Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Anleitung zum Entfernen des SIREFEF!CFG-Trojaners - Virus - (Windows-Firewall u. Defender verschwunden bzw nicht startbar)

Anleitung Sicherheit Viren und Trojaner

Mitglied: schmitzi

schmitzi (Level 2) - Jetzt verbinden

08.11.2013, aktualisiert 19.11.2013, 12833 Aufrufe, 20 Kommentare, 5 Danke

hier: Windows 7

Anleitung zum Entfernen des SIREFEF!CFG-Trojaners
(Kurz-Anleitung ohne Gewähr, für versierte Nutzer):

Symptome (Auszug):
- Windows Defender nicht verfügbar/installierbar
- Windows Firewall nicht verfügbar
- Windows Basisfilter nicht verfügbar
- dito: alle 3 Dienste verschwunden

Benötigt: 1 PC mit „gleichem“ Betriebssystem

Von diesem, noch funktionierenden Referenzsystem werden folgende Daten/Dateien benötigt:
C:\Program Files\Windows Defender (der ganze Ordner) 
C:\Windows\System32\BFE.DLL 
C:\Windows\System32\MPSSVC.DLL 
C:\Windows\System32\drivers\MPSDRV.SYS
Folgende REG-KEYS sind desweiteren zu exportieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPSDRV 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPSSVC 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WSCSVC 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SHAREACCESS
GENERELLE VORGEHENSWEISE:

1. Full-Backup des infizierten Systems erstellen (zB ein Offline-Image auf USB-HDD erstellen)
2. den Ordner C:\Program Files\Windows Defender löschen und durch die Kopie ersetzen
3. die oben genannten Dateien ersetzen/einfügen
4. die 5 .REG-Dateien ausführen
5. zu dem BFE-Schlüssel die Berechtigung „Vollzugriff“ für NT Service\BFE hinzufügen
6. zu dem MPSSVC-Schlüssel die Berechtigung „Vollzugriff“ für Local Service & Network hinzufügen
7. zu dem SharedAccess-Schlüssel die Berechtigung „Vollzugriff“ für NT SERVICE\mpssvc hinzufügen
8. ggflls Microsoft Fix it 2530126 ausführen (nur obligatorisch, ging bei mir ohne)
9. Dienste starten und Defender ausführen

-> Rechner booten

Sollten noch weitere Dienste verschwunden oder nicht startbar sein muss analog verfahren werden:
entsprechenden .REG-Teil am sauberen Rechner exportieren, ggflls. die darin aufgeführten Dateien kopieren, diese am Zielrechner ersetzen bzw importieren und Berechtigungen auf die Reg-Keys setzen (im Zweifel einfach die aufgeführten alle hinzufügen und via NT SERVICE\“RegKey-Name“ oder „Service-Name“ versuchen ob das angenommen wird, NUR im Zweifelsfalle den Benutzer JEDER verwenden (unsicher!)

Nochmal zum Mitschreiben: das Wichtigste steht unter Punkt 1.
Viel Erfolg
RS





Mitglied: Lochkartenstanzer
08.11.2013 um 17:24 Uhr
Moin,

Wenn sich etwas so ins System festfrißt, ist die bessere Methode neu zu installieren.

Ich weiß, es gibt Fälle in denen das keien Option ist, aber dann muß vorher eien Risikoabwägung erfolgen.

Zumindest sollte in so einer Anleitung imemr drinstehen, was die sinnvollere Option wäre.

lks
Bitte warten ..
Mitglied: schmitzi
08.11.2013, aktualisiert 18.11.2013
Neu-Installation ist für Angsthasen
Bitte warten ..
Mitglied: kontext
11.11.2013, aktualisiert 18.11.2013
Zitat von schmitzi:
Neu-Installation ist für Angsthasen
Das gleiche gilt für Backup - komischerweise sollte man vom infizierten PC ein Backup machen ...
... aber auf die Idee ein brauchbares Backupkonzept zu erstellen und zu nutzen kommt niemad

Aber nichts desto trotz, auch hier wieder (wie immer) meine übliche Antwort bzgl. Viren auf einem PC ...
Ein Kontaminiertes System wird immer eines bleiben.
Solltest du es schaffen, dass das System wieder halbwegs funktioniert - ist das nächste Theater schon vorprogrammiert...
... Glaub mir - es haben schon viele geglaubt - juhu mein System war / ist sauber ...
... Ergebnis: spät. nach 2 Monaten wurde die Maschine neu-installiert

PS: wie schon oben erwähnt - Backup wird überbewertet ...
... mit einem Backup hättest du dir die ganze Sache erspart und nach 30 Minuten wieder ein funktionierendes System

PPS: die Aussage bzgl. Neu-Installation ist für Angsthasen hat dich IMHO leider ins Abseits gestellt ...

