Aufsetzen nach Kompromittierung

3SP

fliegt!

Registered: May 2003
Location: Wien
Posts: 1904

20.12.2008 - 00:11

Ich hab mir letzte Woche einen Trojaner geholt; gemerkt hab' ich es daran, dass Firefox wahllos Seiten geöffnet hat.

Habe dann mit Antivir, spybot s&d, eset smart security und spyware doctor gescanned. Es wurden zahlreiche Trojaner entdeckt und ich habe sie gelöscht bis kein Virenprogramm mehr drauf angesprochen hat oder einen gefunden hat. Darunter waren Virtumunde, Vundo und TR/Crypt.XPACK.Gen.

Ich dachte, das Problem sei gelöst.

Gestern bekam ich von der TA eine SMS, dass der Internetanschluss gesperrt wurde, weil von ihm aus gefährliche Dateien gesendet werden (ich schreibe von einem anderen Anschluss). :eek:

Ergo muss sich dieses Biest oder diese Biester noch auf meinem System verstecken. Mitlerweile habe ich mich dazu durchgerungen neu aufzusetzen und dazu habe ich ein paar Fragen:

Ich benutze 2 Festplatten und eine externe Festplatte - auf der ersten Festplatte habe ich 2 Partitionen und Windows ist auf einer davon installiert. Auf der anderen Partition befinden sich nur Programme, Fotos und Musik.

- Wenn ich jetzt neu aufsetze, reicht es davor die Systempartition zu formatieren oder muss ich die ganze Platte formatieren?

- Oder kann es sogar sein, dass ich alle Festplatten formatieren muss (inkl. der externen)? Denn ich habe gelesen, dass sobald ein Rechner kompromittiert ist keine Datei mehr vertrauenswürdig ist. (Ich kann ja kaum meine ganzen Fotos löschen)

- Ich habe bereits begonnen meine eigenen dateien von der Systempartition auf eine andere Festplatte zu sichern. Kann es sein, dass dadurch auch der Trojaner mitgewandert ist und sofort wieder aktiv wird, wenn ich neu aufsetze?

Bevor das neue System dann wieder rennt, werde ich wohl mein Sicherheitskonzept überdenken müssen. :rolleyes:

tia!

HaBa

Legend
Dr. Funkenstein

Registered: Mar 2001
Location: St. Speidl / Gle..
Posts: 19699

20.12.2008 - 00:14

Es kann sein dass in den root-Verzeichnissen ein autorun drinist dass den rechner sofort wieder neu infiziert.

Neu aufsetzen und dann die HDDs erst mit bereits installiertem Virenscanner, SP etc. anhängen wäre uU eine Idee.

Cobase

Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17898

20.12.2008 - 00:17

Am effektivsten wäre wohl etwas wie Knoppicillin.

FrankEdwinWrigh

stuck on the outside

Registered: Nov 2002
Location: im 21. Jhdt.
Posts: 2507

20.12.2008 - 00:35

es reicht die systempartition zu formatieren.

die files auf der anderen platte können zwar sehr wohl noch infiziert sein, jedoch starten die sich nicht von selber. und wenn du neu aufgesetzt hast, ist auch die reg neu, bzw alles was sie anstarten könnte.

scannen solltest du sie wie erwähnt dennoch, das entfernen sollte jetzt aber ein problem mehr darstellen.

machs wie haba gesagt hat, und fang auch nicht an durch die ordner zu klicken bevor der scan zu ende ist .. am ende startest du selber noch was.

Mfg fEW

GATTO

Here to stay

Registered: Dec 2001
Location: Innsbruck
Posts: 1729

20.12.2008 - 00:39

Installier gleich nach dem aufsetzten mal Comodo... das Ding ist so dermaßen pingelig das es sogar anzeigt wenn etwas einen Eintrag in die Registry machen will...
Musst zwar dann pro Installation zig male auf bestätigen drücken das das erlaubt ist aber dafür landet nichts ungewolltes mehr irgendwo.

Cobase

Mr. RAM

Registered: Jun 2001
Location: Linz
Posts: 17898

20.12.2008 - 00:47

Comodo nervt so dermaßen, daß man irgendwann einfach alles bestätigt, und darin liegt imho die Gefahr.

3SP

fliegt!

Registered: May 2003
Location: Wien
Posts: 1904

20.12.2008 - 00:50

Zitat von FrankEdwinWrigh
scannen solltest du sie wie erwähnt dennoch, das entfernen sollte jetzt aber ein problem mehr darstellen.

machs wie haba gesagt hat, und fang auch nicht an durch die ordner zu klicken bevor der scan zu ende ist .. am ende startest du selber noch was.

