoctor gestrickt ist, aber eigentlich soll das Tool möglichst schnell den potentiellen Kunden die Fakemeldungen zeigen.


Wieso installierst Du Dir Dir KIS und hast anschließend sogar noch Angst, dass die Windows-Firewall aus ist? Wenn Du da schon vorher Zweifel hast, warum benutzt Du das Tool?
Nicht dass KIS was für den Antimalware-Doctor könnte, den hast zweifelsfrei Du oder einer der Mitbenutzer installiert... :rolleyes:
Aber abgesehen davon solltest Du von sowas wie "Internet Security" lieber die Finger lassen => Editorial | c't

Du musst bei jedem Befall von einem Worst-Case ausgehen, d.h. es kann alles verändert worden sein und jedes Passwort ist bekannt. Dementsprechende Maßnahmen musst Du einleiten. Da dank des Cracks hier nicht mehr bereinigt wird...ach Du kennst die Antwort! :rolleyes:

Ich habe jetzt zur Übersicht, für dich, alles nummeriert aber auch weil es dann für mich selbst übersichtlicher ist. :)

Was hast du damit gemeint?

1. Ich möchte nur mal wissen ob es theoretisch möglich ist dass sich der Antimalwaredoctor nur durch den Besuch auf einer Seite auf einen Rechner einnisten kann.

2. Was kann ich in Zukunft tun damit ich mir nicht schon wieder schlimme Viren einfangen kann?

3. Wenn ich ein Benutzerkonto einrichte auf den man keine Software installieren kann, kann man auf diesen Benutzerkonto noch schlimme Viren durch den Besuch von iwie Seiten bekommen?
Ich frage, da ich mir dachte dass man das Benutzerkonto mit weniger Rechten dann zum Surfen benutzen könnte ohne Angst zu haben dass ich meinen Rechner Viren infiziere.

4. Und wenn man solche Viren bekommt, bekommt man alle Viren wieder weg wenn man sein System zurücksetzt?

5. Wie kann ich mein System so einstellen dass es jeden Tag eine Systemsicherung erstellt?
Ich habe nämlich immer nur einen Wiederherstellungspunkt.
Bei Windows XP hatte ich für jeden Tag einen und konnte mein System auf den Stand des Vormonats zurücksetzen.

6. Wenn es so gemeint ist wie ichs verstanden habe und der Antimalware Doctor sich in andere EXE-Dateien einnistet, kann es das auch bei EXE-Dateien die in Winrararchiven verpackt sind? Können auch Iso-Dateien (Image-Dateien) von Malwaredoctor befallen werden?

7. Du meintest dass es keine selbstausführenden Dateien gibt.
Also müsste es doch auch keine Dateien die nur durch's Herunterladen den PC befallen können oder? Man muss doch erst eine Datei ausführen bevor sie den PC infiziert oder?

8. Wie funktionieren denn Viren die den PC nur durch den Besuch von Seite infizieren?

9. Was mich auch noch interessiert ist ob es Viren in Emails gibt die einen nur durchs öffnen infizieren. (also ohne den Anhang zu öffnen)
Da kann ich mir auch nicht erklären wie soetwas funktionieren soll.

10. Kann ich iwie die Datei ausfindig machen die meinen Rechner infiziert hat?

11. Wenn ich das wüsste, dann wüsste ich dass der Virus auf jeden Fall nicht durch eine EXE-Datei auf meinen Rechner gelangt ist, da ich an diesen Tag nichts gedownloaded habe.
Ich dachte mir dass wenn der Virus sich erst später zeigt, dass er dann schlechter zurück zu verfolgen ist und man so nicht herausfinden kann woher man den Virus bekommen hat.

12. Was zeigen denn meine Logs?

13. Was kannst du mir für Tipps geben um mein System sicherer zu machen?

14. Ratest du mir von Inetsecurities nur ab weil ich unnötig mehr Geld ausgebe oder weil sie die Windowsfirewall stören und so den PC unsicherer machen.

15. Können sich Viren die man innerhalb einer Sandbox oder einen Virtuellen Computer bekommt ausbreiten wenn man das Inet nur lokal für die Sandbox einschaltet?
Dann könnte man solche nämlich immer zum Surfen auf unbekannten Seiten nutzen, wenn ich über Google irgendetwas suche.
Und nein, ich suche keine Warez über Google, das wäre mir zu gefährlich.

16. Sollte ich alle meine Passwörter ändern?

17. Wie kann ich Programme deinstallieren ohne die Uninstalls der Programme selbst benutzen zu müssen.
Wenn man dies unter Software machen will, dann erscheint ja immer das Uninstall von den Programm selbst.
Wenn man unter Software, Virensoftware entfernen will dann kann ich mir vorstellen dass es dort nicht möglich ist da dann wieder das Uninstall des Viruses erscheint.

Danke für die Antworten.

Damit meinte ich, dass wir Dein System nicht mehr weiter bereinigen.

ja das ist möglich wenn Du das gelesen hättest => Verbreitet wird Antimalware Doctor über 'dubiose Seiten', Cracks, KeyGen und Warez. Da müssen aber auch bestimmte Grundvoraussetzungen greifen, zB man surft mit Adminrechten und/oder verwundbarem Browser sowie Plugins (Flash, Java,...)

Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Das Risiko ist deswegen weitaus geringer, weil nicht gleich das ganze System infiziert wird und die meisten Schadfunktionen gleich ins Leere greifen!

Wenn Du format c: meinst: ja!

Du möchstest bitte Google bemühen oder eine Backupsoftware legal erwerben und die Anleitung lesen!

Unwahrscheinlich aber nicht unmöglich. Natürlich können auch EXE Dateien in Archiven Schadcode enthalten...

Lies bitte erstmal o.g. Artikel bevor man hier wieder das Rad das 2. Mal erfindet.

Ich weiß, es sind viele Fragen, aber kannst du mir nach und nach noch meine restlichen Fragen aus Post #12 beantworten?

Bisher top, für die ganzen Anworten. Ich bedanke mich noch einmal. :daumenhoc

Ne, so habe ich das nicht gemeint.
Ich meinte ob der Antimalware Doctor EXE-Dateien befällt die vorher Schadcodefrei waren.
Ich frage wegen diesen Satz von dir:
Ich weiß nämlich nicht genau ob ich das richtig verstanden habe.
Soll ich jetzt alle meine EXE-Dateien auf meinen Rechner löschen, von denen ich weiß, dass sie bevor ich mein Rechner mit den Antimalware Doctor infiziert wurde Schadcodefrei waren?

Wenn man doch nichts mehr am System verändern kann, was kann denn dann noch ein Virus machen?

Noch eine Frage.
Kann mein MP3-Player von den Antimalware Doctor infiziert wurden sein als ich ihn eingesteckt habe als der Rechner mit den AMD infiziert war?
Ich habe nämlich alle Programm zur Desinfizierung des infizierten PC's auf einen anderen Rechner heruntergeladen und auf einen MP3-Player gezogen um über diesen dann die Dateien auf den infizierten Rechner zu kopieren.

Fortsetzung:

Es gibt ja auch Sicherheitslücken in Software, die dazu führen, dass Schädlinge automatisch ausgeführt werden können.

Wie oben erwähnt nutzen sie Sicherheitlücken in veralteter Software. Das sind dann aber keine "Viren", sondern Exploits, die widerum verschiedene Sachen machen können, je nach Schweregrad der Lücke und anderen Umständen Ein Szenario: sie starten ein beliebiges Programm (Schadprogramm, mit vollen Rechten), dass zuvor extra heruntergeladen wurde.


Ja gab es zumindest. Manche Mails hatten speziellen HTML-Code, der den IE "angriff" (d.h. Schwachstellen ausnutzte) und Mailprogramme wie Outlook Express nutzen zur Darstellung nunmal den IE.

Nur mit aufwändigen Analysen ala Malwarebytes, manuelles Durchschauen von OTL/GMER/OSAM usw Logfiles. Ob Du es genau an einer Datei ausmachen kannst wage ich aber sehr stark zu bezweifeln - wenn die Infektion erstmal da ist wird so viel im System verändert und nachgeladen, dass Du garnicht genau eine Datei als Ursache benennen kannst (außer Deinen Crack vllt ;) )

Du weißt doch schon längst was Du falsch gemacht hast! Den Crack ausgeführt!
Wenn Du Dir sicher bist, dass es nicht daher kommt, warum bist Du Dir da so sicher?
Wenn Du ständig mit adminrechten herumsurfst ist das schon ein nicht zu verantwortendes Risiko. Ist dann noch nicht die kritische Software wie Java, AdobeReader, Flashplayer und Browser nicht aktuell ist eine Infektion vorprogrammiert! Letztenendes kannst Du also garnicht genau sagen durch was genau die Infektion herkam, man kann aber einige mögliche und wahrscheinliche Ursachen nennen!