Just my 2 Cents
kontext
Bitte warten ..
Mitglied: brammer
12.11.2013 um 13:33 Uhr
Hallo,

das Vorgehen in allen Ehren...

Aber ein System bei dem es einen erfolgreichen Angriff auf die Sicherheitssysteme gab, durch bloses hin und her kopieren von ein paar Dateien und Anpassen von ein paar Berechtigungen wieder als Sauber zu betrachten...da sträuben sich mir die Nackenhaare....
Das mag in einer kleinen Umgebung oder bei einem Einzelplatz machbar sein...bei einer komplexen Umgebung mit mehr als 1000 Rechnern ist das für mich ein NoGo....

brammer
Bitte warten ..
Mitglied: schmitzi
17.11.2013 um 19:25 Uhr
Hey wie seit Ihr denn drauf ?

Ich will hier keine Ratschläge geben ob und wie man Backups erstellt und recovered,
sondern einfach nur einfach eine Anleitung für den Notfall geben wie man diesen
Trojaner los wird. Es gibt nun mal bekanntlich Menschen, die kein funktionierendes
Backupkonzept haben, und erst mal irgendwie weiterarbeiten und nicht komplett
untergehen wollen. Spätestens nach einem Befall (und evtl. einem kleineren Schaden
durch diese Lösung) überdenken bestimmt die meistens ihr Backupkonzept.

an Kontext, den Schlaumeier:
natürlich sollte man vom infizierten System ein Backup/Image machen, damit man
im Zweifel und bei Mißerfolg nach dem Aufsetzen eines neuen OS zumindest die
wichtigsten Daten isoliert extrahieren und ggflss. weiternutzen kann... gelle ?

naja,
dann helft Euch doch selber mit Euren dummen Kommentaren,
RS
Bitte warten ..
Mitglied: kontext
18.11.2013, aktualisiert um 07:06 Uhr
Zitat von schmitzi:

Hey wie seit Ihr denn drauf ?
Genau das gleiche könnte man dich fragen ...
... wow wie bist du denn drauf, denn:

naja,
dann helft Euch doch selber mit Euren dummen Kommentaren,
RS
Hat dich erstens wieder ins Abseits gestellt (schon zum 2en Mal) ...
... und zweites - haben wir hier wieder mal einen Admin (ist er ein Admin oder was ist er) der sich gleich angegriffen fühlt, wenn man eine konstruktive Kritik liefert.

Junge, wir sind aus dem Sandkasten-Alter raus, wir müssen nicht alles schön reden und (bis jetzt) war ich der Meinung, dass man hier auch ein wenig diskutieren kann - Wenn du gleich Traurig bist und dich angegriffen fühlst, kriegst hier einen Keks ... und bevor ich mich nun wieder zu ewigen Diskussionen hinreißen lasse - mach du deinen Job und ich mach meinen - für Streitereien hier hab ich ehrlich gesagt keine Lust - und mit der Zeit weiß ich auch besseres anzufangen. Ich mache ab nun einen Bogen um deine Beiträge und werde diese auch nicht mehr kommentieren, nicht dass sich wieder wer blöd angemacht fühlt

Gruß
kontext
Bitte warten ..
Mitglied: Frank
18.11.2013, aktualisiert um 11:08 Uhr
Hi,

hmm, so ganz verstehe ich die Kommentare hier auch nicht.

1) Ich mache auch von einem infizierten System ein Backup, damit ich im Notfall (sollte die Wiederherstellung etc, nicht funktionieren) wenigstens noch an die Daten kommen. Denn die Daten sind nun mal das wichtigste, auch wenn da evtl. eine oder mehrere infizierte Dateien noch drauf sind. Im Notfalle kann ich immer noch per Linux darauf zugreifen und da sind mir die Windows Viren völlig egal.

2) Ich persönlich halte auch nichts davon, bei jedem kleinsten Virus oder Trojaner gleich das ganze System neu zu installieren. Wo kommen wir denn hin, wenn ich mir von den Entwickler von Schadsoftware meinen Job diktieren lasse. Viren oder Trojaner sind nichts anderes als ein Stück Software, die man nicht unnötig mystifizieren muss. Entfernet man(n) die Schadsoftware korrekt kommt sie in der Regel auch nicht wieder. Oft ist so, das durch "neue" Lücke im System ähnliche Viren wiederkommen. Da würde aber auch bei einer Neuinstallation passieren. Dagegen helfen nur permanente Updates des Systems und ein guter AV-Scanner. Ich habe schon sehr viele Systeme mit gescheiten Virenscanner (meist über Linux Antiviren CDs (am Besten zwei unterschiedliche)) wieder gesäubert und die laufen danach jahrelang ohne Probleme.

Sicherlich gibt es auch Fälle, da ist eine Neuinstallation der einzige sinnvolle Weg - das will ich gar nicht bestreiten - aber dieses generelle "Neuinstallation bei Viren und Trojanern" finde ich oft übertrieben. Ausnahmen sind hier sicher Firmen PCs, dort sollte man dann aber von vornherein ein System haben, dass gleich automatisch ein neues Image auf den Rechner installiert (so kenne ich das).

Ich persönliche besorge mir entweder eine Anleitung zum Entfernen (wie diese hier) oder zwei gute Linux Antiviren Images, die man von außen Booten kann (z.B. USB, CD, DVDs, etc.) Diese können auf die Windows Partitionen zugreifen und lösen das Problem sehr oft auch ohne Neuinstallation (z.B. AVG Rescue CD und Kaspersky Rescue CD)

P.S: Außerdem ist es für mich eine persönliche Herausforderung als Admin die entsprechende Schadsoftware zu finden und sie entsprechend zu eliminieren. Wie schon oben erwähnt, Viren und Trojaner sind nichts anderes als ein bisschen Software. Nicht mehr, nicht weniger.

Gruß
Frank
Bitte warten ..
Mitglied: kontext
18.11.2013, aktualisiert um 11:43 Uhr
Zitat von Frank:
Hi,
hmm, so ganz verstehe ich die Kommentare hier auch nicht.

Hi Frank,

zu Punkt 1) mein Kommentar war auf die Aussage des TO bezogen (Neuinstallation ist für Angsthase)
Natürlich ist mir klar, dass ich bevor was Systemkritisches wie die Windows Registry angefasst wird, zuerst ein Backup gemacht wird.
Leider ist es einfach so, das heutzutage niemand mehr was auf ein richtiges und vor allem funktionierendes Backup-Konzept legt.
Und laut TO gehöre ich in diesem Fall zu den Angsthasen - gehe dafür auf Nummer sicher ...

zu Punkt 2) es ist löblich, dass du dich auf die Suche nach dem Schädling machen willst und auch diesen zu beheben.
Das liegt glaube ich in den Grundsätzen eines Admins - man will den Fehler finden und beheben.

Jedoch weißt du bei Viren / Trojanen halt nicht ob du A) alles gelöscht hast und B) was für Hintertüren dir der Virus geöffnet hast.
Um eine saubere Analyse und vor allem Behebung des Trojaners vorzunehmen brauchst du mindestens einen halben Arbeitstag, wenn nicht länger.
Als Dienstleister kannst du diese Arbeit nicht verrechnen und als Systemadministrator sitzt man dir im Nacken, da der User arbeiten muss / soll ...
... daher ist der Weg der Neuinstallation nicht oft nur der einfachere sondern der schnellere / bessere
... wie sieht das gegenüber dem Kunden / User denn aus wenn man nach ein paar Wochen wieder das gleiche / ähnliche Problem hat

Ich hatte in der Vergangenheit schon oft Fälle wo man Viren / Trojaner aufwändig von Hand entfernt hat (Offline Scan, Bereinigung Dateisystem, Dienste / Prozesse säubern, Registry säubern, etc) - und nach ein paar Wochen / Monaten war das System wieder infiziert.

In dieser Anleitung wurden vor allem Systemkritische Dienste verändert / deaktiviert - also schon relativ tiefe Systemdienste.
Da hört meiner Meinung der Spaß auf - und man investiert einfach nur nutzlos seine Zeit ...
... denn zu 99% wird an der AntiVirus Strategie nichts geändert
... man bleibt auf dem Freeware-AV Anbieter und Backup Konzept braucht man auch keines
... heutzutage lebt man einfach blauäugig weiter - jetzt hat es mich einmal erwischt, ein zweites mal erwischt es mich sicher nicht

Wie gesagt - Viren und Trojner sind meiner Meinung andere Geschosse als Ransomware wie der Polizei-Trojaner, etc.
Bei solchen Dingen kann man leicht den Übeltäter finden und sich auch in Zukunft davor schützen
Da ist es oft einfacher und schneller den Schädling zu entfernen, einen anderen AV Anbieter installieren und JAVA (wenn nicht benötigt) zu deinstallieren

PS: Ich dachte wir sind hier ein Forum wo man über diverse Dinge diskutieren kann ...
... meiner Meinung hätte man die Anleitung besser / schöner / ausführlicher schreiben können und auf diverse Dinge eingehen können
... aber in diesem Fall hab ich mich wohl geirrt (die Zeiten von aqui's Anleitungen sind scheinbar vorbei)
... ich werde mir (wie schon erwähnt) das nächste Mal meinen Teil denken und solche Dinge nicht mehr kommentieren
... Spart uns allen eine Menge Zeit und manchen auch Ärger

PPS: nichts desto trotz ein +1 für deinen Kommentar - ich bin ja nicht so und vote als negativ nur weil es mir nicht in Kram passt

Gruß
kontext
Bitte warten ..
Mitglied: Frank
18.11.2013, aktualisiert um 12:15 Uhr
Hi,

Neuinstallation ist für Angsthase

Ich denke, das ist pure Ironie und hätte so auch von mir kommen können.

Als Dienstleister kannst du diese Arbeit nicht verrechnen und als Systemadministrator sitzt man dir im Nacken, da der User arbeiten muss / soll ... ... daher ist der Weg der Neuinstallation nicht oft nur der einfachere sondern der schnellere / bessere

Je nach System kann eine Bereinigung auch schneller als eine Neuinstallation sein. Ich denke man kann da keine Pauschal Aussage dazu machen. Es kommt auch auf die Komplexität des Systems drauf an (und ob die Firma überhaupt ein Backups hat).

Ich hatte in der Vergangenheit schon oft Fälle wo man Viren / Trojaner aufwändig von Hand entfernt hat (Offline Scan, Bereinigung Dateisystem, Dienste / Prozesse säubern, Registry säubern, etc) - und nach ein paar Wochen / Monaten war das System wieder infiziert.

Aus meiner Erfahrung sind das oft Fälle, wo die Schadsoftware durch neuen Lücken/Schwachstellen im (meist alten) System wieder reingekommen sind. Weniger durch eine "Reaktivierung" des ehemals vorhandenen Virus/Trojaner.

Hier wurden vor allem Systemkritische Dienste verändert / deaktiviert - also schon relativ tiefe Systemdienste. Da hört meiner Meinung der Spass auf - und man investiert einfach nur nutzlos seine Zeit ...

Wie schon oben erwähnt, macht es natürlich nicht immer Sinn. Manchmal kommt man um eine Neuinstallation nicht herum. Die Rechner/Server aber mit der externen AV-Software zu scannen, ist für mich der erste Weg.

Generell ist aber die grundlegende Problematik von Viren und Trojanern oder das Fehlen von einem funktionierenden Backupsystem nicht Ziel der Anleitung gewesen. Hier ging es ganz alleine darum, wie man einen bestimmten Schädling eliminiert. Ob da jetzt Firmen ein Backupsystem haben, schlechte oder alte Virenscanner benutzen, nichts daraus lernen, etc. war nicht Inhalt der Anleitung und kann man dem Autor auch nicht vorwerfen.

... aber in diesem Fall hab ich mich wohl geirrt (die Zeiten von aqui's Anleitungen sind scheinbar vorbei)

Aqui's Anleitungen haben die Messlatte schon sehr hoch gesteckt. Nicht jede Anleitung kann diese hohe Qualität liefern, oft ist das jeweilige Thema bzw. die Lösung nicht so komplex. Hier ging es ganz gezielt nur um das Entfernen eines bestimmten Schädlings. Ich freue mich über beide Arten von Anleitungen. Die, die ausschweifen und die, die auf den Punkt kommen.

PS: Ich dachte wir sind hier ein Forum wo man über diverse Dinge diskutieren kann ...

Kann man ja auch. Aber ich diskutiere doch nicht gleich über den Sinn z.B. von Autos, nur weil ich einen Platten oder Probleme im Getriebe habe

PPS: nichts desto trotz ein +1 für deinen Kommentar - ich bin ja nicht so und vote als negativ nur weil es mir nicht in Kram passt

PPS: dann bekommst du natürlich auch ein +1 von mir. Da gehts mir ja nicht anders

Gruß
Frank
Bitte warten ..
Mitglied: Lochkartenstanzer
18.11.2013, aktualisiert um 12:25 Uhr
Moin,

Es ja nichts dagegen zu sagen, daß man eine Anleitung veröffentlicht, die eine bestimmte malware (vorgeblich) wieder aus dem System wirft, um damit wieder arbeiten zu können. Aber in so eine Anleitung gehört imho immer der Hinweis auf die Gefahren, dieses Vorgehens, insbesonderer irgendwelcher nicht entdeckter (oder entdeckbarer) Rückständen. Der Leser muß dann selbst das Risiko abwägen. Ansonsten glauben die meisten Benutzer, daß man durch ausführen der Schritte und der Anleitung wieder ein sicheres System hat.

Ich persönlich habe den Fall schon mehrmals gehabt, daß Kunden nur desinfiziert, aber nicht neu installiert haben wollten, trotz Hinweis auf das Risiko. Nach der dritten "Reinfektion" waren die dann aber doch überzeugt, daß man besser frisch installiert (waren BKA-Trojaner). Gibt mehr Geld, aber man hat keinen "Spaß" dabei.

lks
Bitte warten ..
Mitglied: Frank
18.11.2013, aktualisiert um 13:30 Uhr
Hi lks,

Anleitung zum Entfernen des SIREFEF!CFG-Trojaners
(Kurz-Anleitung ohne Gewähr, für versierte Nutzer):

Siehe zweite Zeile

Ich denke, dass Zielpublikum liegt ganz klar bei den Administratoren und nicht bei den Benutzern. Ohne Admin Rechte wird's recht schwer, die REG-KEYS zu ändern.

Gruß
Frank
Bitte warten ..
Mitglied: Lochkartenstanzer
18.11.2013 um 12:36 Uhr
Zitat von Frank:
Ich denke auch, dass Zielpublikum liegt ganz klar bei den Administratoren und nicht bei den Benutzern.

Auch für die Admins ist so ein Risikohinweis nicht verkehrt. Ich kenne genügend Admins die per ordre-di-mufti (= Du weiß wie man einen Computer einschaltet? Ab sofort bist Du Admin!) dazu wurden. Diese sind zwar "versiert", in dem Sinne, daß die mal auch mit dem Registry-Editor eine key löschen/ändern könnten, aber nicht erfahren genug, um die Folgen so einer Aktion wie oben abschätzen zu können.

lks
Bitte warten ..
Mitglied: Frank
18.11.2013, aktualisiert um 13:33 Uhr
Hi lks,



Gruß
Frank
Bitte warten ..
Mitglied: brammer
18.11.2013 um 13:41 Uhr
Hallo,

@Frank

Neuinstallation ist für Angsthase

Ich denke, das ist pure Ironie und hätte so auch von mir kommen können.

Nun das klingt für mich nicht wirklich Ironisch....

Wenn man sich mit dem benannten Virus etwas näher beschäftigt findet man schnell ein Dutzend Lösungswege, inklusive REG Änderungen und Pfade in denen sich der Virus festsetzt.
Inklusive so hilfreicher Meldungen alle Dateien mit dem Virus Namen zu löschen.
Das es sowas wie umbenennen gibt, scheint uunbekannt zu sein.

Aktuelle Viren sind mitunter derart hochkomplex das ein einfaches Bereinigen nicht immer ausreichend ist.
Bei einem Privatrechner mag das reichen, bei einem Server eher nicht...

Vor allen @schmitzi
Woher nimmst du die Sicherheit das dein System wirklich sauber ist?
Woher hast du den Lösungsweg?
Hast du nach Bereinigung des Cystems ein- und ausgehenden Verkeher über einen längeren Zeitraum beobachtet?

brammer
Bitte warten ..
Mitglied: Frank
18.11.2013, aktualisiert um 14:33 Uhr
Hi brammer,

ganz ehrlich, wenn mir zwei aktuelle (oder mehr) unterschiedliche externe AV-Scanner keinen Fehler/Warnung/Hinweise mehr anzeigen und das System sauber funktioniert, ja dann glaube ich, dass das System wieder sauber ist. Eine 100% Sicherheit hast du nie - auch nicht bei einem System was du gerade neu aufgesetzt hast und am nächsten Tag durch einen neuen Exploit wieder kompromittiert wird. Paranoia ist wichtig, sollte aber nicht lähmen.

