malware gelöscht. wieder sicher?

K

Keisuke

0
hallo,

hab bei fullshare.net (denke ich mal) ein video geladen und dabei eine malware eingefangen.
so was nennt sich glaub ich "drive-by malware".
als ich mir den virus eingefangen hab, bekam ich sofort von avira eine meldung.
hab dann auf "entfernen" geklickt.
um sicherzugehen führte ich einen scan mit "hijackthis" und "malwarebytes anti-malware" durch und bin anschließend noch mit avira rüber gegangen.
nichts gefunden.
kann ich also davon ausgehen, dass mein rechner wieder sicher ist und es nichts schlimmes war?
ich denke, dass es etwas harmloses war aber ich würd' gerne noch eure meinung hören. :)
 
Zuletzt bearbeitet:
Hallo,

persönliche Meinung von mir: wenn ein Virus drauf war -> System plätten und neu aufsetzen.
 
also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?
 
Ich bin da ganz xbeduine's Meinung. Einem System das einmal infiziert wurde, ist nicht mehr zu trauen. Wer weis ob bzw. was alles nachgeladen wurde. Abgesehen davon, habe ich generell nicht viel Vertrauen in die Produkte der Anti Malware / Security Unternehmen.

Am besten machst du dir sowieso gleich nach dem du das OS und deine Programme installierst hast, ein komplettes Backup. Das macht dann fast keine Arbeit, wieder ein sauberes System zu bekommen.
 
Zuletzt bearbeitet:
Zwar von 2003, aber warum sollte es heute anders sein?
http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx hat gesagt.:
Wenn Sie wissen, dass ihr System von einem Angreifer oder einem schädlichen Programm (beides wird im Weiteren als "Angreifer" bezeichnet) kompromittiert wurde, sollten Sie Sich für die korrekte Vorgehensweise an die Sicherheitsrichtlinien Ihrer Organisation halten. Der erste Schritt ist häufig nicht technischer Natur, aber dennoch berechtigt.
Bevor irgendeine weitere Aktion auf dem System vorgenommen wird, sollten Sie es physikalisch vom Netzwerk trennen. Entfernen Sie alle Netzwerkkabel, Modemverbindungen und Wireless-Netzwerkkarten. Das Entfernen vom Netzwerk verhindert, dass der Angreifer weiteren Schaden anrichtet, oder das wiederhergestellte System kompromittiert und hierdurch Informationen über Ihren Wiederherstellungsprozess erlangt. Abhängig von der Sicherheitsrichtlinie Ihrer Organisation, kann der nächste Schritt z. B. ein Duplizieren aller Daten auf den Systemen sein. So können später eine Analyse und weitere wichtige Aktionen vorgenommen werden. Dieser Abschnitt beschränkt sich auf das Wiederherstellen des Systems, und beschreibt nicht die notwendigen Schritt zur Analyse des Angriffs oder das Sichern von Beweisen.
Es gibt zwei grundlegende Methoden, um ein System zu bereinigen und es wieder verfügbar zu machen: Sie könnte entweder versuchen die Auswirkungen des Angriffs zu beseitigen, oder Sie können Sich entscheiden, die Software und die Daten aus einer nicht kompromittierten Kopie neu zu installieren. Einige Virenscanner bieten die Möglichkeit, die Auswirkungen einer schädlichen Software zu beseitigen, indem sie die durch die Software vorgenommenen Änderungen erkennen und entfernen. Zusätzliche gibt es einige frei verfügbare Tools um ein System zu bereinigen, oder die Auswirkungen einiger der bekannteren schädlichen Programme zu entfernen.
Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:
•Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen.
•Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen. Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat.
•Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt.
Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.
Zum Vergrößern anklicken....
 
Keisuke hat gesagt.:
also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?
Zum Vergrößern anklicken....

Ich hab nicht gesagt dass die Virenscanner nicht zu gebrauchen sind - wenn der Scanner einen Virus entdeckt bevor dieser das System infiziert hat er seine Aufgabe erfüllt.

