Polizeivirus erhalten, aber PC funktioniert trotzdem, was tun?

@Micha007

Ich bin kein zertifizierter IT Experte, dennoch ist mein tipp windows neu aufzusetzen nicht falsch.
Der mbr ist der erste sektor auf der festplatte und somit auch deren bestandteil. Setzt man das system neu auf in dem man die alten partitionen löscht dann neu erstellt und formatiert bleibt kein einziges bit mehr auf der platte aktiv. Ein Virus der vorher auf der platte war ist dann weg.

Schadsoftware die sich im bios festsetzt und somit eine Formatierung ubersteht gibts auch. Die schreiben sich auf dem gleichen weg wie ein bios update dort hin. Der speicherplatz im flashspeicher ist allerdings begrenzt die Update Routinen der hersteller unterschiedlich daher ist die verbreitung imho auch nicht so groß.

Der abgesicherte modus ist übrigens alles andere als sicher. Bereits komprimierte systeme sind auch im abgesicherten modus als kompromiert anzusehen.
Daher gibt es bootbare startcds mit virenscannern, die nach dem booten die virendefinitionen updaten und dann die platten "von aussen" scannen können ohne daß eventuelle viren aktiv werden können

Virenscanner können übrigens nie alle viren erkennen und viele shadsoftware lädt heute einen ganzen zoo an weiterer ad und malware herunter. Bei diesen multiple verseuchten rechnern ist eine Neuinstallation der sichere und meist auch einfachere weg.

@stanmarsh

stanmarsh schrieb:Ich bin kein zertifizierter IT Experte, dennoch ist mein tipp windows neu aufzusetzen nicht falsch.

Bin auch kein IT-Experte und sicher ist das EINE Option, die man machen kann. Ist für mich aber immer die Letzte.

stanmarsh schrieb:Der mbr ist der erste sektor auf der festplatte und somit auch deren bestandteil. Setzt man das system neu auf in dem man die alten partitionen löscht dann neu erstellt und formatiert bleibt kein einziges bit mehr auf der platte aktiv. Ein Virus der vorher auf der platte war ist dann weg.

Es ging ja darum, daß hier Jemand meinte, ein Bootkit würde sich im BIOS festsetzen, was nicht richtig ist (da dies nur geflasht werden kann), weil er sich in den MBR schreibt. Und natürlich ist nach dem Neuaufsetzen kein Virus mehr vorhanden, dazu muß die FP noch nicht mal formatiert werden, denn durch das Neuaufsetzen werden die Sektoren ja eh überschrieben.

stanmarsh schrieb:Schadsoftware die sich im bios festsetzt und somit eine Formatierung ubersteht gibts auch. Die schreiben sich auf dem gleichen weg wie ein bios update dort hin. Der speicherplatz im flashspeicher ist allerdings begrenzt die Update Routinen der hersteller unterschiedlich daher ist die verbreitung imho auch nicht so groß.

Richtig. Wie gesagt, kann das BIOS nur (über CD/USB) geflasht werden, dazu muß aber das BIOS das man sich vom Hersteller heruntergezogen hat, bereits verseucht sein, was eher unwahrscheinlich ist.

stanmarsh schrieb:Der abgesicherte modus ist übrigens alles andere als sicher. Bereits komprimierte systeme sind auch im abgesicherten modus als kompromiert anzusehen.

Das ist mir neu und werde mich dahingehen mal auf den neuesten Stand bringen. Wieder was gelernt, Danke für den Tip.

stanmarsh schrieb:Daher gibt es bootbare startcds mit virenscannern, die nach dem booten die virendefinitionen updaten und dann die platten "von aussen" scannen können ohne daß eventuelle viren aktiv werden können

Oder man zieht sich eine Linux-Life-CD/DVD runter (das kleinste Linux der Welt ist übrigens Sage und Schreibe nur 3 MB klein, komplett mit grafischer Oberfläche, etc. und kann man sich auf einen uralt bootfähigen USB-Stick ziehen). Denn für Linux gibt es auch eine avast-Version, die man sich auf den Stick ziehen könnte. So kann man dann über Linux die C: Platte komplett durchscannen.

stanmarsh schrieb:Virenscanner können übrigens nie alle viren erkennen

Na, das sollte jedem User eigentlich auch bewußt sein, das Gegenteil ist aber leider oft der Fall. Sie sind dann der meinung, mit einem Virenscanner, der sich automatisch aktualisiert, hätten sie einen Vollschutz. Und das man zusätzlich noch einen Malewareschutz braucht, wissen eh die wenigsten (die Erfahrung habe ich persönlich zu mindest gemacht). Auch wenn man einen Virenscanner mit zusätzlichen Tools hat, so ist dieser nicht so effektiv, als wenn man sich separat einen reinen Virenscanner und einen reinen Malewarescanner installiert und diese simultan jede Woche einmal über Nacht durchlaufen läßt (selbstverständlich mit abgekoppelten Internet).

Hallo Leute,

ich habe ja nun dermaßen keine Ahnung von solchen Dingen, weshalb ich auch nicht so sehr auf die Details eingehen kann, die ihr genannt habt.

Letztesmal habe ich meinen Bruder mal an den PC gelassen, denn der kennt sich da ganz gut aus. Er sagte mir auch, dass ein Neuaufsetzen nicht unbedingt nötig wäre.

Ich weiß nicht genau, was er gemacht hat, aber er hat irgendwie (im abgesicherten Modus?) manuell nach Trojanern und Schadsoftware gesucht, die man anhand bestimmter "Dateiendungen" erkennnen kann. Dann hat er noch irgendso ein speziellen Scanner rüberlaufen lassen (ich habe echt keine Ahnung, wie sich der ganze Kram nennt), wo man auch nach diesen Keyloggern suchen kann usw.

Es wurde aber nix gefunden.

Und es gibt von diesen BKA Seiten auch welche, die nicht unbedingt weiteren Schaden auf dem Rechner verursachen (sondern, denen geht es nur darum, Geld abzuzocken wegen der Entsperrung, die bei mir ja auch von alleine funktioniert hatte).

Ich denke mal, dass es so eine "harmlose Variante" war. Denn bislang habe ich keine weiteren Beeinträchtigungen festgestellt.

Einfach mal nicht auf Pornoseiten surfen. . .

@spiller1983
das war keine Pornoseite, sondern ein Prügelvideo.

@Alano

Alano schrieb:sondern ein Prügelvideo.

Dafür gilt das gleiche, was @spiller1983 gerade sagte. Ebenso wie kino.to &Co, aber auch über fb und MSN kann man sich vieles einfangen.

ja ich weiß. Ich war auch nur aus Neugier auf dieser Seite (die nenne ich hier nicht), ansonsten gucke ich mir sowas nicht an.

Ein System sannt man NIE im laufenden Windows durch, sondern IMMER im "abgesicherter Modus"

Kann man machen, hab aber die Erfahrung gemacht, dass die meisten Tools auch im normalen Modus den Dreck finden und beseitigen können. Trotzdem, wenn man ganz sicher gehen will, scannt man besser im Abgesicherten Modus, da hast du Recht.

stanmarsh schrieb:Der abgesicherte modus ist übrigens alles andere als sicher. Bereits komprimierte systeme sind auch im abgesicherten modus als kompromiert anzusehen.

Die Frage ist, was ist denn eigtl. "kompromittiert"? Die allgemeine Auffassung ist ja, dass ein infiziertes System so manipuliert worden sein KANN, bis es nur noch nach einer Neuinstallation wieder vertrauenswürdig ist.

"Vertrauenswürdig" muss es also sein. So einen hohen Anspruch sollte man nie an ein System stellen, denn prinzipiell kann dieses schon nach den ersten Sekunden Internetverbindung genau das nicht mehr sein. ;) Man kann IMMER sagen, nur, weil nichts gefunden wurde, heißt das nicht, dass das System sauber sei. Also ist das System per se NIE "vertrauenswürdig".

Außerdem ist der entstandene Schaden durch die Infektion ja schon direkt passiert. Das bedeutet, die Passwörter sind schon geklemmt, BEVOR der Virenscanner Alarm schlägt. Ein Neuaufsetzen nützt da auch nich mehr viel.

Es gibt aber tatsächlich Infektionen, bei denen ein Neuinstallation am sichersten ist, wie z.B. beim ZeroAccess-Rootkit oder beim damaligen Facebook-Wurm Phorpiex, da sie die Kiste einfach bis zur Unkenntlichkeit zumüllen und in einer Art Katz-und-Maus-Spielchen den Virenscannern entgehen können. Da sollte man dann wirklich plattmachen.

@Scox

Scox schrieb:So einen hohen Anspruch sollte man nie an ein System stellen,

"Richtiger" wäre: "So einen hohen Anspruch sollte man nie an ein Windowssystem stellen, ...", denn auf Linux-, Mac osX-, Solaris-, BSD-PC-, etc. Systemen darf man diesen hohen Anspruch stellen und da hat man in der Tat ein vertrauenswürdiges System.

ist zwar die irische version und in englisch, aber die schritte zum vernichten eines solchen eindringlings sind recht gut erklaert

http://stephensheil.com/GardaBlog.html (Archiv-Version vom 12.06.2014)

azerate schrieb:ist zwar die irische version und in englisch, aber die schritte zum vernichten eines solchen eindringlings sind recht gut erklaert

Ich würde niemandem raten, an seinem OS rumzupfuschen, ohne zu wissen, was man tut. Mit Tools wie MB oder HitmanPro zu scannen, ist natürlich nicht verkehrt.

Micha007 schrieb:...auf Linux-, Mac osX-, Solaris-, BSD-PC-, etc. Systemen darf man diesen hohen Anspruch stellen und da hat man in der Tat ein vertrauenswürdiges System.

Es gibt auch Malware für Macs. Ansonsten alles richtig.

Lass mal Malwarebytes durchlaufen.... @Alano

Wenn Du was findest reicht aber keine Quaratäne....

System neu aufspielen^^

Orbiter... schrieb:Lass mal Malwarebytes durchlaufen....

hatte ich doch schon so ziemlich am Anfang, ohne Befund.

Hast du meine letzten Postst gelesen?

Wie es aussieht, ist alles klar auf meinem Rechner.

Ehrlichgesagt halte ich diese Bundestrojaner für so ne Art Placebo-maßnahme.

Der BND oder die Polizei kommt doch nicht durch einen total auffälligen Trojaner Zugriff auf die Rechner.

Das machen die über iwelche Backdoors.

Das bekommst Du nicht mit, wenn die Polizei auf deinen Rechner Zugriff hat.

Ja... was ist es denn am Ende bei Dir, wenn alles in Ordnung ist?

@Alano

@Orbiter...

Orbiter... schrieb:Der BND oder die Polizei kommt doch nicht durch einen total auffälligen Trojaner Zugriff auf die Rechner.

Das machen die über iwelche Backdoors.

Das bekommst Du nicht mit, wenn die Polizei auf deinen Rechner Zugriff hat.

Ja... was ist es denn am Ende bei Dir, wenn alles in Ordnung ist?

kennst du die Masche denn noch nicht?
Das ist selbstverständlich nicht die Polizei, sondern irgendwelche Hacker.

Die "Sperren" dann den PC (so, dass man kaum was machen kann) und fordern dann Geld, um es wieder zu entsperren. Und einige Leute sind halt so ängstlich und leichtgläubig, dass sie die Kohle bezahlen .

Das war es letztendlich.

Und dann gibt es wohl von diesen Fake Polizei Seiten auch welche, die Schadsoftaware hinterherladen, und andere tun es wiederum nicht. Ich hatte wohl die harmlose Version.

@Alano Ich sag ja immer... schön brav sein im Internet.

Glaube nicht, dass Du etwas zu befürchten hast.

Die, die in Gefahr sind, machen Fehler und legen es drauf an.

Letztes Jahr wurden 8 Blogger ermordet, aber vermutlich in politisch schwierigen Ländern

und wie gesagt, die kennen keine Grenzen.

Die publizieren alles was ihnen in den Kopf kommt und ohne die Hand vor den Mund zu halten.

So...dont worry @Alano

Naja... Problem gelöst... aber ich möchte nicht wissen, was die in ihrem Milliardenbau vom
BND in Berlin anstellen. Jedenfalls keine kleinen Fische überwachen.

@Orbiter...
:)
ne, da brauch man sich keine Sorgen machen.

Diese Fake Polizeiseiten passieren ja vielen Leuten.
Meistens, wenn man sich irgendwelche Pornos und Prügelvideos anschaut.

Billige Abzock Maschen sind das.

@Alano Mir gings ähnlich wie Dir, danach hab ich ne extra firewall installiert und schließlich war Ruhe.
Aber ich hatte irgendwann keinen Bock mehr ständig alle Zugriffe bestätigen zu müssen.
Das passiert bei kostenlosen Firewalls nun mal...

Das heisst also, man müsste für ne anständige Firewall bezahlen.
Gute Virenprogramme und Adblocker gibts ja umsonst...

Aber ich hab nur ein deutsches kostenlossen Virenprogramm drauf im Moment....

@Scox: hast wohl recht, ich haette erwaehnen sollen, dass man nur an sein operating system gehen sollte, wenn man gewisse vorerfahrungen hat. aber ich war mal davon ausgegangen, dass sich in einem thread wie diesem hier auch einige experten mit fachwissen aufhalten :)

@Orbiter...

Orbiter... schrieb:Aber ich hatte irgendwann keinen Bock mehr ständig alle Zugriffe bestätigen zu müssen.
Das passiert bei kostenlosen Firewalls nun mal...

Tja, da hast Du einen groben Fehler gemacht und die Bestätigungen falsch interpretiert. Denn entgegen Deiner Annahme

Orbiter... schrieb:Das passiert bei kostenlosen Firewalls nun mal...

hattest Du eine sehr gute und noch dazu eine sog. "intelligente Firewall" deinstalliert. Mit jeder Bestätigung hatte sie zusätzlich noch dazugelernt.
Wenn Du natürlich laufend Programme deinstallierst/installierst, ist es klar, daß sich die Firewall meldet, damit sie weiß, daß Du das Programm installierst und nicht von "außen" installiert werden will. Darum immer die Abfrage.

Wenn Du aber so häufig Programme deinstallierst/installierst, dann hoffe ich, daß Du Dein System auch regelmäßig (im Wochentornus) defragmentierst (bzw. die Defragmentierung in einen Task festgelegt hast).

azerate schrieb:aber ich war mal davon ausgegangen, dass sich in einem thread wie diesem hier auch einige experten mit fachwissen aufhalten

Ich denke schon, daß ich mich zu den (angehenden) Experten zählen kann. :D

azerate schrieb:hast wohl recht, ich haette erwaehnen sollen, dass man nur an sein operating system gehen sollte, wenn man gewisse vorerfahrungen hat.

Und Du hättest erwähnen sollen, das die Vorgehensweise in Deinem Link lediglich für diesen einen Virustyp paßt (wenn man es denn manuell (wie gezeigt) machen will, denn in der Regel überläßt es "Otto Normalo" dem AV-Programm, weil er zu wenig Ahnung hast (was natürlich kein Vorwurf von mir ist)).