[HaBo]

Keisuke · 23.10.10, 23:33

hallo,

hab bei fullshare.net (denke ich mal) ein video geladen und dabei eine malware eingefangen.
so was nennt sich glaub ich "drive-by malware".
als ich mir den virus eingefangen hab, bekam ich sofort von avira eine meldung.
hab dann auf "entfernen" geklickt.
um sicherzugehen führte ich einen scan mit "hijackthis" und "malwarebytes anti-malware" durch und bin anschließend noch mit avira rüber gegangen.
nichts gefunden.
kann ich also davon ausgehen, dass mein rechner wieder sicher ist und es nichts schlimmes war?
ich denke, dass es etwas harmloses war aber ich würd' gerne noch eure meinung hören.

xbeduine · 23.10.10, 23:53

Hallo,

persönliche Meinung von mir: wenn ein Virus drauf war -> System plätten und neu aufsetzen.

Anzeige

- Anzeige -

Keisuke · 24.10.10, 00:08

also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?

thodt · 24.10.10, 00:53

Ich bin da ganz xbeduine's Meinung. Einem System das einmal infiziert wurde, ist nicht mehr zu trauen. Wer weis ob bzw. was alles nachgeladen wurde. Abgesehen davon, habe ich generell nicht viel Vertrauen in die Produkte der Anti Malware / Security Unternehmen.

Am besten machst du dir sowieso gleich nach dem du das OS und deine Programme installierst hast, ein komplettes Backup. Das macht dann fast keine Arbeit, wieder ein sauberes System zu bekommen.

Chris_XY · 24.10.10, 10:09

Zwar von 2003, aber warum sollte es heute anders sein?

Zitat:

Zitat von http://www.microsoft.com/germany/technet/datenbank/articles/600230.mspx

Wenn Sie wissen, dass ihr System von einem Angreifer oder einem schädlichen Programm (beides wird im Weiteren als "Angreifer" bezeichnet) kompromittiert wurde, sollten Sie Sich für die korrekte Vorgehensweise an die Sicherheitsrichtlinien Ihrer Organisation halten. Der erste Schritt ist häufig nicht technischer Natur, aber dennoch berechtigt.
Bevor irgendeine weitere Aktion auf dem System vorgenommen wird, sollten Sie es physikalisch vom Netzwerk trennen. Entfernen Sie alle Netzwerkkabel, Modemverbindungen und Wireless-Netzwerkkarten. Das Entfernen vom Netzwerk verhindert, dass der Angreifer weiteren Schaden anrichtet, oder das wiederhergestellte System kompromittiert und hierdurch Informationen über Ihren Wiederherstellungsprozess erlangt. Abhängig von der Sicherheitsrichtlinie Ihrer Organisation, kann der nächste Schritt z. B. ein Duplizieren aller Daten auf den Systemen sein. So können später eine Analyse und weitere wichtige Aktionen vorgenommen werden. Dieser Abschnitt beschränkt sich auf das Wiederherstellen des Systems, und beschreibt nicht die notwendigen Schritt zur Analyse des Angriffs oder das Sichern von Beweisen.
Es gibt zwei grundlegende Methoden, um ein System zu bereinigen und es wieder verfügbar zu machen: Sie könnte entweder versuchen die Auswirkungen des Angriffs zu beseitigen, oder Sie können Sich entscheiden, die Software und die Daten aus einer nicht kompromittierten Kopie neu zu installieren. Einige Virenscanner bieten die Möglichkeit, die Auswirkungen einer schädlichen Software zu beseitigen, indem sie die durch die Software vorgenommenen Änderungen erkennen und entfernen. Zusätzliche gibt es einige frei verfügbare Tools um ein System zu bereinigen, oder die Auswirkungen einiger der bekannteren schädlichen Programme zu entfernen.
Obwohl Virenscanner möglicherweise die Auswirkungen von schädlicher Software effektiv entfernen können, gibt es einige bedeutende Punkte zu berücksichtigen:
•Die schädliche Software ist möglicherweise sehr kompliziert. Das Tool könnte bei der Bereinigung des Systems nicht in der Lage sein alle Effekte zu entfernen.
•Manche Programme (wie z. B. Code Red oder der Wurm Nimda) öffnen das System nach außen. Jeder mit Netzwerkzugriff auf das System kann vollständige Kontrolle über dieses System erlangen und jede mögliche Änderung vornehmen. Auch wenn der Virenscanner die schädliche Software entfernen kann, kann er jedoch nicht erkennen, ob nicht authorisierter Benutzer bereits Änderungen am System vorgenommen hat.
•Auch wenn ein Virenscanner-Hersteller eine neue Signatur veröffentlicht hat, die den Virus entdeckt und beseitigt, könnte es mehrere Stunden dauern bis diese zum Herunterladen zur Verfügung steht. Da schädliche Programme sehr kompliziert sein können und umfangreiche Auswirkungen haben können, kann es einige Zeit dauern bis einen Hersteller eine Signaturdatei erstellt hat, welche die Auswirkungen des Programms vollständig beseitigt.
Jeder dieser drei Punkte spricht für eine Neuformatierung aller Partitionen eines Systems, und einer neuen Installation der gesamten Software. Die Vorschläge des CERT Coordination Center zur Wiederherstellung nach einem Angriff schlagen dies ebenfalls so vor.

