Virus, was tun? Trojan.Win32.Small.aarn

[cosinus]

In deiner Anleitung stand aber etwas mehr drin.

Und? Ich glaub es sollte klar sein, dass der abgesicherte Modus nichts mit der SWH zu tun hat!

Selbstverständlich ersetzt die SWH kein Backup. Aber wenn man ein Programm oder Treiber von heut auf morgen spinnt und man es nicht wieder (schnell) zum Laufen bringt, leistet die SWH sehr gute Dienste.

Klar, von heute auf morgen ohne Einwirkung des Users geht auf einmal nixmehr...die Foren sind voll von solchen Fällen. Fast immer hat aber die Drehstuhlschnittstelle Schuld. :hat:

[Der Bayer]

Und? Ich glaub es sollte klar sein, dass der abgesicherte Modus nichts mit der SWH zu tun hat!

Wenn ich ehrlich bin, hab ich die Anleitung nicht wirklich gelesen.

Klar, von heute auf morgen ohne Einwirkung des Users geht auf einmal nixmehr...die Foren sind voll von solchen Fällen. Fast immer hat aber die Drehstuhlschnittstelle Schuld. :hat:

Junge, es soll sowas wie Bugs in Software geben. Und die können auch mal Programme lahmlegen. Sei es durch nicht richtig installierte Updates, fehlerhafte Configdateien, etc.

[aloa5]

Klar, von heute auf morgen ohne Einwirkung des Users geht auf einmal nixmehr...die Foren sind voll von solchen Fällen. Fast immer hat aber die Drehstuhlschnittstelle Schuld. :hat:

Das ist durchaus richtig. Die Wiederherstellung soll ja eben die Fehler dieser Schnittstelle wieder geraderücken. Daher mag sie durchaus ihre Berechtigung haben (auch wenn ich sie noch nie eingesetzt habe).

Bei Trojanern hilft sie aber nicht.

Grüße
ALOA

[cosinus]

Vllt bin ich auch zu sehr von der SWH immer enttäuscht worden, wenn man sie anwenden wollte hats nie was gebracht. Außer tw. enormen Speicherverbrauch auf der Systempartition. Ich stelle sie immer ab und für den unwahrscheinlichen Fall, dass was mitm Windows sein sollte, rolle ich das mit Acronis erstellte Systemimage zurück oder setzte händisch neu auf.

[cosinus]

Das gilt aber nicht für nicht-infizierte Wiederherstellungspunkte, oder?

Wie willst Du infizierte von nicht-infizierten unterscheiden? Das geht nur wenn man ganz genau weiß, wann die Infektion stattgefunden hat. Und das weiß man leider rel. selten. Mag sein, dass Thomas I den Schädling schon länger drauf hatte, der aber erst nach dem bestimmten Signaturupdate erst erkannt wurde.

[adal]

Wie willst Du infizierte von nicht-infizierten unterscheiden?

Wenn der Virenscanner wieder "anschlägt", war`s der falsche Wiederherstellungspunkt.

[cosinus]

Und wenn der Virenscanner sagt, alles ist okay, dann ist das System wieder sauber? Der Virenscanner könnte ja einen Schädling übersehen haben. :o
Okay, die SWH kann aber muss nicht helfen. Ich verlasse mich daher nicht auf sie.

Das BSI sagt ja auch nicht ohne Grund:

Wenn ein Computer mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist, wurde die infizierte Datei möglicherweise in die Sicherung mit einbezogen. Nachdem ein Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wurde, kopiert die Systemwiederherstellung von Windows die infizierte Datei wieder zurück in das eben gesäuberte System, da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will.

Durch das Deaktivieren der Systemwiederherstellung werden alle gesicherten Systemzustände gelöscht! Ein Wiederherstellen einer infizierten, gesicherten Datei ist damit nicht mehr möglich.

Nach der Entfernung des Virus bzw. Wurms muss die Systemwiederherstellung wieder aktiviert werden.

[bakunicus]

Und wenn der Virenscanner sagt, alles ist okay, dann ist das System wieder sauber? Der Virenscanner könnte ja einen Schädling übersehen haben. :o
Okay, die SWH kann aber muss nicht helfen. Ich verlasse mich daher nicht auf sie.