Erstmal vielen Dank für die schnelle Hilfe!

klingt gut, aber wie sicher ist, dass das Antivirenprogramm dann auch wirklich alle bösartigen Dateien findet? (Laut den 4 oben genannten security - Programmen ist jetzt auch alles sauber

)

Mir ist schon klar, dass der Trojaner sich auf einem kompromittierten System verstecken kann und deshalb nicht gefunden wird.

Kann er sich auch nach dem Aufsetzen noch auf anderen Partitionen vor dem Scan verstecken?

FrankEdwinWrigh

stuck on the outside

Registered: Nov 2002
Location: im 21. Jhdt.
Posts: 2507

20.12.2008 - 12:37

kanns denn nicht sein dass die sperrung einfach nur zu lange gedauert hat und aufgrund der files war/ist die vor den scans drauf waren und nicht erst nachdem du der meinung warst alles is wieder sauber.

vielleicht lässt sich das durch einen anruf rausfinden ?

ich war ja bisher immer der meinung, wenn zwei verschiedenen antivirenprogramme nichts finden, ists sauber .. und bin jahrelang gut damit gefahren.

@Kann er sich auch nach dem Aufsetzen noch auf anderen Partitionen vor dem Scan verstecken?

wie gesagt .. ja, aber es ist nichts mehr da was die datei starten lässt, ausser du machst es per hand durch herumgeklicke.

ich glaub ich muss das ausführen ..
wenn du den virus das erstemal startest (das kann durch anklicken einer verseuchten datei passieren (klassiker .. email anhang) oder direkt über eine verseuchte homepage) , macht er sich einen registryeintrag oder autostarteintrag .. irgendwas .. um nach einem neustart des pcs wieder gestartet zu werden.
aber von selbst geht da nichts. durch das neu aufsetzen hast du deine reg und autostart vernichtet.
bleibt nurmehr das manuelle wiederanstarten .. deswegen sollst du vorm scannen nicht herumklicken.

irgendeinen kompromiss wirst du wohl eingehen müssen, ausser du willst wirklich alle deine files löschen.

mit dem verstecken ist das eine frage der virendefinition des herstellers, des antivirenprogramms .. natürlich sind die immer hinterher. zwar gibt es heuristik scans, aber wenns hart auf hart kommt, muss ihnen der virus erst bekannt sein, bevor sie ihn finden können.

ob ers dann auch löschen kann ist wieder eine andere frage.
wenn der virus aber nur "daliegt" aber nicht aktiv, gestartet ist .. wie bereits erwähnt, sollte es aber kein problem sein.

Mfg fEW

Bearbeitet von FrankEdwinWrigh am 20.12.2008, 12:42

3SP fliegt! Registered: May 2003 Location: Wien Posts: 1904	20.12.2008 - 00:11 Ich hab mir letzte Woche einen Trojaner geholt; gemerkt hab' ich es daran, dass Firefox wahllos Seiten geöffnet hat. Habe dann mit Antivir, spybot s&d, eset smart security und spyware doctor gescanned. Es wurden zahlreiche Trojaner entdeckt und ich habe sie gelöscht bis kein Virenprogramm mehr drauf angesprochen hat oder einen gefunden hat. Darunter waren Virtumunde, Vundo und TR/Crypt.XPACK.Gen. Ich dachte, das Problem sei gelöst. Gestern bekam ich von der TA eine SMS, dass der Internetanschluss gesperrt wurde, weil von ihm aus gefährliche Dateien gesendet werden (ich schreibe von einem anderen Anschluss). Ergo muss sich dieses Biest oder diese Biester noch auf meinem System verstecken. Mitlerweile habe ich mich dazu durchgerungen neu aufzusetzen und dazu habe ich ein paar Fragen: Ich benutze 2 Festplatten und eine externe Festplatte - auf der ersten Festplatte habe ich 2 Partitionen und Windows ist auf einer davon installiert. Auf der anderen Partition befinden sich nur Programme, Fotos und Musik. - Wenn ich jetzt neu aufsetze, reicht es davor die Systempartition zu formatieren oder muss ich die ganze Platte formatieren? - Oder kann es sogar sein, dass ich alle Festplatten formatieren muss (inkl. der externen)? Denn ich habe gelesen, dass sobald ein Rechner kompromittiert ist keine Datei mehr vertrauenswürdig ist. (Ich kann ja kaum meine ganzen Fotos löschen) - Ich habe bereits begonnen meine eigenen dateien von der Systempartition auf eine andere Festplatte zu sichern. Kann es sein, dass dadurch auch der Trojaner mitgewandert ist und sofort wieder aktiv wird, wenn ich neu aufsetze? Bevor das neue System dann wieder rennt, werde ich wohl mein Sicherheitskonzept überdenken müssen. tia!
HaBa Legend Dr. Funkenstein Registered: Mar 2001 Location: St. Speidl / Gle.. Posts: 19699	20.12.2008 - 00:14 Es kann sein dass in den root-Verzeichnissen ein autorun drinist dass den rechner sofort wieder neu infiziert. Neu aufsetzen und dann die HDDs erst mit bereits installiertem Virenscanner, SP etc. anhängen wäre uU eine Idee.
Cobase Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17898	20.12.2008 - 00:17 Am effektivsten wäre wohl etwas wie Knoppicillin.
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	20.12.2008 - 00:35 es reicht die systempartition zu formatieren. die files auf der anderen platte können zwar sehr wohl noch infiziert sein, jedoch starten die sich nicht von selber. und wenn du neu aufgesetzt hast, ist auch die reg neu, bzw alles was sie anstarten könnte. scannen solltest du sie wie erwähnt dennoch, das entfernen sollte jetzt aber ein problem mehr darstellen. machs wie haba gesagt hat, und fang auch nicht an durch die ordner zu klicken bevor der scan zu ende ist .. am ende startest du selber noch was. Mfg fEW
GATTO Here to stay Registered: Dec 2001 Location: Innsbruck Posts: 1729	20.12.2008 - 00:39 Installier gleich nach dem aufsetzten mal Comodo... das Ding ist so dermaßen pingelig das es sogar anzeigt wenn etwas einen Eintrag in die Registry machen will... Musst zwar dann pro Installation zig male auf bestätigen drücken das das erlaubt ist aber dafür landet nichts ungewolltes mehr irgendwo.
Cobase Mr. RAM Registered: Jun 2001 Location: Linz Posts: 17898	20.12.2008 - 00:47 Comodo nervt so dermaßen, daß man irgendwann einfach alles bestätigt, und darin liegt imho die Gefahr.
3SP fliegt! Registered: May 2003 Location: Wien Posts: 1904	20.12.2008 - 00:50 Zitat von FrankEdwinWrigh scannen solltest du sie wie erwähnt dennoch, das entfernen sollte jetzt aber ein problem mehr darstellen. machs wie haba gesagt hat, und fang auch nicht an durch die ordner zu klicken bevor der scan zu ende ist .. am ende startest du selber noch was. Erstmal vielen Dank für die schnelle Hilfe! klingt gut, aber wie sicher ist, dass das Antivirenprogramm dann auch wirklich alle bösartigen Dateien findet? (Laut den 4 oben genannten security - Programmen ist jetzt auch alles sauber ) Mir ist schon klar, dass der Trojaner sich auf einem kompromittierten System verstecken kann und deshalb nicht gefunden wird. Kann er sich auch nach dem Aufsetzen noch auf anderen Partitionen vor dem Scan verstecken?
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	20.12.2008 - 12:37 kanns denn nicht sein dass die sperrung einfach nur zu lange gedauert hat und aufgrund der files war/ist die vor den scans drauf waren und nicht erst nachdem du der meinung warst alles is wieder sauber. vielleicht lässt sich das durch einen anruf rausfinden ? ich war ja bisher immer der meinung, wenn zwei verschiedenen antivirenprogramme nichts finden, ists sauber .. und bin jahrelang gut damit gefahren. @Kann er sich auch nach dem Aufsetzen noch auf anderen Partitionen vor dem Scan verstecken? wie gesagt .. ja, aber es ist nichts mehr da was die datei starten lässt, ausser du machst es per hand durch herumgeklicke. ich glaub ich muss das ausführen .. wenn du den virus das erstemal startest (das kann durch anklicken einer verseuchten datei passieren (klassiker .. email anhang) oder direkt über eine verseuchte homepage) , macht er sich einen registryeintrag oder autostarteintrag .. irgendwas .. um nach einem neustart des pcs wieder gestartet zu werden. aber von selbst geht da nichts. durch das neu aufsetzen hast du deine reg und autostart vernichtet. bleibt nurmehr das manuelle wiederanstarten .. deswegen sollst du vorm scannen nicht herumklicken. irgendeinen kompromiss wirst du wohl eingehen müssen, ausser du willst wirklich alle deine files löschen. mit dem verstecken ist das eine frage der virendefinition des herstellers, des antivirenprogramms .. natürlich sind die immer hinterher. zwar gibt es heuristik scans, aber wenns hart auf hart kommt, muss ihnen der virus erst bekannt sein, bevor sie ihn finden können. ob ers dann auch löschen kann ist wieder eine andere frage. wenn der virus aber nur "daliegt" aber nicht aktiv, gestartet ist .. wie bereits erwähnt, sollte es aber kein problem sein. Mfg fEW Bearbeitet von FrankEdwinWrigh am 20.12.2008, 12:42

Aufsetzen nach Kompromittierung

Forum Index > Software > Windows

3SP

HaBa

Cobase

FrankEdwinWrigh

GATTO

Cobase

3SP

FrankEdwinWrigh