Trojanersuche

[Warhorstl]

Hi!

Eventuell habe ich eben Schadsoftware ausgeführt und deshalb würde ich meine Festplatte gerne auf diese untersuchen. Trotz virustotal-Checks war die Verlockung einfach zu groß, sodass ich das Risiko in Kauf nehmen musste Also bräuchte ich jetzt ein entsprechendes Programm, das einmal alles durchschaut.

Das nur, bevor jemand flamet: Ich habe kein Antivirenprogramm, weil die Dinger eh immer nur Rumnerven bei einem absolut geringen Nutzen. Da ich mein OS sowieso regelmäßig neu installiere, brauche ich die Sicherheit auch nicht.

Gruß
Warhorstl

 

[Boogeyman]

Keine Ahnung was für dubiose Dateien du ausgeführt hast, sollte diese Rootkit Funktionalität haben, wird es schwierig bis unmöglich diese mit einem Scanner überhaupt finden zu können.
Da du ja schon "Erfahrungen" mit dem Neu aufsetzen des Systems hast, mach das.

Was ist bei dir eigentlich "regelmäßig neu installieren"? In der Zeitspanne, wo das System noch läuft, kann Malware in der Zwischenzeit das machen, was sie möchte. (Spam verschicken, Botnet Funktionalität, DoS-Angriffe, usw.)

 

[kernel panic]

Wenn neu aufsetzen ncht in Frage kommt, dann eine Live-CD eines AV-Herstellers.

 

[Lindy]

Öh?

Lindy

 

[Agi Hammerklau]

Am besten Breit machen.... allerdings... folgendas Tool scannt auch den MBR, wo sich "nette" Dinge festsetzen können - probieren... http://public.avast.com/~gmerek/aswMBR.htm

 

[Der Boss]

Es gibt auch kostenlose Virenscanner die nicht nerven. Aber ohne surfen unvorstellbar............

 

[astor27]

@Warhorstl
Es gibt Menschen die sich über sowas wie dich freuen als verbreiter von (Zitat von @Boogeyman Spam verschicken, Botnet Funktionalität, DoS-Angriffe, usw.) freuen.

 

[citius]

Naja, man kann Windows auch "ohne" sauber halten - allerdings nicht mit diesem Verhalten...

 

[Äxpäx]

Kann man schwerlich. Aber die xte "Eingeschränkte Benutzerrechte und keine dubiosen Webseiten besuchen" Diskussion bringt eh nichts, zumal diese Seite meist von Leuten argumentiert wird, die wenig Ahnung haben. Fakt ist, dass ein gutes AV Tool mit Echtzeitschutz (!) für 95% aller Windows Nutzer sinnvoll ist.

 

[Agi Hammerklau]

Ausser AV sollten noch Tools gegen Spyware und Trojaner vorhanden sein, denn AV erkennt die (meist) nicht und diese (S u. T) sind heute die Hauptgefahr.

 

[Wiggum]

Ausser AV sollten noch Tools gegen Spyware und Trojaner vorhanden sein, denn AV erkennt die (meist) nicht und diese (S u. T) sind heute die Hauptgefahr.

Quelle ?
Beweise ?

 

[kernel panic]

Ausser AV sollten noch Tools gegen Spyware und Trojaner vorhanden sein, denn AV erkennt die (meist) nicht und diese (S u. T) sind heute die Hauptgefahr.

Jedes AV hat entsprechendes Signaturen etc., das steht auch in der aktuellen c´t.

 

[Leitwolf22]

Also ich hab mir gestern einen Trojaner eingefangen, und dann halt die üblichen Programme drüber laufen lassen. Die finden dann schon was, aber wirklich los wird man die Dinger damit nicht.

Am Ende hat aber die gute alte Methode wiedereinmal bestens funktioniert: Von einer anderen Installation aus (bzw. von einer anderen Festplatte aus) starten und sich mal die Files des fraglichen Zeitpunkts genau unter die Lupe nehmen. Und plötzlich werden da executables sichtbar, die weder die Scanprogramme noch der Explorer vorher anzeigen wollten.

Die Files dann löschen, und schon klappts wieder bestens..

 

[kernel panic]

@Leitwolf22
Backup zurückspielen (wenn vorhanden) oder Rechner formatieren bzw. alternativ wenn man weder a) noch b) machen möchte ne Live-CD eines AV-Anbieters nehmen macht mehr Sinn.

 

[Leitwolf22]

Wieso sollte ein Prozedere welches dich Tage kostet (und wer hat schon ein völliges back up?) besser sein, als eines welches in einer Stunde erledigt werden kann? Versteh ich jetzt nicht so wirklich..

 

[Boogeyman]

Deswegen:
Warum man bei Infektionen den Rechner neu installieren sollte...

 

[citius]

...und falls Du Herrn Wetz nicht glaubst, dann vielleicht Microsoft:

Die einzige Möglichkeit zum Säubern eines befallenen Systems besteht darin, es vollkommen neu aufzubauen. So viel ist gewiss. Wenn Ihr System vollständig kompromittiert wurde, gibt es nur noch einen Weg: Systemfestplatte formatieren und System neu aufsetzen (d. h. Windows und sämtliche Anwendungen neu installieren).

Quelle:
https://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

 

[Leitwolf22]

Ich versteh das schon, ich habe aber auch schon einige gute Erfahrung mit der Methode. Und sie hat noch jedes Mal funktioniert.

Der Punkt ist eben der, dass du von Außen die Sache sehr gut beurteilen kannst. Angenommen du wirsd um 22:30 von einem Virus befallen und schlagst dich dann noch 30 min mit dem Ding rum. Dann hängst du die andere Festplatte an, startest von dort aus und lässt dir alle Dateien der infizierten Festplatte listen. Der Schädling und seine Dateien liegen dann wunder offensichtlich vor dir, da sie mit entsprechendem Zeitstempel versehen sind. Und in dem Fall werden dir tatsächlich alle Dateien angezeigt, was das infizierte System selbst niemals tun würde. Möglicherweise sind auch .dll Dateiern geändert worden, die kann man aber überschreiben. Wenn die executables gelöscht sind, kann der Virus nichts mehr tun. Auch wenn es noch Einträge in der registry geben sollte. Aber selbst die lassen sich leicht ausforschen, wenn man die Dateien kennt auf die sie verweisen.

Tja, und ohne Code kann ein Virus nunmal nichts tun...

Wie gsagt, die Sache funktioniert bestens. Wahrscheinlich gerade weil Microsoft diese Möglichkeit nicht ins Auge fasst. Aber es ist nur ein Rat, niemand muss ihn annehmen..

 

[kernel panic]

@Leitwolf22
Was machst du, wenn du die Infektion erst Tage oder gar Wochen später bemerkst... des Weiteren hilft deine Methode auch nicht eventuelle Veränderungen (Einstellungen (Ports...)) zu beheben.

 

[Leitwolf22]

Das ist wie gesagt ein Knackpunkt. Man sollte wissen wann die Infektion erfolgt ist.

Die Sache mit den Sicherheitseinstellungen aber stellt nicht wirklich ein Problem dar. Hier helfen dann auch diverse Dienstprogramme..

Da fällt mir noch was Entscheidendes ein: unter den oben genannten Bedingungen funktioniert aber auch ein Virenscan selbst wesentlich besser. Denn der Schädling kann keine aktiven Maßnahmen zum eigenen Verstecken setzen.