Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Was kann man gegen einen Virus tun der das zurückspielen eines Images überlebt?

Frage Sicherheit Viren und Trojaner

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

09.03.2011 um 10:24 Uhr, 5678 Aufrufe, 11 Kommentare

Hallo,

mein Kollege rief mich gerade an.
Er ist bei einem kleinem Kunden der 2 PCs (XP Prof) hat, wovon einer der Haupt-PC ist.
Darauf läuft eine kleine Abrechnungssoftware. Updates und AV aktuell.

Dort gibt es auf beiden PCs einen Virus.
Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD einlegen möge.
Das AV (NOD32) meldet gar nichts.

Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).

Wir würden nun die Daten kopieren, die Festplatten wipen und die Images erneut zurückspielen.

Aber wo kommt der wieder her?
Root auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.

Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
Die Prozesse heißen iexplorer.exe.

Kann mich bitte mal Jemand schlau machen wie der Virus das überlegt?

Danke

Stefan
Mitglied: danielfr
09.03.2011 um 10:49 Uhr
Hi, manche Viren nisten sich im MBR ein. den sollte man auch überschreiben. Außerdem soll es Viren geben, die in der Bios überleben... da sollte (ohne weitere Recherche) helfen, die Bios zu löschen...
Gruß Daniel
Bitte warten ..
Mitglied: brammer
09.03.2011 um 10:57 Uhr
Hallo,

@danielfr
Tolle Antwort!
Wenn du das BIOS löscht ist der Rechner nur noch Schrott wert, ohne das BIOS wird die Kiste nämlich nicht mehr starten!

@StefanKittel
Lass denRechner mit einer desinfec't prüfen!
Anschließend Daten sichern, neu aufsetzen.
Eventuell ist das Image gleich mit versucht und dann hilft dir das überhaupt nicht.
Neben allen Rechnern sind alle Sicherungen, Images, USB Sticks und sonstige Speichermedien natürlich auch potentiell verseucht.

brammer
Bitte warten ..
Mitglied: danielfr
09.03.2011 um 11:00 Uhr
Unter BIOS löschen verstehe ich die Einstellungen zu löschen (Batterie entfernen). Dadurch wird eben der Speicher gelöscht. Ich dachte das wäre klar!
Aber Danke! für den Hinweis!
Rock on
Daniel
Bitte warten ..
Mitglied: kristov
09.03.2011 um 11:42 Uhr
Hallo,
ganz verstanden habe ich Deinen Beitrag nicht, drum frag ich einfach einmal nach:

Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD
einlegen möge.
Soll vorkommen, wenn man rumdoktort oder Software installiert. Welches Datum tragen diese Meldungen? Ist das Image neuer als dieses Datum?
Das AV (NOD32) meldet gar nichts.
Also doch kein Virus? Einen Virenscan solltest Du auf jeden Fall mittels LIVE-CD (wie brammer schreibt) durchführen. Ein kompromittiertes System kann einen installierten Virenscanner aushebeln.

Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Möglicherweise ZU aktuelle Images?
Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).
Der Ghost Explorer ist aber auch nicht wirklich ein Virenscanner... Ich denke, Du hast NOD verwendet Wenn NOD32 auf dem Rechner schon nix findet, wieso sollte er dann im Image was finden?

Aber wo kommt der wieder her?
Entweder aus dem Image oder, wie danielfr schreibt, aus dem MBR, sofern es sich wirklich um einen Virus handelt, oder aus dem Netzwerk oder von einem (externen) Datenträger
Root auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.

Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
WELCHER Dateiname? Gibt es etwa ein verdächtiges File? Mach dieses file ausfindig und lad das mal bei virustotal.com hoch. Vielleicht erhältst Du einen Hinweis, worum es sich handeln könnte.
Die Prozesse heißen iexplorer.exe.
Das ist in der Tat ein Virus

kristov
Bitte warten ..
Mitglied: Sennefer
09.03.2011 um 13:10 Uhr
Schlau wäre erst einmal fest zustellen, um welchen Virus es sich denn eigentlich handeln soll.

Und dann einfach mal in die Knowledgebase der AV Hersteller nachschauen, ob es dafür Entfernungstools gibt.

Sparrt viel Arbeit Zeit und Geschreibe

Einsenden von Virenverdächtigen Dateien
zur Analyse:

https://submit.symantec.com/websubmit/retail.cgi
Bitte warten ..
Mitglied: Florian.Sauber
09.03.2011 um 21:42 Uhr
Hallo zusammen,

also das BIOS-Viren Gedöns würd ich -wemms micht um Panikmache geht- mal stecken lassen. Ansonsten hätte man auf den Rechnern den ersten modernen CIH-Vertreter in freier Wildbahn entdeckt.
Ich will damit nicht sagen, dass es unmöglich ist (Sacco und Ortega haben dass vorletztes Jahr in Singapur ja bewiesen), aber dann hätte man ein weitaus grösseres Problem, als es sich durch "die Einstellungen zu löschen (Batterie entfernen)", bei dem ja *hüstel* "eben der Speicher gelöscht" wird, beheben liesse.

Bei einem Boot-Virus im MBR wäre man mit einem ordentlichen Virenscan über die angesprochene Live-CD wohl auch besser beraten.

Ansonsten ist dem weiter obern/unten gesagten eigentlich nur hinzuzufügen, dass ich zuallersert mal das Image auf einem separierten Testrechner einspielen würde. So bekommst Du ziemlich schnell heraus, in welche Richtung weiterzudenken ist...

VG Florian
Bitte warten ..
Mitglied: StefanKittel
12.03.2011 um 11:26 Uhr
Moin,

welche Live CD würdet Ihr empfehlen.
Die CT-CD kann man nicht runterladen, war nur bei der Zeitung dabei.

Stefan
Bitte warten ..
Mitglied: Florian.Sauber
13.03.2011 um 15:46 Uhr
Hallo Stefan,

Anfang des Jahres hiess es bei heise, dass der Knoppicilin Nachfolger Desinftc't im 2. Quartal dieses Jahres veröffentlicht werde. Eine Anruf bei der Hotline schafft da evtl. Klarheit. Vielleicht liegt er ja bereits der übernächsten Ausgabe bei.

Da Du aber wohl solange nicht warten wirst können:
Davide Costa hat unter http://www.sarducd.it/antivirus.html ein Tool bereitgestellt, welches die verschieden erhältlichen Live-CDs diverser Antivirenhersteller auf eine DVD packt. Freundlicherweise findest Du dort auch Links zu den einzelnen ISOs.

Ansonsten kannst Du natürlich über eine Linux-Live-CD auch Virenscanner, wie bspw. CamAV selbst einspielen.

LG Florian
Bitte warten ..
Mitglied: StefanKittel
13.03.2011 um 17:14 Uhr
danke,

Auslöser gefunden.
Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF.
Da sich sowas auf Laufwerk D (Image ist von C) befand und im Autostart gestartet wurde war er wieder da.
Begünstigt durch ein abgelaufenes AV-Programm.

Alles unter Kontrolle.

Danke

Stefan
Bitte warten ..
Mitglied: mrtux
18.03.2011 um 20:36 Uhr
Hi !

Zitat von StefanKittel:
Die CT-CD kann man nicht runterladen, war nur bei der Zeitung dabei.

Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen und wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!

Und:
Exe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge, daher sollte man heute auch noch mit damit rechnen, dass die noch (oder wieder) existieren...Irgend so ein Virenkasper erinnert sich vielleicht noch an seine Jugendsünden und schon sind die wieder da...Ergo: Sich bei der Virenjagt nicht zu sicher fühlen, immer den Denkapparat einmal mehr bemühen, dann erst den Rechner wieder ins Netzwerk hängen...

mrtux
Bitte warten ..
Mitglied: Florian.Sauber
18.03.2011 um 21:49 Uhr
Tachen nochmal,

Zitat von mrtux:
Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen
Auch das ist so nicht ganz richtig Die Desinfec't wurde aus Lizenzrechtlichen Gründen von heise nie zum Download angeboten. Auch nicht in abgespeckter Version. Den "Vorgänger" Knoppicillin bis Version 6 gibt es nach wie vor noch zum herunterladen, scannt aber nicht mit dem Triumvirat der Scanengines ab Version 7 oder der späteren, auf Fedora basierenden Desinfec't.
wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!
Na da hab ich doch gar nicht so schlecht orakelt

Exe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge...
Was sind denn exe-Infektoren? Meinst Du damit das Gegenstück zu Drive-by-Infektion, Appenderviren oder das, was man heute gern Binary-Planting nennt?

Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF
Die totale EPO-Infektion würd ich ja nicht ausschliessen wollen, aber ich hab da doch meine Zweifel, ausser es war eine dämliche Fingerübung. Welcher Virus war es denn?

VG Florian
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
WIM Images anpassen für WDS Server (5)

Frage von IT-Biene zum Thema Windows Server ...

Viren und Trojaner
Virus macht Bilder unleserlich (25)

Frage von linguin zum Thema Viren und Trojaner ...

Windows Systemdateien
gelöst Computer ID nach dem Image zurückspielen ändern (19)

Frage von M.Marz zum Thema Windows Systemdateien ...

Erkennung und -Abwehr
Proxy um Anti Virus Sicherheit zu erhöhen ? (6)

Frage von agnostiker zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...