Wenn ich jetzt dringend an die Daten eines infizierten Systems kommen muss, bin ich doch froh, das es eine Anleitung dazu gibt. Was man danach mit dem Rechner/Server etc. noch macht, kann jeder Admin für sich selbst entscheiden.

Die Mystifizierung der Schadsoftware mit all seinen vielen Möglichkeiten bring niemanden wirklich weiter. Ein Virus oder ein Trojaner ist nur ein kleines Stück Software (ein Daemon, ein Service, einer Sicherheitslücke), der sich gut versteckt oder getarnt hat. Man kann ihn finden und löschen.

Gut, ich komme jetzt aus der Linux/Unix Welt vielleicht sehe ich das für die Windows Platform auch etwas zu optimistisch. Aber auch unter Windows gibt es Checksummen für Dateien und so anders arbeiten die AV-Scanner unter Windows auch nicht. Rein technisch gesehen ist ein System wahrscheinlich nach entfernen bzw. scannen, etc. sauber. Was aber das Gefühl des Admin dazu sagt, ist sicher eine ganz andere Geschichte (und eine andere Diskussion wert).



Gruß
Frank
Bitte warten ..
Mitglied: C.R.S.
18.11.2013, aktualisiert um 19:12 Uhr
Hallo Frank,

die Kommentare finde ich berechtigt. Die Anleitung leitet meines Erachtens zu fahrlässigem Dilettantismus an.

Natürlich ist Schadsoftware nur Software. Die Frage ist: welche?

Schon die Überschrift disqualifiziert, weil sie nahelegt, eine konkrete Infektion könnte anhand des Phantasienamens eines AV-Herstellers identifiziert werden. Der bezeichnet aber allein die dem Hersteller vorliegenden Samples und die daraus gebildete generische Signatur. Die Signatur wiederum ermöglicht einem Scanner die Erkennung, aber noch lange nicht Identifikation. Die Falschdeklaration einer Schadsoftware bei der Erkennung ist so gewöhnlich wie Falsch-positiv-Meldungen oder Nichterkennungen. Den vermeintlich aussagekräftigen angezeigten Namen im Scan-Resultat sollte man schnell vergessen.

Zur Identifikation wären zunächst Hashes zu vergleichen. Die ausgeführte Datei kann der Laie meist nicht wiederherstellen und Hashes sind heute kaum mehr identisch. Entsprechend sinnlos sind solche Anleitungen für Leute, die ihr System und verdächtige, ggf. funktional mit bekannten Samples identische Dateien nicht fachkundig analysieren können.

Die als "Sirefef!cfg" bekannten Samples deaktivieren nun in ihrer Hauptfunktion nicht allein Sicherheitsfunktionen sondern laden vor allem beliebigen weiteren Schadcode nach. Von dessen Erkennung und "Entfernung" lese ich nichts.
Die meisten Anleitungen zur Virenentfernung unterstellen der Schadsoftware, den Nutzer sinnfrei mit einigen kosmetischen Änderungen am System zu triezen, die nur rückgängig gemacht werden müssten, und alles wäre in Ordnung. Das als naiv zu bezeichnen, ist keine Mystifizierung. Das kann überhaupt nur in einigen Fällen gut gehen, weil die Branche hart daran arbeitet, Verteilungswege von Malware innerhalb von Stunden lahm zu legen, und der Dropper daher oft ins Leere funkt.
Diese Arbeit wird nicht nur durch den zeitlichen Vorsprung der Malware-Programmierer erschwert, sondern auch durch die Fahrlässigkeit von Nutzern und Admins, selbst erkannte Infektionen mehr oder weniger bewusst unbehoben zu lassen.