Die analysier ich nicht mehr wg des Cracks! Du sollst formatieren! :kloppen:

Lies den Link zum Artikel "Kompromittierung unvermeidbar?"

Siehe c't Editorial "Die Vertrauensbrecher" (hab ich auch längst gepostet!)

Über eine Sandbox bzw. VM ist es schon sehr sicher. Damit was durchsickert müsste ein Schädling aus der VM/Sandbox ausbrechen.
Das Einsetzen einer VM/Sandbox macht aber das grundsätzliche Einhalten der zB von Malte J. Wetz genannten Maßnahmen keinesfalls überflüssig, denn man muss sich konsequent an allen Maßnahmen gleichzeitig halten!

Ja, ist keine Schlechte Idee, hab ich aber auch geschrieben. Du solltest mal auch das aufmerksamer lesen was ich geschrieben habe, dann müsste ich mich nicht so häufig wiederholen!

Wenn Du formatiert hast, sind so erstmal keine Programme mehr installiert :D


Von dem ist soweit nichts bekannt, dass er EXE Dateien befällt, aber Du solltest doch richtig formatieren?! Wenn ja, schmeißt man auch alle potentiell gefährlichen EXE weg oder liebst Du das Risiko?
Was sind denn das für unersetzbare EXE Dateien die Du da hast?

Am System (Systemverzeichnisse (Windows-Ordner, bestimmte Registrybereiche etc) so erstmal garnichts, es sei denn er kann privilege escalation. Davon geh ich jetzt aber nicht von aus. Ansonsten kann ein Schädling prinzipiell auch das verändern, wo der Benutzer, der den Schädling ausführte, Schreibzugriff drauf hat.

Dazu müsste die Autorun-Funktion missbraucht werden. Schalt die automatische Wiedergabe auf allen Laufwerken ab und behandel alle infizierten USB-Sticks etc mit dem FlashDisinfector.

AFAIK befällt der Antimalwaredoctor aber keine externen Laufwerke.

Das ist mir klar. Kannst du mir denn trotzdem die Frage beantworten?

Das heißt dass Sandboxes auch keine 100 prozentige Sicherheit bieten können?
Ich habe mir den Artikel "Kompromittierung unvermeidbar" ganz durchgelesen und habe mittlerweile alle meine Fragen zu diesem Artikel wieder vergessen.
Ich muss den Artikel noch einmal überfliegen.

Warum denn nicht?
Ich werde den Rechner jetzt gleich formatieren.
Warum reicht dir das denn nicht, dass ich hundertprozentig weiß dass der Antimalware Doctor nicht auf diesen Crack stammt?
Ich habe diesen Crack nie unter Win7 ausgeführt.

Auzug aus den Artikel von Malte J. Wetz:
Kann man denn keinen Account so weit beschränken dass er nur Nicht-EXE-Dateien starten kann?
Also ihn so weit zu beschränken dass Viren überhaupt nichts mehr anrichten können?

Ich würde gerne ein Benutzerkonto soweit beschränken dass es es funktioniert wie ein Mediaplayer mit Spielefunktion, ähnlich wie ne Xbox 360.
Bei der kann man ja auch keine Änderungen am System durchführen.

Wnn überhaupt kenn ich nur die manuelle Methode. Also manuelles Löschen aller vom Programm angelegten Objekte im Dateisystem und in der Registry.

Wurde doch schon mehrfach genannt! Wenn illegale Software im Spiel ist machen wir uns hier nicht der Beihilfe schuldig! Auch wir unterliegen dt. Gesetzen und müssen uns daran halten!

Weil jeder alles behaupten kann und der Antimalwaredoctor eben auch über Cracks daherkommen kann.

Ist im Grunde nicht wirklich nötig, aber Du kannst per Rechtverwaltung im NTFS-Dateisystem bestimmten Benutzern und Gruppen das Lesen, Ausführen oder Schreiben auf Dateien verweigern.

Im System darf schon so mit eingeschränkten Rechten nichts verändert werden!
Wenn garnichts verändert werden darf, brauchst Du im Grunde ein Readonly-Dateisystem, sowas was Du von CD startest (Knoppix, PartedMagic usw.)

Schade. Ich finde es nämlich doof dass man die Programme immer über das Uninstall des Programms selbst löschen muss. Aber iwie ergibt das auch Sinn da nur im Uninstall des Programms der Pfad der installierten Dateien vermerkt ist, denke ich mir mal.