xbeduine · 24.10.10, 11:55

Zitat:

Zitat von Keisuke

also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?

Ich hab nicht gesagt dass die Virenscanner nicht zu gebrauchen sind - wenn der Scanner einen Virus entdeckt bevor dieser das System infiziert hat er seine Aufgabe erfüllt.

Dem Beitrag von Chris_XY ist nichts hinzuzufügen.

**CDW** · 24.10.10, 13:49

Zitat:

also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?

Ich zitiere Dir mal die "Werbung" nur für 2 "Malwarecrypter" - welche Schlüsse Du daraus ziehst, bleibt Dir überlassen.
Begriffserklärung:

Was "FUD" heißt:
http://de.wikipedia.org/wiki/FUD

Zitat:

Full Undetectable, ein Schadprogramm (vor allem Backdoor-Programme und Computerviren), das von keinem öffentlichen Virenschutzprogramm erkannt wird

"Malwarecrypter" : Programme, um Malware (RAT/passwortstealer/Bot) so zu verunstalten/packen, dass sie "FUD" wird, sprich, von keinem aktuellen Virenscanner erkannt wird.

Eigentliche "Werbung":

Zitat:

Crypter v1.4 Private Edition (Extreme Edition 2010) new!!!

FUD 100% [Fully Undetectable]
...

Features:

v1.4 New

+Very Stable
+Very Powerful
+Bypass Kaspersky Internet Security 2010 Included (Proactive Defense)
+Bypass OutPost Firewall
+Bypass Zemana Keylogger (HIPS)
+Bypass Comodo Internet Security (HIPS)
+Bypass AntiHook (HIPS)
+Bypass SpyShelter (HIPS)
+Bypass Avast Antivirus (Proactive)
+Bypass Norton Internet Security (Proactive)
+Bypass GData Internet Security
+Bypass TrustPort Antivirus
+Bypass Panda Internet Security
+Fake Error Generator

+Major Icon Quality
+Clone File Properties
+Best Binder
+Speed Increase 300%
+Anti Avira Heuristic Detection
+Anti Nod32 Heuristic Detection
+Fix Pe Checksum
+Fake Error Generator
+Compatible (Windows 2000 / Xp / Vista / Windows 7 [32/64Bits] )
+Script Support!

+Process Suspended
+Process Killer
+Run Only in Admin Mode
+Cannot Run in safe Mode
+Anti-Tracing (Anti Craking)
+Set File Atributes
+Anti Kaspersky (Kaspersky Bypass Proactive Defense)
+Binder
+Activex Registration
+Anti Heuristic Detection
+Anti-Firewall (ByPass)
+Vista UAC (ByPass)
+NEW Engine
+Very Stable

+File Bundle (DLL Bundle + Register ActiveX/OLE/COM control)
+Anti-Heuristic Detection
+Obfuscation of your executable helps protect it against tampering and cracking.
*Process Killer (Multiple Process Killer)
*Cannot Run in Safe Mode
*Run Only in Admin Mode
*Set File Attributes

*Anti-Shadow User Pro
*Anti-Clean Slate
*Anti Sandbox (Fortres)
*Run as Fake Process
*Delete Me (Execute & Delete RDG Loader)
*I Will Scan w/ AV Online (Use this option for scan yours Protected files with AV´s Online :)
*Anti JoeBox (Enhanced)
*Anti-Anubis (Enhanced)
*Anti-CWSandbox (Enhanced)
*Sleep Sec. Run program after x Seconds. 0 to 999 (Enhanced)
*Process Ghost
*Change Process Name

*Anti-Debugger
*Anti-Sandboxie
*Anti-virtualpc
*Realig Sections
*Anti-IDA Debugger
*Anti-CWSandbox
*Anti-Norman Sandbox
*Anti-Anubis
*OEP Stolen Bytes (Enhanced)
*Checksum CRC
*Anti-OllyDbg
*Anti-ThreatExpert
*Anti-JoeBox
*Anti-VMWARE
*Anti-VirtualBOX
*Anti-Debugger2
*Overlay support (EOF Data)
*Sleep Sec. Run program after x Seconds.
*Exceptions (0 to 1000)
*Get All Privileges
*Change Icon (Enhanced)

