Reinigungsversuche oder Neuinstallation bzw. einspielen eines sauberen Backups?

Ich persönlich habe seit Jahren keine Probleme mit Schadsoftware gehabt, aber sobald es wieder soweit sein sollte, würde ich keine Sekunde damit verbringen am befallenen System rum zudoktern und ein Backup einspielen.
Oft wird den Leuten nach einem Befall aber geraten sich irgendwelche Virenscanner zu installieren, oder per Livecd mit Virenscanner das System zu reinigen.
Solche Tipps finde ich imho unverantwortlich, da man sich auch nach solchen Aktionen nicht wirklich sicher sein kann, wieder ein sauberes System zu haben, auch wenn etweilige Symptome verschwunden sind.

Wie seht ihr das?

Image von einer externen Platte die nur gelegentlich angestöpselt wird oder komplett platt. Image nur wenn es glasklar ist, wann die Infektion passierte.

Wenn man einen Virus entdeckt hat sollte man sich Gedanken machen an welcher Stelle man sich wie ein Idiot angestellt hat und nicht wie man sein System wieder retten kann. Viren sind etwas für n00bs.

Wenn klar ist, das das Ding aktiv geworden ist und es sich nicht mehr nur um die eben heruntergeladene Datei handelt: da muss man wohl in den sauren Apfel beißen und das Backup einspielen. Evtl. noch ein paar aktuellere Daten retten, sofern diese unproblematisch sind (nicht ausführbar, keine Makros etc. Die Virenbeschreibung zu konsultieren hilft hier auch). Das ist der beste Weg um sicher zu gehen, dass das System wieder vertrauenswürdig ist.

Falls man tatsächlich versucht, das aktuelle System wieder virenfrei zu bekommen, dann ist das imho nur sinnvoll, wenn man eine genaue Beschreibung des Virus hat, die Aufzählt was er genau wo tut (Registry-Keys, modifizierte Dateien etc.). Dann kann man es evtl. wieder manuell Rückgängig machen, aber wirkliche Gewissheit kriegt man dadurch auch nicht. Eine automatische Reparatur kann man imho meistens vergessen.

Oh und mit potentiell infizierten Datenträgern sollte man dann auch vorsichtig sein. Der USB-Stick, der kurz zuvor noch verwendet wurde z. B. Sonst hat man sein neues System gleich wieder infiziert. Das gleiche gilt fürs Netzwerk: abtrennen, sobald die Bedrohung gefunden wurde und auch die anderen Rechner scannen. Erst wieder verbinden, wenn die Gefahr auf beiden Seiten sicher gebannt wurde.

Ich mache mein System immer Platt.

Sonst habe ich immer ein schlechtes Gewissen :freak:

wenn mein pc sauber installiert ist, mache ich ein image.

bei virenbefall, erst ein mal in 10 jahren gehabt -> platte formatieren und image wiederherstellen.

Also ich würd wohl unter Linux einen Virenscanner installieren und damit meine Windowspartition säubern.
Wenns schlimm ist unter Linux meine wichtigen Dateien der Windowspartition sichern (warum sollten da schon Executables, DLLs o.ä. dabei sein?) und Windows platt machen (und wahrscheinlich nie mehr installieren:freak:).

Also ich würd wohl unter Linux einen Virenscanner installieren und damit meine Windowspartition säubern.

Also ich würd wohl unter Linux einen Virenscanner installieren und damit meine Windowspartition säubern.

Aber wie kannst du dir sicher sein, das dein System wirklich wieder sauber ist und nicht irgendwelche Sicherheitslücken aufgerissen wurden oder ähnliches?

Aber wie kannst du dir sicher sein, das dein System wirklich wieder sauber ist und nicht irgendwelche Sicherheitslücken aufgerissen wurden oder ähnliches?
Windows bringt doch von Haus aus genug mit. ;)

Äh, sowas gibts immer weniger. In Mode ist alles, womit man Geld verdienen kann. Die Zeiten, wo Freaks irgendeinen ultimativen Mördervirus programmierten, sind vorbei. Ganz weg sind sie natürlich nicht und man immer noch Pech haben..

Und vorbeugen, mit einem Virenscanner mit aktueller Signatur immer mit laufen lassen.

Und vorbeugen, mit einem Virenscanner mit aktueller Signatur immer mit laufen lassen.NA KLAR DOCH. In den frühen Sechzigern haben die Amis den Kindern erzählt, wenn sie bei einem Atombombenalarm unter die Tische springen, dann wird alles gut.