Beihilfe? Zu was denn?
Ihr sagt mir doch nicht wie ich ein Spiel cracke oder wo ich mir illegal Filme herunterladen kann.
Aber dass du mir diesbezüglich nicht mehr weiterhelfen willst ist angekommen. :(

Warum ist das denn nicht nötig?
Als Standardbenutzer kann man doch auch noch Viren, Trojaner usw. bekommen.
Hätte sich der Antimalware Doctor auch über einen Standardbenutzer installieren können?
Und wenn ja, hätte man das Schadprogramm dann ganz einfach mit den Administatorkonto löschen können indem man das betroffene Konto löscht?

Das Standardbenutzerkonto ist also so eins wenn ich mich nicht irre.
Es gibt ja z.B diese Autorun-Viren, die sich in der Autorun.exe festsetzen. Ist das mit eingeschränkten Rechten auch nicht möglich?

Ich habe mittlerweile schon vor zwei-drei Tagen den Artikel von Malte J. gelesen. Dort steht dass man unter anderen den Browser so einstellen soll dass er nicht von selber ausführen darf und in einer der verlinkten Seiten steht das hier:
Ironischer Weise stand im Artikel von Malte dass in diesen Link erklärt wird wie man das System so einstellt. In den Artikel steht aber auch nur dass man es so einstellen soll aber nicht wie es geht. :(

Ich bin damit völlig überfordert.
Ich weiß, es ist nicht euer Bereich aber gibt es nicht eine Art Tutorial wie man sein System am besten sichert?

Potenzielle Sicherheitslücken sind ja unter anderen auch Java und Flash. Wie kann ich denn dafür sorgen dass die mir keine Probleme mehr bereiten ohne die zu deinstallieren. Die brauche ich ja für Youtube usw.

Noch einmal vielen Dank für die Antworten.

Worauf willst Du da hinaus? Es ist unter Windows nunmal der übliche Weg, dass man den Uninstaller des Programms aufruft, um es zu deinstallieren. Dafür gibt es eine Auflistung der Uninstaller der Programme in der Softwareliste, ab Vista Programme entfernen.
Unter Linux ist das mit der Paketverwaltung wesentlich besser gelöst, Du kannst ja gern mal eine Linux-Distro Deiner Wahl ausprobieren.

Ich will da keine Sinnlos-Diskussion jetzt anzetteln.
Cracks und andere "dubiose" Software sind nunmal illegal und wenn es hier im TB die genannte Vereinbarung gibt, dann ist diese da. Punkt. Das kannst Du jetzt nicht wegdiskutieren.

Du kannst sie Dir herunterladen, keine Frage. Aber systemweit als eingeschränkter Nutzer zu installieren geht ohne schwere Sicherheitslücken nicht.

Ob der Fake Doctor auch in eingeschränkten Rechten greift kann ich Dir so nicht sagen. Ich habs nicht ausprobiert, aber höchstwahrscheinlich nicht. Ich hab bisher nur Betroffene gesehen, die natürlich ständig mit Adminrechten unterwegs waren. Wenn der AntimalwareDoctor im eingeschränkten Konto aktiv wäre, kann er so erstmal nichts im System machen und mit dem Löschen des Nutzerprofils wär es sehr wahrscheinlich erstmal getan.

Du verwechselst hier was.
Mit einem Readonly-Filesystem meinte ich Betriebssysteme, die von der CD statt von einer Festplatte gebootet werden. Eine CD ist immer schreibgeschützt.
Autorun-Schädlinge sind wieder eine andere Baustelle. Die autorun.inf hält die Informationen bereit, welche Datei bei aktiviertem Autorun automatisch gestartet wird.
Natürlich kann ich mit eingeschränkten Rechten einen Schädling per Autorun ausführen lassen, aber der der daraus entstehende Schaden wird weitaus geringer sein, als wenn ich das gleich mit Adminrechten mache.

Soweit mir bekannt, ist bei keiner aktuellen Desktop-Linux-Distro kein Dienst noch außen hin offen, man muss das manuell installieren/aktivieren. Bei Ubuntu ist das auf jeden Fall so, siehe auch Personal Firewalls ? Wiki ? ubuntuusers.de

Windows ist da deutlich anders. Es sind einige Dienste auch nach außen hin offen, aber seit WinXP SP2 ist zumindest die Windows-Firewall global an, sodass man auch nicht auf einen PC, der direkt im Internet hängt (ohne Router), mal eben so zugreifen kann.

Stand im Grunde alles schon im Artikel von Malte J. Wetz.
Viel manuelle Absicherung war v.a. bis Windows 2000 und XP (SP1) essentiell.
Welches System genau willst Du absichern, was genau ist schon vorhanden, wie machst Du es bisher?

Was meinst du mit Linux-Distro?
Meinst du ein Linux-Betriebssystem?

Das können wohl die wenigsten oder?
Ich denke doch mal dass schwere Sicherheitslücken bei einen täglich geupdateten Windows 7 nicht lange bestehen oder?
Gab es mal schwere Sicherheitslücken die lange nicht geschlossen wurden?

Das beruigt mich, obwohl ich bei einen möglichen Malwarebefall wieder direkt das System neu aufsetzen werde.

Du verwechselst hier was.

Tu ich nicht oder habe ich nicht getan. :)
Ich habe den Text nur falsch abgeteilt. Die Frage mit den Autorunvirus war eine seperate Frage. Ich habe vergessen einen Absatz frei zu lassen.

Ich wusste zwar noch nicht was Readonly-Filesysteme sind aber als du Parted-Magic erwähnt hast schon.
Ich habe Parted-Magic schon zur Installation mehrere OS und zur Partitionierung benutzt.

Ich meinte die Autorun.inf von Windows und nicht die von Externen Medien.
Die gehört doch zum System oder? Ich bin mir nämlich da nicht sicher aber wenn die Autorun.inf zum System gehört dann kann sich unter der Autorun.inf doch kein Virus festsetzen oder?

Kann ich die Autorun.inf nicht ausschalten, also so dass sie keine MP3-Player, USB-Stick und CD's automatisch öffnet?
Ich habe deshalb auch schon gegoogled und gelesen dass wenn man die Autorun.inf ausschaltet dass das Plug an Play-Feature dann auch nicht mehr funktionieren soll, stimmt das?

Ich habe mir den Text noch nicht ganz gelesen, werde ich aber noch machen denn ich wollte dir schnell antworten.

Also wenn ich das richtig verstanden habe sind es die Ports die für zusätzliche Sicherheitslücken sorgen und Windows und andere OS's benötigen nur eine Firewall weil sie standartisiert mehrere offene Ports besitzen. Wie kann ich denn jetzt die Windowsdienste lokal beschränken oder so einstellen dass sie die Ports nur öffnen wenn sie sie benötigen und mich vorher fragen?
Nach Updates suchen kann ich schließlich manuell, am Ende des Tages.

Es gibt ja z.B Viren oder Schadprogramme die einen Rechner nur wegen des Besuches einer Seite infizieren und ich denke dass die auch nur durch offene Ports möglich ist. Die Internetexplorer brauchen doch auch freie Ports, wie sonst könnte man mit ihnen ins Internet?
Über einen Internetexplorer müsste es dann doch möglich sein auch Ubuntu-Systeme zu infizieren.

Es bleibt ja unter anderen auch die Sicherheitslücke mit Java und Flash, wie kann ich die denn schließen?

Ich weiß, du glaubst mir nicht aber ich denke dass mein Rechner nur durch den Besuch einer Seite infiziert wurde daher ist die Wahrscheinlichkeit dass das noch einmal passieren könnte doch hoch.

Meinst du damit dass es nicht nötig ist die ganzen Dienste die offene Ports benutzen zu schließen?

Ich habe mein System mittlerweile neu aufgesetzt.
Ich habe die infizierte Systempartition, also die Windows 7-Partition, gelöscht und auch die Windows-XP-Systempartition, weil ich sie nicht mehr brauchte.
Habe dann diese beiden gelöschten Partitionen zu einer gemacht und Windows 7 Ultimate noch einmal neu installiert. (Jetzt habe ich nur noch zwei Partitionen, eine Systempartition und eine Datenträgerpartition)
Bei der installation habe ich das Administratorkonto mit einen Passwort versehen.
Danach habe ich Windows 7 geupdated und Kaspersky installiert. (Wovon ich mir, in Zukunft wenn die Lizenz abgelaufen ist, nur noch die Antivirenversion kaufe)
Dann habe ich ein zweites Standardbenutzerkonto erstellt, ohne Passwort, zum surfen usw.
Mit den Standardbenutzer habe ich die Programme installiert, via Adminpasswort, hatte dann aber das Problem dass ich mit den angemeldeten Adminkonto nicht alle installierten Programme sehen konnte.
Daraufhin habe ich dann das Standardbenutzerkonto gelöscht und habe ein neues Konto erstellt.
Ab jetzt installiere ich jedes Programm nur unter angemeldeten Adminkonto, der Übersichtlichkeit der Programme wegen.

Ich hoffe, ich nerve dich nicht allzu sehr.
Ich bedanke mich jedenfalls herzlich für deine bisherige Hilfe.

Ich meine sowas wie Privilege Escalation, bei dem der Schädling an höhere Rechte kommt, obwohl mit eingeschränkten Rechten gestartet. Wenn Du gleich alles mit Adminrechten machst, ist das schon die Riesenlücke und der Schädling muss nicht auf eine Privelege Escalation Lücke angewiesen sein, um das gesamte System zu kompromittieren.

Es gibt keine autorun.inf von Windows. Wenn Du was anderes meinst, bitte genauer erklären.

Ja kann man komplett deaktivieren. Unter XP ist ein Kniff in der Registry notwendig, unter Vista und 7 gehts in der Systemsteuerung. Wie das geht kannst Du ja auch mal selbst ergoogeln.

Wenn man unbedingt will, kann man alle unnötigen Dienste beenden, die die Ports öffnen. Siehe Windows-Dienste sicher konfigurieren und abschalten (Windows 7/Vista/XP/2000) - www.ntsvcfg.de - macht aber nur bei Rechnern, die direkt im Internet hängen (ohne Router) bzw. alleinstehend sind, Sinn.
Ist aber wegen der Windows-Firewall ab WinXP SP2 nicht mehr nötig, denn die sorgt dafür, dass die Dienste so nicht erreichbar sind. Wer einen Router verwendet, würde auch ohne die Windows-Firewall auskommen.

Wenn Du nur durch den Besuch einer Seite infiziert wirst, hast Du mehrere Fehler gemacht: Du hast 1. mit veralteter Software, 2. mit Adminrechten 3. wahrscheinlich auf dubiosen Seiten gesurft.

Informormiere Dich bitte über "freie" und offene Ports. Der IE ist kein Dienst der Ports öffnet. Nur Dienste öffnen einen Port, zB ein Webserver, der lauscht dann üblicherweise auf Port 80.
Und den IE gibt es unter Linux nicht. Klar kann man unter Linux auch mit veraltetem Browser eine Infektion hervorrufen, doch das Sicherheitskonzept wird unter Linux deutlich besser und konsequenter umgesetzt. Und außerdem gibt es vllt nur eine Hand voll Schädlinge, die Linux angreifen, ein Exploit, der eine Browserlücke ausnutzt, erwartet da eher ein Windows als Unterbau.

Beide Komponenten ständig aktuell halten. Die Erweiterung NoScript für den Firefox nutzen um nur auf explizit erlaubten Seiten JavaScript, Java und Flash altivieren.


Wenn Du mit Adminrechten auch "Schweineseiten" gehst ist eine Infektion auch nicht unwahrscheinlich! Erst recht nicht, wenn es ein nicht aktueller Firefox oder gar IE ist!

Danke für die weitere Antwort.

Wie meinst du das?
Ich installiere nur Programme als Administrator, wenn ich weiß dass sie sicher sind. Aber ich mache das mit den Administrator auch nur weil ich Probleme mit den Programmen bekomme wenn ich sie unter einen Standardbenutzer installiere. Ich kann dann z.B nicht mehr beeinflussen welche Programme beim Windowsstart ausgeführt werden da ich sie nicht mehr unter MSConfig sehen kann. Wenn ich die Programme allerdings mit den Adminkonto installiere dann kann ich sie bei den Windowsstartprogrammen unter MSconfig sehen.


Dann meine ich nicht die autorun.inf. :crazy:
Gibt es unter Windows keine Datei die die externen Datenträger auf die autorun.inf durchsucht? Ich habe ja, wie gesagt, von den Autorunviren gelesen. Wo setzen die sich denn fest damit die beim Autorun gestartet werden?


Ah, super. Autorunviren können dann bei ausgeschalteter Autorunfunktion nichts mehr anrichten oder?

Meine Firewall war zum Zeitpunkt der Infektion ausgeschaltet und es kann sein dass ich deshalb den Virus bekommen habe.
Ich weiß nicht ob es Kaspersky Inetsecurity bei der Installation macht weil das Programm ja ne eigene Firewall hat aber ich stelle immer die empfohlenen Sicherheitseinstellungen von Windows bei der Windowsinstallation ein und ich habe diese jetzt auch wieder bei der Windows-Installation eingestellt. Als ich aber letztens wieder das Sicherheitscenter geöffnet habe, als du die Firewall angesprochen hast, habe ich gesehen dass die Sicherheitseinstellungen oder mehrere ausgeschaltet waren. Ich habe sie dann aber wieder auf die Empfohlenen zurückgesetzt und die Firewall und die allgemeinen Windowssicherheitseinstellungen sind auch auf empfohlene Einstellungen.
Kann es sein, dass die Kaspersky-Firewall nicht so gut ist wie die Windowsfirewall?

Und kommt Kaspersky mit den Windowssicherheitseinstellungen vlt. in Konflikt wenn ich diese anschalte?

Ich war, als ich den Virus bekommen habe, auf der Suche nach nen paar Bildern von einer Hollywoodschönheit und nein ich habe keine Nudebilder gesucht. Ich habe früher schon nach den Unten-ohne-Bildern von Britney Spears gesucht, als dieser Skandal von ihren Partyeskapaden die Runde machten, und ich habe das jetzt nur gesagt damit du mir auch glaubst und du nicht sagst dass es eine Ausrede von mir ist. Denn warum sollte ich sagen dass ich zu diesen Zeitpunkt keine Nudebilder gesucht habe wenn ich zugebe dass ich soetwas schon einmal getan habe.


1. Ich halte alle meine Software ständig Up to Date.
2. Da hast du recht.
3. Wenn, dann nur unwissentlich denn ich suche nicht unter Google nach Warez. Ich habe wirklich keinen Grund dich in dieser Sache anzulügen da du meine Logs nicht mehr anschaust und ich verlange das auch nicht mehr von dir, da du deinen Standpunkt mehr als klargestellt hast und ich akzeptiere das. Mir sind die Logs mittlerweile auch schon egal weil du wahrscheinlich eh damit nicht klären könntest woher ich den Virus bekommen habe.

Ich benutze Windows 7 ja nur weil ich ein Gamer bin aber ich brauche auch MS-Office und diverse andere Programme die dann wahrscheinlich unter Linux nicht laufen.
Ich würde auch auf Linux umsteigen und Windows dann nur zum Zocken benutzen, wenn es halt kompatibler mit zahlreichen Programmen wäre.


Meinst du dass ich manuell nach Updates von Java und Flash gucken soll? Oder meinst du dass ich die Autoupdatefunktion dieser Programme einschalten soll, wenn das überhaupt möglich ist.

Ich lade mir dann mal No Script herunter und gucke ob ich damit zurechtkomme.

Was meinst du mit Schweineseiten? Die meisten Benutzer surfen mit Adminrechten da sie es, wie ich, nicht besser wissen. Aber ich weiß es ja mittlerweile besser, habe aber deshalb jetzt Probleme mit den Benutzerkonten klar zu kommen.
Ich aktualisiere meinen Firefox auch immer und den IE benutze ich nicht, weil er langsamer und auch unsicherer ist weil die meisten Exploits für IE entwickelt werden. Es kann aber auch sein dass ich zu dieser Zeit Google Chrome benutzt habe. Ich bevorzuge aber den Firefox.

Durch Privilege Escalation kann durch einen Fehler in einer (veralteten) Software, ein Exploit, der nicht mit Adminrechten gestartet wird, doch an Adminrechte kommen. => Privilege escalation - Wikipedia, the free encyclopedia

Windows hat standardmäßig den autorun aktiv und wenn jetzt zB eine CD eingelegt wird, bei der die autorun.inf drauf ist, wird das gemacht, was in ihr steht.
Du kannst die automatische Wiedergabe aber komplett deaktivieren.

Eine Firewall hat nicht die Aufgabe, Vireninfektionen zu verhindern oder Viren zu erkennen.
Durch die deaktivierte Firewall wären aber rein theoretisch einige Dienste auf Deinem Rechner erreichbar, es muss aber nicht zwingend zu einer Infektion kommen. Nur dann wenn es wieder solche Würmer wie den Sasser und zusätzlich eine bekannte Lücke in den erreichbaren Diensten auf Deiner Windows-Kiste.

Ich rate von anderen Firewalls ab, da diese meist kontraprduktiv sind. Hast Du meinen Link zum c't Editorial nicht gelesen?

