Virenbefall - Was macht ein professioneller Dienstleister anders als ein Heimamwender

[ux42]

Hallo,

für das Fragezeichen war im Titel leider kein Platz mehr.

Zum Thema: es gibt ja Unternehmen, die eine Beseitigung von Viren und anderen Schadprogrammen gegen Entgelt anbieten.

Mich interessiert, was diese anders machen? Geht man dort professioneller (als der Privatnutzer, der evtl. etwas mehr von Computern versteht als Oma Elfriede, aber auch kein Experte ist) vor? Wenn ja, wie? Gibt es eigene Programme oder ein systematisches Vorgehen?

Wenn mich jemand im Bekanntenkreis um Hilfe bittet, benutze ich meistens den eigenen Virenscanner für einen Durchlauf, AdwCleaner und beseitige, wenn es sein muss, manuell unnötige Software wie irgendwelche Toolbars oder Addons, die bei der Installation "versehentlich" mit installiert wurden. Wenn sich so viele Müll/Schadprogramme angesammelt haben, dass sich eine Entfernung mittels Programme nicht lohnt, wird vorher alles Wichtige auf einem externen Datenträger gesichert und Windows komplett neu aufgesetzt. Anschließend erkläre ich dem Betroffenem, wie man so etwas in Zukunft verhindern kann - wie z. B. aufmerksam durch das Installationsprogramm klicken und Zusatzangebote abwählen, keine Werbung anklicken oder dubuise Seiten meiden.

Kann ich meine Vorgehensweise irgendwie perfektionieren? Vielleicht arbeitet jemand in diesem Bereich und kann berichten - das wäre toll.

 

[Piktogramm]

Die Bandbreite solcher professionellen Angebote geht vom Anbietern die auch nicht viel mehr machen als ein Heer von Antivirensoftware auf die Daten loszulassen bis hin zu IT-Experten die versuchen die Daten bestmöglich wiederherzustellen* und dann den Angriff nachzuvollziehen. Wobei letzteres dann quasi ein "Hacker hacken Hacker" bedeutet.

*Obwohl man das ja nicht brauchen sollte, man hat ja Backups...

Maßnahmen:
1. Backups (verschiedene Generationen auf verschiedenen Medien).
2. Wer sich nicht auskennt sollte es sich eingestehen und nicht mit einem Account unterwegs sein, der sich Adminrechte verschaffen kann. Entsprechend kann auch nichts installiert werden.
3. Updates, Software für die es keine Updates bekommt fliegt
4. Eintrichtern, dass alle externen Daten grundsätzlich schädlich sein können

Hatte ich Backups erwähnt?

 

[Red59]

Ich bin zwar kein profi, aber ich mache es auf einen anderen Weg:

1. Ich nutze ein live Linux und lasse damit ein Antivirenprogramm das System scannen.
2. Dann führe ich eine Datensicherung durch.
3. Mein nächster Schritt ist Windows komplett neu zu installieren, mit neu Portionierung der Festplatte. Bunutzer einrichten, Sytem auf den aktuellen Stand bringen. Antiviren Programm installieren; updates durchführen. Datensicherung in Windows einfügen.

 

[Axxid]

...Wenn sich so viele Müll/Schadprogramme angesammelt haben, dass sich eine Entfernung mittels Programme nicht lohnt, wird vorher alles Wichtige auf einem externen Datenträger gesichert und Windows komplett neu aufgesetzt. Anschließend erkläre ich dem Betroffenem, wie man so etwas in Zukunft verhindern kann - wie z. B. aufmerksam durch das Installationsprogramm klicken und Zusatzangebote abwählen, keine Werbung anklicken oder dubuise Seiten meiden.

Also machst du ein Backup von evtl korrupten Daten und drückst die Oma Else wieder in die Hand? Auch eine Art von Kundenbindung

 

[Akkulaus]

1. Ich nutze ein live Linux und lasse damit ein Antivirenprogramm das System scannen.
2. Dann führe ich eine Datensicherung durch.
3. Mein nächster Schritt ist Windows komplett neu zu installieren, mit neu Portionierung der Festplatte. Bunutzer einrichten, Sytem auf den aktuellen Stand bringen. Antiviren Programm installieren; updates durchführen. Datensicherung in Windows einfügen.

