Moin

Durch eigene Dummheit habe ich mein System mit dem Win32/Fynloski.A Virus infiziert. Der Virus enthält anscheinend eine Variante der DarkComet Remote Access Tools.

Ich habe soweit laut Internet alles entfernt aus der Registry, mein Virusscanner schreit auch nicht mehr bei jedem Rechner Neustart, und wenn ich mit dem Process Explorer meine laufenden Prozesse ansehe sehe ich da ebenfalls nichts auffälliges mehr. Ich habe mein System vollständig mit dem MSE und Bitdefender gescannt, dazu ausserdem noch mit Hitman Pro, was anscheinend auch Rootkits erkennen sollte. Der Autor deR DarkComet RAT hat auch ein tool erstellt, mit dem man seine Software entfernen kann, auch die habe ich laufen lassen und nichts gefunden.

Die Scans kamen alle sauber zurueck, auch HijackThis sieht soweit sauber aus, ich poste aber das log dennoch mal in einem Spoiler.

Jetzt die Frage, kann ich davon ausgehen dass mein System wieder sauber ist? Mir ist klar dass eine Neuinstallation die sauberste Lösung wäre, das wäre aber im Moment ausgesprochen unguenstig und ich wuerde es sehr gerne vermeiden das zu machen.

Danke schonmal im Voraus.

Hier noch das HijackThis log, vielleicht hab ich ja noch etwas uebersehen.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:45:24, on 2012-03-14
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
D:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe
D:\Program Files (x86)\Backup Agent\ExtremeSyncService.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
C:\Users\Marcel\AppData\Roaming\Dropbox\bin\Dropbox.exe
C:\Program Files (x86)\ekort\ekort.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Windows\SysWOW64\OBroker.exe
C:\Program Files (x86)\Razer\BlackWidow\BlackWidowTray.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe
C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe
D:\Program Files (x86)\Skype\Phone\Skype.exe
D:\Program Files (x86)\EVEMon\EVEMon.exe
E:\Program Files (x86)\Steam\Steam.exe
E:\Games\World_of_Tanks\WOTLauncher.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Marcel\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:Tabs
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: e-kort Helper Class - {9065E913-4F23-4B47-9B5D-B055D32DB1F3} - C:\Program Files (x86)\ekort\EKortHelper.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Microsoft Web Test Recorder 10.0 Helper - {DDA57003-0068-4ed2-9D32-4D1EC707D94D} - C:\Program Files (x86)\Microsoft Visual Studio 10.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderB arBHO100.dll
O2 - BHO: SimpleAdblock Class - {FFCB3198-32F3-4E8B-9539-4324694ED664} - C:\Program Files (x86)\Common Files\Simple Adblock\SimpleAdblock.dll
O3 - Toolbar: e-kort Toolbar - {8DB2B2E8-579F-48A8-A496-18FEFCF8F4DF} - C:\Program Files (x86)\ekort\EKortToolbar.dll
O4 - HKLM\..\Run: [e-kort] C:\PROGRA~2\ekort\ekort.exe /dontopenmycards /Autostart
O4 - HKLM\..\Run: [KeePass 2 PreLoad] "C:\Program Files (x86)\KeePass Password Safe 2\KeePass.exe" --preload
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [Razer Blackwidow Driver] C:\Program Files (x86)\Razer\BlackWidow\BlackwidowTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Users\Marcel\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [WLSync] C:\Program Files (x86)\Windows Live\Mesh\WLSync.exe /background
O4 - HKCU\..\Run: [ExtremeSync Background Scheduler] "D:\Program Files (x86)\Backup Agent\extremeSyncService.exe" /TIMERASAPP /STARTUP
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O4 - Startup: CurseClientStartup.ccip
O4 - Startup: Dropbox.lnk = Marcel\AppData\Roaming\Dropbox\bin\Dropbox.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {140E4DF8-9E14-4A34-9577-C77561ED7883} (SysInfo Class) - https://s3.amazonaws.com/content.systemrequirementslab.com/global/bin/srldetect_cyri_4.1.72.0_x.cab
O16 - DPF: {40F576AD-8680-4F9E-9490-99D069CD665F} - http://srtest-cdn.systemrequirementslab.com.s3.amazonaws.com/bin/sysreqlabdetect.cab
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} (Creative Software AutoUpdate Support Package 2) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab
O16 - DPF: {E705A591-DA3C-4228-B0D5-A356DBA42FBF} (Creative Software AutoUpdate 2) - http://ccfiles.creative.com/Web/softwareupdate/su2/ocx/20015/CTSUEng.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://ccfiles.creative.com/Web/softwareupdate/ocx/15118/CTPID.cab
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D58C584-0DA8-46E2-B856-17B21DFEE1C8}: NameServer = 8.8.8.8,8.8.4.4
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - E:\Program Files (x86)\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Extreme VSS Service (ExtremeVSSService) - Super Flexible Software Ltd. & Co. KG - D:\Program Files (x86)\Backup Agent\ExtremeVSS.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - C:\Program Files\nHancer\nHancerService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files (x86)\OpenVPN\bin\openvpnserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - D:\Program Files (x86)\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O23 - Service: TabletServicePen - Wacom Technology, Corp. - C:\Program Files\Tablet\Pen\Pen_Tablet.exe
O23 - Service: Wacom Consumer Touch Service (TouchServicePen) - Wacom Technology, Corp. - C:\Program Files\Tablet\Pen\Pen_TouchService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: @C:\Windows\Microsoft.NET\Framework64\v4.0.30128\WPF\WPFFontCache_v0400.exe,-100 (WPFFontCache_v0400) - Unknown owner - C:\Windows\Microsoft.NET\Framework64\v4.0.30128\WPF\WPFFontCache_v0400.exe (file missing)

