Trojaner der fast alles infiziert hat.. VBS:Agent-KZ [Trj], Win32:RmnDrp

[purzelbär]

Eines kann ich dem Threadersteller nach Neuinstallation noch raten. Mach regelmäßig Backups. Acronis hat sich bei mir dafür in den letzten Jahren gut bewährt!

Hab ich im auch schon geraten:

Ist das System sauber, hole dir Paragon Backup & Recovery Free: https://www.paragon-software.de/de/home/br-free/ und mach ein erstes Systembackup mit Ziellaufwerk externe Festplatte für das Backup .

Und es muss nicht das kostenpflichtige Acronis seindas von mir genannte Paragon Backup & Recovery Free oder das englische Aomei Backupper Free das okni nannte, reichen auch dafür aus.

Nach all dem, was dir bisher erklärt und geraten wurde, immer noch auf Software X, Y und Z zu vertrauen, statt tabula rasa zu machen, zeugt von einer gewissen ... Lernresistenz. Du kannst da jetzt noch zehn Virenscanner drüberjagen, aber auch wenn alle zehn dir sagen, dass alles sauber ist, kannst du nicht sicher sein. Und sollte einer etwas finden und melden, er habe es entfernt, weißt du immer noch nicht sicher, ob er a) es wirklich entfernen konnte und b) ob er nicht noch etwas übersehen hat.

Im Falle der Systemfestplatte mit Windows drauf stimme ich dir zu IRON67, die gehört foramtiert und erst danach Windows neu aufgespielt. Was seine USB Festplatte anbelangt: die sollte er meiner Meinung nach zuerst mit einer Antivirus Live CD überprüfen, danach noch mit Malwarebytes oder EEK, danach erst dann von dieser Festplatte Daten ziehen die er noch braucht und dann idealerweise die USB Festplatte auch einmal formatieren. Danach kann er die dann auch als Datenträger für Backups nutzen was ja empfehlenswert ist.

 

[IRON67]

...danach erst dann von dieser Festplatte Daten ziehen die er noch braucht und dann idealerweise die USB Festplatte auch einmal formatieren.

Das Scannen kann man sich sparen und sie nach der Datenrettung gleich plattmachen, wenn man auf die Platte nur über ein Live-Linux zugreift und dann nur Daten rettet, die von Malware eher nicht betroffen sein werden, sprich Dokumente, Bilder, Musik, Videos, aber KEINERLEI Anwendungen, auch keine Archive. Sollten Dokumente mit Makroviren infiziert sein, reicht in der jeweils zuständigen Anwendung das Blockieren von Makros als größte Hürde.

 

[purzelbär]

Uns gibt aber auch keiner ne Garantie dafür ob nicht private Dateien auf der USB Festplatte mit etwas infiziert sind deshalb mein Vorschlag die USB Festplatte im Vorfeld mit einer Antivirus Live CD zu scannen und die privaten Dateien die dann aufs Betriebsystem sollen, die sollte er auch nochmal extra scannen. Verläuft das alles positiv, USB Festplatte formatieren. Die frische, komplette Windows Installation nochmal überprüfen und ein erstes(von mehreren)Systembackups machen. So würde ich das machen.

 

[IRON67]

Uns gibt aber auch keiner ne Garantie dafür ob nicht private Dateien auf der USB Festplatte mit etwas infiziert

Natürlich nicht. Aber das ist eine Frage der Plausibilität. Es ist zwar technisch möglich, selbst MP3- und Bilddateien so zu manipulieren, dass sie Schadcode enthalten, aber die Bedingungen, die dann nebenher erfüllt sein müssen, damit dieser auch zur Ausführung kommt, sind so beschaffen, dass man das auf einem neu aufgesetzten System vergessen kann. Die Scans bringen auch keine Gewissheit - auch nicht solche mittels Rescue-Disk.