Dem Beitrag von Chris_XY ist nichts hinzuzufügen.
 
also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?
Zum Vergrößern anklicken....
Ich zitiere Dir mal die "Werbung" nur für 2 "Malwarecrypter" - welche Schlüsse Du daraus ziehst, bleibt Dir überlassen.
Begriffserklärung:

Was "FUD" heißt:
http://de.wikipedia.org/wiki/FUD
  • Full Undetectable, ein Schadprogramm (vor allem Backdoor-Programme und Computerviren), das von keinem öffentlichen Virenschutzprogramm erkannt wird
Zum Vergrößern anklicken....
"Malwarecrypter" : Programme, um Malware (RAT/passwortstealer/Bot) so zu verunstalten/packen, dass sie "FUD" wird, sprich, von keinem aktuellen Virenscanner erkannt wird.

Eigentliche "Werbung":
Crypter v1.4 Private Edition (Extreme Edition 2010) new!!!

FUD 100% [Fully Undetectable]
...

Features:

v1.4 New

+Very Stable
+Very Powerful
+Bypass Kaspersky Internet Security 2010 Included (Proactive Defense)
+Bypass OutPost Firewall
+Bypass Zemana Keylogger (HIPS)
+Bypass Comodo Internet Security (HIPS)
+Bypass AntiHook (HIPS)
+Bypass SpyShelter (HIPS)
+Bypass Avast Antivirus (Proactive)
+Bypass Norton Internet Security (Proactive)
+Bypass GData Internet Security
+Bypass TrustPort Antivirus
+Bypass Panda Internet Security
+Fake Error Generator

+Major Icon Quality
+Clone File Properties
+Best Binder
+Speed Increase 300%
+Anti Avira Heuristic Detection
+Anti Nod32 Heuristic Detection
+Fix Pe Checksum
+Fake Error Generator
+Compatible (Windows 2000 / Xp / Vista / Windows 7 [32/64Bits] )
+Script Support!

+Process Suspended
+Process Killer
+Run Only in Admin Mode
+Cannot Run in safe Mode
+Anti-Tracing (Anti Craking)
+Set File Atributes
+Anti Kaspersky (Kaspersky Bypass Proactive Defense)
+Binder
+Activex Registration
+Anti Heuristic Detection
+Anti-Firewall (ByPass)
+Vista UAC (ByPass)
+NEW Engine
+Very Stable

+File Bundle (DLL Bundle + Register ActiveX/OLE/COM control)
+Anti-Heuristic Detection
+Obfuscation of your executable helps protect it against tampering and cracking.
*Process Killer (Multiple Process Killer)
*Cannot Run in Safe Mode
*Run Only in Admin Mode
*Set File Attributes

*Anti-Shadow User Pro
*Anti-Clean Slate
*Anti Sandbox (Fortres)
*Run as Fake Process
*Delete Me (Execute & Delete RDG Loader)
*I Will Scan w/ AV Online (Use this option for scan yours Protected files with AV´s Online :)
*Anti JoeBox (Enhanced)
*Anti-Anubis (Enhanced)
*Anti-CWSandbox (Enhanced)
*Sleep Sec. Run program after x Seconds. 0 to 999 (Enhanced)
*Process Ghost
*Change Process Name

*Anti-Debugger
*Anti-Sandboxie
*Anti-virtualpc
*Realig Sections
*Anti-IDA Debugger
*Anti-CWSandbox
*Anti-Norman Sandbox
*Anti-Anubis
*OEP Stolen Bytes (Enhanced)
*Checksum CRC
*Anti-OllyDbg
*Anti-ThreatExpert
*Anti-JoeBox
*Anti-VMWARE
*Anti-VirtualBOX
*Anti-Debugger2
*Overlay support (EOF Data)
*Sleep Sec. Run program after x Seconds.
*Exceptions (0 to 1000)
*Get All Privileges
*Change Icon (Enhanced)

*OEP Stolen Bytes (Enhanced)
*Anti Virtual Machine (Max) = Heuristic
*Anti-SunBelt Sandbox
*Anti Deep-Freeze
*Anti-Returnil Vistual System
*Anti-Malware Defender
*Anti-Wine(Linux)
*Anti-Xen Virtual Machine
*Password Protect
*Execute With Command Line (parameters)
*UnHook All API
*Anti-Attach Loader (Protect RDG Loder)
*Execute as NT AUTHORITY\SYSTEM


*Unique version + Unique for each Buyer!

*Full support!

*Support: Free 24/7 support when you need it.

*Compatible with Windows 2000 - Xp - Vista - Windows 7

*Support OS 32/64Bits


Payment Options:

+WebMoney
+Paypal
+Liberty Reserve
+Paysafecard
Zum Vergrößern anklicken....
und
Status: FUD seit dem 28.08.2010
Allgemeine Informationen:
Ein Crypter der managed (.Net) und unmanaged Dateien Runtime und Scantime FUD cryptet.
Im Gegensatz zu vielen anderen Cryptern funktionieren die gecrypteten Dateien auch auf 64 bit Betriebssystemen.
Das Besondere am Builder ist, dass er einen eingebauten Unique Stub Generator besitzt.
Jeder neu gebaute Server bekommt eine exclusive Stub und ist somit wieder FUD!

....
Welche Funktionen besitzt der Crypter?
- Crypten von managed (.Net) und unmanaged Dateien Runtime und Scantime FUD
- Funktionsfähig auf 32 und 64 bit Betriebssystemen
- EOF (Manche Programme benötigen EOF Support zur Ausführung)
- File Compression (Automatische Kompression führt zu einem kleineren Server)
- Anti Settings (Debugger, Emulator, Monitoring Software, Sniffer Software, Virtuelle Maschinen)
- Fake Error (Unechte Fehlermeldung beim Start)
- UAC + Firewall Bypass (Beendet effektiv die Überwachung ohne Benachrichtigung des Nutzers)
- Disable CMD, Registry, Taskmanager (Verbietet die Nutzung)
- Spreading (Automatische Verteilung über Lan, P2P, Rar/Zip, Torrent, USB)
- Autostart (3 verschiedene Registry Einträge und 2 verschiedene System Einträge)
- Melt Server (Server verschwindet nach der Ausführung)
- Delay Start (Startet den Server verspätet)
- Icon Changer, Icon Extractor, File Pumper, File Cloner
Erfolgreich getestet mit: *
Barracuda Bot 3 - Windows XP/Vista/Seven (32/64 bit)
Ganja IRC Bot 2.1 - Windows XP/Vista/Seven (32/64 bit)
n0ise Bot (Leak) - Windows XP/Vista/Seven (32/64 bit)
N0PE Bot - Windows XP/Vista/Seven (32/64 bit)
Stasi Bot - Windows XP/Vista/Seven (32/64 bit)
Hackhound Stealer - Windows XP/Vista/Seven (32/64 bit)
iStealer 6.3 - Windows XP/Vista/Seven (32/64 bit)
Sharp Stealer 1.5 - Windows XP/Vista/Seven (32/64 bit)
Cerberus 1.03.4 Beta - Windows XP/Vista/Seven (32/64 bit)
CyberGate 1.07.5 - Windows XP/Vista/Seven (32/64 bit)
DarkComet RAT 2.1 - Windows XP/Vista/Seven (32/64 bit)
Poison Ivy 2.3.2 - Windows XP/Vista (32 bit)
Schwarze Sonne RAT 1.0 - Windows XP/Vista/Seven (32/64 bit)
Spynet 2.7 - Windows XP/Vista/Seven (32/64 bit)
Turkojan 4.0 - Windows XP/Vista/Seven (32/64 bit)
und viele mehr!
Aktuelle Version: 1.3 (25.09.2010)
Programmiersprache: C# (benötigt .NET Framework 2.0)
Erfolgreich getestet auf: Windows XP/Vista/7 (32/64 bit)
Hardware ID Schutz: Ja
Anti-Leaking Schutz: Ja (Euer Produkt bleibt privat und non-public)
Unique Stub: Ja (Garantiert durch den eingebauten Unique Stub Generator)
Stub Size: 9.0 kB
Preis: 30 uKash/PSC
Preis Crypter + Binder 40 uKash/PSC (-10 uKash/PSC)
Versions Upgrade: 10 uKash/PSC
Lifetime Service: 50 uKash/PSC (Gültig für alle Tools, Stub- und Versionsupdates)
Zum Vergrößern anklicken....
Ich habe die interessanteren Stellen rot markiert.
Und das sind nur Beispiele für die "großen" und vergleichsweise teuren Projekte. Wenn man ohne 1000 Features auskommt, ist man schon ab 10 Euro dabei.

Das heißt, Du durftest gerade 2 (von vielen) Werbungen lesen - für Programme, die einzig dazu da sind, Trojaner/Bots und Co wieder für ALLE aktuellen Virenscanner unkenntlich zu machen (damit werden sie beworben (siehe "FUD" Werbung-Zeilen) und dieses Versprechen wird (bei "größeren" Projekten) auch eingehalten - sonst kommen die Kunden ja nicht wieder ;)) und die von jedem frei erworben werden können.

Dass niemand nur wegen Dir 10-30 Euro ausgibt, ist klar. Aber i.R bist Du eines von 200-800 Opfern, die eben diese "spezielle" Malwareversion erhalten. Wie lange es dauert, bis sie von AVs entdeckt wird, kannst Du Dir überlegen ;)
 
ich hab wie gesagt sofort als die meldung kam, die malware entfernt.
ich kann mir nicht vorstellen, dass es etwas so komplexes war.

ich glaube ich warte bis mir der pc negativ auffällt.
neu aufsetzen kann ich im moment eh nicht.
 
Hijackthis ist leider auch kein Allheilmittel.

Was ich mich aber frage ist folgendes:
Kam die Meldung über die Infizierung während du auf der Seite warst oder später? Es ist nämlich durchaus möglich, dass der Schädling direkt erkannt und blockiert wurde und somit gar nicht auf dein System gekommen ist.
 
hijackthis sagt mir, dass alles ok ist.

die meldung kam sofort.
nicht später, sofort nachdem die seite zu sehen war.
und dann hab ich den virus sofort mit der meldung gelöscht.
es gab die auswahlmöglichkeit "entfernen" und "abbrechen" (oder so was in der art).
 
Also in diesem Fall vermute ich eher, dass der Schädling erkannt wurde, bevor das System befallen werden konnte. Das heißt zwar nicht, dass nicht vielleicht ein anderer Schädling trotzdem installiert wurde, da solche Seiten meist versuchen gleich mehrere Schädlinge zu installieren, aber dieser eine wird es wohl zumindest nicht geschafft haben.
 
Glauben kann man in der Kirche ;)

Es ist leider so, dass viele neue Schädlinge nicht oder nur unzureichend erkannt werden. Auch wenn der eine Schädling vielleicht nicht installiert wurde, bleibt halt noch immer die recht große Chance, dass noch andere Sachen installiert wurden.

Ich würde dem System also mindestens sehr kritisch gegenüberstehen und nichts wie Onlinebanking oder so machen.

Letztendlich kann ich mich da nur den Vorrednern anschließen, wenn man ein ungutes Gefühl hat, und ansonsten hättest du ja hier nicht gepostet, ist es eigentlich besser, das System neu aufzusetzen
 
das ist viel zu übertrieben jedesmal den rechner neu aufzusetzen, wenn ein virus eingefangen wird.
dann brauch ich ja keinen virenscanner mehr.
 