Schritt 2 und 3 verstehe ich aber wofür Schritt 1 und sinnlos Zeit verschwenden wenn man sein Betriebssystem am ende eh neu installiert.

 

[Red59]

Damit ich bei der Datensicherung nichts mitnehme, an Daten, die befallen sind.

 

[Targa]

Damit ich bei der Datensicherung nichts mitnehme, an Daten, die befallen sind.

Satte Logik

Wenn deine AVs unter Linux nix finden machst du eine Datensicherung. Ergo gehst du davon aus, dass keine Schädlinge (mehr) vorhanden sind. Dann erübrigt sich auch die Windows Neuinstallation...

 

[Red59]

Satte Logik

Wenn deine AVs unter Linux nix finden machst du eine Datensicherung. Ergo gehst du davon aus, dass keine Schädlinge (mehr) vorhanden sind. Dann erübrigt sich auch die Windows Neuinstallation...

Falsch, daher ein neue Systemaufsetzung, inkl. Antiviren usw.. Programmen, bevor ich die Daten von einem Externem System (Daten Sicherung) rüberhole. Aber ich bin auch ehrlich, bin kein Profi, bin aber mit der Systematik aber gut zurecht gekommen.

 

[owned_you]

Nen Profi hält nen Backup vor und formatiert bei einem Befall! Den Selbst ein Profi kann nach einem Befall nicht 100%ig sicher sagen das das System nach einer Bereinigung safe ist!
Das Backup macht man bevor alles verseucht ist!

Also alles formatieren, dann neu aufsetzen (ohne irgendein verseuchtes Backup das erst im nachhinein gemacht wurde!)
dann alle Treiber, Updates und benötigte Standardprogramme die du so brauchst aufspielen ...
Dann ziehst du ein Image und bist im Schadensfall durch einspielen dieses Images innerhalb 15 Minute wieder mit einem sicheren und sauberen System unterwegs ... schneller als du hier auf antworten wartest!

Und dann hast du hoffentlich aus dem Schaden gelernt und sicherst deine wichtigen Daten regelmäßig!

Kein Backup kein Mitleid!

Natürlich sollten weder Image noch Backups auf dem System liegen, sondern sicher auf nem externen Medium was nur zum Backup und zurückspielen am System oder im Netz hängt! NEIN ein NAS ist kein Backup!

2. Wer sich nicht auskennt sollte es sich eingestehen und nicht mit einem Account unterwegs sein, der sich Adminrechte verschaffen kann. Entsprechend kann auch nichts installiert werden.

Kommt ein Virus/Malware durch, kann sie sich fast immer Adminrechte verschaffen ... ausserdem braucht heutige Malware keine Adminrechte mehr um zuzuschlagen ... das war in den 90igern 2000ern noch der Fall ist heute aber längst überholt!

Wenn deine AVs unter Linux nix finden machst du eine Datensicherung. Ergo gehst du davon aus, dass keine Schädlinge (mehr) vorhanden sind. Dann erübrigt sich auch die Windows Neuinstallation...

siehe oben selbst ein Antivirenspezialist kann dir nach einer Bereinigung nix garantieren, wie kommst du also auf die Idee das du das mit Hilfe von Linux könntest? Diassemblierst du jede Datei auf dem Rechner und auditierst sie? Wenn ja ok, wenn nein:

Da sind hier ja echte Pros unterwegs! not!

@TE nen Professioneller Dienstleister der dir dein System nicht formatiert macht auch nur eines: er zockt dich ab!

 

[Targa]

siehe oben selbst ein Antivirenspezialist kann dir nach einer Bereinigung nix garantieren, wie kommst du also auf die Idee das du das mit Hilfe von Linux könntest? Diassemblierst du jede Datei auf dem Rechner und auditierst sie? Wenn ja ok, wenn nein:

Da sind hier ja echte Pros unterwegs! not!