 

[purzelbär]

Hast schon recht mit den Argumenten aber wer sagt uns ob er nicht in Versuchung käme Dateien von der USB Festplatte mit aufs System nehmen zu wollen die infizierbar sein können? So hätte er bis zu einem gewissen Punkt die Gewisshheit das sich auf der USB Festplatte keine Infizierten Dateien befinden und wenn doch würden erkannte vom Scanner der Live CD gelöscht oder zumindest unter Quarantäne gestellt werden und stünden ihm dann nicht mehr zur Verfügung was bedeuten würde er könnte die nicht versehentlich mit aufs Windows System ziehen. Das auch ein Scanner einer Antivirus Live CD kein 100% Garant ist, weiß ich auch, aber effektiver als ein Scanner unter Windows sind die schon weil Windows aussen vor bleibt und ein Schädling sich Windows Funktionen zunutze machen kann um einer Entdeckung zu entgehen.

 

[IRON67]

... aber wer sagt uns ob er nicht in Versuchung käme Dateien von der USB Festplatte mit aufs System nehmen zu wollen die infizierbar sein können?

Niemand. Deswegen wies ich auch drauf hin.

...aber effektiver als ein Scanner unter Windows sind die schon weil Windows aussen vor bleibt und ein Schädling sich Windows Funktionen zunutze machen kann um einer Entdeckung zu entgehen.

Minimal. Wir reden hier darüber, dass das System vor der Datenrettung neu aufgesetzt wird. Unter diesen Umständen wäre erstmal keine Malware auf dem System aktiv. Bliebe nur noch die fatale, aber mittlerweile standardmäßig deaktivierte AutoRun-Funktion für externe Medien aller Art, die zum Verhängnis werden könnte, denn alles andere "müsste" dann ja ein installiertes AV mindestens genauso gut erkennen wie eins von CD. Ein Rest Unsicherheit bleibt immer - verstärkt durch falsche Entscheidungen des Nutzers.

 

[Sound-Fuzzy]

spiel direkt nach der Installation von Windows ein Virenschutz Programm auf(das Avast nix taugen würde wie hier angedeutet ist Quatsch, ich nutze es seit Jahren)

In seinem Fall schon, denn es hat ihn nicht vor der (scheinbar auf der externen Platte vorhandenen) erneuten Infektion bewahrt. Aus diesem Grund würde ich besonders in seinem Fall nicht noch einmal auf Avast vertrauen, sonst hat er das gleiche Spiel wieder, wenn er ein paar Daten zurückspielt! Ein Wechsel der Security ist also bei ihm nicht nur sinnvoll, sondern notwendig!

 

[IRON67]

In seinem Fall schon, denn es hat ihn nicht vor der (scheinbar auf der externen Platte vorhandenen) erneuten Infektion bewahrt.

Nein, du hast mich missverstanden. Es geht darum, dass das System, das er in Zukunft, insb. für die Datenrettung von der externen Platte nutzen würde, neu aufgesetzt wird. WIRD. Futur! Es geht nicht darum, wie es jetzt beschaffen ist.

 

[Sound-Fuzzy]

Du warst doch gar nicht gemeint.

Es ging darum, dass purzelbär (erneut) Avast für den TE empfohlen hat, obwohl es für seine bisherigen Infektionen "verantwortlich" war. Sobald er also nach der Neuinstallation irgendeine gesicherte Datei weiter nutzen will oder wieder Downloads von den gleichen Seiten macht etc., würde Avast wohl den Schädling wieder durchlassen. Deshalb kann ich nur dringend dazu raten, die Virensoftware zu wechseln, weil seine Infektion nunmal eine Lücke bei Avast gefunden hat.

Ich glaube kaum, dass der TE all seine Daten (auch Photos etc.) in die Tonne treten will oder nie wieder irgendeinen Download von seinen beliebten Servern macht...

 

[okni]

Ja ich würde dem TE nachdem neu aufsetzen des Systems auch raten einmal ein anderes AV-Programm als Avast zu installieren.

 

[IRON67]

Du warst doch gar nicht gemeint.

Ahso.

Es ging darum, dass purzelbär (erneut) Avast für den TE empfohlen hat, obwohl es für seine bisherigen Infektionen "verantwortlich" war. Sobald er also nach der Neuinstallation irgendeine gesicherte Datei weiter nutzen will [...], würde Avast wohl den Schädling wieder durchlassen. Deshalb kann ich nur dringend dazu raten, die Virensoftware zu wechseln

Nein, das ist keine gute Idee. Nicht Avast (oder ein beliebiges andere AV) war verantwortlich, sondern ausschließlich der Nutzer selbst. Man kann es nicht dem AV anlasten, wenn es etwas übersieht. Das tun ALLE AVs zu über 60%. Weder kann man behaupten, weil es einmal etwas übersah, wird es dieselbe oder ähnliche Malware wieder übersehen, noch kann man davon ausgehen, dass ein anderes AV diese nicht übersehen würde. AV-Hopping ist völlig sinnlos in diesem Zusammenhang. Ein Wechsel wäre nur sinnvoll, wenn das AV gar nicht funktioniert, zu Systemabstürzen oder anderen schwerwiegenden Fehlern führt oder seine Benutzeroberfläche dem Nutzer missfällt.

 

[okni]

Nein, das ist keine gute Idee. Nicht Avast (oder ein beliebiges andere AV) war verantwortlich, sondern ausschließlich der Nutzer selbst. Man kann es nicht dem AV anlasten, wenn es etwas übersieht.

Das sehe ich anders als du, aber jeder wie er meint.

 

[IRON67]

Das sehe ich anders als du, aber jeder wie er meint.

Wenn du es anders siehst, solltest du das begründen. Ein AV ist kein unveränderliches Stück Software. Nur weil es am Tag X eine Malware nicht erkannte, die in dieser konkreten Version vielleicht erst am Tag X-1 in Umlauf kam, muss es diese doch nicht am Tag X+7 immer noch nicht erkennen, nachdem mehrere Male Signatur-Updates stattfanden. Der wichtigste Punkt ist aber, dass das nächste AV doch diese Malware ebenso übersehen kann. Man kann sich zehn AVs hintereinander installieren, dadurch wird man aber kein bisschen sicherer. Du kennst vermutlich virustotal.com. Da kann man nicht nur Samples testen. Man kann sich auch die unterirdische Erkennungsrate vieler AVs für ein Sample über Wochen anschauen.

 

[SEL33]

Mal über den Daumen gepeilt sitzt bei rund 90% aller infizierten Rechner die Sicherheitslücke vor
dem Monitor,weil das BS,Browser und Programme nicht aktuell gehalten werden,sprich das System
wird nicht gepflegt.Oft fehlen solchen Leuten auch die Grundkenntnisse,wie man sich im Internet zu bewegen hat.
Viele klicken,laden und installieren sich jeden Mist auf den Rechner,wobei große Mengen auch illegale Sachen sind.
Da hilft dann auch das "beste"AV nichts mehr.Das andere Problem ist,das viele meinen,sie hätten eine teure
Security Suite auf dem Rechner und seien damit rundum geschützt,leider ein falsches Versprechen der Security-Hersteller.

 

[okni]

Ganz einfach weil Avast jetzt bei ihm mehrmals über mehrere Tage immer das gleiche übersehen hat liegt es in diesem Fall eindeutig an Avast, und ich Behaupte auch nicht das ein anderes AV-Programm jetzt auch immer alles erkennen würde sowas gibt es nicht, aber er könnte schon es einmal mit einem anderen Programm versuchen kostenlose Freewarescanner gibt es ja genug.

 

[IRON67]

Ganz einfach weil Avast jetzt bei ihm mehrmals über mehrere Tage immer das gleiche übersehen hat liegt es in diesem Fall eindeutig an Avast

Schade. Du scheinst es nicht kapieren zu wollen. Was du da bei Avast beobachtest, ist die Regel bei ALLEN AVs! So läuft das IMMER. Das wird beim nächsten AV wieder passieren. Dafür lege ich meine Hand ins Feuer. Die Linke, denn ich bin Linkshänder.

 

[okni]

Was du da bei Avast beobachtest, ist die Regel bei ALLEN AVs! So läuft das IMMER. Das wird beim nächsten AV wieder passieren. Dafür lege ich meine Hand ins Feuer. Die Linke, denn ich bin Linkshänder.

Wenn du dir da mal nicht die Hand verbrennst, du kannst doch nicht pauschal sagen das alle AV's IMMER die gleiche Malware übersieht das ist doch gelinde gesagt Kappes, da gibt es immer Unterschiede dabei.

 

[IRON67]

... du kannst doch nicht pauschal sagen das alle AV's IMMER die gleiche Malware übersieht ...

Habe ich auch nicht. Du liest einfach nur, was du lesen willst, statt mitzudenken. Für dich also nochmal so ausführlich, dass es auch ein Laie kapiert (und ich dachte bisher, du wärst keiner).

JEDES AV übersieht regelmäßig über 60% der aktuellen Malware. JEDES! Natürlich ändert sich für eine konkretes AV im Laufe der Wochen und Monate, WELCHE es übersieht. Aber für eine konkrete Malware(familie) kann das durchaus WOCHEN dauern, bis sie zuverlässig erkannt wird. Ich habe bei VT schon Samples eingereicht, die MONATELANG von den meisten AVs nicht erkannt wurden.

Hast du's jetzt endlich?

 

[okni]

Habe ich auch nicht. Du liest einfach nur, was du lesen willst, statt mitzudenken.

Doch hast du, und du liest scheinbar auch nicht richtig hier mit und meinst nur du hast hier Recht mit deiner Meinung.

JEDES AV übersieht regelmäßig über 60% der aktuellen Malware. JEDES! Natürlich ändert sich für eine konkretes AV im Laufe der Wochen und Monate,

Mensch wo hast du denn dieses Wissen her das dies IMMER so für JEDES AV gilt, Bitte dann Quelle dafür auch nennen.

Aber für eine konkrete Malware(familie) kann das durchaus WOCHEN dauern, bis sie zuverlässig erkannt wird. Ich habe bei VT schon Samples eingereicht, die MONATELANG von den meisten AVs nicht erkannt wurden.

Da gebe ich dir einmal recht, es gibt immer welche die auch Tage, Wochen und Monatelang nach erscheinen bestimmter Samples diese nicht erkennen, aber das trifft mit Sicherheit nicht auf die MEISTEN zu wie du behauptest, sondern eher auf vielleicht ein Drittel und da gehört in diesem Fall was diese Malware betrifft Avast halt dazu, und könnte von einem anderen AV durchaus erkannt werden.

Hast du's jetzt endlich?

Ja ich habs schon länger, und hoffe du jetzt endlich auch.

 

[IRON67]

Doch hast du...

Nein. Im Gegenteil, denn das setzt voraus, dass sich an der Erkennung - ob nun per Signatur oder Heuristik, nichts ändern würde. Dem widerspräche aber meine vorangegangene Antwort:

Ein AV ist kein unveränderliches Stück Software. Nur weil es am Tag X eine Malware nicht erkannte, die in dieser konkreten Version vielleicht erst am Tag X-1 in Umlauf kam, muss es diese doch nicht am Tag X+7 immer noch nicht erkennen

Wie kann beides stimmen? Ich werde mir doch nicht innerhalb von Minuten widersprechen.

Mensch wo hast du denn dieses Wissen her

Von Mikko Hypponen, zuständig für Forschung und Entwicklung beim skandinavischen Antivirensoftwarehersteller F-Secure. Und lass dich nicht davon täuschen, dass es dort um Zeus ging. Das war nur ein prägnantes Beispiel und gilt für jede modernere Malware.

....aber das trifft mit Sicherheit nicht auf die MEISTEN zu wie du behauptest, sondern eher auf vielleicht ein Drittel

Schön wärs. Ich habe in den letzten 5 Jahren jedenfalls die Erfahrung gemacht, dass gerade namhafte AV-Hersteller oft und lange patzen. Ich kann dir für Langzeitbeobachtungen VT wirklich nur ans Herz legen. Das sollte deine Rosa-Brille-Einstellung ändern.