Zuletzt bearbeitet:
Wie du siehst, sind die meisten hier der Meinung, dass dieser Aufwand keinesfalls übertrieben ist. Ich sehe das übrigens auch so. Wenn das System einmal kompromittiert war, kann man nie genau wissen, woran man nach einer vermeintlichen Säuberung ist.
Die Sache mit den Virenscanner siehst du vielleicht auch zu einseitig. In meinen Augen sollen die nur aktiv gegen eine Infektion schützen. Wenn das Kind einmal in den Brunnen gefallen ist, können die da auch nur bedingt helfen. Und wie hier ebenfalls aufgezeigt wurde, gibt es eben auch mit Virenscanner keinen absoluten Schutz (nichts ist absolut, ausser Wodka :wink: )

Am Ende macht das Aufsetzen auch weniger Arbeit als die Rennerei, die man evtl. hat, wenn erstmal jemand Schindluder mit dem Onlinekonto getrieben hat. Vor allem wenn man regelmäßig Backups pflegt, ist das alles nur eine Sache von vllt einer Stunde.


Aber am Ende ist es deine Entscheidung.
 
Keisuke hat gesagt.:
das ist viel zu übertrieben jedesmal den rechner neu aufzusetzen, wenn einen virus eingefangen wird.
dann brauch ich ja keinen virenscanner mehr.
Zum Vergrößern anklicken....

Doch Virenscanner sind sehr nützlich, sie sagen einem wann es höchste Zeit wird
das System neu aufzusetzen. :wink:
Ist natürlich ein bisschen paranoid, aber immer noch besser wie der Ärger wenn
tatsächlich jemand es geschafft hat deinen Rechner zu übernehmen.

Gruss
 
aber besteht denn nicht auch die chance, dass ich den virus tatsächlich komplett gelöscht habe mit allem drum und dran?
sprich: der virus hat es nicht geschafft den rechner weiter zu infizieren oder irgendwelche anderen sachen zu laden.
es kann doch wohl mal passieren, dass man etwas harmloses eingefangen hat und ein einfaches löschen des viruses ausreicht, um wieder sicher zu sein.
das ist viel zu extrem jedesmal den pc neu aufzusetzen.

und was ist mit der firewall? sollte ich mir eine von kaspersky zulegen?
bringt das denn überhaupt was oder muss ich den rechner bei dem nächsten virus wieder neu aufsetzen?
verstehe ich das denn richtig? eine firewall ist doch dazu da, damit ein virus erst gar nicht reinkommt, oder? somit ist eine formatierung nicht notwendig?
 
Klar besteht die Möglichkeit, dass alle Bestandteile des Schädlings beseitigt wurden und auch nicht noch andere Sachen nachgeladen wurden, das kann dir nur keiner mit Sicherheit sagen.

Wenn du mit dem Rechner nur ein paar "unwichtige" Sachen machst, wie einfach nur surfen, zocken..., dann mag es auch nicht so schlimm sein, wenn da doch noch Reste drauf sind, spätestens, wenn es aber darum geht, Sachen wie Onlinebanking, Shopping oder so zu machen, wo halt auch vertrauliche Daten geschickt werden und dann ggf. dein Account so gestolen werden kann, dann sollte man halt überlegen, ob es zuviel Aufwand ist oder nicht.

Und das schöne ist ja, das kann und muss jeder für sich selber entscheiden, von unserer Seite kannst du halt nur Ratschläge und die möglichen Gefahren aufgezeigt bekommen. Und schon aus diesem Grund wirst du hier eher selten hören, dass jemand glaubt, dein System ist sauber und du brauchst dir keine Sorgen zu machen.

Und dann zum Thema Firewall:
1. Schützt diese nur gegen Verbindungsversuche und nicht gegen Schädlinge direkt und
2. kann diese auch relativ leicht umgangen werden.

Es gibt hier im Forum einen sehr schönen Beitrag zu Personal Desktop Firewalls und warum diese nur sehr bedingt taugen. Suche dir das einfach mal heraus, ich habe da gerade nicht die Zeit für
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben