Polizeivirus erhalten, aber PC funktioniert trotzdem, was tun?

Bei mir war der Trojaner in einer win servicepackdatei.

.... man muss Seiten finden, den man trauen kann.

@Alano
@Orbiter...
@NONsmoker
@zaramanda
@Scox
Guten Morgen Gemeinde

NONsmoker schrieb:Mittlerweile braucht man nicht unbedingt mehr eine ISO-Datei brennen. Es gibt fertige CD´s im Handel.

Ja, leider ist die Mentalität der User schon soweit, daß kaum noch einer an die Möglichkeit denkt, sich Software in einem physikalischen Geschäft zu kaufen. Heute will man ALLES aus dem Netz ziehen (weil's halt so bequem ist).

NONsmoker schrieb:Linux ist nach meinem (angelesenen) Wissen auch nicht mehr sicher.

Dazu muß ich sagen, daß es "DAS LINUX" nicht gibt. Es gibt rund 10 Entwicklungsteams (Fedora, Mandriva, Debian, SuSE, etc.), die zusammen rund 100 Linux-Distributionen herausgeben. Im Gegensatz zu microsoft^©, die im Grunde immer nur zwei Windows-Versionen rausbringen (eine NT Version für Server-Rechner und eine Userversion (XP, Vista, 7,etc.))

Ich nutze ein Distribution schon über viele Jahre hinweg (nutze es aber wie ein Windows, sprich: mit den "Innereien" und Befehlen kenne ich mich nicht aus) und hatte während dieser ganzen Zeit nur von EINEM Virus gehört, der sich durch ein Leck im OpenOffice.org eingeschlichen haben sollte (hatte ihn aber nie auf dem Rechner). Kann also sagen, das Mac und Linux Distris. relativ sichere Systeme sind, im Gegensatz zu microsoft^©.

Orbiter... schrieb:Bei mir war der Trojaner in einer win servicepackdatei.

Ich kann mir beim besten Willen nicht vorstellen, das Du Dir den auf der Original microsoft^©-Seite eingefangen haben sollst.

@Micha007

Ein Bootkit setzt sich auch nicht im BIOS fest - das befindet sich in einem EPROM auf dem Mainboard und gar nicht auf der Festplatte - sondern im MBR (Master Boot Record, der erste Sektor auf der C: Partition), wie der Name "Bootkit" ja schon sagt.

Gut, das ist kein Bootkit, wenn man den Begriff Bootkit definiert, wie er auf wikipedia definiert ist (was man in der Regel nicht tun sollte), hast Du Recht.
Das ist alles nur eine Definitionsfrage und die Begriffe sind nicht scharf definiert,
Fasst man allgemeiner alle Arten von Malware darunter, die bereits beim oder vor dem Systemstart aktiv werden können, ist es durchaus wahr, dass die Formatierung der Festplatte die Malware nicht unbedingt entfernen wird,

http://www.blackhat.com/presentations/bh-europe-06/bh-eu-06-Heasman.pdf


Edit; Das allgemeine Verständnis eines Bootkits scheint recht korrespondierend mit der Beschreibung auf wikipedia zu sein, in diesem Sinne hast Du Recht.

Micha007 schrieb:Ja, leider ist die Mentalität der User schon soweit, daß kaum noch einer an die Möglichkeit denkt, sich Software in einem physikalischen Geschäft zu kaufen. Heute will man ALLES aus dem Netz ziehen (weil's halt so bequem ist).

ich werde mir demnächst tatsächlich ein ordentliches Antivirenprogramm im Laden kaufen.

@Micha007 Ne, dass Servicepack hatte ich damals über eine beliebige Seite runtergeladen.
Es war softonic. Seit dem trau ich nur noch Chip.de.

Naja... ich fahr jetzt nicht Sicherheitsgeschütze auf, um den PC zu schützen.
Wenn mann auf vertrautenswürdigen Seiten bleibt, passt alles.

Ich hab aber immer Malwarebytes und Hyjackthis parat, außerdem überprüfe ich
manchmal die Systemprozesse.

Ich hab das aufgegeben so paranoiamäßig meinen PC zu schützen, weil
100 prozentig ist man eh nicht geschützt.

Wenn nur eine backdoor existiert, zb bei java oder anderen Programmen,
hat man eig schon verloren.

z.Z merke ich keine ungewöhnlichen Aktivitäten, bekomme bloss in letzter
Zeit phishing mails. Angeblich die Telekom mit einer Monatsrechnung.
Dabei bin ich nichtmal bei der Telekom.

Tja...irgendwelche Leute haben halt meine Emailadresse...

@mathematiker

mathematiker schrieb:ist es durchaus wahr, dass die Formatierung der Festplatte die Malware nicht unbedingt entfernen wird,

Das ist einfach nicht wahr. Bei der Soft-Formatierung wird lediglich das Inhaltsverzeichnis (die Directory) überschrieben und die Partition als Leerr gekennzeichnet. Dabei wird der Rest derPartition aber nicht formatiert. Spätestens wenn man ein neues System aufspielt, werden aber die vorhandenen Programm(teile) mit dem neuen System überschrieben und die vorherigen Programme sind somit nicht mehr lauffähig. Denn Programme werden im NTFS-Format nicht schön hintereinander an einem Stück auf die Festplatte gespeichert, sondern auf freie Stellen auf der ganzen Partition verteilt und mit Sprungadressen versehen. Beim Aufruf eines Programms, wirde der Lesekopf zu den einzelnen Sprungzielen geführt und das Programm steht dann in einem Stück lauffähige im RAM zur Verfügung.

Nach der Neuaufspielung des Systems, existieren dann zwar noch Fragmente von alten Programmen und auch von Maleware/Viren, diese sind aber nicht mehr lauffähig, da sie zum Einen nicht mehr komplett auf der Festplatte existieren und zum Anderen, die Sprungziele nicht mehr vorhanden sind.

Nach einer Hard-Formatierung wird nicht nur die Directory neu geschrieben, sondern ALLE Sektoren der Patition mit #00FF überschrieben. Sie ist dann nicht mehr nur scheinbar leer, sobderb auch pyhsikalisch mit den Bitwerten $256 überschrieben.

Wenn Du also irgendwo gelesen hast, das evtl. nach einer Formatierung, Programme/Viren/Maleware noch laufen KÖNNTEN, so ist das eine Falschinformation aus o.g. Gründen.


@Orbiter...

Orbiter... schrieb:Seit dem trau ich nur noch Chip.de.

Eine gute Wahl, denn sie haben in Sachen Sicherheit deutlich nachgelegt. So stehen die Download-Programme nun nicht mehr als Direktlink zur Verfügung, sondern werden durch einen Downloadmanager heruntergeladen und gleich zur Ausführung der Installation gebracht.

@Micha007

Micha007 schrieb:Das ist einfach nicht wahr. Bei der Soft-Formatierung wird lediglich das Inhaltsverzeichnis (die Directory) überschrieben und die Partition als Leerr gekennzeichnet. Dabei wird der Rest derPartition aber nicht formatiert. Spätestens wenn man ein neues System aufspielt, werden aber die vorhandenen Programm(teile) mit dem neuen System überschrieben und die vorherigen Programme sind somit nicht mehr lauffähig. Denn Programme werden im NTFS-Format nicht schön hintereinander an einem Stück auf die Festplatte gespeichert, sondern auf freie Stellen auf der ganzen Partition verteilt und mit Sprungadressen versehen. Beim Aufruf eines Programms, wirde der Lesekopf zu den einzelnen Sprungzielen geführt und das Programm steht dann in einem Stück lauffähige im RAM zur Verfügung.

Nach der Neuaufspielung des Systems, existieren dann zwar noch Fragmente von alten Programmen und auch von Maleware/Viren, diese sind aber nicht mehr lauffähig, da sie zum Einen nicht mehr komplett auf der Festplatte existieren und zum Anderen, die Sprungziele nicht mehr vorhanden sind.

Nach einer Hard-Formatierung wird nicht nur die Directory neu geschrieben, sondern ALLE Sektoren der Patition mit #00FF überschrieben. Sie ist dann nicht mehr nur scheinbar leer, sobderb auch pyhsikalisch mit den Bitwerten $256 überschrieben.

Wenn Du also irgendwo gelesen hast, das evtl. nach einer Formatierung, Programme/Viren/Maleware noch laufen KÖNNTEN, so ist das eine Falschinformation aus o.g. Gründen.

Das stimmt alles.
Dennoch besteht die Möglichkeit, bei einer kompletten Formatierung ist es wohl auch sehr wahrscheinlich, jegliche Malware zu entfernen. Ich bin kein Experte der angewandten Informatik, berufe mich aber jetzt einfach mal auf ein Statement von Lenovo; wobei hier vorausgesetzt wird, dass die HDD nicht ganz formatiert wird.

Let's say a system is infected with malware, be it virus, worms, Trojan. Will formatting the whole hard disc help? In what occasion it doesn't help and a replacement is needed?
...

When it does not work:

TDL4 rootkit
Note that a recent variant of the TDL4 rootkit that creates a hidden volume(which housed the rootkit's files) and modifies the partition table to point to the malicious volume also can't be removed just by mere formatting.

Source: http://blog.eset.com/2011/10/18/tdl4-rebooted (Archiv-Version vom 03.02.2013)

BIOS-infector threats
Most of the information-stealing threats will be removed by doing this. But there are some threats that will not be removed by doing such -- like BIOS-infector threats. If you got infected by one of these, you need to remove the files/components that it dropped on your HDD (or reformat it) and then flash your motherboard's BIOS.

Symptom of bios-infector threat
It is somewhat difficult to determine if your motherboard's BIOS has been infected. The symptoms are

that even after you've reformatted the hard drive, the computer will immediately get infected or shows signs of infection.
if many (if not all) antivirus/security program, tool or application cannot detect anything on your machine but the symptoms of being infected are still there
You can probably assume that your motherboard's BIOS has been compromised (given that the Master Boot Record has not been compromised as well).

https://forums.lenovo.com/t5/Security-Malware-Knowledge-Base/Would-it-help-if-I-reformat-an-infected-HDD/ta-p/607495

hier hingegen wird explizit behauptet;

Mitarbeiter der argentinischen IT-Sicherheitsfirma Core Security Technologies haben auf der Konferenz CanSecWest ein Szenario vorgestellt, bei dem ein Rootkit seinen Code in den Flash-Speicherchip des PC- oder Notebook-Mainboards schreibt, der eigentlich für das BIOS vorgesehen ist. Auf diese Art tief im System verankert, übersteht ein Rootkit sogar das Neuformatieren oder den Austausch der Festplatte; zudem ist es für Virenscanner schwierig, den BIOS-Code zu prüfen.

http://www.heise.de/security/meldung/Wieder-einmal-Rootkit-im-PC-BIOS-209207.html


Ob ein solcher Rootkit dann noch, ohne wieder Code aus dem Internet zu laden, arbeitsfähig ist, ist die andere Frage, denn Dein Argument mit den Springzielen

Micha007 schrieb:diese sind aber nicht mehr lauffähig, da sie zum Einen nicht mehr komplett auf der Festplatte existieren und zum Anderen, die Sprungziele nicht mehr vorhanden sind.

ist auch schlüssig.
Es sind wohl 2 Fragen; zum Einen ob ein Rootkit nach Formatierung der Festplatte noch vorhanden sein kann, zum Anderen, ob die Malware dann nach arbeitsfähig ist.

@mathematiker
Das solche Rootkits möglich sind, weiß ich, habe ich aber in meiner Computerlaufbahn (seit 1988) noch nie "diagnostiziert". Außerdem ist ein solcher Rootkit nur auf einer einzigen BIOS-Version lauffähig, da es aber genausoviel BIOS-Versionen gibt, wie es Mainboards gibt, wird dadurch nur "relativ wenig" Schaden angerichtet.
Mit einem Schraubendreher auf dem Mainboard den Jumper J2 überbrücken, dies RESETet das BIOS physikalisch und der Spuck ist schon wieder vorüber.

In den Medien wird sowas nur leider viel zu sehr aufgebauscht und für sowas von gefährlich und hast Du nicht gesehen hingestellt, anstatt sie gleich eine simple (aufführlichere) Anleitung zur Beseitigung mitschicken.

Hier wurde über etwas ähnliches diskutiert,

Super-Malware BadBIOS nistet sich in BIOS ein

...aber ich denke er hat seine Festplatte nicht anständig formatiert,
oder seine firewall hat ein Loch..

Naja, weiss der Herr was mit seinem PC ist, dass muss man sich vor Ort anschauen...

Alano schrieb:ich werde mir demnächst tatsächlich ein ordentliches Antivirenprogramm im Laden kaufen.

Tat ich auch und besorgte mir im Geschäft eine 2 Jahreslizenz von Bitdefender..weil ja Bitdefender immer ganz vorne dabei ist, was die Erkennungsrate angeht (Israelische Scanengine, geringe CPU Last). Kurzum, der Installer von Bitdefender ist Müll, egal wie ich es anstelle, der Installer freezt ein während der Installation. Warum und wieso k.A. anscheind passt ihm meine Hardware (u.a. Samsung SSD) nicht. Im Netz gibt es andere die dasselbe Problem haben, aber keiner hat eine Lösung und Bitdefender zuckt die Achseln.

Wieder mal was gelernt; Bitdefender pfui und einen Virenscanner kaufen ist (jedenfalls für mich) gestorben, benutze wieder Avast wie zuvor und bin Happy und wenn es mehr sein muss, zahle ich für Avast..denn es ist bewundernswert was die Firma tut.

ja, avast bevorzuge ich auch .... früher, als das noch weniger bekannt war und man die website von denen auch nur unter .at tld erreichen konnte, war das aber noch ein wenig besser ^^
das war quasi richtig zünftig. aus allen voice-statusmeldungen hat man den dialekt rausgehört :D
ich hab mich ne ganze zeit lang beinah vom stuhl gelacht, also immer nach updates und so :D :D :D
leider ist das heute nicht mehr so :/

ich weiß allerdings nicht wie die kaufversion ist.

naja, was ein wenig nervt sind die ganzen stats und so .... aber die gehen mit der zeit, wieso auch nicht.... zudem kann man das ja abstellen.
das ganze gedöhns mit cloud web2.0 und so ist alles nicht so mein ding....

mayday schrieb:(Israelische Scanengine,

das klingt so nach mossad ^^ :D :)

bitdefender fand ich mal gut, aber seit ewigen benutze ich avast.
hm, spontan als kaufversion kann ich eigentlich nur vom panda abraten, genauso wie jegliche symantec softwareprodukte (wenns die überhaupt noch im bereich viren-security gibt)

kaspersky hatte eine ganze zeit lang ne akzeptable kaufversion angeboten.
obwohls zu kaspersky zeitweise echt die derbsten gerüchte gab....

Micha007 schrieb:daß es "DAS LINUX" nicht gibt

ist mir bekannt. Ich habe mich lange mit Linux-Distributionen beschäftigt, bis ich wieder zu Windows zurück ging.
Einfach deshalb, weil die Software, die ich nutze unter Linux nicht läuft.

Linux mag am Anfang mal sicher gewesen sein und ist gegenüber Windows natürlich sicherer.
Aber, hier mal ein Link

http://www.golem.de/news/botnet-windigo-10-000-kompromittierte-linux-server-als-malwareschleudern-1403-105250.html

Völlige Sicherheit gibt es nicht.

Und was sind schon vertrauenswürdige Seiten ?

@iwok
Die Freeware ist punkto Erkennung/Schutz, genau dasselbe wie die Kaufversion. Wer Geld zahlt für Avast erhält zusätzliche Funktionalität

Firewall (wobei Windows Firewall tut's aber auch)
SafeZone (zur Sicherung von Zahlungen und Banking)
Antispam für eMail (kann interessant sein, wer noch nichts hat)
Automatischer Software Updater (sagt dir ob es neuere Versionen der Programme gibt die installiert sind, lädt sie auch gleich runter und installiert sie..nur nice to have, aber ansich eher ein Gadget) AccessAnywhere (lässt sich auch mit Daemon Tools, VNC usw. erledigen)
Daten-Schredder (da gibt es auch andere Programme).

Allgemein hilfreiches, was aber nicht zwingend nötig ist.

Noch was vergessen bei Avast.."Sandbox" ist das was sinnvoll sein kann, Programme und vor allem den Webbrowser in einer Sandbox laufen lassen. Es schottet das Browsing komplett von allem ab d.h. alles was im Browser passiert, kann nicht raus auf die Kiste.

Avast hat das vor einigen Jahren eingeführt und ich habs mal getestet, als es neu war. Es war damals noch etwas bugy, aber eine klasse Sache um Surfen sicher zu machen..jetzt ist es vielleicht ausgereift, müsste man mal kaufen und testen.

@NONsmoker

NONsmoker schrieb:Linux mag am Anfang mal sicher gewesen sein

kommst du zu diesem schluss, wegen des golem.de artikels?

also ich frage mich da gerade auf welchem wege diese zugangsdaten gestohlen worden sind.

Die Betreiber des Botnets verschaffen sich über gestohlene Zugangsdaten Zugriffe auf die Server, auf denen in der Mehrzahl Linux läuft.

zudem hat es bei serversicherheit auch immer viel zu tun welche dienste der server anbietet.
es gab auch einmal eine linux distri, welche eigentlich nur zu "demonstrationszwecken" bzw. zum lernen wie man diverse konfigurationen von daemon's (ich schreibs extra mal dazu: disc and execution monitor ; damit das an der stelle niemand falsch versteht ;) )
nicht zu schreiben hat.
ich glaube die hieß damn vulnerable linux ...

natürlich ist auch ein linux -system vor malware die z.b. attacken auf klassische windows-dienste bzw. server abzielen nicht gefeit, wenn das linux-system den gleichen dienst anbietet.
so gabs z.b. mal einen virus (eher wurm), der (ich will das an der stelle nur ganz grob anschneiden) attackierte im wesentlichen die "Datei- und Druckerfreigabe".
diese malware hat daraufhin jede *.exe -datei / anwendung innerhalb der freigaben infiziert.
bei ausführung eines clients, der sich die infizierte datei vom server heruntergeladen hat wurde der "Datei- und Druckerserver" des clients ebenso infiziert.
also alle anwendungen in den shares des oben genannten clients wurden infiziert.
der typ, der das gemacht hatte, hatte auch wahllos ip-adressen attackiert (um diese malware zu spreaden). soweit ich weiß war diese infektionsart nur als "entry" gedacht. anscheinend wollte der programmierer dieser malware noch einen trojaner hinterherschieben um sich so ein botnetzwerk zu bauen.
alles nicht auf irc basis.
davon waren auch die freigaben von samba servern betroffen; ich bin mir nicht mehr ganz sicher, aber ich glaube zu wissen dass linuxkisten die zwar samba draufhatten aber netbios (nmbd ,oder so ähnlich, ich hab auf meinen linuxinstallationen keinen sambaserver da ich kein heterogenes netzwerk mehr betreue) aus war wurden nicht betroffen.
naja, alles in allem wurde das auch ziemlich schnell gefixt, microsoft war zwar wie zu erwarten etwas langsamer (aber das ist oft so)
aber der schaden war dann doch immens ....

das soll keine kritik darstellen. sondern nur mal kurz zeigen, dass es sicherheit in der "IT welt" (dummer ausdruck) so, wie es sich ein user gerne wünscht, noch nie gegeben hat. demzufolge auch nie geben wird.

allerdings und das ist aber normal:
mit der steigender linuxuserzahl werden linux-systeme als targets einfach viel attraktiver.
soll heißen, dass linux mit der zeit auch "unsicherer" (schlecht gewähltes wort) wird.

damals war linux eben ein wirkliches nieschenbetriebssystem. kaum jemand hatte es benutzt. da hat es niemanden interessiert wie man eine linux-kiste aufmacht. deswegen gab es für linux-systeme nur eine "handvoll" rootkits / malwares / wasweißich (die begrifflichkeiten ändern sich ja oft gengug ^^ )

Noch was vergessen "Sandbox" ist das was sinnvoll sein kann, Programme und vor allem den Webbrowser in einer Sandbox laufen lassen. Avast hat das vor einigen Jahren eingeführt und ich habs mal getestet. Es war damals noch etwas bugy, aber eine klasse Sache um Surfen sicher zu machen..jetzt ist es vielleicht ausgereift, müsste man mal kaufen und testen.

ja, sandbox kenn ich, kurz: wie ne virtuelle maschine (z.b. vmware, virtualpc , etc und und und) allerdings für einzelne programme (also in so eine sandbox kann man kein OS reininstallieren.
da gabs auch mal ein tool damals (und ich glaube das hieß sogar so) da konnte man auch manuell seinen browser oder andere anwendungen drin ausführen.

das mit dem ausgereift ist so ne sache. panda software hatte das damals als die das eingeführt haben, performance-technisch erst nach ca. einem viertel jahr "hinbekommen"
aber zwischendurch gabs immer mal wieder versionen wo dieses sandbox gedöhns einfach müll war. also performance probleme, komplette fehlmeldungen und und und ....
allerdings nennen die das bei panda ganz anders ....

also ich steh nicht unbedingt drauf :)


ps: sry, dass ich deinen ganzen post zitiert hab oO ; sowas gehört sich einfach net ....

iwok schrieb:kommst du zu diesem schluss, wegen des golem.de artikels?

Nein, sondern weil es mal ein, wie du richtig sagst `Nischensystem´ war.

Am Anfang gab es auch keine Handy-Viren.

Sandbox, ja hört sich gut an.
Ich hatte mal Sandboxie drauf. Habs wieder runtergeschmissen.

@NONsmoker
Wars VirtualBox?

Webbrowser in einer virtuellen Umgebung laufen lassen, finde ich schon sexy..es löst einfach das Sicherheitsproblem an der Wurzel..aber Performanceprobleme und ggf. andere Bugs schmälern die Zufriedenheit.

Alternativ kann man auch einen Browser virtualisieren und den anderen nicht, einer für Youtube und der Andere für alles heiklere bzw..muss ja nicht einmal zwei installieren, jeder Windowsuser hat einmal IE-32Bit und einmal den 64Bit IE

NONsmoker schrieb:Am Anfang gab es auch keine Handy-Viren.

also den ersten handy-virus den ich kannte, den konnte man via bluetooth verschicken, allerdings war das auf nur ganz ganz wenige hersteller beschränkt und naja ....

aber wenn du mit handys, smart-phones meinst .... jaa, es ist schon echt verdammt schlimm geworden.
ist ja auch viel leichter zu coden
da man sich keine dokumente und so beschaffen muss ......

mayday schrieb:Wars VirtualBox?

Nein, das heißt direkt Sandboxie.
Hat mich nur genervt, mit Update und Kaufversion und Sandboxie ist voll, sie sollten etwas löschen....
Ich will mit dem PC arbeiten und mich nicht mit unausgereiften Programmen rumschlagen.