Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Was kann man gegen einen Virus tun der das zurückspielen eines Images überlebt?

Frage Sicherheit Viren und Trojaner

Mitglied: StefanKittel

StefanKittel (Level 4) - Jetzt verbinden

09.03.2011 um 10:24 Uhr, 5747 Aufrufe, 11 Kommentare

Hallo,

mein Kollege rief mich gerade an.
Er ist bei einem kleinem Kunden der 2 PCs (XP Prof) hat, wovon einer der Haupt-PC ist.
Darauf läuft eine kleine Abrechnungssoftware. Updates und AV aktuell.

Dort gibt es auf beiden PCs einen Virus.
Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD einlegen möge.
Das AV (NOD32) meldet gar nichts.

Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).

Wir würden nun die Daten kopieren, die Festplatten wipen und die Images erneut zurückspielen.

Aber wo kommt der wieder her?
Root auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.

Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
Die Prozesse heißen iexplorer.exe.

Kann mich bitte mal Jemand schlau machen wie der Virus das überlegt?

Danke

Stefan
Mitglied: danielfr
09.03.2011 um 10:49 Uhr
Hi, manche Viren nisten sich im MBR ein. den sollte man auch überschreiben. Außerdem soll es Viren geben, die in der Bios überleben... da sollte (ohne weitere Recherche) helfen, die Bios zu löschen...
Gruß Daniel
Bitte warten ..
Mitglied: brammer
09.03.2011 um 10:57 Uhr
Hallo,

@danielfr
Tolle Antwort!
Wenn du das BIOS löscht ist der Rechner nur noch Schrott wert, ohne das BIOS wird die Kiste nämlich nicht mehr starten!

@StefanKittel
Lass denRechner mit einer desinfec't prüfen!
Anschließend Daten sichern, neu aufsetzen.
Eventuell ist das Image gleich mit versucht und dann hilft dir das überhaupt nicht.
Neben allen Rechnern sind alle Sicherungen, Images, USB Sticks und sonstige Speichermedien natürlich auch potentiell verseucht.

brammer
Bitte warten ..
Mitglied: danielfr
09.03.2011 um 11:00 Uhr
Unter BIOS löschen verstehe ich die Einstellungen zu löschen (Batterie entfernen). Dadurch wird eben der Speicher gelöscht. Ich dachte das wäre klar!
Aber Danke! für den Hinweis!
Rock on
Daniel
Bitte warten ..
Mitglied: kristov
09.03.2011 um 11:42 Uhr
Hallo,
ganz verstanden habe ich Deinen Beitrag nicht, drum frag ich einfach einmal nach:

Es gibt verschiedene Prozesse, Autostarteinträge und Meldungen, dass Systemdateien verändert wurde und man die XP CD
einlegen möge.
Soll vorkommen, wenn man rumdoktort oder Software installiert. Welches Datum tragen diese Meldungen? Ist das Image neuer als dieses Datum?
Das AV (NOD32) meldet gar nichts.
Also doch kein Virus? Einen Virenscan solltest Du auf jeden Fall mittels LIVE-CD (wie brammer schreibt) durchführen. Ein kompromittiertes System kann einen installierten Virenscanner aushebeln.

Da es von beiden PCs aktuelle Images gibt, hat er dann auf beiden PCs gleichzeitig die Images zurückgespielt.
Möglicherweise ZU aktuelle Images?
Wir verwenden Ghost unter DOS und in den Images war der Virus definitiv nicht enthalten (mit Ghost Explorer überprüft).
Der Ghost Explorer ist aber auch nicht wirklich ein Virenscanner... Ich denke, Du hast NOD verwendet Wenn NOD32 auf dem Rechner schon nix findet, wieso sollte er dann im Image was finden?

Aber wo kommt der wieder her?
Entweder aus dem Image oder, wie danielfr schreibt, aus dem MBR, sofern es sich wirklich um einen Virus handelt, oder aus dem Netzwerk oder von einem (externen) Datenträger
Root auf D ist leer, Autostart ist sowieso deaktiviert.
Es gibt im Netzwerk ein Notebook mit Win7 und aktuellem AV welches kein auffälliges Verhalten zeigt.

Ich habe vom Virus auch keinen Namen. Der Dateiname ist zufällig erzeugt.
WELCHER Dateiname? Gibt es etwa ein verdächtiges File? Mach dieses file ausfindig und lad das mal bei virustotal.com hoch. Vielleicht erhältst Du einen Hinweis, worum es sich handeln könnte.
Die Prozesse heißen iexplorer.exe.
Das ist in der Tat ein Virus

kristov
Bitte warten ..
Mitglied: Sennefer
09.03.2011 um 13:10 Uhr
Schlau wäre erst einmal fest zustellen, um welchen Virus es sich denn eigentlich handeln soll.

Und dann einfach mal in die Knowledgebase der AV Hersteller nachschauen, ob es dafür Entfernungstools gibt.

Sparrt viel Arbeit Zeit und Geschreibe

Einsenden von Virenverdächtigen Dateien
zur Analyse:

https://submit.symantec.com/websubmit/retail.cgi
Bitte warten ..
Mitglied: Florian.Sauber
09.03.2011 um 21:42 Uhr
Hallo zusammen,

also das BIOS-Viren Gedöns würd ich -wemms micht um Panikmache geht- mal stecken lassen. Ansonsten hätte man auf den Rechnern den ersten modernen CIH-Vertreter in freier Wildbahn entdeckt.
Ich will damit nicht sagen, dass es unmöglich ist (Sacco und Ortega haben dass vorletztes Jahr in Singapur ja bewiesen), aber dann hätte man ein weitaus grösseres Problem, als es sich durch "die Einstellungen zu löschen (Batterie entfernen)", bei dem ja *hüstel* "eben der Speicher gelöscht" wird, beheben liesse.

Bei einem Boot-Virus im MBR wäre man mit einem ordentlichen Virenscan über die angesprochene Live-CD wohl auch besser beraten.

Ansonsten ist dem weiter obern/unten gesagten eigentlich nur hinzuzufügen, dass ich zuallersert mal das Image auf einem separierten Testrechner einspielen würde. So bekommst Du ziemlich schnell heraus, in welche Richtung weiterzudenken ist...

VG Florian
Bitte warten ..
Mitglied: StefanKittel
12.03.2011 um 11:26 Uhr
Moin,

welche Live CD würdet Ihr empfehlen.
Die CT-CD kann man nicht runterladen, war nur bei der Zeitung dabei.

Stefan
Bitte warten ..
Mitglied: Florian.Sauber
13.03.2011 um 15:46 Uhr
Hallo Stefan,

Anfang des Jahres hiess es bei heise, dass der Knoppicilin Nachfolger Desinftc't im 2. Quartal dieses Jahres veröffentlicht werde. Eine Anruf bei der Hotline schafft da evtl. Klarheit. Vielleicht liegt er ja bereits der übernächsten Ausgabe bei.

Da Du aber wohl solange nicht warten wirst können:
Davide Costa hat unter http://www.sarducd.it/antivirus.html ein Tool bereitgestellt, welches die verschieden erhältlichen Live-CDs diverser Antivirenhersteller auf eine DVD packt. Freundlicherweise findest Du dort auch Links zu den einzelnen ISOs.

Ansonsten kannst Du natürlich über eine Linux-Live-CD auch Virenscanner, wie bspw. CamAV selbst einspielen.

LG Florian
Bitte warten ..
Mitglied: StefanKittel
13.03.2011 um 17:14 Uhr
danke,

Auslöser gefunden.
Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF.
Da sich sowas auf Laufwerk D (Image ist von C) befand und im Autostart gestartet wurde war er wieder da.
Begünstigt durch ein abgelaufenes AV-Programm.

Alles unter Kontrolle.

Danke

Stefan
Bitte warten ..
Mitglied: mrtux
18.03.2011 um 20:36 Uhr
Hi !

Zitat von StefanKittel:
Die CT-CD kann man nicht runterladen, war nur bei der Zeitung dabei.

Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen und wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!

Und:
Exe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge, daher sollte man heute auch noch mit damit rechnen, dass die noch (oder wieder) existieren...Irgend so ein Virenkasper erinnert sich vielleicht noch an seine Jugendsünden und schon sind die wieder da...Ergo: Sich bei der Virenjagt nicht zu sicher fühlen, immer den Denkapparat einmal mehr bemühen, dann erst den Rechner wieder ins Netzwerk hängen...

mrtux
Bitte warten ..
Mitglied: Florian.Sauber
18.03.2011 um 21:49 Uhr
Tachen nochmal,

Zitat von mrtux:
Das ist so nicht ganz richtig, man konnte sehr wohl (eine Zeit lang zumindest) eine abgespeckte Version der CD herunterladen
Auch das ist so nicht ganz richtig Die Desinfec't wurde aus Lizenzrechtlichen Gründen von heise nie zum Download angeboten. Auch nicht in abgespeckter Version. Den "Vorgänger" Knoppicillin bis Version 6 gibt es nach wie vor noch zum herunterladen, scannt aber nicht mit dem Triumvirat der Scanengines ab Version 7 oder der späteren, auf Fedora basierenden Desinfec't.
wie ich schon in einen Kommentar auf deine andere Anfrage geschrieben habe, soll die neue Desinfect bei der nächsten Ausgabe der ct beiliegen, zumindest steht das im aktuellen Heft!
Na da hab ich doch gar nicht so schlecht orakelt

Exe-Infektoren gab es früher (vor der "Boomzeit" des Internets) jede Menge...
Was sind denn exe-Infektoren? Meinst Du damit das Gegenstück zu Drive-by-Infektion, Appenderviren oder das, was man heute gern Binary-Planting nennt?

Der Virus schreibt sich in !alle! ausführbaren Dateien. Inkl. HTML und PDF
Die totale EPO-Infektion würd ich ja nicht ausschliessen wollen, aber ich hab da doch meine Zweifel, ausser es war eine dämliche Fingerübung. Welcher Virus war es denn?

VG Florian
Bitte warten ..
Ähnliche Inhalte
Windows Systemdateien
Computer ID nach dem Image zurückspielen ändern
gelöst Frage von M.MarzWindows Systemdateien19 Kommentare

Hallo zusammen, ich habe öfters mitbekommen das Rechner die von einem Image oder geklont worden sind, probleme nachher mit ...

Backup
Acronis Image mit mehreren Partitionen von USB-Festplatte zurückspielen
Frage von donnyS73lbBackup5 Kommentare

Hallo zusammen, kennt sich hier jemand aus mit Acronis Snap Deploy oder Acronis True Image? Wenn ich auf einer ...

Viren und Trojaner
Zepto Virus
Frage von franksigViren und Trojaner12 Kommentare

Hallo zusammen, hat jemand Erfahrung mit dem Zepto Virus ? reicht es wenn der Client wo der Virus ausgeführt ...

Backup
Kann man mit einem Dateibackup im Notfall auch ein Windows-System zurückspielen?
Frage von PluwimBackup28 Kommentare

Hallo, kurz zum Hintergrund: Bis neulich nutzte ich Win 7 Pro auf einer HDD, die gänzlich mit Truecrypt verschlüsselt ...

Neue Wissensbeiträge
Apple

IOS 11.2.1 stopft HomeKit-Remote-Lücke

Tipp von BassFishFox vor 1 TagApple

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple ...

Windows 10

Windows 10 v1709 EN murkst bei den Regionseinstellungen

Tipp von DerWoWusste vor 1 TagWindows 10

Dieser kurze Tipp richtet sich an den kleinen Personenkreis, der Win10 v1709 EN-US frisch installiert und dabei die englische ...

Webbrowser

Kein Ton bei Firefox Quantum über RDP

Tipp von Moddry vor 1 TagWebbrowser

Hallo Kollegen! Hatte das Problem, dass der neue Firefox bei mir auf der Kiste keinen Ton hat, wenn ich ...

Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 1 TagInternet4 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registrierung von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Heiß diskutierte Inhalte
Windows Server
RODC kann nicht aus Domäne entfernt werden
Frage von NilsvLehnWindows Server18 Kommentare

HAllo, ich arbeite in einem Universitätsnetzwerk mit 3 Standorten. Die Standorte haben alle ein ESXi Cluster und auf diesen ...

Hardware
Kein Bild mit nur einer bestimmten Grafikkarten - Mainboard Konfiguration
gelöst Frage von bestelittHardware18 Kommentare

Hallo zusammen, ich hatte schon einmal eine ähnliche Frage gestellt. Damals hatte ich genau das gleiche Problem. Allerdings lies ...

Netzwerkmanagement
Mehrere Netzwerkadapter in einem PC zu einem Switch zusammenfügen
Frage von prodriveNetzwerkmanagement16 Kommentare

Hallo zusammen Vorweg, ich konnte schon einige IT-Probleme mit Hilfe dieses Forums lösen. Wirklich klasse hier! Doch für das ...

Hardware
Links klick bei Maus funktioniert nicht
gelöst Frage von Pablu23Hardware16 Kommentare

Hallo erstmal. Ich habe ein Problem mit meiner relativ alten maus jedoch denke ich nicht das es an der ...