Virenscaner frisch laufen lassen dann wird alles gut :ulol:

Aber wie kannst du dir sicher sein, das dein System wirklich wieder sauber ist und nicht irgendwelche Sicherheitslücken aufgerissen wurden oder ähnliches?
Ich bin tatsächlich so blauäugig und sage: Wenn nach ein paar Wochen der Virenscanner unter Linux noch immer nichts findet ist das System sauber.

Wenn der Virenscanner unter Windows läuft könnte man sich vorstellen dass der Virus ihm etwas vortäuscht aber so halte ich es für unwahrscheinlich. Bzw. würde ein übersehener Virus (aufgrund eines mangelhaften Virenscanners) dazu führen dass man früher oder später (aus dem anderen Betriebssystem heraus natürlich) wieder diagnostizieren kann dass das System verseucht ist.

Sollte da etwas übersehen werden dann schimpfe ich höchstwahrscheinlich früher oder später blöd herum dass Vista so lahm ist (ohne zu wissen dass da ein Virus drauf ist) und mach es platt. Halte ich aber für unwahrscheinlich: Wie soll sich ein Virus dauerhaft verstecken können?

Wie soll sich ein Virus dauerhaft verstecken können?

In dem er den Scanner Manipuliert.
Sei es einfach das komplette abschalten der Antiviren Software (hatte ich mal).
Oder er trägt sich selbst in die Filter-Liste vom Scanner ein. (die wohl schlauere Lösung)

PS: Nutze eig. keine Antiviren Software, schaue mir immer nur die Prozesse und Dienste an.

In dem er den Scanner Manipuliert.
Sei es einfach das komplette abschalten der Antiviren Software (hatte ich mal).
Oder er trägt sich selbst in die Filter-Liste vom Scanner ein. (die wohl schlauere Lösung)
Wie soll das gehen wenn das ein Windows-Virus ist und ich unter Linux scanne? Hast du wirklich meinen ganzen Post gelesen?

Wie soll das gehen wenn das ein Windows-Virus ist und ich unter Linux scanne? Hast du wirklich meinen ganzen Post gelesen?

Ja, mir ging es aber Allgemein darum.
Und mal ehrlich, es wäre doch unter Linux genau so gut möglich wenn man wie unter Windows ständig als Admin unterwegs sein würde weil die Kids immer diese Sicherheits-Features deaktiviren dank Computer-Bild oder anderen "Tipps & Tuning" Seiten und Heften.

Und mal ehrlich, es wäre doch unter Linux genau so gut möglich wenn man wie unter Windows ständig als Admin unterwegs sein würde weil die Kids immer diese Sicherheits-Features deaktiviren dank Computer-Bild oder anderen "Tipps & Tuning" Seiten und Heften.
Naja, es gibt keinen Root-User in Ubuntu und die Wahrscheinlichkeit dass ein Linux-Magazin so etwas vorschlägt ist eher gering - also von dem her... nicht wirklich.

Aber gut, sagen wir mal das gibt es: Dann gibt es einen großen Aufschrei, ich erfahr das und weiß dass ich in Zukunft fürs Scannen nicht mein Linux-System verwenden darf sondern ein Live-Linux. Der Virus kann ja kaum die CD überschreiben von der ich boote.:biggrin:

Oder ich installier mir auch noch Nexenta, BSD o.ä. - ist ja nicht binärkompatibel.

Der Virus kann ja kaum die CD überschreiben von der ich boote.:biggrin:

CD-RW :freak:




;D

NA KLAR DOCH. In den frühen Sechzigern haben die Amis den Kindern erzählt, wenn sie bei einem Atombombenalarm unter die Tische springen, dann wird alles gut.

Virenscaner frisch laufen lassen dann wird alles gut :ulol:

Ist doch so.

Mein Virenscanner scannt auch den laufenden Web Traffic und springt bei etwas verdächtigem sofort an.

Was ist daran verkehrt?

Das man einen Virenschutz mit aktueller Signatur nutzt, sollte selbstverständlich sein.
Leider gibt es viele Leute die denken mit ihrer teuren Virenschutz Suite, Würde jede Schadsoftware abgefangen und sie seien 100% sicher.
Wenn man vor deren verseuchten Kisten sitzt bekommt man dann zu hören "wie konnte das passieren ich hab doch einen Virenscanner".
Wenn man denen dann erzählt, das es sehr großes Glück ist wenn der Scanner, Schadsoftware früh genug erkennt und keines falls die Regel, fallen sie aus allen Wolken.

Ok Image zurückspielen ist eine elegante Lösung.
Aber an die Verfechter der Virenscanner, diese verwenden vorwiegend Pattern-Matching welches
an und für sich schon die Gefahr birgt dass das benötigte Pattern nicht dabei ist. Ein Befall des
Systems ist meißtens nicht der erste Schritt der passierte, offtmals steht da ein Rootkit vor dem eigentlichen "bemerkten" Befall im System und lädt dann Second-Stage Malware nach.
Damit hat dann nicht nur Windows sondern auch der Virenscanner ein Problem.

Einfach mal ne LiveCD (desinfec't) reinwerfen und durchsuchen. Im der Live-Umgebung dann die wichtigen Daten sichern.
Vorteil von Desinfec't ist dass diese bei der Suche nicht nur einen Vierenscanner einsetzt sondern mehrere (glaube es sind 3) diese haben dann eine höhere Erkennungsrate als lediglich einer.
Ein anschließen von Wechseldatenträgern an ein infiziertes System ist keine gute Idee da diese Datenträger meißt beim Anschließen infiziert werden und somit vermehrst du das Ding nur unnötig. Wie gesagt kannst du auch das Problem in der Live-Umgebung lösen, da die Malware dann nicht aktiv ist und Schaden anrichten kann.

Ich mache mein System immer Platt.

Sonst habe ich immer ein schlechtes Gewissen :freak:


lol das habe ich eben wirklich gemacht. Maleware hatte irgendwie mein Vista zerschossen und hatte sowieso das Gefühl es läuft nicht mehr sauber.
Habe das gleich genutzt um von Vista auf Windows 7 umzusteigen.;)

Reinigungsversuche oder Neuinstallation bzw. einspielen eines sauberen Backups?
Neu starten.

Deep Freeze :freak:

Meine Systempartitionen sind schlicht nicht erreichbar.

lol das habe ich eben wirklich gemacht. Maleware hatte irgendwie mein Vista zerschossen und hatte sowieso das Gefühl es läuft nicht mehr sauber.
Habe das gleich genutzt um von Vista auf Windows 7 umzusteigen.;)

:biggrin: , dann würde ich, sobald Windows 7 Installiert ist und so eingerichtet ist wie du wolltest, davon ein Image machen.
Können ja auch einiege Versionen von Haus aus.

In dem er den Scanner Manipuliert.
Sei es einfach das komplette abschalten der Antiviren Software (hatte ich mal).
Oder er trägt sich selbst in die Filter-Liste vom Scanner ein. (die wohl schlauere Lösung)

PS: Nutze eig. keine Antiviren Software, schaue mir immer nur die Prozesse und Dienste an.mmm...

Ein Virenscanner sollte eigentlich immer mitlaufen, um Viren beim Eintreffen schon zu entfernen. Das setzt vorraus, dass der Virus erkannt wird. Allerdings werden die Viren heutzutage erstmal gegen die verschiedensten Virenscanner geprüft, womit die bösen Leute sicher gehen wollen, dass ihr Virus nicht schon bei der ersten Verteilung entdeckt wird.

Prozesse und Dienste anschauen alleine bringt es nicht. http://de.wikipedia.org/wiki/Rootkit

Prozesse und Dienste anschauen alleine bringt es nicht. http://de.wikipedia.org/wiki/Rootkit

Das ist mir auch klar.
Das ich damit sicher fahre sollte ja klar sein.
Immerhin fehlt mir halt so eine Software die mein Brain auf 2.1 upgradet ;D
2.0 tuts aber auch, bin relativ gut damit bisher gefahren.

Einfach kein Warez (macht ja schon weit über 80% aus)
Und dann halt sichere Quellen nutzen und nicht alles bestätigen wo ein "OK" und "Zustimmen" Knopf drauf steht.

Besonders toll finde ich ja immer diese "Setup.exe" Datein ohne Icon.

Wenn der Virenscanner einen auf dem PC aktiven Virus findet (und nicht wegen etwas im Browsercache oder ähnliches Alarm schlägt) ist es in meinen Augen schon viel zu spät.
Wenn er aktiv ist könnte er auch den Virusscanner ausschalten oder sehe ich das falsch?
Lieber Dienste deaktivieren und das System regelmäßig Patchen als sich auf den Scanner zu verlassen.

Wenn er aktiv ist könnte er auch den Virusscanner ausschalten oder sehe ich das falsch?

Wenn man nur eigenschränkte Recht hat, sollte er das nicht können. Man würde es auf jeden Fall merken. Einer der Gründe, warum ich UAC für ein extrem wichtiges Feature halte.

Kommt auf die Lücke an über die der Virus eindringt oder? Es gab ja schon mehr als genug Lücken mit der der Angreifer Root-Rechte bekam.

Solange man ein aktuelles Windows hat, dürfte die Gefahr aber nicht soo wahnsinnig groß sein.

Ich mache mein System immer Platt.

Sonst habe ich immer ein schlechtes Gewissen :freak:

Würd ich jetzt aber ned immer empfehlen. Nutze doch ma dieses Hijackthis Proggie und dann gibts noch CCleaner. Du must halt imer sehen, das was bei dir so alles am Start geladen wird und du kanst es gut hijathis maessign ueberpruefen.







-----signaturchen-------
mein siggichen (http://www.fitness-zentrale.de/tamaris/)

@richard18stew:
Das ist aber die einzige Möglichkeit sicher zu gehen.

Dauernd ein Format durchjagen und zig Stunden das System wieder zurecht rücken. Ist ja so als würde man die Wohnung ausräumen bei einer Mücke. Zumal manchmal bei 90% der Leuten die wichtigen Daten im Eigene Ordner liegen, da kann man nicht einfach durchrasieren.

Mücke? Würde ich eher mit einem Tumor vergleichen.

Protipp: Erst gar keine Viren einfangen. Wer mir jetzt erzählt, dass das so schwierig ist, tut es einfach falsch.

@Lumines
Das ist so nicht ganz richtig, weil zumal du nicht sicher gehen kannst dich nicht zu infizieren.
Übliche Tricks wie Firewall, VirenScan, minimale Rechte, noScript (zähle ich auch schon in den Security Bereich) greifen nun mal nicht immer. Da kann es schon ein Problem sein z.B. wetter.at oder sonstiges ansurfen alleine reicht oft schon für eine Infection. (vertrauenswürdige Seite gehackt und manipuliert)

Von der Offline-Infection (per Autorun etc.) ganz zu schweigen. Auch wird in der Vergangenheit oft über die Win-Shares // smb eingedrungen und diese Dienste zu deaktivieren ist schmerzhaft, falls sie benötigt werden. Letztes Problem die LNK-Schwachstelle - ein Anzeigen von Symbolen ist da schon problematisch. Ein Otto-Normaluser hat da schon enorme Probleme da entgegenzuwirken.
UAC, ja ist eine wichtige Funktion - leider gibt es viele User die davon genervt sind und sie dann deakivieren, weil der Ernst der Lage verkannt wird.

Nun ja, ich hatte jedenfalls seit Vista kein einziges Problem mehr mit Viren. Allerdings nutzte ich auch nur eher exotische oder vergleichsweise sichere Browser, mein Windows war immer aktuell und Dateien, die keine seriöse Herkunft hatten, wurden immer vorher überprüft. Wenn UAC ansprang, war meistens sowieso alles klar. Dass ich mal wirklich einen Virus hatte, passierte wahrscheinlich höchstens einmal in einem halben oder ganzen Jahr. Ich kann mich jedenfalls nicht erinnern, seit dem Release mehr als zwei Viren auf der Platte gehabt zu haben. Inaktiv, wohlgemerkt.

Ich kann die Panik auch ehrlich gesagt nicht wirklich nachvollziehen. Kann vielleicht daran liegen, dass ich seit drei Jahren überwiegend Linux und seit einem halben Jahr OS X nutze, aber auch so war das Virenproblem bei mir nie wirklich präsent.

Bei den Browsern ist es nicht einfach, da praktisch jeder Schwachstellen aufweist. Sinnvoll wäre es diese in einer eigenen virtuellen Umgebung zu starten oder als Prozess mit minimalen Rechten. (Drop My Rights z.b.) Auch z.B Kaspersky hat eine VM der man Programme zuteilen kann - diese Lösung ist gut aber nicht perfekt.

Panik würd ich es nicht nennen - nur ähm naja problematisch halt.
Bei Linux/Unix Systemen sieht das Bedrohungsszenario anders aus, klar komplett anderer Aufbau. Nur die allgemeine Aussage "Linux/Unix ist sicher" unterstütze ich nicht. Es ist aber auch Fakt dass alternative Betriebssysteme nicht das Hauptziel von Malware sind. Nur bei OSX
mache ich mir langsam Sorgen welches wiederum auch Unix-Systeme nicht ausschießt. Die Bedrohung ist halt wesentlich geringer.

Es ist aber auch Fakt dass alternative Betriebssysteme nicht das Hauptziel von Malware sind. Nur bei OSX
mache ich mir langsam Sorgen welches wiederum auch Unix-Systeme nicht ausschießt. Die Bedrohung ist halt wesentlich geringer.

Bei den meisten Linux-Systemen nutzt man ja Paketmanager und sucht sich keine Programme manuell aus dem Internet, von daher schätze ich da die Bedrohung auch in Zukunft recht gering ein.

Bei Mac OS X wird es definitiv doppelt kniffelig, weil es dort keinen Paketmanager gibt und auch noch zusätzlich der Marktanteil steigt, was auf jeden Fall die Attraktivität erhöht. Andererseits scheint der Bedarf bei OS X-Nutzern nach Software von Drittherstellern nicht so groß zu sein wie bei Windows. Man greift also eher auf Produkte von Apple zurück, die sowieso schon vorinstalliert sind. Unseriöse Software wird man sich wahrscheinlich eher ungern installieren.

Zu den Browsern: Schwachstellen haben ist eine Sache, sie ausnutzen zu lassen wiederum eine ganz andere.

@ Topic:

Es kommt auf den Fall drauf an. "Echte" Viren (also Schadsoftware, die sich an/in vorhandenen Dateien einnistet) tauchen ja inzwischen nur noch selten auf, das Meiste sind irgendwelche Würmer oder Trojaner, die sich als eigenständige Dateien im System ausbreiten.

Als erstes wird die Festplatte von einem externen System aus (Live-CD / anschließen der Platte an einem anderen PC) mit Viren- und Malware-Scannern durchsucht, nebenbei schonmal in der Registry nach merkwürdigen Einträgen Ausschau gehalten.
Anschließend wird der Rechner im abgesicherten Modus gestartet und mithilfe von autoruns (http://technet.microsoft.com/de-de/sysinternals/bb963902.aspx) geschaut, was sich denn so alles in den verschiedenen Kategorien "rumtreibt". Wenn man da ein paarmal reingeschaut hat, weiß man auch schon so ungefähr, was da reingehört, und was nicht. Die zugehörigen Dateien werden ebenfalls von der Festplatte gelöscht (bzw. zur Sicherheit erstmal umbenannt), falls der Virenscanner sie nicht eh schon entfernt hat.
Anschließend werden z.B. mit dem CCleaner sämtliche temporäre Dateien gelöscht, und der Internet Explorer auf seine Standard-Einstellungen zurückgesetzt.
Schließlich wird der Rechner wieder normal gestartet, und überprüft, ob alles wieder läuft. Mittels autoruns wird dann nochmal geprüft, ob auch wirklich alles raus ist, oder ob sich da vielleicht wieder ein paar neue Sachen reingemogelt haben. Gegebenenfalls wird da noch einmal nachgebessert.

Es kommt natürlich ganz auf den Fall an, manchmal geht nach einem Virenbefall einfach nix anderes mehr außer neu Installieren. Aber in den meisten Fällen war das bei mir bisher nicht nötig.

Neulich hatte ich einen Virus, der das Öffnen sämtlicher EXE-Dateien auf sich selbst umgeleitet hat. Nachdem der Virus durch den Virenscanner entfernt wurde, konnten natürlich keine EXE-Dateien mehr geöffnet/gestartet werden. Da kommt man erstmal ins Grübeln, wie man jetzt ohne regedit an die Registry rankommt.

Aktuell hab ich gerade einen Rechner neben mir stehen, der "gekidnappt" wurde: "VirusScanner sowieso" hat festgestellt, daß der Virus XY auf ihrem Rechner aktiv ist. Mit dieser Programmversion kann der Virus jedoch nicht entfernt werden. Zahlen Sie 79,-, um die Vollversion zu bekommen, mit der dieser Virus entfernt werden kann. :freak:

Mücke? Würde ich eher mit einem Tumor vergleichen.

Protipp: Erst gar keine Viren einfangen. Wer mir jetzt erzählt, dass das so schwierig ist, tut es einfach falsch.mmm...

Du must noch viel lernen ;(.
Die Tatsache, dass überhaupt Viren auf deinem System gelandet sind, zeigt, dass du schon irgendwas falsch gemacht hast.
Neueste Sache zur Virenverbreitung: http://www.heise.de/newsticker/meldung/Neue-Windows-Schwachstelle-Anwendungen-laden-Schadcode-aus-dem-Netz-nach-1061934.html

Man kann versuchen sich zu schützen, aber 100% sicher ist man niemals.

Das finde ich auch stark :D
http://blog.fefe.de/?ts=b2935cd1

@Sentionline:
Oder du erstellst regelmäßig Images von deinem System.

Fenster auf und raus damit.
my solution

Und nächsten Tag in der Bl.dzeitung "Person von Computer erschlagen".