Wenn Windows in die Knie geht - ein Hilfeschrei

MattDorian

Member
Themenstarter
Registriert
21 März 2013
Beiträge
262
Hallo,
ich weiß nicht, ob ich mit meinem Problem hier im richtigen Bereich bin, ich hoffe mal dass ich vernünftig eingeschätzt habe, wo es reinpasst.

Vor wenigen Tagen erlebte ich einen Virus (Wurm, Malware, Rootkit - weiß der Geier wie die Hobbyprogrammierdickerchen, die daran Freude haben das nun genau betiteln), der alles vorherdagewesene auf meinen Geräten in den Schatten stellt.

Irgendwie hat sich diese Schadsoftware auf all meinen Systemen zeitgleich zuschaffen gemacht (Win 7, Win 8.1) und innerhalb einer Stunde 3 Rechnern (T61, X200t, M58p) den Software-Tod beschert.

Der Virus ( der laut ESET aus übrigens 4 Teil-Viren besteht) hat ganz offensichtlich den MBR und MFT meiner PC´s plattgemacht und sogar meine Linuxpartitionen ohne Probleme geshreddert.
Bemerkbar wurde es unter Windows, weil sämtliche Dienste wie services.msc nicht mehr starteten und zum Schluss der Explorer aufgab, bevor es zum finalen Freeze kam.
Laut Linux sind die Platten allesamt Software-Friedhöfe - nix ist mehr zu retten. Nur hat leider meine externe Datenkrake auch was abbekommen, womit 3TB meiner Daten stark gefährdet sind.

Ich versuche hier absichtlich nicht, alle Probleme auf einmal zu schildern, weil ich hoffe, dass jemand sich meldet, dem ähnliches widerfahren ist und mir eventuell eine Lösung oder einen Ansatz nennen kann. Für jegliche Fragen bin ich selbstverständlich offen.

Bitte helft mir, wenn ihr eine Idee habt.
 
Eine weitere Möglichkeit ist: Diesen Notfall-User sofort als Image komplett startfähig auf eine bootbare CD brennen.

Die einzige Möglichkeit ist in Wahrheit: Man hat immer ein sauberes Image vom Betriebssystem, dass man notfalls zurückspielen kann. :thumbup:
-
backup.JPG
 
Zuletzt bearbeitet:
Oberste Regel ist: ein eingefangener Virus wird erst aktiv, wenn er 1x gestartet wurde. Daher ist so wichtig, sofort zu kontrollieren, was alles auf die Platte geschrieben wurde. Diesen Ordner kann man vom Virenscanner gleich mal untersuchen lassen. Oder die fragliche Datei in den Editor schieben: steht da im Anfang ein "MZ" ist das fast immer ein lauffähiges Programm - sehr verdächtig, wenn es eigentlich ein Text oder PDF sein soll. Jeden Anhang in einer Email kann man so sicher entpacken und lesen.
Und deshalb sollte vorsorglich bereits zusätzlich alles auf Datenstromebene gescannt werden, noch bevor die Malware eine Infektion starten kann. Viele Malware werden auch über den Anwender selbst mittels externen Medien eingeschleppt.

Die einzige Möglichkeit ist in Wahrheit: Man hat immer ein sauberes Image vom Betriebssystem, dass man notfalls zurückspielen kann.
thumbup.png
Yep... und zwar regelmässig.

P.S.: Gerade zuvor wieder eines erstellt :)...
 
Zuletzt bearbeitet:
Viele Malware werden auch über den Anwender selbst mittels externen Medien eingeschleppt.
Zwei der vier genannten kommen i.d.R. über Wechseldatenträger:

Ais der Top 10 - Liste von ESET:
1. Win32/Bundpil
Previous Ranking: 1
Percentage Detected: 3.33%

Win32/Bundpil.A is a worm that spreads via removable media.
The worm contains an URL address, and it tries to download
several files from the address. The files are then executed and
the HTTP protocol is used. The worm may delete the following
folders:
*.exe
*.vbs
*.pif
*.cmd
*Backup.

2. Win32/Sality
Previous Ranking: 3
Percentage Detected: 1.97%
Sality is a polymorphic file infector. When run starts a service
and create/delete registry keys related with security activities
in the system and to ensure the start of malicious process each
reboot of operating system.
It modifies EXE and SCR files and disables services and process
related to security solutions.