*OEP Stolen Bytes (Enhanced)
*Anti Virtual Machine (Max) = Heuristic
*Anti-SunBelt Sandbox
*Anti Deep-Freeze
*Anti-Returnil Vistual System
*Anti-Malware Defender
*Anti-Wine(Linux)
*Anti-Xen Virtual Machine
*Password Protect
*Execute With Command Line (parameters)
*UnHook All API
*Anti-Attach Loader (Protect RDG Loder)
*Execute as NT AUTHORITY\SYSTEM

*Unique version + Unique for each Buyer!

*Full support!

*Support: Free 24/7 support when you need it.

*Compatible with Windows 2000 - Xp - Vista - Windows 7

*Support OS 32/64Bits

Payment Options:

+WebMoney
+Paypal
+Liberty Reserve
+Paysafecard

und

Zitat:

Status: FUD seit dem 28.08.2010
Allgemeine Informationen:
Ein Crypter der managed (.Net) und unmanaged Dateien Runtime und Scantime FUD cryptet.
Im Gegensatz zu vielen anderen Cryptern funktionieren die gecrypteten Dateien auch auf 64 bit Betriebssystemen.
Das Besondere am Builder ist, dass er einen eingebauten Unique Stub Generator besitzt.
Jeder neu gebaute Server bekommt eine exclusive Stub und ist somit wieder FUD!

....
Welche Funktionen besitzt der Crypter?
- Crypten von managed (.Net) und unmanaged Dateien Runtime und Scantime FUD
- Funktionsfähig auf 32 und 64 bit Betriebssystemen
- EOF (Manche Programme benötigen EOF Support zur Ausführung)
- File Compression (Automatische Kompression führt zu einem kleineren Server)
- Anti Settings (Debugger, Emulator, Monitoring Software, Sniffer Software, Virtuelle Maschinen)
- Fake Error (Unechte Fehlermeldung beim Start)
- UAC + Firewall Bypass (Beendet effektiv die Überwachung ohne Benachrichtigung des Nutzers)
- Disable CMD, Registry, Taskmanager (Verbietet die Nutzung)
- Spreading (Automatische Verteilung über Lan, P2P, Rar/Zip, Torrent, USB)
- Autostart (3 verschiedene Registry Einträge und 2 verschiedene System Einträge)
- Melt Server (Server verschwindet nach der Ausführung)
- Delay Start (Startet den Server verspätet)
- Icon Changer, Icon Extractor, File Pumper, File Cloner
Erfolgreich getestet mit: *
Barracuda Bot 3 - Windows XP/Vista/Seven (32/64 bit)
Ganja IRC Bot 2.1 - Windows XP/Vista/Seven (32/64 bit)
n0ise Bot (Leak) - Windows XP/Vista/Seven (32/64 bit)
N0PE Bot - Windows XP/Vista/Seven (32/64 bit)
Stasi Bot - Windows XP/Vista/Seven (32/64 bit)
Hackhound Stealer - Windows XP/Vista/Seven (32/64 bit)
iStealer 6.3 - Windows XP/Vista/Seven (32/64 bit)
Sharp Stealer 1.5 - Windows XP/Vista/Seven (32/64 bit)
Cerberus 1.03.4 Beta - Windows XP/Vista/Seven (32/64 bit)
CyberGate 1.07.5 - Windows XP/Vista/Seven (32/64 bit)
DarkComet RAT 2.1 - Windows XP/Vista/Seven (32/64 bit)
Poison Ivy 2.3.2 - Windows XP/Vista (32 bit)
Schwarze Sonne RAT 1.0 - Windows XP/Vista/Seven (32/64 bit)
Spynet 2.7 - Windows XP/Vista/Seven (32/64 bit)
Turkojan 4.0 - Windows XP/Vista/Seven (32/64 bit)
und viele mehr!
Aktuelle Version: 1.3 (25.09.2010)
Programmiersprache: C# (benötigt .NET Framework 2.0)
Erfolgreich getestet auf: Windows XP/Vista/7 (32/64 bit)
Hardware ID Schutz: Ja
Anti-Leaking Schutz: Ja (Euer Produkt bleibt privat und non-public)
Unique Stub: Ja (Garantiert durch den eingebauten Unique Stub Generator)
Stub Size: 9.0 kB
Preis: 30 uKash/PSC
Preis Crypter + Binder 40 uKash/PSC (-10 uKash/PSC)
Versions Upgrade: 10 uKash/PSC
Lifetime Service: 50 uKash/PSC (Gültig für alle Tools, Stub- und Versionsupdates)

Ich habe die interessanteren Stellen rot markiert.
Und das sind nur Beispiele für die "großen" und vergleichsweise teuren Projekte. Wenn man ohne 1000 Features auskommt, ist man schon ab 10 Euro dabei.

Das heißt, Du durftest gerade 2 (von vielen) Werbungen lesen - für Programme, die einzig dazu da sind, Trojaner/Bots und Co wieder für ALLE aktuellen Virenscanner unkenntlich zu machen (damit werden sie beworben (siehe "FUD" Werbung-Zeilen) und dieses Versprechen wird (bei "größeren" Projekten) auch eingehalten - sonst kommen die Kunden ja nicht wieder

) und die von jedem frei erworben werden können.

Dass niemand nur wegen Dir 10-30 Euro ausgibt, ist klar. Aber i.R bist Du eines von 200-800 Opfern, die eben diese "spezielle" Malwareversion erhalten. Wie lange es dauert, bis sie von AVs entdeckt wird, kannst Du Dir überlegen

Keisuke · 24.10.10, 14:05

ich hab wie gesagt sofort als die meldung kam, die malware entfernt.
ich kann mir nicht vorstellen, dass es etwas so komplexes war.

ich glaube ich warte bis mir der pc negativ auffällt.
neu aufsetzen kann ich im moment eh nicht.

TangiertMichPeripher · 26.10.10, 12:48

mach mal einen hijack log rein dann können wir dir weiter helfen und auch damit sagen ob du clean oder infected bist :-)

**lightsaver** · 26.10.10, 14:03

Hijackthis ist leider auch kein Allheilmittel.

Was ich mich aber frage ist folgendes:
Kam die Meldung über die Infizierung während du auf der Seite warst oder später? Es ist nämlich durchaus möglich, dass der Schädling direkt erkannt und blockiert wurde und somit gar nicht auf dein System gekommen ist.

Keisuke · 26.10.10, 18:19

hijackthis sagt mir, dass alles ok ist.

die meldung kam sofort.
nicht später, sofort nachdem die seite zu sehen war.
und dann hab ich den virus sofort mit der meldung gelöscht.
es gab die auswahlmöglichkeit "entfernen" und "abbrechen" (oder so was in der art).

**lightsaver** · 26.10.10, 19:37

Also in diesem Fall vermute ich eher, dass der Schädling erkannt wurde, bevor das System befallen werden konnte. Das heißt zwar nicht, dass nicht vielleicht ein anderer Schädling trotzdem installiert wurde, da solche Seiten meist versuchen gleich mehrere Schädlinge zu installieren, aber dieser eine wird es wohl zumindest nicht geschafft haben.

Keisuke · 26.10.10, 20:11

also ich glaube der rechner hier hat keine weiteren schädlinge.

**lightsaver** · 27.10.10, 09:58

Glauben kann man in der Kirche

Es ist leider so, dass viele neue Schädlinge nicht oder nur unzureichend erkannt werden. Auch wenn der eine Schädling vielleicht nicht installiert wurde, bleibt halt noch immer die recht große Chance, dass noch andere Sachen installiert wurden.

Ich würde dem System also mindestens sehr kritisch gegenüberstehen und nichts wie Onlinebanking oder so machen.

Letztendlich kann ich mich da nur den Vorrednern anschließen, wenn man ein ungutes Gefühl hat, und ansonsten hättest du ja hier nicht gepostet, ist es eigentlich besser, das System neu aufzusetzen

Keisuke · 27.10.10, 19:27

das ist viel zu übertrieben jedesmal den rechner neu aufzusetzen, wenn ein virus eingefangen wird.
dann brauch ich ja keinen virenscanner mehr.

Anzeige

- Anzeige -

23.10.10, 23:33	#1 (permalink)
Keisuke Registriert seit: 19.07.10 Likes: 0	malware gelöscht. wieder sicher? Anzeige hallo, hab bei fullshare.net (denke ich mal) ein video geladen und dabei eine malware eingefangen. so was nennt sich glaub ich "drive-by malware". als ich mir den virus eingefangen hab, bekam ich sofort von avira eine meldung. hab dann auf "entfernen" geklickt. um sicherzugehen führte ich einen scan mit "hijackthis" und "malwarebytes anti-malware" durch und bin anschließend noch mit avira rüber gegangen. nichts gefunden. kann ich also davon ausgehen, dass mein rechner wieder sicher ist und es nichts schlimmes war? ich denke, dass es etwas harmloses war aber ich würd' gerne noch eure meinung hören. Geändert von Keisuke (23.10.10 um 23:45 Uhr)

24.10.10, 00:53	#4 (permalink)
thodt Registriert seit: 13.08.07 Likes: 2	Ich bin da ganz xbeduine's Meinung. Einem System das einmal infiziert wurde, ist nicht mehr zu trauen. Wer weis ob bzw. was alles nachgeladen wurde. Abgesehen davon, habe ich generell nicht viel Vertrauen in die Produkte der Anti Malware / Security Unternehmen. Am besten machst du dir sowieso gleich nach dem du das OS und deine Programme installierst hast, ein komplettes Backup. Das macht dann fast keine Arbeit, wieder ein sauberes System zu bekommen. Geändert von thodt (24.10.10 um 00:58 Uhr)

27.10.10, 19:27	#15 (permalink)
Keisuke Themenstarter Registriert seit: 19.07.10 Likes: 0	das ist viel zu übertrieben jedesmal den rechner neu aufzusetzen, wenn ein virus eingefangen wird. dann brauch ich ja keinen virenscanner mehr. Geändert von Keisuke (28.10.10 um 14:16 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

23.10.10, 23:53	#2 (permalink)
xbeduine Registriert seit: 25.12.05 Likes: 7	Hallo, persönliche Meinung von mir: wenn ein Virus drauf war -> System plätten und neu aufsetzen.

24.10.10, 00:08	#3 (permalink)
Keisuke Themenstarter Registriert seit: 19.07.10 Likes: 0	also meinst du, dass alle virenscanner (avira, hijackthis, malwarebytes anti-malware usw) nicht zu gebrauchen/nicht sehr wirkungsvoll sind und man immer seinen rechner bei jeder kleinigkeit neu aufsetzen sollte?

24.10.10, 14:05	#8 (permalink)
Keisuke Themenstarter Registriert seit: 19.07.10 Likes: 0	ich hab wie gesagt sofort als die meldung kam, die malware entfernt. ich kann mir nicht vorstellen, dass es etwas so komplexes war. ich glaube ich warte bis mir der pc negativ auffällt. neu aufsetzen kann ich im moment eh nicht.

26.10.10, 12:48	#9 (permalink)
TangiertMichPeripher Registriert seit: 20.10.10 Likes: 0	mach mal einen hijack log rein dann können wir dir weiter helfen und auch damit sagen ob du clean oder infected bist :-)

26.10.10, 14:03	#10 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	Hijackthis ist leider auch kein Allheilmittel. Was ich mich aber frage ist folgendes: Kam die Meldung über die Infizierung während du auf der Seite warst oder später? Es ist nämlich durchaus möglich, dass der Schädling direkt erkannt und blockiert wurde und somit gar nicht auf dein System gekommen ist.

26.10.10, 18:19	#11 (permalink)
Keisuke Themenstarter Registriert seit: 19.07.10 Likes: 0	hijackthis sagt mir, dass alles ok ist. die meldung kam sofort. nicht später, sofort nachdem die seite zu sehen war. und dann hab ich den virus sofort mit der meldung gelöscht. es gab die auswahlmöglichkeit "entfernen" und "abbrechen" (oder so was in der art).

26.10.10, 19:37	#12 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	Also in diesem Fall vermute ich eher, dass der Schädling erkannt wurde, bevor das System befallen werden konnte. Das heißt zwar nicht, dass nicht vielleicht ein anderer Schädling trotzdem installiert wurde, da solche Seiten meist versuchen gleich mehrere Schädlinge zu installieren, aber dieser eine wird es wohl zumindest nicht geschafft haben.

26.10.10, 20:11	#13 (permalink)
Keisuke Themenstarter Registriert seit: 19.07.10 Likes: 0	also ich glaube der rechner hier hat keine weiteren schädlinge.

27.10.10, 09:58	#14 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 51	Glauben kann man in der Kirche Es ist leider so, dass viele neue Schädlinge nicht oder nur unzureichend erkannt werden. Auch wenn der eine Schädling vielleicht nicht installiert wurde, bleibt halt noch immer die recht große Chance, dass noch andere Sachen installiert wurden. Ich würde dem System also mindestens sehr kritisch gegenüberstehen und nichts wie Onlinebanking oder so machen. Letztendlich kann ich mich da nur den Vorrednern anschließen, wenn man ein ungutes Gefühl hat, und ansonsten hättest du ja hier nicht gepostet, ist es eigentlich besser, das System neu aufzusetzen

[HaBo]

malware gelöscht. wieder sicher?