Das BSI sagt ja auch nicht ohne Grund:

durchsucht ein virenscanner denn nicht auch die wiederherstellungsdateien ?

und wenn nicht, kann man ihm das nicht in auftrag geben ?

gruß baku

[Mithrandir]

Am sichersten ist ein Neu-Aufsetzen des Systems. Bei dem Schadprogramm hat es sich um ein trojanisches Pferd gehandelt, es ist nicht auszuschließen, dass darüber weitere Schadsoftware auf Deinen Rechner gelangt ist, von der Du gar nichts weißt, und die auch nach dem Entfernen dieses trojanischen Pferds noch aktiv ist.

Du solltest auch klären, wie die Schadsoftware überhaupt in Dein System eindringen konnte. Soetwas passiert nicht einfach so. Arbeitest Du an Deinem Rechner mit Administrator-Rechten? Setzt Du Versionen von Browser, Betriebssystem oder anderen Programmen, die Kontakt mit der Außenwelt haben (z. B. Office, Mediaplayer o. ä.) unsichere oder nicht regelmäßig aktualisierte Versionen ein? Hast Du Software aus zweifelhafter Quelle ausgeführt?

Wenn Du die Lücke in Deinem Sicherheitskonzept nicht erkennst und schließt, dürfte es nur eine Frage der Zeit sein, bis die nächste Schadsoftware die Kontrolle über Dein System übernimmt.

[cosinus]

durchsucht ein virenscanner denn nicht auch die wiederherstellungsdateien ?

und wenn nicht, kann man ihm das nicht in auftrag geben ?

Nat. kann man das, aber man hat keinen wirklich genauen Anhaltspunkt, wann die Infektion nun stattfand und ob der angeblich saubere Punkt nun wirklich auch sauber ist; hätte der Virenscanner geholfen, wäre es ja erst garnicht zur Infektion gekommen (okay, nach einem Signaturupdate vllt schon, aber das ist nicht sicher)

Also wie gesagt die SWH kann aber muss nicht helfen und man sollte immer etwas "Handarbeit" dann noch machen in Form von Logfiles wie RSIT, Hijackthis und so.

Aber wie Mitrandir auch schon sagt, eine Bereinigung bietet keine 100%ige Sicherheit; ob nun manuell mit "meiner" Methode in diesem Strang oder mit der SWH (wenn diese denn offensichtlich hilft) - wer wirklich auf ein vertrauenswürdiges System angewiesen ist, muss nach einer Infektion formatieren und von Orginalmedien neu aufsetzen oder ein garantiert sauberes Image zurückspielen.

[Thomas I]

Dann bist Du offensichtlich erstmal wieder clean. Aber ohne Garantie, in den Logs hab ich nur nix mehr gesehen. Wenn wieder was ist meldest Du Dich ja dann, erstmal ist ja alles ruhig.

Sei vorsichtig mit der Systemwiederherstellung falls Du diese nutzt. Bei Infektionen werden auch Malwaredateien in die Wiederherstellungspunkte gesichert und man kann durch die Wiederherstellung eines solchen Punktes sein System leicht in den ursprünglich infizierten Zustand wieder versetzen. Also die SWH besser deaktivieren, falls noch nicht geschehen!

Danke für das grosszügige Angebot dass ich dich auch in Zukunft bei solchen Problemen behelligen darf.
Mein letzter derartiger Virenbefall war aber 2007, hoffen wwir dass der nächste erst 2011 stattfindet...

[Der Bayer]

Noch was zur Systemwiederherstellung:
Ich bin der Meinung, dass man ruhig versuchen kann, den PC damit von Schädlingen zu befreien, denn entweder es klappt, oder es klappt halt nicht und dann kann man immer noch den anderen weg gehen.

[Mithrandir]

Mein letzter derartiger Virenbefall war aber 2007, hoffen wwir dass der nächste erst 2011 stattfindet..

Ähm, »erst«? Das wären dann 3 Kompromittierungen innerhalb von 4 bis 5 Jahren, das ist nicht wenig!