Da hast mich falsch verstanden. Ich hab nur seine Logik zerpflückt... Logisch ist es ziemlicher Schwachsinn es so zu machen bzw. dann mit dem Irrglaube weiter zu machen, man sichere sich keine infizierten Dateien.

 

[Piktogramm]

@TE nen Professioneller Dienstleister der dir dein System nicht formatiert macht auch nur eines: er zockt dich ab!

Bei einem professionellem Dienstleister würde ich erwarten, dass das System so bleibt wie es ist und ich gegebenenfalls eine bereinigte Kopie der Daten ausgehändigt bekomme. Wenn mir ein Dienstleister ungefragt das System platt macht und mir so jede Möglichkeit nimmt weitere Maßnahmen zu probieren würde ich dezent ausrasten...

 

[DaveStar]

Also zunächst einmal muss man sagen, dass dies in der Praxis von den so genannt professionellen Anbietern sicher sehr unterschiedlich gehandhabt wird. Dies liegt u.a. daran, dass ein erheblicher Teil dieser "Professionellen" schlichtweg weitgehend inkompetent und/oder betrügerisch agiert (oftmals beides). Ich würde die Zahl der "schwarzen Schafe" in der Branche auf deutlich über 50% schätzen.

Es liegt aber nicht nur an oben Genanntem, sondern schlicht und einfach daran, dass es verschiedene Faktoren abzuwägen gilt und es dabei nicht immer die "perfekte Musterlösung" gibt.

Konkret werden dir viele Leute sagen dass bei Virenbefall immer auf "Nummer Sicher" gegangen werden muss, d.h. das System auf jeden Fall komplett neu aufgesetzt wird.

Dies ist auch Sicht des "PC-Doktors" natürlich eine komfortable Sache, denn das Neuaufsetzen eines PCs ist relativ simpel, dauert aber mitunter lange. D.h. der im Stundentarif abrechnende Anbieter verdient viel Geld für einfache Arbeit. Und er kann dies erst noch damit begründen, dass er halt seriös ist und dem Kunden kein Restrisiko hinterlassen will.

Fakt ist aber, dass sich ein Grossteil der Infektionen eben nicht so tief eingräbt, dass man sie nicht wegkriegt. Im Gegenteil: Die meisten Infektionen kriegt man relativ schnell & leicht weg, wenn man weiss, wie man vorgehen muss. Nur hat man dann halt immer ein Restrisiko, dass man doch irgend etwas übersehen hat. Dieses Restrisiko dürfte in der Praxis zwar sehr gering sein, aber eben nicht 100%ig ausgeschlossen werden.
Der Anbieter muss jetzt also abwägen:


Geht er für alle Seite auf Nummer Sicher und betreibt viel Aufwand den er sich gut bezahlen lässt...
...oder bietet er dem Kunden einen schnelleren & günstigeren Service der mit einem kleinen Restrisiko behaftet ist.


Ich persönlich mache genau diese Überlegung dem Kunden gegenüber transparent (unter Einbezug von weiteren Faktoren, namentlich wie es mit dem Backup-System aussieht, ob E-Banking betrieben wird und wenn ja mit was für einem System etc.) und lasse letztendlich den Kunden entscheiden.
Die Mehrheit der Kunden entscheidet sich für die günstigere Variante. Und: Ich hatte in 10 Jahren noch keinen einzigen Fall, bei dem mir anschliessend bekannt wurde, dass eine Infektion erneut ausgebrochen wäre oder es sonstwie zu Problemen gekommen ist.

D.h. ich würde hier explizit eine Gegenposition zu @owned_you einnehmen und behaupten: In der Regel zockt einen wohl eher der Anbieter ab, der neu aufsetzt. Oder er verursacht zumindest einen teureren Einsatz, wo man mit einem günstigeren das selbe Resultat erzielt hätte.
(Aber wie gesagt, hängt immer vom Einzelfall ab. Wenn man natürlich ein virenfreies Systemimage vom Vortag hat, dann spielt man logischerweise dieses ein. Aber sowas hat man typischerweise nur bei Kunden, deren Systeme man seit längerem betreut, nicht bei Hinz & Kunz die bisher selber gewurschtelt haben und erst den Profi rufen, wenn der Schaden bereits pasiert ist...)



Oder um mal einen berüchtigten "Autovergleich" zu machen:
Beim Golf meines Vaters hat eines Tages die Klimaanlage nicht mehr funktioniert. Beim offiziellen Volkswagen-Vertreter hat man ihm gesagt die Klimaanlage müsse komplett ersetzt werden und ausserdem der Keilriemen (oder Zahnriemen oder was weiss ich) auch noch gleich, weil der gem. VW nur eine Haltbarkeit von soundsovielen km hat etc. Offerte war mehrere tausend €. Die freie Werkstätte meinte man könne auch nur irgend ein Einzelteil der Klimaanlage ersetzen, der Keilriemen würde auch noch einige Zehntausend km halten und die Offerte war dann irgendwie ein Viertel dessen, was der andere wollte.
Mein Vater hat sich für die günstige Variante entschieden und hatte seither weder mit der Klimaanlage noch mit dem Keilriemen je irgend ein Problem. Und das ist jetzt schon viele Jahre her. Mindestens vier, würde ich sagen.

 

[purzelbär]

Kleine Geschichte dazu: 2012 rief mich meine Schwägerin an ob ich mal kommen könne weil Sie eine Infektion auf ihren PC vermutete und sie hätte fast 2800 Euro an eine Auslandadresse überwiesen und das Geld wäre futsch gewesen. Ich fuhr also hin, scannte und bereinigte ihren PC mit XP mit Malwarebytes, deinstallierte das Avira Free das keinen Muckser bei der Attacke machte, installierte ihr AVG und sowohl Malwarebytes als auch danach AVG fanden und bereinigten Infektionen. Ich habe die Scanberichte ausgedruckt und ihr empfohlen den PC aber lieber doch zusätzlich vom örtlichen PC Dienst den ich einigermaßen gut kenne, anschauen zu lassen was der meint. Also gaben wir dem PC zu ihm hin inkl. der Scanberichte und er meinte auf dem PC wäre ein damals fieser Onlinebanking Trojaner gewesen und er sprach die Empfehlung aus das er eine professionelle Datensicherung machen würde, dann den PC komplett formatieren, Windows XP und alle Programme neu aufspielen sowie die Daten der Datensicherung wieder einspielen und er bekam die Zustimmung und machte das alles. Damit war er über 10 Stunden beschäftigt bzw der komplette Vorgang dauerte ungefähr 10 Stunden und er verlangte 100 Euro für alles. Als der PC dann fertig war und meine Schwägerin und Schwager den neu gemachten PC bekamen, hörte ich von denen das 100 Euro doch schon ziemlich happig seien und der PC Dienstler sagte mir dann ein paar Tage später bei Privatleuten verrechnet er fast nie genau nach Stunden und er kenne das schon mit Privatleuten die nicht sehen wie lange er mit den verseuchten PC's der Privatleute zu tun habe.

 

[DaveStar]

@purzelbär

Also 100€ scheint mir doch recht günstig für das Geleistete. 10h effektive Arbeitszeit werden das zwar vermutlich bei weitem nicht gewesen sein, aber selbst wenn es 3-4h effektive Arbeitszeit waren sind 100€ kein schlechter Preis.
(Gut bei uns in der Schweiz ist Arbeit tendentiell eh teurer als in DE - ich sage mal drei Stunden Arbeit eines PC-Spezialisten kosten hier zwischen 150 und 450€...)

Die andere Frage ist natürlich, ob es notwendig war, oder ob der Rechner nach deinem Einsatz bereits sauber war. (Oder zumindest mit geringem Zusatzaufwand hätte sauber gekriegt werden können.)

Das mit den 2800€ die da durch den Trojaner futsch waren deutet natürlich auf ein fahrlässig schlechtes E-Banking-System hin. Bei einem anständigen E-Banking-System darf so etwas selbst dann nicht passieren, wenn der Rechner komplett in fremder Hand ist und alles was das Opfer auf dem Bildschirm sieht nur "fake" ist. Aber leider gibt es ja bis heute noch Banken, die keine vernünftigen Systeme fahren. Deswegen habe ich in meinem Beitrag auch geschrieben "unter Einbezug von weiteren Faktoren, namentlich wie es mit dem Backup-System aussieht, ob E-Banking betrieben wird und wenn ja mit was für einem System etc." - wenn der Kunde natürlich ein fahrlässiges E-Banking-System hat, dann rate ich ihm auch eher auf Nummer Sicher zu gehen.

 

[purzelbär]

Davestar, ununterbrochen 10 Stunden lang war der PC Dienstler nicht am PC um ständig was machen zu müssen, aber insgesamt dauerte es ungefähr 10 Stunden oder sogar etwas länger. Er sagte mir das auch ewig gedaurt hatte bis alle XP Updates runtergeladen und installiert waren die es nach XP SP3 noch gab.

Die andere Frage ist natürlich, ob es notwendig war, oder ob der Rechner nach deinem Einsatz bereits sauber war. (Oder zumindest mit geringem Zusatzaufwand hätte sauber gekriegt werden können.)

Nehmen wir mal an Malwarebytes und danach AVG haben wirklich alles von dem Onlinebanking Trojaner löschen können, woher soll man dann wissen oder auch nicht ob der Trojaner nicht am Winbdows etwas manipuliert hat das bestehen bleibt also Manipulationen auch wenn der eigentliche Trojaner gelöscht wurde. Solche womöglichen Manipulationen könnten meiner Meinung nach doch wieder anderer Malware bzw Trojanern es erleichtern auf das betreffende System zu kommen.

 

[DaveStar]

@purzelbär

Ja, das mit den Updates habe ich mir gedacht. Aus "Kostensicht" sollte es ja egal sein, ob die Kiste 10 Minuten oder 10 Stunden updated. So lange nicht daran gearbeitet wird, wird auch nichts verrechnet. (Zumindest ist das bei uns so.)
Aber wie gesagt, die 100€ reflektieren ja auch keine 10h Arbeit, insofern passt das schon.


Was den zweiten Punkt angeht:
Das ist genau das, was ich in meinem ersten Beitrag recht ausführlich beschrieben habe.
Wenn man 100%ig sicher gehen will, muss man neu installieren. Aber ökonomisch kann es m.E. oft sinnvoll sein, nicht 100%ig sicher zu gehen und dafür Zeit & Geld zu sparen. Wie gesagt: Die Mehrheit der Kunden entscheidet sich in Kenntnis der beiden Alternativen für die günstigere Variante und in gut 10 Jahren hat sich das gem. meiner Erinnerung noch nie als Fehler herausgestellt.

(Natürlich würde ich nicht nur einen Suchlauf mit Malwarebytes machen, obwohl ich das Tool sehr schätze, sondern auch noch ein paar andere Dinge prüfen. Namentlich mit 'autoruns' mal alle Autostartobjekte prüfen, die hosts-Datei prüfen, schauen ob irgend ein Proxy eingestellt wurde oder die DNS-Server nicht mehr stimmen etc.)

 

[TheTecher]

Meistens hilft natürlich nur eine Wiederherstellung des Backups. Nicht umsonst benutzen größere Unternehmen dedizierte Backup-Server und sichern die Backup-Sätze auf Magnetbändern welche dann fest verschlossen werden.

Ich würde beispielsweise nach einem Virenbefall nie die Daten sichern die auf dem PC sind, schon beim Anschluss eines externen Wechseldatenträgers ergibt sich die Gefahr der weiteren Ausbreitung auf das jeweilige Medium. Wer garantiert denn dafür dass der Schadcode sich nicht in irgendwelchen Daten "festgesetzt" hat und auf dem neuen System wieder ausbricht.
Kein Backup - kein Mitleid^^

 

[Piktogramm]

Ein Backup einer infizierten Maschine zieht man typischerweise auch nicht über gerade diese Kiste sondern indem man die antsprechenden Laufwerke über andere Rechner klont.