Es können noch irgendwo Malware-Überreste rumliegen.
Die sind aber entweder harmlos oder führen sich nicht von selbst aus.
Vermutlich ist das System sauber, würde nicht unbedingt neu installieren.

Persönliche Meinung:

Einem einmal kompromittierten System ist nie wieder zu trauen. Daher würde ich in jedem Fall neu installieren, ob's gerade passt oder nicht.

Einem einmal kompromittierten System ist nie wieder zu trauen. Daher würde ich in jedem Fall neu installieren, ob's gerade passt oder nicht.
Meinungen gibts viele, Argumente wären besser.

Warum ist so einem System nicht mehr zu trauen?
Welche geheimen Änderungen am System können einem denn schaden?

Es könnte zum Beispiel ein neues Rootkit drauf sein.

Das könnte auch ohne bemerkten vorigen Malwarebefall drauf sein. ;)

Bin für wöchentliches Neu-Aufspielen des Windows.
Sicher ist sicher!
Windows ist per definitionem unsicher. Get over it.

Meinungen gibts viele, Argumente wären besser

Zählt die Meinung des Betriebssystemherstellers?
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
•Sie können ein gefährdetes System nicht säubern, indem Sie Patches installieren. Mit einem Patch wird lediglich die jeweilige Sicherheitslücke geschlossen. Wenn ein Angreifer einmal in Ihr System eindringen konnte, hat er sich in diesem Zuge sicherlich schon eine Reihe anderer Wege eröffnet, um sich erneut Zugriff zu verschaffen.

•Sie können ein gefährdetes System auch nicht säubern, indem Sie die Hintertüren (die so genannten Backdoors) schließen. Die Tatsache, dass Sie keine Hintertüren mehr finden, bedeutet ggf. nur, dass Sie nicht wissen, wo Sie noch suchen müssen oder dass das System bereits so infiltriert ist, dass das, was Sie sehen, gar nicht mehr dem entspricht, was tatsächlich vorgeht.

•Sie können ein gefährdetes System auch nicht säubern, indem Sie irgendeinen "Schwachstellenentferner" nutzen. Einmal angenommen, Ihr System wurde von Blaster befallen. Zahlreichen Anbieter (u. a. auch Microsoft) haben Tools veröffentlicht, um Blaster abzuwehren. Aber können Sie einem von Blaster befallenen System wirklich wieder vertrauen, nachdem das Tool ausgeführt wurde? Ich täte das nicht. Wenn das System von Blaster befallen wurde, war es auch anfällig für eine Reihe anderer Angriffe. Können Sie garantieren, dass keiner dieser Angriffe erfolgt ist? Wahrscheinlich nicht.

•Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen. Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf. einfach mit einem Tool, das falsche Tatsachen vorspiegelt. Nur wenn Sie garantieren können, dass das System lediglich von einem bestimmten Virus oder Wurm befallen wurde, nur wenn Sie wissen, dass dieses Virus keine Hintertüren installiert hat, und nur wenn die von dem Virus verwendete Schwachstelle nicht von Remotestandorten aus genutzt werden kann, kann das System mit einem Virenscanner gesäubert werden. Beispielsweise wird ein Großteil der E-Mail-Würmer erst aktiviert, wenn der Benutzer den infizierten Anhang öffnet. In diesem speziellen Fall ist es möglich, dass die Infektion des Systems ausschließlich von dem Anhang verursacht wurde, der den Wurm enthielt. Wenn die von dem Wurm verwendete Schwachstelle allerdings ohne Zutun des Benutzers von einem Remotestandort aus genutzt werden konnte, können Sie nicht garantieren, dass diese nur von diesem speziellen Wurm genutzt wurde. In diesem Fall ist es durchaus möglich, dass die gleiche Schwachstellen bereits von jemand anderem genutzt wurden. Und dies bedeutet, dass es mit dem einfachen Patchen des Systems nicht getan ist.

•Sie können ein befallenes System auch nicht säubern, indem Sie das Betriebssystem über die vorhandene Installation neu installieren. Denn auch für diesen Fall verfügt der Angreifer höchstwahrscheinlich über Tools, die dem Installationsprogramm unzutreffende Informationen übermitteln. Und wenn dies passiert, kann das Installationsprogramm die befallenen Dateien möglicherweise gar nicht entfernen. Darüber hinaus kann der Angreifer auch Komponenten des Systems mit Hintertüren versehen haben, die nicht zum Betriebssystem gehören.

•Sie können keinerlei Daten vertrauen, die von einem kompromittierten System kopiert wurden. Nachdem ein Angreifer seinen Weg in das System gefunden hat, können alle hierauf befindlichen Daten geändert worden sein. Im besten Fall erhalten Sie mit dem Kopieren von Daten von einem befallenen System auf ein sauberes System potenziell unzuverlässige Daten. Und im schlimmsten Fall haben Sie eine Hintertür kopiert, die sich in den Daten verborgen hat.

•Sie können auf einem befallenen System auch kein Vertrauen in die Ereignisprotokolle setzen. Denn nachdem sich der Angreifer Vollzugriff auf ein System verschafft hat, ist es für ihn ein Leichtes, Ereignisprotokolle auf diesem System zu manipulieren, um seine Spuren zu verwischen. Wenn Sie sich auf die Ereignisprotokolle als Informationsquelle für die Vorgänge verlassen, die auf Ihrem System ablaufen, lesen Sie ggf. nur das, was der Angreifer Sie lesen lassen möchte.

•Sie können noch nicht einmal der neuesten Datensicherung vertrauen. Woher wollen Sie denn wissen, wann der eigentliche Angriff stattgefunden hat? Auf die Stimmigkeit der Ereignisprotokolle können Sie jedenfalls nicht setzen. Und ohne dieses Wissen ist auch die letzte Datensicherung nichts wert. Möglicherweise stammen die Hintertüren, die sich aktuell auf dem System befinden, sogar aus einer Datensicherung.

•Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren). Alternativ könnten Sie natürlich auch an einer Neuauflage Ihrer Bewerbungsunterlagen arbeiten, aber so weit wollen wir es erst gar nicht kommen lassen, nicht wahr?

•Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren). Alternativ könnten Sie natürlich auch an einer Neuauflage Ihrer Bewerbungsunterlagen arbeiten, aber so weit wollen wir es erst gar nicht kommen lassen, nicht wahr?

Die einzige Möglichkeit^^

@TE und jetzt kommt nämlich eine andere Möglichkeit, die wohl selbst MS nicht bedacht hat, obwohl sie selber hierfür Tools in Win7 eingebaut haben:

Wieso spielst du nicht einfach dein angelegtes Backup wieder zurück? Im Backup noch nicht enthaltene Datendateien kannst du ja vorher noch sichern (notfalls auch unter einer Linux-Live CD, falls man seinem kompromitierten System nicht traut).

Wie, du hast kein Backup angelegt? Dann würde ich mir überlegen meine nächste Investition in eine externe Festplatte, eventuell eine Backup-Software und etwas Zeit zur Einrichtung automatischer Backups zu tätigen.

mfg Oli

Ein Backup bringt wenig, wenn man nicht sicher weiß ob es auch befallen war/ist.

Backup ist eine gute Idee, habe eines vom Tag vor dem Virenbefall, das duerfte wohl soweit reichen. Ich wollte nur sicher gehen dass sich der Aufwand soweit auch lohnt, aber der Grundtenor scheint ja zu sein dass man einem kompromittierten system nicht mehr wirklich trauen kann.

