11
Was kann man gegen einen Virus tun der das zurückspielen eines Images überlebt?
Hallo,
mein Kollege rief mich gerade an.
Er ist bei einem kleinem Kunden der 2 PCs (XP Prof) hat, wovon einer der Haupt-PC ist.
Darauf läuft eine kleine Abrechnungssoftware. Updates und AV aktuell.
Dort gibt es auf beiden PCs einen Virus.
Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD einlegen möge.
Das AV (NOD32) meldet gar nichts.
Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).
Wir würden nun die Daten kopieren, die Festplatten wipen und die Images erneut zurückspielen.
Aber wo kommt der wieder her?
Root auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.
Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
Die Prozesse heißen iexplorer.exe.
Kann mich bitte mal Jemand schlau machen wie der Virus das überlegt?
Danke
Stefan
mein Kollege rief mich gerade an.
Er ist bei einem kleinem Kunden der 2 PCs (XP Prof) hat, wovon einer der Haupt-PC ist.
Darauf läuft eine kleine Abrechnungssoftware. Updates und AV aktuell.
Dort gibt es auf beiden PCs einen Virus.
Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD einlegen möge.
Das AV (NOD32) meldet gar nichts.
Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).
Wir würden nun die Daten kopieren, die Festplatten wipen und die Images erneut zurückspielen.
Aber wo kommt der wieder her?
Root auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.
Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
Die Prozesse heißen iexplorer.exe.
Kann mich bitte mal Jemand schlau machen wie der Virus das überlegt?
Danke
Stefan
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 162289
Url: https://administrator.de/contentid/162289
Printed on: April 25, 2024 at 02:04 o'clock
11 Comments
Latest comment
Hi, manche Viren nisten sich im MBR ein. den sollte man auch überschreiben. Außerdem soll es Viren geben, die in der Bios überleben... da sollte (ohne weitere Recherche) helfen, die Bios zu löschen...
Gruß Daniel
Gruß Daniel
Hallo,
@danielfr
Tolle Antwort!
Wenn du das BIOS löscht ist der Rechner nur noch Schrott wert, ohne das BIOS wird die Kiste nämlich nicht mehr starten!
@StefanKittel
Lass denRechner mit einer desinfec't prüfen!
Anschließend Daten sichern, neu aufsetzen.
Eventuell ist das Image gleich mit versucht und dann hilft dir das überhaupt nicht.
Neben allen Rechnern sind alle Sicherungen, Images, USB Sticks und sonstige Speichermedien natürlich auch potentiell verseucht.
brammer
@danielfr
Tolle Antwort!
Wenn du das BIOS löscht ist der Rechner nur noch Schrott wert, ohne das BIOS wird die Kiste nämlich nicht mehr starten!
@StefanKittel
Lass denRechner mit einer desinfec't prüfen!
Anschließend Daten sichern, neu aufsetzen.
Eventuell ist das Image gleich mit versucht und dann hilft dir das überhaupt nicht.
Neben allen Rechnern sind alle Sicherungen, Images, USB Sticks und sonstige Speichermedien natürlich auch potentiell verseucht.
brammer
Unter BIOS löschen verstehe ich die Einstellungen zu löschen (Batterie entfernen). Dadurch wird eben der Speicher gelöscht. Ich dachte das wäre klar!
Aber Danke! für den Hinweis!
Rock on
Daniel
Aber Danke! für den Hinweis!
Rock on
Daniel
Hallo,
ganz verstanden habe ich Deinen Beitrag nicht, drum frag ich einfach einmal nach:
Wenn NOD32 auf dem Rechner schon nix findet, wieso sollte er dann im Image was finden?
kristov
ganz verstanden habe ich Deinen Beitrag nicht, drum frag ich einfach einmal nach:
Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD
einlegen möge.
Soll vorkommen, wenn man rumdoktort oder Software installiert. Welches Datum tragen diese Meldungen? Ist das Image neuer als dieses Datum?einlegen möge.
Das AV (NOD32) meldet gar nichts.
Also doch kein Virus? Einen Virenscan solltest Du auf jeden Fall mittels LIVE-CD (wie brammer schreibt) durchführen. Ein kompromittiertes System kann einen installierten Virenscanner aushebeln.Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Möglicherweise ZU aktuelle Images?Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).
Der Ghost Explorer ist aber auch nicht wirklich ein Virenscanner... Ich denke, Du hast NOD verwendet Wenn NOD32 auf dem Rechner schon nix findet, wieso sollte er dann im Image was finden?Aber wo kommt der wieder her?
Entweder aus dem Image oder, wie danielfr schreibt, aus dem MBR, sofern es sich wirklich um einen Virus handelt, oder aus dem Netzwerk oder von einem (externen) DatenträgerRoot auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.
Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
WELCHER Dateiname? Gibt es etwa ein verdächtiges File? Mach dieses file ausfindig und lad das mal bei virustotal.com hoch. Vielleicht erhältst Du einen Hinweis, worum es sich handeln könnte.Die Prozesse heißen iexplorer.exe.
Das ist in der Tat ein Virus kristov
Schlau wäre erst einmal fest zustellen, um welchen Virus es sich denn eigentlich handeln soll.
Und dann einfach mal in die Knowledgebase der AV Hersteller nachschauen, ob es dafür Entfernungstools gibt.
Sparrt viel Arbeit Zeit und Geschreibe
Einsenden von Virenverdächtigen Dateien
zur Analyse:
https://submit.symantec.com/websubmit/retail.cgi
Und dann einfach mal in die Knowledgebase der AV Hersteller nachschauen, ob es dafür Entfernungstools gibt.
Sparrt viel Arbeit Zeit und Geschreibe
Einsenden von Virenverdächtigen Dateien
zur Analyse:
https://submit.symantec.com/websubmit/retail.cgi
Hallo zusammen,
also das BIOS-Viren Gedöns würd ich -wemms micht um Panikmache geht- mal stecken lassen. Ansonsten hätte man auf den Rechnern den ersten modernen CIH-Vertreter in freier Wildbahn entdeckt.
Ich will damit nicht sagen, dass es unmöglich ist (Sacco und Ortega haben dass vorletztes Jahr in Singapur ja bewiesen), aber dann hätte man ein weitaus grösseres Problem, als es sich durch "die Einstellungen zu löschen (Batterie entfernen)", bei dem ja *hüstel* "eben der Speicher gelöscht" wird, beheben liesse.
Bei einem Boot-Virus im MBR wäre man mit einem ordentlichen Virenscan über die angesprochene Live-CD wohl auch besser beraten.
Ansonsten ist dem weiter obern/unten gesagten eigentlich nur hinzuzufügen, dass ich zuallersert mal das Image auf einem separierten Testrechner einspielen würde. So bekommst Du ziemlich schnell heraus, in welche Richtung weiterzudenken ist...
VG Florian
also das BIOS-Viren Gedöns würd ich -wemms micht um Panikmache geht- mal stecken lassen. Ansonsten hätte man auf den Rechnern den ersten modernen CIH-Vertreter in freier Wildbahn entdeckt.
Ich will damit nicht sagen, dass es unmöglich ist (Sacco und Ortega haben dass vorletztes Jahr in Singapur ja bewiesen), aber dann hätte man ein weitaus grösseres Problem, als es sich durch "die Einstellungen zu löschen (Batterie entfernen)", bei dem ja *hüstel* "eben der Speicher gelöscht" wird, beheben liesse.
Bei einem Boot-Virus im MBR wäre man mit einem ordentlichen Virenscan über die angesprochene Live-CD wohl auch besser beraten.
Ansonsten ist dem weiter obern/unten gesagten eigentlich nur hinzuzufügen, dass ich zuallersert mal das Image auf einem separierten Testrechner einspielen würde. So bekommst Du ziemlich schnell heraus, in welche Richtung weiterzudenken ist...
VG Florian
Moin,
welche Live CD würdet Ihr empfehlen.
Die CT-CD kann man nicht runterladen, war nur bei der Zeitung dabei.
Stefan
welche Live CD würdet Ihr empfehlen.
Die CT-CD kann man nicht runterladen, war nur bei der Zeitung dabei.
Stefan
Hallo Stefan,
Anfang des Jahres hiess es bei heise, dass der Knoppicilin Nachfolger Desinftc't im 2. Quartal dieses Jahres veröffentlicht werde. Eine Anruf bei der Hotline schafft da evtl. Klarheit. Vielleicht liegt er ja bereits der übernächsten Ausgabe bei.
Da Du aber wohl solange nicht warten wirst können:
Davide Costa hat unter http://www.sarducd.it/antivirus.html ein Tool bereitgestellt, welches die verschieden erhältlichen Live-CDs diverser Antivirenhersteller auf eine DVD packt. Freundlicherweise findest Du dort auch Links zu den einzelnen ISOs.
Ansonsten kannst Du natürlich über eine Linux-Live-CD auch Virenscanner, wie bspw. CamAV selbst einspielen.
LG Florian
Anfang des Jahres hiess es bei heise, dass der Knoppicilin Nachfolger Desinftc't im 2. Quartal dieses Jahres veröffentlicht werde. Eine Anruf bei der Hotline schafft da evtl. Klarheit. Vielleicht liegt er ja bereits der übernächsten Ausgabe bei
.Da Du aber wohl solange nicht warten wirst können:
Davide Costa hat unter http://www.sarducd.it/antivirus.html ein Tool bereitgestellt, welches die verschieden erhältlichen Live-CDs diverser Antivirenhersteller auf eine DVD packt. Freundlicherweise findest Du dort auch Links zu den einzelnen ISOs.
Ansonsten kannst Du natürlich über eine Linux-Live-CD auch Virenscanner, wie bspw. CamAV selbst einspielen.
LG Florian
danke,
Auslöser gefunden.
Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF.
Da sich sowas auf Laufwerk D (Image ist von C) befand und im Autostart gestartet wurde war er wieder da.
Begünstigt durch ein abgelaufenes AV-Programm.
Alles unter Kontrolle.
Danke
Stefan
Auslöser gefunden.
Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF.
Da sich sowas auf Laufwerk D (Image ist von C) befand und im Autostart gestartet wurde war er wieder da.
Begünstigt durch ein abgelaufenes AV-Programm.
Alles unter Kontrolle.
Danke
Stefan
Hi !
Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen und wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!
Und:
Exe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge, daher sollte man heute auch noch mit damit rechnen, dass die noch (oder wieder) existieren...Irgend so ein Virenkasper erinnert sich vielleicht noch an seine Jugendsünden und schon sind die wieder da...Ergo: Sich bei der Virenjagt nicht zu sicher fühlen, immer den Denkapparat einmal mehr bemühen, dann erst den Rechner wieder ins Netzwerk hängen...
mrtux
Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen und wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!
Und:
Exe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge, daher sollte man heute auch noch mit damit rechnen, dass die noch (oder wieder) existieren...Irgend so ein Virenkasper erinnert sich vielleicht noch an seine Jugendsünden und schon sind die wieder da...Ergo: Sich bei der Virenjagt nicht zu sicher fühlen, immer den Denkapparat einmal mehr bemühen, dann erst den Rechner wieder ins Netzwerk hängen...
mrtux
Tachen nochmal,
Die Desinfec't wurde aus Lizenzrechtlichen Gründen von heise nie zum Download angeboten. Auch nicht in abgespeckter Version. Den "Vorgänger" Knoppicillin bis Version 6 gibt es nach wie vor noch zum herunterladen, scannt aber nicht mit dem Triumvirat der Scanengines ab Version 7 oder der späteren, auf Fedora basierenden Desinfec't.
VG Florian
Zitat von @mrtux:
Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen
Auch das ist so nicht ganz richtigDas ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen
Die Desinfec't wurde aus Lizenzrechtlichen Gründen von heise nie zum Download angeboten. Auch nicht in abgespeckter Version. Den "Vorgänger" Knoppicillin bis Version 6 gibt es nach wie vor noch zum herunterladen, scannt aber nicht mit dem Triumvirat der Scanengines ab Version 7 oder der späteren, auf Fedora basierenden Desinfec't.wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!
Na da hab ich doch gar nicht so schlecht orakeltExe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge...
Was sind denn exe-Infektoren? Meinst Du damit das Gegenstück zu Drive-by-Infektion, Appenderviren oder das, was man heute gern Binary-Planting nennt?Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF
Die totale EPO-Infektion würd ich ja nicht ausschliessen wollen, aber ich hab da doch meine Zweifel, ausser es war eine dämliche Fingerübung. Welcher Virus war es denn?VG Florian