Ob die Autoupdatefunktion von Java und Flash so zuverlässig ist, weiß ich nicht genau. Du solltest daher immer mal manuell noch nachschauen. AFAIK warnt der Firefox, wenn AdobeFlash nicht aktuell ist, aber besser ist es immer manuell nachzuschaune. Behilflich sein kann Dir dabei das Secunia-PSI Tool => PSI - Consumer - Products

http://s5.directupload.net/images/100731/ja7wfq3l.png

Mein Englisch ist sehr schlecht daher ist der Wikipediaartikel nicht unbedingt hilfreich aber ich denke den Fachkram würde ich sowieso nicht verstehen.
Du hast ja extra das "Veraltet" umklammert, das kann doch auch trotzdem bei neuer Software passieren oder nicht?
Welche Software meinst du denn auch damit?
Windowssoftware? Windows aktualisiert nämlich immer sobald updates vorhanden sind. Mein Windows ist also immer so aktuell wie es geht.

Können denn so Autorunviren noch etwas anrichten? Also wenn die Autorunfunktion aus ist?

Eine Firewall hat nicht die Aufgabe, Vireninfektionen zu verhindern oder Viren zu erkennen.
Durch die deaktivierte Firewall wären aber rein theoretisch einige Dienste auf Deinem Rechner erreichbar, es muss aber nicht zwingend zu einer Infektion kommen. Nur dann wenn es wieder solche Würmer wie den Sasser und zusätzlich eine bekannte Lücke in den erreichbaren Diensten auf Deiner Windows-Kiste.


Wohl, ich habe den Artikel gelesen daher habe ich auch Benutzerkonten erstellt.
Ich habe ihn von Anfang bis zum Fazit gelesen und habe mir auch einige Links angeschaut die mir dann aber auch nicht unbedingt geholfen haben.

Edit:
Du meinst diesen Artikel:
hxxp://www.heise.de/ct/artikel/Editorial-925724.html

Ich bin schon zweimal auf den Link gewesen und der Artikel wurde mir nicht angezeigt. *verwirrt*
Jetzt aber schon, ich lese ihn mir direkt.

Hast du die anderen Fragen ignoriert oder wolltest du später darauf antworten?

Edit:
Ich komme mit No Script absolut nicht klar.
Meine Mutter wollte schon eine Mail auf GMX.net schreiben, wurde aber durch No Script daran gehindert.
Mein Bruder wollte iwie so ein farmvilleänliches App auf seinen SchülerVZ-Account spielen und das ging ebenfalls nicht.
Und das obwohl ich die besagten Websites mit No Script erlaubt habe. Das habe ich gemacht indem ich auf die Einstellungen gegangen bin und habe dann auf SchülerVZ erlauben gedrückt. Als das nicht ging, habe ich alle Seiten darüber auch erlaubt und es ging immer noch nicht.
Mein Bruder konnte dieses Spiel erst spielen als No Script wieder deinstalliert war.
Ich möchte No Script aber zur Sicherheit haben. Was mache ich damit falsch?

Noch einmal Danke für die Antwort.

Was Du bei NoScript siehst, sind die URLs, die mehr oder weniger in der aktuellen geöffneten Seite "eingebettet" sind. Leider kann man nicht pauschal sagen, dass eine Seite funktioniert, wenn Du diesen und jeden Eintrag auch erlaubst, idR funktionieren die Seiten zum Angucken auch ohne JavaScript, einige komplett nicht. Muss man ein wenig ausprobieren. Seine "Stammseiten" hat man aber schnell raus und wenn man mal 1x eine Seite besucht, die man voraussichtlich nie wieder besuchen wird reicht es evtl aus, wenn man garnichts erlaubt oder nur temporär erlaubt.

Ich hab damit keine Probleme. Bei manchen Seiten muss man mehr als nur die Hauptseite aktivieren. Evtl. dann die Seite neu laden.

Könnte auch bei "neuer" Software passieren, sofern eine entsprechende Lücke vorhanden ist. Passiert aber AFAIK sehr selten, überhaupt das Privilege Escalation.
Deshalb ist ja auch der Rat da, dass man Programme von Herstellern mit schlechter Sicherheitspolitik meiden soll. Ich will nicht behaupten, dass beim AdobeReader PE möglich war, aber Ende 2009 wurde eine Lücke im Reader bekannt und Adobe ließ sich einige Wochen Zeit für den Fix, nur so als Beispiel für die schlechte Sicherheitspolitik.

Die können im Grunde alles anrichten. Betrachte infizierte USB-Sticks, durch aktiven Autorun können beliebige *.exe oder so ausgeführt werden. Erkennt der Virenscanner keinen Schädling, weil noch zu neu bzw. unbekannt, hat man den Salat.

Welche Fragen? :confused: