Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Einmal Virus, immer Virus?

dirk42799 / 8 Antworten / Baumansicht Nickles

Hallo zusammen,

zum Thema "Entfernung von Schadsoftware" habe ich jetzt in der Überschrift mal bewußt als Synonym den Begriff "Virus" rausgepickt. Denn:
wie wahrscheinlich bzw. erfolgreich ist die Entfernung von Schadsoftware/Viren?

Ich fand hierzu bei entsprechender Internetsuche eine Seite, die begann mit der Formulierung (sinngemäß):

"Einen Virus zu entfernen ist eigentlich ziemlich einfach..."

Anschließend erklärt die Seite, daß man erstmal den Virus mittels Antiviren-Software (AV) isolieren und anschl. löschen soll.

Wenn das nicht geht, hilft man sich mit dem abgesicherten Modus oder der Systemwiederherstellung weiter.

Das klingt dann für mich aber nicht mehr nach Entfernung von Viren, sondern nach Neu-Installation des Betriebssystems "light".

Daher bitte ich mal um eure Meinung:
kann man ein kompromitiertes System grds. reinigen? Oder hilft letztlich nur eine Neuinstallation?

Wichtig dabei: ich rede jetzt nicht von dem Fall, daß die AV-Software bspw. einen Virus im Anhang einer E-Mail entdeckt, sondern dieser Anhang schon geöffnet und der Inhalt seine Wirkung entfalten konnte.

Danke für eure Antworten.

Gruß,
Dirk

ja, ich schreibe absichtlich nach den alten Rechtschreibregeln!
bei Antwort benachrichtigen
nemesis² dirk42799 „Einmal Virus, immer Virus?“
Optionen

Da gibt es zwei große Fragen:


1. wie merke ich, dass (m)ein System verseucht ist


2. wenn 1. "sicher" ist, woher weiß ich dann, ob ich ALLES gefunden habe?


Gerade bei 2. kann man nach 2-5 Jahren mit dem Virenscanner noch Zeug finden, dass jahrelang im Hintergrund schlummerte.


3. Ist der "Virus"/ die Malware, die ich entdeckt habe "standalone" oder wird die nur vom Rootkit/Bootkit kontrolliert?


Wenn du die Fragen nicht mit ziemlicher Sicherheit beantworten kannst, weiß du nicht, wie viel Sinn die einfache Entfernung macht.

Wenn das nicht geht, hilft man sich mit dem abgesicherten Modus oder der Systemwiederherstellung weiter.

Das hilft eher gehen harmlosese Zeug. So manches Bootit würde das nicht jucken. Ob du dessen "Payload" überhaupt per Virenscanner erkennen und entfernen könntest, ist noch eine ganz andere Frage.


Die "Neuinstallation light" per sauberem Image zurückspielen ist nicht sehr aufwändgig, kostet höchstens etwas mehr Zeit (weil Win7/8 sich ziemlich aufblähen - auch wenn alle Daten schon ausgelagert sind).


Bootcode im MBR + Bootsektoren ist schnell erneuert, Image von "C:\" ist in unter einer Stunde zurückgespielt und die Datenpartitionen bleiben unter Beobachtung. Damit bügelt man fast alles weg. Blieben dann nur noch Spezialfälle wie BIOS-Trojaner usw. - zum Glück sind die noch recht selten.


Gerade jetzt wird das Zeug fieser und immer schwerer zu entdecken, da sorge ich radikaler für Sauberkeit.

bei Antwort benachrichtigen
Andreas42 dirk42799 „Einmal Virus, immer Virus?“
Optionen

Hi!

Früher(TM), in der guten alten Zeit, als DOS noch wichtig, Windows 3.1 neu und Bill Gates noch ein Typ war, den man heimlich bewundert hat, da war die Sache mit den Viren "statisch": man konnte die Dinger einfach erkennen (also die Virenscannersoftware), es gabe feste Punkte, wo sie sich einnisteten (im MBR, im Bootsektor oder in einer COM oder EXE).

Da war die Sache also prinzipiell überschaubar und beherrschbar. Da reichte es auch seinen Virenscanner alle paar Monate mal von einer Heft-Diskette neu zu installieren.
Den Virus selbst konnte man mit ein paar einfachen Hausmitteln vom Rechner entfernen.

Heute ist die Situation völlig anders. Es reicht nicht mehr nur von Viren zu sprechen, man muss von "Schädlingen" sprächen, was allgemeiner und breiter gefasst ist.

Schädlinge sind heute schon lange nicht mehr "statisch", sie haben sich weiterentwickelt und sie verändern sich ständig. Quasi jede neue Schädlingswelle funktioniert anders. Niemand, kann wirklich mehr überblicken, wie genau eine Infektion erfolgt und was der Schädling dabei modifiziert hat. Und genau dieses Wissen - das nicht mehr vorhanden ist - wäre die Vorraussetzung, um einen Schädling komplett vom Rechner entfernen zu können.

Das dieses Wissen heute fehlt liegt nicht an der Dummheit der User oder der Spezialisten. Die Schädlinge von heute sind nicht mehr mit den einfachen Viren von Gestern vergleichbar. Heute handelt es sich um komplexe Schadsoftware, die sich tief und an unterschiedlichsten Stellen ins Betriebssystem eingraben kann.
Mit Hausmitteln und einfachen Anleitungen zum Entfernen kann heute niemand mehr ernsthaft garantieren, dass man einen Schädling komplett vom Rechner entfernen kann.

Der einzig sichere Weg, einen Schädling zu entfernen, ist daher in der Tat die komplette Neuinstallation.

Bis dann
Andreas

Hier steht was ueber mein altes Hard- und Softwaregedoens.
bei Antwort benachrichtigen
dirk42799 Andreas42 „Hi! Früher TM , in der guten alten Zeit, als DOS noch ...“
Optionen

Hallo Andreas und nemesis²,

danke für eure Antworten. Das bestätigt dann weitestgehend meine Einschätzung:
alles platt, runter und neu.

Sicher: sofern ein Image vorhanden ist, kann man das machen.
Im Alltag, wenn der Kunde seinen PC bringt, ist der Drops aber auch gelutscht.

Ein ruhiges Rest-WE,

Dirk :-)

ja, ich schreibe absichtlich nach den alten Rechtschreibregeln!
bei Antwort benachrichtigen
nemesis² dirk42799 „Hallo Andreas und nemesis², danke für eure Antworten. Das ...“
Optionen
Im Alltag, wenn der Kunde seinen PC bringt, ist der Drops aber auch gelutscht.

Klar, dann wirst du sicher immer darauf hinweisen, dass du keinerlei Garantie für die Beseitigung geben kannst! Was jetzt nicht beseitigt wurde, findet der Virenscanner vieleicht so in 2-5 Jahren. Das ist meine eigene Erfahrung! Es wurde mit bis zu vier Virenscannern gescannt. Später habe ich doch noch gefunden, was ich erwartet hätte.

Danach hat auch die "Neuinstallation" aus Recovery mit diversen Anpassungen usw. geklappt => seit vielen Jahren war das Laptop dann wieder mal sauber (hoffe ich).

Neuinstallation bzw. Recovery verwenden und damit "neu" machen ist immer ein ziemlicher Aufwand - den die meisten Kunden vorerst nicht einsehen werden.

Wenn das Konto beräumt ist oder der Cryptolocker zum 2. Mal zuschlägt, ändert sich die Einstellung bestimmt.

Dabei sollten/müssen auch die Partitionen aufwändig "angepasst" werden und die Daten wieder drauf (und auf andere Partitionen ausgelagert). Das ist ein Haufen Arbeit, den der Kunde scheut, der aber für die schnelle, "regelmäßige" Rückspielung eines sauberen Images ist das notwendig.

Was aber recht schnell geht und damit "preiswert" ist: Rootkit/Bootkitscanner drüberlassen, z. B.:

http://www.eset.com/me/download/utilities/detail/family/173/

Viele Dinger kann der Virenscanner vom laufenden Windows aus gar nicht erkennen (das Bootkit zeigt dem schon, dass alles ok ist ...). Ein extern gestarteter Virenscanner erkennt aber auch nicht unbedingt alles, da:

a) "Payload" verschlüsselt im System versteckt ist und

b) Bootsektoren wohl auch nicht immer gescannt werden (bei Desinfec't wohl generell nicht?).

Machmal hilft auch ein Trick: wenn alle 4 primären (3+1) Partitionen erstellt sind (und wenn es Dummy-Partitionen sind), dann ist man gegen das TDL4-Rootkit "immun". Das kann sich nicht installieren, gibt Meldung darüber und verschwindet (... oder etwas besseres wird nachgeladen ...).

bei Antwort benachrichtigen
Olaf19 dirk42799 „Einmal Virus, immer Virus?“
Optionen
kann man ein kompromitiertes System grds. reinigen? Oder hilft letztlich nur eine Neuinstallation?

Leider kann dir niemand mit allerletzter Sicherheit garantieren, dass der Schädling komplett ohne jegliche Rückstände aus dem System entfernt wurde.

Und selbst wenn, dann weißt du immer noch nicht, in wie weit er das System bereits beschädigt hatte. Zukünftig musst du dich bei jeder auftretenden Instabilität / Unregelmäßigkeit fragen: War das jetzt noch der Virus vom letzten Mal oder schon wieder ein neuer, habe ich versehentlich eine Datei zu viel gelöscht, verträgt sich das neueTreiber-Update für X nicht mit dem Treiber von Y o.ä.

Daher hilft nur Neu-Aufsetzen. Ein Image der unverseuchten Systempartition inkl. wesentlichsten Treibern und Programmen kann den Wiederherstellungsprozess allerdings erheblich abkürzen.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
dirk42799 Olaf19 „Leider kann dir niemand mit allerletzter Sicherheit ...“
Optionen

Hallo Olaf

und Danke, wie geschrieben gehe ich auch davon aus:
vielleicht kann man etwas entfernen, aber wehe nicht ganz.

Daher werde ich weiterhin die Schiene "Tabula rasa" fahren.

Gruß,
Dirk

ja, ich schreibe absichtlich nach den alten Rechtschreibregeln!
bei Antwort benachrichtigen
jueki dirk42799 „Einmal Virus, immer Virus?“
Optionen

Ich finde, das hier:

http://www.malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen

ist eine gute und optimale Zusammenfassung des Problems.
Ich schütze mich dagegen, das ich meine Images immer aktuell und dabei mit hoher Wahrscheinlichkeit sauber halte:

http://www.computerhilfen.de/jueki/Image-Erstellung.pdf

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
shrek3 dirk42799 „Einmal Virus, immer Virus?“
Optionen

Von Viren zu trennen wäre Adware, die einen Rechner extrem ausbremsen können, die Startseite des Browsers verändern und sich bsp. im Firefox als Plugin oder Erweiterung einnisten.

Die Folge dieser Müllsoftware sind Werbeeinblendungen, aufpoppende Tabs beim Surfen oder Scans dieser Programme nach angeblichen Windowsfehlern schon beim Start des Rechners.

Dagegen hilft AdwCleaner (entfernt mehr als 90% dieser Spyware) - der Rest lässt sich manuell zuverlässig entfernen, entweder über Systemsteuerung -> Programme und Funktionen oder indem man z.B. im Firefox über Extras -> Addons diese unter Erweiterungen bzw. Plugins deinstalliert.

In seltenen Fällen muss der Browser zurückgesetzt werden, um die Startseite auf Anfang zu setzen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen