Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Was tun wenn der PC ein Zombie ist?

Mitglied: Internetter

Internetter (Level 1) - Jetzt verbinden

08.10.2012 um 06:14 Uhr, 4374 Aufrufe, 14 Kommentare

Ein PC ist offensichtlich ein sog. "Zombie" geworden und verschickt ferngesteuert Mails. Wie kann man das Betriebssystem wieder reparieren?

Hallo zusammen,

ein Bekannter hat Post (Briefpost!) von seinem Provider bekommen, daß sein PC offensichtlich ferngesteuert Spam-Mails verschickt. Er hätte 2 Tage Zeit das Problem zu lösen.
Bei genauer Inspektion des PC hat er dann festgestellt, daß jemand(?) den Virenscanner deaktiviert hat.
Weiß jemand von euch Rat, wie man das Betriebssystem wieder in den Normalzustand bringen kann? Virenscanner neu installieren ist klar, aber man ist ja die Malware deswegen noch nicht los.
Betriebssystem: Windows XP SP3
Mitglied: brammer
08.10.2012 um 06:28 Uhr
Hallo,

wie immer bei solchen Infektionen:

Daten sichern
Persönliche Einstellungen Dokumentieren
Rechner platt machen
Neuinstallieren.

Bei allen anderen Methoden wie Reinigung, Desinfektion und ähnliches kannst du dir nie sicher sein das alles in Ordnung ist.

brammer
Bitte warten ..
Mitglied: kaiand1
08.10.2012 um 06:30 Uhr
Sowie noch USB STicks, Externe Platten nacher Checken ob sich da nicht noch was versteckt hat.
Bitte warten ..
Mitglied: win-dozer
08.10.2012 um 08:00 Uhr
richtig - und erst wieder einen wiederbeschreibbaren Datenträger anschließen wenn nach der Neuinstallation:

- alle Updates aufgespielt sind
- der Virenscanner installiert und aktiviert ist
- der Datenträger komplett gescannt wurde

für den Virenscanner gilt:

nicht einfach ohne Virenscanner googeln sondern direkt auf die Herstellerseite gehen - wenn nötig vor auf echtem Papier die Adresse aufschreiben...
Bitte warten ..
Mitglied: maretz
08.10.2012 um 08:06 Uhr
Hmm - ich würde Claire, Chris und ggf. Alice holen....

Ok, ernsthaft: Wie alle schon schreiben - platt machen die Kiste... Und wenn du dir viel Action ersparen willst dann gleich nen User zum Surfen o.ä. anlegen -> der keine Admin-Rechte benötigt... Damit schaffst du schon viel weg (ok, nur wenn der davor nicht dann trotzdem immer auf "mach mal" klickt...)
Bitte warten ..
Mitglied: Internetter
08.10.2012 um 08:27 Uhr
Ok, aber wie und vor allem womit kann man die externen Datenträger checken? Gibt es da ein Tool? Oder kann der Kumpel alles wegwerfen was jemals an dem Zombie dran gehangen hat?
Bitte warten ..
Mitglied: 106543
08.10.2012 um 08:43 Uhr
Hi Internetter,

der Virenscanner kann normalerweise externe Datenträger überprüfen

Grüße
Dominik
Bitte warten ..
Mitglied: goscho
08.10.2012 um 08:48 Uhr
Moin
Zitat von Internetter:
Ok, aber wie und vor allem womit kann man die externen Datenträger checken? Gibt es da ein Tool?
Boote den PC von einer Linux-Boot-CD mit AV-Software (gerne von mir genommen wird die Desinfec't von der c't).
Hänge die externen Datenträger an und lass diese auf Viren prüfen und (falls nötig) säubern.
Oder kann der Kumpel alles wegwerfen was jemals an dem Zombie dran gehangen hat?
Nicht wegwerfen - es könnte jemand unbedarftes finden und sich infizieren.
Besser wäre (im Hochofen) verbrennen.

Und dann alles neukaufen -> Es lebe die Konsumgesellschaft.
Bitte warten ..
Mitglied: 106543
08.10.2012 um 08:57 Uhr
Hi,

ach Goscho gib doch gescheite Antworten am Ende macht ers noch so und kauft sich dafür extra nen Hochofen

Also ich würde wie gesagt einfach nen alten Rechner Virenscanner drauf, die externen Sachen anschließen und vom Virenscanner checken lassen ;)

Grüße Dominik
Bitte warten ..
Mitglied: kontext
08.10.2012, aktualisiert um 09:03 Uhr
HeyHo,

wie eh schon alle geschrieben haben:

Daten sichern
Maschine neu aufsetzen und sauber durchpatchen
AV installieren und aktualisieren

Danach Boot von einer Linux CD oder Kaspersky Rescue Disc und alle externen Datenträger scannen.

[OT]

@goscho - das mit dem Hochofen muss ich mir merken - der is Gut :D

[/OT]

Cheers
@zanko
Bitte warten ..
Mitglied: ackerdiesel
08.10.2012, aktualisiert um 11:05 Uhr
Hallo,

ich würde mit der Micorosft Defender CD den Rechner überprüfen und reinigen:

http://windows.microsoft.com/de-DE/windows/what-is-windows-defender-off ...

Nach der Reinigung würde ich den Internetverkehr mitschneiden (z.B. Wireshark) um zu sehen, ob das Problem beseitigt wurde.

Gruß
ackerdiesel
Bitte warten ..
Mitglied: brammer
08.10.2012 um 11:43 Uhr
Hallo,

@ackerdiesel
und woran würdest du im Wireshark Dump identifizieren wollen ob dieser oder jener Traffic erlaubt und richtig ist?


Rechner platt machen, neu aufsetzen.

brammer
Bitte warten ..
Mitglied: ackerdiesel
08.10.2012, aktualisiert um 13:02 Uhr
Zitat von brammer:
Hallo,

@ackerdiesel
und woran würdest du im Wireshark Dump identifizieren wollen ob dieser oder jener Traffic erlaubt und richtig ist?


Rechner platt machen, neu aufsetzen.

brammer
Ganz einfach, wenn ich nicht im Internet bin, dann darf das Ding nicht "Nach Hause telefonieren".
Also würde ich schauen, was generell an Traffic da ist.
Bitte warten ..
Mitglied: Alchimedes
08.10.2012 um 14:30 Uhr
Hallo ,


es ist davon auszugehen das schon durch die Fragestellung feststeht das Internetter jegliches
tiefergehendes Knowhow diesbezueglich fehlt.

Um den richtigen Uebeltaeter zu erwischen muss eigentlich erst der Prozess ,z.B mit procexp.exe aus den sysinternals e.t.c , identifiziert sein.
Dann kann man durchaus mit Wireshark schauen wohin die Reise geht.

Wenn das ne Privatmoehre ist kann natuerlich auch der Router der Uebeltaeter sein.
Da war doch grad was mit Sicherheitslecks von einigen Telekomroutern.
Also auch unbedingt den Router checken und das Routerpasswort aendern.

Gruss
Bitte warten ..
Mitglied: jadefalke
10.10.2012 um 16:54 Uhr
@Alchimedes

du hast Highjackthis vergessen
mit Procexp, Wireshark und Highjackthis bin ich bis jetzt jedem Virus erfolgreich begegnet.

@threatersteller

Installier die Möhre neu
Bitte warten ..
Ähnliche Inhalte
Netzwerke
Netzwerk Problem mit PC zu PC
Frage von FengShuiNetzwerke4 Kommentare

Hallo zusammen, seit kurzem habe ich ein Netzwerk Problem! Seit ich den neue Router installiert habe (Fritzbox 7490), habe ...

CPU, RAM, Mainboards
Lautloser PC
Frage von MarkowitschCPU, RAM, Mainboards12 Kommentare

Hallo zusammen, ich möchte mir gerne einen komplett lautlosen und Lüfterlosen PC fürs Wohnzimmer zusammenstellen. Dabei habe ich an ...

Installation
Entwickler PC?
gelöst Frage von gmossinInstallation11 Kommentare

Hallo Zusammen Ich habe wieder mal eine Frage an euch. Wie wird die Problematik mit Entwicklern und Clients bei ...

Linux
PC für Industrie
Frage von smithersLinux9 Kommentare

Hallo liebe Community, ich bin auf der suche nach einem Wissensaustausch für eines unserer Projekte. Momentan sind bei uns ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 4 StundenErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Windows 10

Windows 10 on ARM: von Microsoft entfernte Info - Klartext, was nicht geht

Information von kgborn vor 6 StundenWindows 10

Windows 10 on ARM ist ja eine neue Variante, die Microsoft im Verbund mit Geräteherstellern am Markt etablieren will. ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgborn vor 7 StundenMicrosoft7 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 2 TagenWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1026 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Firewall
RB2011 Firewall Rule eine bestimmte Mac oder IP Adresse nicht zu blockieren
Frage von lightmanFirewall15 Kommentare

Hallo liebes Forum mit ihren Spezialisten. Ich habe meine Firewall so konfiguriert das kein Endgerät ohne meine Speziellen Erlaubnis ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)15 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Server
Route-Befehl Unterstützung (unter CMD)
Frage von FKRR56Server12 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...