More information relating to a specific signature:
http://www.eset.eu/encyclopaedia/sality_nar_virus__sality_aa_sality_am_sality_ah

9. Win32/Qhost
Previous Ranking: n/a
Percentage Detected: 1.32%
This threat copies itself to the %system32% folder of Windows
before starting. It then communicates over DNS with its
command and control server.
Win32/Qhost can spread
through e-mail and gives control of an infected computer to an
attacker.

10. Win32/Dorkbot
Previous Ranking: 7
Percentage Detected: 1.26%
Win32/Dorkbot.A is a worm that spreads via removable media.
The worm contains a backdoor. It can be controlled remotely.
The file is run-time compressed using UPX. The worm collects
login user names and passwords when the user browses
certain web sites.
Then, it attempts to send gathered
information to a remote machine. This kind of worm can be
controlled remotely
.

Du hast also vier Schadprogramme aus dem Top-10 eingefangen.


Deine Online-Accounts sind alle hochgradig gefährdet!!!
 
Zuletzt bearbeitet:
Na das sieht ja sehr gut aus... Nicht.

Tipps, was ich präventiv noch machen sollte, außer alle Passwörter ändern?
 
Tipps, was ich präventiv noch machen sollte, außer alle Passwörter ändern?

Wenn Du den Virus beseitigt und Deine Integrität im Netz wieder hergestellt hast, hast erst einmal alles getan, was nötig ist. Beim nächsten BSI-Email-Test musst Du natürlich mitmachen... :)

Und solltest die Frage beantworten: Wie hast Du Dir gleich vier Viren auf einmal gezogen?
 
Okay, gut. Jemand noch Tipps, wie ich sichergehen kann, dass wirklich nirgendwo mehr ein Virus stecke?

Vermutlich von einem Bekannten, der gerne mal Torrents zieht. Der Trottel scheint mir da ausversehen was in sein Netzwerk und somit auf meine Mobilgeräte transferiert zu haben. Das scheint die naheliegendste Erklärung, da ein Freund auch öfter mal bei dem Mensch ist und die selben Viren hatte. Theoretisch hätte sich ja nur einer weitergeben können, zumindest automatisch.
 
Na dann ist aber sonderbar, wenn die Systeme bei dem Torrent-Mensch noch laufen....
 
Du hast also vier Schadprogramme aus dem Top-10 eingefangen.
Bei der Quote halte ich es doch für möglich, dass du deine Antivirenlösung etwas zu spärlich updatest (am Besten auf automatisch und mehrmals täglich einstellen)
Falls du dich wieder mal in "verseuchtes Gebiet" vorwagst:
Achte darauf, dass fremde Datenträger und eingehende Verbindungen automatisch von deiner Antivirenlösung gescannt werden!

Na dann ist aber sonderbar, wenn die Systeme bei dem Torrent-Mensch noch laufen....
Evtl. fungiert dessen Rechner ja auch nur als Verteiler für die Viren (ein guter Hacker wäre bekloppt, wenn er das System lahmlegt, das seine Malware erfolgreich weiterverbreitet)
 
Evtl. fungiert dessen Rechner ja auch nur als Verteiler für die Viren (ein guter Hacker wäre bekloppt, wenn er das System lahmlegt, das seine Malware erfolgreich weiterverbreitet)

Der wird ein LINUX-NAS als torrent-Sauger benutzen, und dort bleibt die Schadware inaktiv. Dann kommen die WINDOWS-Kopierer und kopieren sich mal eben drei, vier Viren vom NAS auf ihr System und müssen wie bei einer heimtückischen Krankheit mit ansehen, wie ihr Rechner den Bach heruntergeht.
 
Meine Vorredner fokussieren sich hauptsächlich auf das Thema Virenschutz und richtiges Verhalten im Problemfall. Wenn aber eine Malware den Virenscanner überwunden hat, merkt man das als Benutzer sowieso erst wenn es längst zu spät ist.

Daher gibt es einen weiteren, wichtigen Aspekt:

Was diesen Fall erst so richtig schmerzhaft macht und Du auf jeden Fall in Zukunft anpassen solltest, ist deine Datensicherungsstrategie. Ein externes Sicherungsmedium, das (vermutlich) ständig angeschlossen war, ist einfach zu riskant. Mindestens eine weitere (bessere mehrere) regelmäßig aktualisierte Archivkopie(n) die offline im Schrank (oder ausserhalb) gelagert werden, müssen es schon sein. Im Falle eines Desasters schließt man diese auch erst dann wieder an, wenn man ein garantiert sauberes (= neu aufgesetztes) System zur Verfügung hat.
 
Der wird ein LINUX-NAS als torrent-Sauger benutzen, und dort bleibt die Schadware inaktiv. Dann kommen die WINDOWS-Kopierer und kopieren sich mal eben drei, vier Viren vom NAS auf ihr System und müssen wie bei einer heimtückischen Krankheit mit ansehen, wie ihr Rechner den Bach heruntergeht.

Solange du nichts ausführst kannst du dir soviele Viren auf den Rechner kopieren wie du willst, es wird nichts passieren.
 
Solange du nichts ausführst kannst du dir soviele Viren auf den Rechner kopieren wie du willst, es wird nichts passieren.

Es liegt im tiefsten, inneren Wesen von Viren, sich als Systemdatei auszugeben, Virenscanner lahm zulegen oder den MBR zu überschreiben und sich dann selbst auszuführen. Die Dinger sind echt fies... :)
 
Nicht wenn sie nicht ausgeführt werden. Wie sie zur Ausführung kommen, da gibt es ja verschiedene Methoden (Benutzer, Bug, Browser, etc.) aber eine Datei auf der Festplatte richtet erstmal garnichts an. ;)
 
Lade die 30-Tage-Trial-Version von KIS 2014 herunter, Updates anklicken und ausserdem folgende Funktionen noch anpassen/kontrollieren:

  • Untersuchung des Computers -> "Hoch"
  • Gefahren und Ausnahmen -> "Aktivieren"
  • Kompatibilität -> "Aktivieren"
  • Leistung -> Computerressourcen -> Beim Hochfahren Ressourcen für das Betriebssystem freigeben -> "Deaktivieren"
  • Ansicht -> "Aktivieren"
Danach Neustart des Rechners durchführen. KIS 2014 wurde auf Hotfix f aktualisiert und diverse Sicherheitsmodule wurden ebenfalls erneuert.

Dann Punkt "Untersuchung" -> "Vollständige Untersuchung" -> "Untersuchung starten" auswählen.

KIS 2014 startet den Scan... abwarten, ob noch weitere Malware gefunden wird.


LG Uwe


P.S.: Feedback wäre nett :).




Was diesen Fall erst so richtig schmerzhaft macht und Du auf jeden Fall in Zukunft anpassen solltest, ist deine Datensicherungsstrategie. Ein externes Sicherungsmedium, das (vermutlich) ständig angeschlossen war, ist einfach zu riskant. Mindestens eine weitere (bessere mehrere) regelmäßig aktualisierte Archivkopie(n) die offline im Schrank (oder ausserhalb) gelagert werden, müssen es schon sein. Im Falle eines Desasters schließt man diese auch erst dann wieder an, wenn man ein garantiert sauberes (= neu aufgesetztes) System zur Verfügung hat.
Yep. Ausserdem einen Recovery-USB-Stick und/oder CD erstellen und die Sicherung ausschliesslich von diesen mit dem externen gesicherten OS und den Daten zurück spielen. NICHT von innerhalb des gestarteten Windows.
 
Zuletzt bearbeitet:
da ich bislang weder Zeit noch Nerven hatte, werde ich step by step nächste Woche eure Vorschläge abarbeiten.

Hat jemand noch n Tipp für Virenschutz bei nem neuinstallierten Windows, also Präventiv-Maßnahmen?
 
gut, ich dachte da jetzt eher an weitere Maßnahmen (Datentransfer-Logging, etc.). :P
 
Datentransfer-Logging, etc.
Logging bringt nur dann was, wenn man auch regelmäßig drüberschaut ;)
=> Macht Sinn, wenn man den Rechner an evtl. verseuchte Systeme andockt (fremde Netzwerke/USB-Sticks/...) und danach das gesamte Log durcharbeitet.
Ansonsten: Fremde Datenquellen im Zweifelsfall mit aktueller Virenschutzsoftware automatisch scannen lassen (diese Funktion bieten mittlerweile die meisten guten Virenscanner)
Un die Finger generell von dubiosen Quellen (gecrackte Software, unbekannte Tuning-Programme, Tauschbörsen,...) lassen besonders, wenn man deren Herkunft nicht nachvollziehen kann ;)

Ein regelmäßiges Backup, das nicht dauerhaft am Rechner hängt ist sicherlich auch nie verkehrt!
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben