Hilfe
Neues Thema
Antworten
Nabend zusammen,
heute wurde ich von einem Backdoor virus hops genommen als mein Virenschutz gerade deaktivert war. (selber Schuld)
Kaspersky hat natürlich sofort alles Verdächtige gelöscht und nun ist wieder alles in Butter.
Nun muss ich ja wohl formatieren.
Doch da ich noch einige Dateien auf Laufwerk C:\ habe die ich noch mitnehmen muss, denke ich nun ob die auch sicher sind.
Außerdem habe ich noch eine zweite Festplatte mit allen wichtigen Files.
Wie stehen nun die Chancen, dass meine files auf der ersten und zweiten Festplatte infiziert sind und aufgegeben werden müssen?
Und was könnte ich in Zukunft besser machen? (außer auf "nicht vertrauenswürdige Pages gehen und solche files ausführen")
Ist die Verwendung von Truecrypt empfehlenswert?
Ich hoffe ihr könnt mir da mal weiterhelfen.
danke
Seite 1 von 1
Vom Backdoor Erwischt..
#1
narth3x 
- Gruppe: aktive Mitglieder
- Beiträge: 105
- Beigetreten: 23. Mai 05
- Reputation: 0
- Wohnort:Hannover
- Interessen:gfx, i-net, gaming, sport uvm.
geschrieben 04. Dezember 2007 - 22:32
Nach oben
#2
BiG-BennY
- Gruppe: aktive Mitglieder
- Beiträge: 602
- Beigetreten: 19. Januar 07
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Berlin
geschrieben 04. Dezember 2007 - 23:20
Zitat (narth3x: 04.12.2007, 22:32)
Nabend zusammen,
heute wurde ich von einem Backdoor virus hops genommen als mein Virenschutz gerade deaktivert war. (selber Schuld)
Kaspersky hat natürlich sofort alles Verdächtige gelöscht und nun ist wieder alles in Butter.
Nun muss ich ja wohl formatieren.
Doch da ich noch einige Dateien auf Laufwerk C:\ habe die ich noch mitnehmen muss, denke ich nun ob die auch sicher sind.
Außerdem habe ich noch eine zweite Festplatte mit allen wichtigen Files.
Wie stehen nun die Chancen, dass meine files auf der ersten und zweiten Festplatte infiziert sind und aufgegeben werden müssen?
Und was könnte ich in Zukunft besser machen? (außer auf "nicht vertrauenswürdige Pages gehen und solche files ausführen")
Ist die Verwendung von Truecrypt empfehlenswert?
Ich hoffe ihr könnt mir da mal weiterhelfen.
danke
heute wurde ich von einem Backdoor virus hops genommen als mein Virenschutz gerade deaktivert war. (selber Schuld)
Kaspersky hat natürlich sofort alles Verdächtige gelöscht und nun ist wieder alles in Butter.
Nun muss ich ja wohl formatieren.
Doch da ich noch einige Dateien auf Laufwerk C:\ habe die ich noch mitnehmen muss, denke ich nun ob die auch sicher sind.
Außerdem habe ich noch eine zweite Festplatte mit allen wichtigen Files.
Wie stehen nun die Chancen, dass meine files auf der ersten und zweiten Festplatte infiziert sind und aufgegeben werden müssen?
Und was könnte ich in Zukunft besser machen? (außer auf "nicht vertrauenswürdige Pages gehen und solche files ausführen")
Ist die Verwendung von Truecrypt empfehlenswert?
Ich hoffe ihr könnt mir da mal weiterhelfen.
danke
Was man besser machen könnte? Virenschutz nicht deaktivieren
Naja Truecrypt bringt eingentlich gar nichts, weil wenn du die Platte gemountet hast ja auch alles und jeder auf sie Zugriff hat (auch der Virus) ! Das ist eigentlich nur zur Verschlüsselung der Daten gedacht, wenn zB dein Laptop geklaut wird oder ähnliches.
mfG BB
Thanks for reading my Post!
#3
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 5.130
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 05. Dezember 2007 - 01:01
1. Es gibt keine vertrauenswürdigen Seiten, höchstens diejenigen, die unter deiner eigenen Kontrolle stehen und möglichst auf sämtliche dynamischen Inhalte verzichten.
2. Egal auf welchen Partitionen die Daten liegen, alle können betroffen sein
3. Auch wenn der AV sagt, alles wäre ok, muss das nicht stimmen, u.a. könnte der Scanner selbst durch die Malware modifiziert worden sein.
4. Sämtliche vorhandenen Executables sollten nicht mehr genutzt und durch 100%ig saubere Versionen ersetzt werden.
5. Wichtige Dokumente sollte man unter Quarantäne untersuchen
6. Verschlüsselung bringt nur dann etwas gegen Malware, wenn sie zum Zeitpunkt der Attacke aktiv ist - allerdings beugt das natürlich nicht dem Löschen des Containers durch Malware vor.
7. Formatieren, lesen, verstehen, umsetzen
2. Egal auf welchen Partitionen die Daten liegen, alle können betroffen sein
3. Auch wenn der AV sagt, alles wäre ok, muss das nicht stimmen, u.a. könnte der Scanner selbst durch die Malware modifiziert worden sein.
4. Sämtliche vorhandenen Executables sollten nicht mehr genutzt und durch 100%ig saubere Versionen ersetzt werden.
5. Wichtige Dokumente sollte man unter Quarantäne untersuchen
6. Verschlüsselung bringt nur dann etwas gegen Malware, wenn sie zum Zeitpunkt der Attacke aktiv ist - allerdings beugt das natürlich nicht dem Löschen des Containers durch Malware vor.
7. Formatieren, lesen, verstehen, umsetzen
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#4
Stefan_der_held
- Gruppe: Offizieller Support
- Beiträge: 14.293
- Beigetreten: 08. April 06
- Reputation: 887
- Geschlecht:Männlich
- Wohnort:Dortmund NRW
- Interessen:Alles wo irgendwie Strom durchfließt fasziniert mich einfach weswegen ich halt Elektroinstallateur geworden bin :)
geschrieben 05. Dezember 2007 - 10:02
Zitat (narth3x: 04.12.2007, 22:32)
Kaspersky hat natürlich sofort alles Verdächtige gelöscht und nun ist wieder alles in Butter.
Nun muss ich ja wohl formatieren.
Doch da ich noch einige Dateien auf Laufwerk C:\ habe die ich noch mitnehmen muss, denke ich nun ob die auch sicher sind.
Nun muss ich ja wohl formatieren.
Doch da ich noch einige Dateien auf Laufwerk C:\ habe die ich noch mitnehmen muss, denke ich nun ob die auch sicher sind.
"sicher" sind alle Dateien, die keinen Aktiven Inhalt haben.
Hier fallen von Vornherein heraus:
.EXE
.COM
.BAT (wenn auch nicht unbedingt die .BAT selbst)
HTML-Dokumente
Flash-Objekte
ActiveX-Objekte
.SYS
.DLL
.INI
"unter Vorbehalt" (sprich vor neuen öffnen zwingend Scannen lassen)
Dokumente von Office-Suiten
Archive (ZIP, RAR etc)
Diverse Media-Files
"sichere" (unter Vorbehalt lieber auch scannen)
.TXT *hust*
.JEPG
.BMP
Vorallem bitte nicht vergessen, windows mitzuteilen dass du alle Dateiendungen sehen willst. Mache Malware versteckt sich gerne in Dateien wie
Einedatei.BMP.EXE
d.h. ohne die Option alle Dateiendungen sehen zu können, wird dies als ".BMP-Bild" angezeigt und nicht (was ja richtig währe) als ".EXE"
Zitat
Wie stehen nun die Chancen, dass meine files auf der ersten und zweiten Festplatte infiziert sind und aufgegeben werden müssen?
siehe oben
Zitat
Und was könnte ich in Zukunft besser machen? (außer auf "nicht vertrauenswürdige Pages gehen und solche files ausführen")
Ist die Verwendung von Truecrypt empfehlenswert?
Ist die Verwendung von Truecrypt empfehlenswert?
Was soll TrueCrypt denn verhindern?
Wenn du einen Container oder eine Partition gemountet hast, fugiert diese wie eine ganz normale HDD. d.h. für von dem aktuellen Benutzer komplett zugriffsbereit.
Du kannst sogar bei software wie TC ein Problem bekommen:
Ist der Container "unglücklich" infiziert, so kommst du idR nicht mehr an dessen Inhalt....
Von daher: Stickys hier im Sicherheitsforum durchforsten und Ratschläge so gut es geht beherzigen
Dieser Beitrag wurde von Stefan_der_held bearbeitet: 05. Dezember 2007 - 10:03
#5 _Hinterwäldler_
geschrieben 05. Dezember 2007 - 15:00
ph030 schrieb narth3x und uns allen:
Grundsätzlich stimme ich zu, jedoch zu diesem Punkt solltest du ein paar umfangreichere Ausführungen machen. Der Satz liest sich für meine Begriffe etwas zu sehr pauschal. Ich bestreite nicht, das die Inhalte von Dokus und Vorlagen gefährdet sind, gelesen und übermittelt werden können. Ich bestreite auch nicht, das man sich selbst Malware in Archive und Images packen kann. Auch nicht, das es Malware gibt, die sich selbst einen Wiederherstellungspunkt setzt und danach von der nachgeladenen Software gelöscht wird.
Hintergrund:
Es gab sogar schon Leuts die ernsthaft behaupteten, das ein Image oder ein Archiv ebenfalls manipuliert werden kann. Welche Malware es tut, wurde mir dann allerdings verschwiegen. Wie aber könnte es möglich sein, meine von mir selbst erstellten und archivierten Dokus auf einer nicht aktiven Partition zu faken. Welcher Packer und welches Imagingprogramm merkt heute nicht mehr, das ein Archiv beschädigt ist? Selbst Acronis hört schon das Gras wachsen.
An alle:
Wenn wir von Symantec heute wiedermal lesen, das das QT-PlugIn im FF beim Besuch bestimmter nicht jugendfreier Pagen gefährdet ist, so dürfte das AFAIK kein neues Wissen sein und ich möchte das auf alle Player erweitern. Wie aber könnte es möglich sein, das meine MM-Dateien von einer Malware auf einer inaktiven Partition manipuliert werden? Woher will die Malware wissen, das die Zieldatei genau so heißt bzw. von ihr diese bestimmte Extension benutzt und das man sie genau so und nicht anders manipulieren muß, damit der Anwender oder die bearbeitende Software davon nichts merkt.
Wurde eine aktive Malware gefunden, so immer auf der aktiven System- bzw. Startpartition. Nur dort kann sie feststellen, ob das System aktiv ist und kann von dort mit anderen Elementen des BS kommunizieren. Dazu muß sie gestartet werden. Eine nicht gestartete Malware, die allein die Systemaktivität aus der Rotation des Datenträgers entnehmen kann, ist mir bisher im Verborgenen geblieben. Zu effektiv arbeitenden RootKits, die keinen Kontakt zum aktiven Windows haben, gibt es bisher nur vage theoretische Überlegungen.
Mit anderen Worten:
Die blose Anwesenheit einer Malware auf der Festplatte ist nicht einem Infekt gleichzusetzen. Wenn der Anwender bzw. dessen Scanner eine Malware (in diesem Fall ein Backdoor) gefunden hat, so ist nicht gesagt, das das System kompromittiert ist. Derartigen Müll kann man in jedem Browsercache zuhauf finden. Es kommt immer darauf an, was der Browser damit macht. Das ist nun wieder von Produkt zu Produkt unterschiedlich und auch wie es der Scanner bewertet.
Ein Scanner der schreibt: "Ich habe eine Malware im Cache des FF gefunden", kenne ich nicht. Vermutlich würde das bei mehr als 50% aller Fachleute zum Muskelkater der Lachmuskeln führen.
Hat narth3x den Fundort genannt? Ja oder Nein? Und was hat Jotti oder Virustotal zur Datei gesagt.
Es gibt physikalische Grenzen und es gibt Märchen und Legenden, nur weil man sich bestimmte Vorgänge nicht immer sofort auf wissenschaftliche Art erklären kann. So war es in grauer Vorzeit mit Blitz und Donner und bis in die jüngste Vergangenheit mit Hexen, Goldmachern und Alchemisten. Wer es bisher versäumt hat Maßnahmen zu treffen, damit seine Windows-Startpartition im Verdachtsfall sofort geplättet und neu installiert werden kann, wird wohl niemals aus diesem elenden Jammertal herauskommen. Oder kann sich jemand von euch erinnern, das ich irgendwann hier mal gefragt habe, wie man eine Malware aus Windows entfernt (Archiv befragen)?
Und zum Schluss noch speziell an narth3x:
99,99% der Malware ist für Windows-Systeme bestimmt. Dies aber auch nur, weil mit diesem BS eine Kompromittierung besonders leicht ist. Eine Malware, die effektiv in Linux, BSD oder OS X arbeiten kann, ist mir unbekannt. Kläre mich auf wenn es anders sein sollte.
Wer sensible Daten im System hat, sollte kein Windows benutzen!
------------------------------
Ich kann die Argumentation einiger User nicht verstehen. Mehr als 2 Mio kostenlosen Vollversionen, welche zum Erstellen eines Partitionsbackup brauchbar waren, sind in deutschen Restmülltonnen verschwunden. Selbst in dieser Minute lässt sich mit ein klein wenig natürlicher Intelligenz ein brauchbares Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Tweaker, Scanner, PFWs und Removertools "En gros" verwendet.
Zitat (ph030: 05.12.2007, 01:01)
2. Egal auf welchen Partitionen die Daten liegen, alle können betroffen sein
Grundsätzlich stimme ich zu, jedoch zu diesem Punkt solltest du ein paar umfangreichere Ausführungen machen. Der Satz liest sich für meine Begriffe etwas zu sehr pauschal. Ich bestreite nicht, das die Inhalte von Dokus und Vorlagen gefährdet sind, gelesen und übermittelt werden können. Ich bestreite auch nicht, das man sich selbst Malware in Archive und Images packen kann. Auch nicht, das es Malware gibt, die sich selbst einen Wiederherstellungspunkt setzt und danach von der nachgeladenen Software gelöscht wird.
Hintergrund:
Es gab sogar schon Leuts die ernsthaft behaupteten, das ein Image oder ein Archiv ebenfalls manipuliert werden kann. Welche Malware es tut, wurde mir dann allerdings verschwiegen. Wie aber könnte es möglich sein, meine von mir selbst erstellten und archivierten Dokus auf einer nicht aktiven Partition zu faken. Welcher Packer und welches Imagingprogramm merkt heute nicht mehr, das ein Archiv beschädigt ist? Selbst Acronis hört schon das Gras wachsen.
An alle:
Wenn wir von Symantec heute wiedermal lesen, das das QT-PlugIn im FF beim Besuch bestimmter nicht jugendfreier Pagen gefährdet ist, so dürfte das AFAIK kein neues Wissen sein und ich möchte das auf alle Player erweitern. Wie aber könnte es möglich sein, das meine MM-Dateien von einer Malware auf einer inaktiven Partition manipuliert werden? Woher will die Malware wissen, das die Zieldatei genau so heißt bzw. von ihr diese bestimmte Extension benutzt und das man sie genau so und nicht anders manipulieren muß, damit der Anwender oder die bearbeitende Software davon nichts merkt.
Wurde eine aktive Malware gefunden, so immer auf der aktiven System- bzw. Startpartition. Nur dort kann sie feststellen, ob das System aktiv ist und kann von dort mit anderen Elementen des BS kommunizieren. Dazu muß sie gestartet werden. Eine nicht gestartete Malware, die allein die Systemaktivität aus der Rotation des Datenträgers entnehmen kann, ist mir bisher im Verborgenen geblieben. Zu effektiv arbeitenden RootKits, die keinen Kontakt zum aktiven Windows haben, gibt es bisher nur vage theoretische Überlegungen.
Mit anderen Worten:
Die blose Anwesenheit einer Malware auf der Festplatte ist nicht einem Infekt gleichzusetzen. Wenn der Anwender bzw. dessen Scanner eine Malware (in diesem Fall ein Backdoor) gefunden hat, so ist nicht gesagt, das das System kompromittiert ist. Derartigen Müll kann man in jedem Browsercache zuhauf finden. Es kommt immer darauf an, was der Browser damit macht. Das ist nun wieder von Produkt zu Produkt unterschiedlich und auch wie es der Scanner bewertet.
Ein Scanner der schreibt: "Ich habe eine Malware im Cache des FF gefunden", kenne ich nicht. Vermutlich würde das bei mehr als 50% aller Fachleute zum Muskelkater der Lachmuskeln führen.
Hat narth3x den Fundort genannt? Ja oder Nein? Und was hat Jotti oder Virustotal zur Datei gesagt.
Es gibt physikalische Grenzen und es gibt Märchen und Legenden, nur weil man sich bestimmte Vorgänge nicht immer sofort auf wissenschaftliche Art erklären kann. So war es in grauer Vorzeit mit Blitz und Donner und bis in die jüngste Vergangenheit mit Hexen, Goldmachern und Alchemisten. Wer es bisher versäumt hat Maßnahmen zu treffen, damit seine Windows-Startpartition im Verdachtsfall sofort geplättet und neu installiert werden kann, wird wohl niemals aus diesem elenden Jammertal herauskommen. Oder kann sich jemand von euch erinnern, das ich irgendwann hier mal gefragt habe, wie man eine Malware aus Windows entfernt (Archiv befragen)?
Und zum Schluss noch speziell an narth3x:
99,99% der Malware ist für Windows-Systeme bestimmt. Dies aber auch nur, weil mit diesem BS eine Kompromittierung besonders leicht ist. Eine Malware, die effektiv in Linux, BSD oder OS X arbeiten kann, ist mir unbekannt. Kläre mich auf wenn es anders sein sollte.
Wer sensible Daten im System hat, sollte kein Windows benutzen!
------------------------------
Ich kann die Argumentation einiger User nicht verstehen. Mehr als 2 Mio kostenlosen Vollversionen, welche zum Erstellen eines Partitionsbackup brauchbar waren, sind in deutschen Restmülltonnen verschwunden. Selbst in dieser Minute lässt sich mit ein klein wenig natürlicher Intelligenz ein brauchbares Backupsystem aus dem Internet herunterladen und zusammenstellen.
Statt dessen werden Tweaker, Scanner, PFWs und Removertools "En gros" verwendet.
#6
narth3x
- Gruppe: aktive Mitglieder
- Beiträge: 105
- Beigetreten: 23. Mai 05
- Reputation: 0
- Wohnort:Hannover
- Interessen:gfx, i-net, gaming, sport uvm.
geschrieben 05. Dezember 2007 - 20:10
Danke für eure Antworten.
Sie haben mir ech weitergeholfen.
Ich habe mein System neu aufgespielt und arbeite mit eingeschränkten Rechten.
Aber noch eine weitere Frage.
Sollte ich meine Onlinepasswörter die ich im Firefox cache hatte ändern?
Sie haben mir ech weitergeholfen.
Ich habe mein System neu aufgespielt und arbeite mit eingeschränkten Rechten.
Aber noch eine weitere Frage.
Sollte ich meine Onlinepasswörter die ich im Firefox cache hatte ändern?
#7
Beavis
geschrieben 05. Dezember 2007 - 20:14
Würde sich empfehlen, solange sie noch nicht geändert worden sind 
Man kann sich ja immer nie ganz sicher sein, was schon alles passiert ist also -> Ja, wäre keine dumme Idee Passwörter zu ändern!
mfG
Beavis
Man kann sich ja immer nie ganz sicher sein, was schon alles passiert ist also -> Ja, wäre keine dumme Idee Passwörter zu ändern!mfG
Beavis
#8
Spiderman
geschrieben 05. Dezember 2007 - 20:21
Zitat (narth3x: 04.12.2007, 22:32)
Wie stehen nun die Chancen, dass meine files auf der ersten und zweiten Festplatte infiziert sind und aufgegeben werden müssen?
Bei der ungenauen Beschreibung kann man das nicht sagen.
Hast du eine ausführbare Datei ausgeführt?, und wenn ja mit welchen Rechten?
Wenn du mit Admin Rechten unterwegs warst, ist vieles möglich, und der Schaden meist groß.
Gruss
Spiderman
#9
narth3x
- Gruppe: aktive Mitglieder
- Beiträge: 105
- Beigetreten: 23. Mai 05
- Reputation: 0
- Wohnort:Hannover
- Interessen:gfx, i-net, gaming, sport uvm.
geschrieben 05. Dezember 2007 - 20:47
Zitat (Spiderman: 05.12.2007, 20:21)
Bei der ungenauen Beschreibung kann man das nicht sagen.
Hast du eine ausführbare Datei ausgeführt?, und wenn ja mit welchen Rechten?
Wenn du mit Admin Rechten unterwegs warst, ist vieles möglich, und der Schaden meist groß.
Gruss
Spiderman
Hast du eine ausführbare Datei ausgeführt?, und wenn ja mit welchen Rechten?
Wenn du mit Admin Rechten unterwegs warst, ist vieles möglich, und der Schaden meist groß.
Gruss
Spiderman
du meinst die Datei mit dem Backdoor?
ja war eine ausführbare Datei die mit Adminrechten ausgeführt worden ist..
OK, klingt jetzt ziemlich schlimm..
Aber! ich habe jede Menge Dateien auf meiner zweiten Platte mit die .SFV files versehen worden sind.
Ich bin alle durchgegangen und die Prüfsummen sind alle korrekt und unangetastet.
Die paar Dateien die ich noch von c:\ gesichert hab, waren auch mit Checknummern ausgestattet und haben die Prüfung ebenfalls problemlos überstanden.
Von daher gehe ich davon aus, dass nichts weiteres passiert ist.
Thema verteilen:
Seite 1 von 1