PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win 7 x64 - skeeyah.a rfn | System kompromittiert --> Neu Aufsetzen --> ein paar Fragen


Gastos
2017-11-07, 11:32:56
Hab oben genannten Trojaner draufgehabt. Mit MSE gescannt und gelöscht, aber man kann sich ja leider nie sicher sein. Einmal kompromittiert ist immer kompromittiert.

1.) Ich werde heute Abend zu meinem Bruder fahren und von dort aus alle sensiblen Passwörter ändern.

2.) Ich werde heute Abend alle Partitionen löschen, neue erstellen, formatieren und dann Windows 10 frisch installieren. Windows 10 ISO lasse ich mir ebenfalls bei meinem Bruder brennen (MSDNAA ;) )

2.a.) Wie ist das eigentlich mit MBR bzw. Bootsektor. Muss ich das separat reinigen oder wird dieser infolge der neu-Partitionierung gereinigt?

3.) Und das wichtigste: Ich möchte mir ein paar einzelne Dateien sichern. Es handelt sich hier hauptsächlich um WORD- und Matlab-Dateien, sowieso ein paar Fotos. Wie mache ich das ohne den Virus / Trojaner potentiell mitzuschleppen? Ist das überhaupt möglich?

Ich bin für alle weiteren Tipps, Ratschläge und Hilfestellungen sehr dankbar. Ist das erste mal seit 20 Jahren, dass ich mit so einer Scheiße zu tun habe. Ich wundere mich nur, wie ich mir das Ding eingefangen habe...

Gastos
2017-11-07, 12:55:19
Hab oben genannten Trojaner draufgehabt. Mit MSE gescannt und gelöscht, aber man kann sich ja leider nie sicher sein. Einmal kompromittiert ist immer kompromittiert.

1.) Ich werde heute Abend zu meinem Bruder fahren und von dort aus alle sensiblen Passwörter ändern.

2.) Ich werde heute Abend alle Partitionen löschen, neue erstellen, formatieren und dann Windows 10 frisch installieren. Windows 10 ISO lasse ich mir ebenfalls bei meinem Bruder brennen (MSDNAA ;) )

2.a.) Wie ist das eigentlich mit MBR bzw. Bootsektor. Muss ich das separat reinigen oder wird dieser infolge der neu-Partitionierung gereinigt?

3.) Und das wichtigste: Ich möchte mir ein paar einzelne Dateien sichern. Es handelt sich hier hauptsächlich um WORD- und Matlab-Dateien, sowieso ein paar Fotos. Wie mache ich das ohne den Virus / Trojaner potentiell mitzuschleppen? Ist das überhaupt möglich?

Ich bin für alle weiteren Tipps, Ratschläge und Hilfestellungen sehr dankbar. Ist das erste mal seit 20 Jahren, dass ich mit so einer Scheiße zu tun habe. Ich wundere mich nur, wie ich mir das Ding eingefangen habe...

Und wie ist das eigentlich mit den ISOs? Ich habe hier eine Windows 7 MSDNAA ISO auf dem Laufwerk. Können ISOs auch kompromittiert werden? Kann man diese sichern oder sollte man sie lieber löschen? Ratschläge von Leuten, die sich mit Sicherheit und Schädlingsbekämpfung auskennen, sind sehr willkommen ;) Für mich ist das Neuland. Ich bin für alle Instruktionen, Ratschläge und Hilfestellungen dankbar!

sei laut
2017-11-07, 15:44:08
Laut Mircosoft ist das ein normaler Trojaner:
"They can steal your personal information, download more malware, or give a malicious hacker access to your PC."
https://support.microsoft.com/de-de/help/4027261/automated-trojanwin32skeeyaharfn

Hast du die gefundene Datei überhaupt jemals aktiv ausgeführt? Wenn nein, sollte es kaum ein Risiko geben. Also wenn es z.B. in einem ungeöffneten Mailanhang war.

lumines
2017-11-07, 15:49:16
Und wie ist das eigentlich mit den ISOs? Ich habe hier eine Windows 7 MSDNAA ISO auf dem Laufwerk. Können ISOs auch kompromittiert werden? Kann man diese sichern oder sollte man sie lieber löschen?

Du könntest eine Prüfsumme der ISO von einer Linux-Live-CD aus erstellen und dann mit dem abgleichen, was man so im Web findet.

Ratschläge von Leuten, die sich mit Sicherheit und Schädlingsbekämpfung auskennen, sind sehr willkommen ;) Für mich ist das Neuland. Ich bin für alle Instruktionen, Ratschläge und Hilfestellungen dankbar!

Beim nächsten Mal regelmäßig Backups machen. Das hilft dir zwar jetzt nicht weiter, aber genau deshalb macht man Backups. Es ist praktisch unmöglich zwischen kompromittierten und nicht-kompromittierten Dateien zu unterscheiden, wenn es einmal passiert ist. Wenn du Glück hast, kannst du genau rausfinden, was der Trojaner macht und dann besser entscheiden, was du für kompromittiert hälst.

Wenn du Secure Boot an deinem Mainboard aktiv hast, sollte sowieso nichts außer einem signierten Windows 10 booten können. Das dürfte alle potentiellen Modifikationen am Bootloader ausschließen, von daher würde ich mir dabei keine Sorgen machen.

Gastos
2017-11-07, 17:17:53
Läuft auch hier:
https://www.computerbase.de/forum/showthread.php?t=1723787
https://www.hardwareluxx.de/community/f67/skeeyah-rfn-system-kompromittiert-neu-aufsetzen-ein-paar-fragen-1181160.html

qiller
2017-11-07, 17:23:39
Jop, wollte auch schon fragen, warum der TE nicht einfach sein Image-Backup zurückspielt...

Gastos
2017-11-07, 17:23:49
Laut Mircosoft ist das ein normaler Trojaner:
"They can steal your personal information, download more malware, or give a malicious hacker access to your PC."
https://support.microsoft.com/de-de/help/4027261/automated-trojanwin32skeeyaharfn

Hast du die gefundene Datei überhaupt jemals aktiv ausgeführt? Wenn nein, sollte es kaum ein Risiko geben. Also wenn es z.B. in einem ungeöffneten Mailanhang war.

Nicht dass ich mich erinnern kann.

Ich hatte aber gestern als ich mich bei meinem Zweitmailaccount (yandex-mail) anmeldete, den Hinweis erhalten, dass der Account möglicherweise gehackt worden sei. Das in Kombination mit dem Trojaner-Fund ist zumindest schon mal besorgniserregend. Daher besser zuviel Panik als zu wenig Panik.

Gastos
2017-11-07, 17:46:11
Du könntest eine Prüfsumme der ISO von einer Linux-Live-CD aus erstellen und dann mit dem abgleichen, was man so im Web findet.
Scheiß auf die ISO ;)
Die kann ich mir bei MSDNAA neu runterladen. Alternativ bietet MS ja mittlerweile auch ISOs zum Download an.

Beim nächsten Mal regelmäßig Backups machen.
Ja, ich muss definitiv an meiner Backup-Faulheit arbeiten. Das wird mir eine Lehre sein.

Womit am besten Backups machen? Reicht das windows-interne Tool oder besser eine spezielle Software dafür?


Es ist praktisch unmöglich zwischen kompromittierten und nicht-kompromittierten Dateien zu unterscheiden, wenn es einmal passiert ist. Wenn du Glück hast, kannst du genau rausfinden, was der Trojaner macht und dann besser entscheiden, was du für kompromittiert hälst.
d.h. auch Word-, PDF- und Matlabdateien könnten kompromittiert sein und ich habe keinerlei Möglichkeit herauszufinden ob dem so ist? Im Computerbase schlagen sie vor von einer Linux-Live-CD zu booten und die zu rettenden Dateien auf einen sauber formatierten USB-Stick zu kopieren inkl. Scan. Ich bin zugegeben Linux-DAU... kann ich von einer gebooteten Linux-Live-CD auf die Festplatte zugreifen?

Hab da ein paar wenige Word- und PDF-Dateien, die würde ich schon gerne behalten. Auf die Matlab-Dateien kann ich verzichten.

Wenn du Secure Boot an deinem Mainboard aktiv hast, sollte sowieso nichts außer einem signierten Windows 10 booten können. Das dürfte alle potentiellen Modifikationen am Bootloader ausschließen, von daher würde ich mir dabei keine Sorgen machen.
Prüfe ich gleich. Ist ein Acer Travelmate 5760z mit Windows 7 Prof 64 bit drauf.

Gastos
2017-11-07, 17:47:13
Jop, wollte auch schon fragen, warum der TE nicht einfach sein Image-Backup zurückspielt...
Weil ich so blöd war und keine Backups gemacht habe...