Ein Backup bringt wenig, wenn man nicht sicher weiß ob es auch befallen war/ist.

Da hast du zwar Recht, aber wenn man so rangeht, müsste man sein System theoretisch ja alle paar Wochen neu aufsetzen, denn man weiß ja eigt. nicht, ob das System immer noch unkompromitiert ist oder nicht. Wirklich gute Malware verhält sich nämlich unauffällig und verschleiert seine Aktivitäten. Tätig wird der Nutzer normalerweise immer erst, wenn das System sich auffällig verhält (AV springt an, Abstürze, Fehlermeldungen, Auslastung, geringere Leistung etc).

Fairerweise muss man aber auch sagen, dass solche Spezial-Malware schon eher in den Bereich Geheimdienst und Spionage geht. Die Malware, die man sich auf Otto-Normal Warez-Seite per Drive-Download o.a. einfängt, hinterlässt aufspürbare Infektions- und/oder Aktivitätsspuren. Oft genug will die Malware sogar Aufmerksamkeit erzeugen, um z.B. den Nutzer zu erpressen oder was aufzuschwatzen (ich sag nur Ukash Gema- oder Bundespolizei-Trojaner).

Lange Rede kurzer Sinn, du hast zwar Recht, aber einem alten Backup trau ich immer noch mehr, als einem von Malware bereinigten System. In der Vertrauensstellung drüber steht dann tatsächlich nur noch das "Neu Aufsetzen".

mfg Oli

Also bei mir hat es so immer am besten funktioniert:

(1) Windows im abgesicherten Modus starten (nicht im Standardbetrieb bereinigen!)

(2) Im abgesicherten Modus die Scans durchführen. Hier komplette Scans verwenden von gängigen Antiviriusprogrammen und Antimalwareprogrammen. Z.B. Malwarebytes Antimalware, MSSE, AVAST, AVG Free oder Trialversionen der Vollversionen von Antivirusprogrammen, die es nicht als Freeversion gibt.


Wenn es ganz hart auf hart kommt gibt es auch tonnenweise BootDVDs / CDs zum runterladen mit entspr. Virenscannern.

Zählt die Meinung des Betriebssystemherstellers?
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx


Wenn man selbst Backups nicht benutzen soll/darf, kann man den REchner ja gleich wegschmeissen.
Alles neu installieren, aber keine Dokumente/Daten aus den Backups zurückspielen? wtf?

Was ich mich frage: Wenn ich mehrere Virenscanner von einem externen Bootmedium laufen lasse, dann sollte man doch alle bekannten Viren finden. Oder doch nicht? :confused:

Die Frage ist was du mit dem PC machts wenn du nur Spielst oder ähnliches dann würde ich das neuaufsetzen lassen. Wenn du aber viel Online-Banking machts und auch andere Wichtige Sachen würde ich es aus Pinzip neuaufsetzen :)

Auch auf einem Spiele-PC kann ein Keylogger unangenehm werden, wenn man Onlinespiele spielt. Ich habe jetzt einfach mein Backup vom Tag vor dem Virenbefall wieder eingespielt.

Das lief bis auf gewisse Startschwierigkeiten einwandfrei, die 800GB wurden dank externer USB 3.0 Festplatte in ungefähr 2 Stunden wiederhergestellt.

Damit duerfte das System dann auch wieder sauber sein. Danke an alle fuer die Tipps :)

EDIT: Alle Passwörter die ich während der Zeit genutzt habe sind natuerlich geändert, damit sollte sich das Risiko eigentlich minimiert haben.

Die Frage ist was du mit dem PC machts wenn du nur Spielst oder ähnliches dann würde ich das neuaufsetzen lassen. Wenn du aber viel Online-Banking machts und auch andere Wichtige Sachen würde ich es aus Pinzip neuaufsetzen :)
Und wenn ich nur wenig Online-Banking mache?

Was ich mich frage: Wenn ich mehrere Virenscanner von einem externen Bootmedium laufen lasse, dann sollte man doch alle bekannten Viren finden. Oder doch nicht? :confused:

Bekannte Viren schon. Zumindest einen hohen Anteil. Aber wie soll der Virenscanner irgendwelchen Unsinn erkennen den der Virus oder sonstige nachgeladene Malware auf dem System angestellt hat? Beispiel wäre ein Autorun-Eintrag der eine Datei von einem externen Server runterlädt, die dann den PC wieder infiziert. Das kann der Virenscanner nicht so einfach erkennen, könnte ja auch vom Benutzer gewünschtes Verhalten sein. Das ist nur ein Beispiel, wenn du lange genug drauf rumdenkst fällt dir bestimmt noch mehr ein.

Manche Viren sind sehr gut darin sich zu verstecken. Z.B. hatte ich die Datei, mit der ich mir den Virus eingefangen hatte, durchaus vor dem installieren gescannt mit dem MSE. Gefunden hatte er aber nichts (Upload zu Virustotal oder ähnliches ging nicht wegen Grössenbegrenzung bei Dateien).

Als das Ding dann aber installiert war schlug der Virenscanner fast sofort an, da war es dann aber auch schon zu spät.

Was heißt verstecken? Der Installer war halt in einem Format gepackt, den der Virenscanner nicht kannte - oder er scant bei dir keine gepackten Dateien.

Also gepackte Dateien scannt er auf jedenfall, aber wie das nun genau ging weiss ich natuerlich auch nicht mehr, als ich das Archiv gescannt hatte hat er aber definitiv mehr als nur 1 Datei gescannt. Vorhanden ist die Datei nicht mehr, kann das jetzt also auch nicht mehr nachpruefen.

Mein Wissen ist hier zwar auch etwas begrenzt, aber soweit ich weiss gibt es polymorphe Viren die sich an legitime Software dranhängen können. Das war auch das perfide daran, die Installation hat nämlich durchaus auch die gewuenschte Software installiert, es war nicht nur ein Virus.

Du machst also kein format c?

Du machst also kein format c?

Jein. Ich habe das Backup vom Tag vor dem Virusbefall eingespielt. Das Backup war ein komplettes System Image und das hat die Festplatten vor dem Einspielen durchaus formatiert. Da die externe Festplatte, auf der das Backup liegt zum Zeitpunkt des Virenbefalls nicht angeschlossen war kann ich auch davon ausgehen dass es sauber ist.

Somit ist das System schlicht wieder auf dem Stand von vor dem Virenbefall. Es ist keine richtige Neuinstallation, aber dennoch genug um sicher zu sein dass ich keine Spuren von dem Virus mehr auf dem PC habe.

Jein. Ich habe das Backup vom Tag vor dem Virusbefall eingespielt.

...



Wie konntest Du den genauen Zeitpunkt des Virenbefalls feststellen?

Hoffe, Du verwechselst hier nicht den Zeitpunkt, an dem Du und/oder ein Virenscanner den Virus bemerkt haben, mit dem Zeitpunkt des tatsächlichen Befalls.
Beide können nämlich erheblich voneinander abweichen.

Ein "vernünftig" designter Virus lässt hier eben ausreichend Zeit verstreichen, um so auch in Backups zu gelangen.

Also: Toi, toi toi!

Was ich mich frage: Wenn ich mehrere Virenscanner von einem externen Bootmedium laufen lasse, dann sollte man doch alle bekannten Viren finden. Oder doch nicht? :confused:

Jein, es gibt auch tricky Malware, die den eigentlichen Malware-Code nach dem Windows-Start ausm Internet direkt in den RAM lädt. Dann landet nämlich keine Malware auf die Platte. Problematisch auch: Das Erkennen der "Loader", also die Programme, die die eigentliche Malware runterladen. Per Rootkit-Technik werden diese Loader beim Windows-Start oder davor in Standard-Prozesse von Windows injiziert (z.B. explorer.exe, svchost.exe) und verschleiert. Oder ganz dreist: Es werden einfach ganz normale Windows-Anwendungen als Loader benutzt, gibt ja ne Menge "internetfähige" Prozesse von Windows, die man missbrauchen kann. Ein Scan von außen signalisiert dann nur eine ganz normale Windows-Datei.

Natürlich, irgendeine Änderung muss die Malware am System vornehmen, die sich auch auf der Festplatte manifestiert. Die Frage ist für ein Offline-Scanner dann allerdings, ist das jetzt vom Benutzer gewollt oder von Malware verursacht, und kann der Scanner im Offline-Betrieb diese Änderung am System überhaupt sinnvoll auswerten.

mfg Oli

Wie konntest Du den genauen Zeitpunkt des Virenbefalls feststellen?

Hoffe, Du verwechselst hier nicht den Zeitpunkt, an dem Du und/oder ein Virenscanner den Virus bemerkt haben, mit dem Zeitpunkt des tatsächlichen Befalls.
Beide können nämlich erheblich voneinander abweichen.

Ein "vernünftig" designter Virus lässt hier eben ausreichend Zeit verstreichen, um so auch in Backups zu gelangen.

Also: Toi, toi toi!

Ganz einfach, weil ich genau weiss mit welchem Installer der Virus mitgekommen ist, und wann ich das installiert hatte. Dazu kommt, dass der Virus tatsächlich so nett war und mir einen Eintrag in den Autostart gesetzt hatte, wo man dann natuerlich das genaue Erstellungsdatum sehen konnte.

.. Das Backup war ein komplettes System Image und das hat die Festplatten vor dem Einspielen durchaus formatiert. ...

...alles gut und weitermachen.

Würde mir ab der Stelle keine weiteren Gedanken machen (trotz des Restrisiko).
Schade, dass viele User kein Image von ihrem System pflegen.

Zählt die Meinung des Betriebssystemherstellers?
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

Ob Microsoft da der richtige Ansprechpartner ist?
Sie schaffens ja selber nicht mal, ihren IE, welcher eines der Hauptangriffsziele von Malware ist, zeitnah mit Sicherheitsupdates zu versorgen.
Außerdem bieten sie selbst einen Virenscanner an, der Rootkits entfernen kann.
100%ige Sicherheit gibt es eh nicht.

Außerdem ist der Artikel von 2004. Die Malware hat sich zwar inzwischen stark weiterentwickelt, die Cleaning-Tools aber um so mehr.

Ob Microsoft da der richtige Ansprechpartner ist?

Wen willst du denn sonst fragen? Irgendjemanden hinter einem Pseudonym hier im Forum? Oder jemanden der ein CleaningTool gebastelt hat und deswegen motiviert ist dir das zu empfehlen?

Außerdem ist der Artikel von 2004. Die Malware hat sich zwar inzwischen stark weiterentwickelt, die Cleaning-Tools aber um so mehr.

Genau wie die Virenscanner. Und die helfen damals wie heute auch nicht immer. Im Threadtitel steht "sicher sein".

Wen willst du denn sonst fragen? Irgendjemanden hinter einem Pseudonym hier im Forum? Oder jemanden der ein CleaningTool gebastelt hat und deswegen motiviert ist dir das zu empfehlen?

Ich versuche lieber mir meine eigene Meinung zu bilden, anstatt jemanden nach seiner fragen zu müssen.


Genau wie die Virenscanner. Und die helfen damals wie heute auch nicht immer. Im Threadtitel steht "sicher sein".
"Sicher" ist auf dieser Welt nur der Hirntod, Sicherheit nur ein Trugschluss.
Klingt platt, ist aber so.

Bekannte Viren schon. Zumindest einen hohen Anteil. Aber wie soll der Virenscanner irgendwelchen Unsinn erkennen den der Virus oder sonstige nachgeladene Malware auf dem System angestellt hat? Beispiel wäre ein Autorun-Eintrag der eine Datei von einem externen Server runterlädt, die dann den PC wieder infiziert. Das kann der Virenscanner nicht so einfach erkennen, könnte ja auch vom Benutzer gewünschtes Verhalten sein. Das ist nur ein Beispiel, wenn du lange genug drauf rumdenkst fällt dir bestimmt noch mehr ein.

Also dann doch lieber Neuinstall und dann zeitig ein Backup......

IT-Sicherheit ist kein Zustand, sondern ein Prozess und relativ. 100%ige Sicherheit gibt es nicht.

Relativ bedeutet hier, dass das Verhältnis von Gefahrenaufwand zu Gefahrenabwehr stimmen muss. Dieses Verhältnis ist sicherlich überall unterschiedlich, IT-Technik bei der NASA oder Geheimdiensten wird aufwendiger geschützt als bei Otto-Normal User zu hause.

mfg Oli

Bin für wöchentliches Neu-Aufspielen des Windows.
Sicher ist sicher!
Windows ist per definitionem unsicher. Get over it.



ein betriebssystem sollte im dauereinsatz mind 1 jahr laufen sonnst ist es schrott.
mein xp lief sicher 1,5 jahre .. lief gut mit ~3 bs / jahr .. kann nicht meckern.