[Schallplatte]

Tipp von mir

System komplett neu aufsetzen und Partition sichern z. B. mit Norton Ghost. Falls ein Virus kommen sollte überschreibt man einfach die komplette Partition. Dauert 5 min.

und am besten keinen Internet Explorer verwenden...dann erspart man sich sowieso fast jeden Ärger.

[lobozen]

ich rate, jeden neu aufgesetzten rechner sofort spiegeln. ein erstes image nach installation des os, ein weiteres nach installation und einrichtung der software.
norton ghost wurde schon genannt. ich verwende beruflich und privat acronis true image.
und sensible daten eh grundsaetzlich in eine truecrypt-partition auslagern.

[borus]

ich rate, jeden neu aufgesetzten rechner sofort spiegeln. ein erstes image nach installation des os, ein weiteres nach installation und einrichtung der software.
norton ghost wurde schon genannt. ich verwende beruflich und privat acronis true image.
und sensible daten eh grundsaetzlich in eine truecrypt-partition auslagern.

das mit dem spiegeln ist ja ok ,nur macht das mein jetziges program nur 40 gb -40 gb usw.

HDD clonen!

[lobozen]

das mit dem spiegeln ist ja ok ,nur macht das mein jetziges program nur 40 gb -40 gb usw.

HDD clonen!

clonen ist das gleiche wie spiegeln.
und du sollst ja nicht den ganzen rechner spiegeln, sondern nur die c-partition. die legt man vernuenftigerweise kleiner an und eine usb-hd als speicher hat doch eh jeder.

[borus]

clonen ist das gleiche wie spiegeln.
und du sollst ja nicht den ganzen rechner spiegeln, sondern nur die c-partition. die legt man vernuenftigerweise kleiner an und eine usb-hd als speicher hat doch eh jeder.

ist ja richtig ,meine festplatte c ist immer noch wie zur auslieferung C,D,E-C: 195 GB ,D:97 GB,E:9 GB
das mit 40 gb habe ich in zielona-gora gemacht.das ist mir das spiegeln sicherrer.

[cosinus]

Noch was zur Systemwiederherstellung:
Ich bin der Meinung, dass man ruhig versuchen kann, den PC damit von Schädlingen zu befreien, denn entweder es klappt, oder es klappt halt nicht und dann kann man immer noch den anderen weg gehen.

Naja, ich hab äußerst negative Erfahrungen mit der SWH. In den Hilfsforen, die sich auf infizierte Systeme konzentrieren, wird auch so gut wie garnicht die SWH erst in Erwägung gezogen.

[cosinus]

Danke für das grosszügige Angebot dass ich dich auch in Zukunft bei solchen Problemen behelligen darf.
Mein letzter derartiger Virenbefall war aber 2007, hoffen wwir dass der nächste erst 2011 stattfindet...

Hallo Thomas,

Ziel sollte es sein, es garnicht erst zur Infizierung kommen zu lassen. Lies mal diesen Artikel => http://www.malte-wetz.de/index.php?view ... omise.html

[MG-42]

Mein Antiviren/Exploit Sicherheitssystem.

a) Avast antivirus. ist umsonst, hat 98% track record.
b) Spybot Search and Destroy
c) Adblock plus unter Firefox
d)Flashblock unter Firefox

Unter Vista hatte ich noch keine Probleme.

[cosinus]

Mein Antiviren/Exploit Sicherheitssystem.

a) Avast antivirus. ist umsonst, hat 98% track record.
b) Spybot Search and Destroy
c) Adblock plus unter Firefox
d)Flashblock unter Firefox

Unter Vista hatte ich noch keine Probleme.

Ich wäre noch für eingeschränkte Rechte (ok bei Vista nicht ganz soo schlimm als Admin wenn UAV aktiv ist ) und Noscript für den Firefox.

Edit: Ups sollte nat. UAC bei Vista heißen

[MG-42]

Ich wäre noch für eingeschränkte Rechte (ok bei Vista nicht ganz soo schlimm als Admin wenn UAV aktiv ist ) und Noscript für den Firefox.

oh das hab ich glatt vergessen, noscript ist ein muss.