Grüße
Richard
Bitte warten ..
Mitglied: schmitzi
18.11.2013 um 19:46 Uhr
Zitat von brammer:

Vor allen @schmitzi
Woher nimmst du die Sicherheit das dein System wirklich sauber ist?
Woher hast du den Lösungsweg?
Hast du nach Bereinigung des Cystems ein- und ausgehenden Verkeher über einen längeren Zeitraum beobachtet?

brammer

Hi,
habe die Lösung hier an 3 Systemen (in aufwändiger Arbeit) erarbeitet, ist schon bis zu einem
halben Jahr her. Beim 1. System war es solala, beim 2. besser, beim 3. perfekt und mit den
Erkenntnissen konnte ich die ersten beiden Systeme nachbessern. Und diese Anleitung hier schreiben.
Alle Systeme laufen bisher 1a, unter andauernder Beobachtung, auch der Firewalls auf verdächtiges Verhalten. Mache ich halt aus sportlichen Aspekten, weil Neuinstall ist was für "Admins" die immer gleich drüberbügeln,
koste es (Daten) was es wolle. Und diese Systeme hatten nicht nur Daten onboard (die man natürlich
aus einem "verseuchten" Image nach Neuinstall. hätte herausfummeln können), sondern waren
auch alle 3 mit extrem viel Software bestückt (Konstellation) und es gab leider keinerlei Backup.

Ich bezweifele auch wie hier oben jemand schrieb dass das nach 30 minuten mit einem Restore erledigt ist.
Das setzt ja ein perfektes, tägliches Vollbackup eines PCs voraus, was die wenigsten haben dürften.
Und, NICHTS ist so wichtig wie die Daten an denen ich HEUTE gearbeitet habe... oder ?

@Frank: DANKE !!!
(Treffer an allen Fronten, erspart mit viel Schreiberei)
Bitte warten ..
Mitglied: schmitzi
18.11.2013, aktualisiert um 20:07 Uhr
Zitat von brammer:

Ich denke, das ist pure Ironie und hätte so auch von mir kommen können.

brammer

...ja, ganz genau so ist es
...pure Ironie, weil mir zu diesen UNPRODUKTIVEN Kommentaren absolut gar nichts mehr einfällt.
...da möchte man etwas Positives tun und helfen, bringt Geist und Bewegung in eine Sache,
...und irgendwelche "xxx...zensiert...xxx" die nicht in der Lage sind zerreissen sich nur das Maul

>>:O)
Bitte warten ..
Mitglied: Lochkartenstanzer
19.11.2013 um 08:32 Uhr
Zitat von schmitzi:

...da möchte man etwas Positives tun und helfen, bringt Geist und Bewegung in eine Sache,
...und irgendwelche "xxx...zensiert...xxx" die nicht in der Lage sind zerreissen sich nur das Maul


Junge, reg dich mal ab.

Es ging nicht darum, Deine Arbeit zu schmälern, sonder Dich darauf hinzuweisen, daß es besser wäre den Leuten auch die Risiken Deines Vorgehens klarzumachen. Auch ich habe schon Tipps gegeben, wie man ein System nach Virenbefall wieder flott bekommt. Aber ein Hinweis auf ein gewisses Restrisiko ist immer angebracht, weil ansonsten zu viele Leute davon ausgehen, damit hätten sie Ihr System auf jeden Fall wieder sauber, was aber nicht immer der Fall ist, insbesondere wenn man eine "mutierte" Version der Schadsoftware erwischt hat.

Schönen Tag noch,

lks
Bitte warten ..
Mitglied: Frank
19.11.2013 um 11:13 Uhr
Hi @all,

so ich denke, es wurde alles gesagt und kommentiert. Ich schließe nun die Diskussion zur Anleitung.

Wer will kann die Anleitung zum Entfernen der Schadsoftware nutzen, muss sich aber auch den Risiken bewusst sein. Beim Autor hat das Entfernen prima funktioniert, d.h. aber nicht, dass es auch bei anderen User genauso gut laufen muss. Dieses Risiko muss jeder User für sich selbst entscheiden.

Meine Alternative ist noch ein externer Viren Scan (z.B. über eine Linux Rescue CDs der AV Hersteller) die meisten User bevorzugen eine komplette Neuinstallation.
Es führen viele Wege nach Rom...

Gruß
Frank
Webmaster
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Windows Server
gelöst Lokale Windows Firewall Server 2012R2 für virtuelle Maschine? (4)

Frage von 1410640014 zum Thema Windows Server ...

Firewall
Mobile VPN Geräte ohne Windows Firewall (7)

Frage von Milchmann89 zum Thema Firewall ...

Cluster
gelöst Windows NLB - Firewall Regeln (8)

Frage von eyetSolutions zum Thema Cluster ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...