Versteckte Objekte [Virus/Malware/Wurm]
#1
geschrieben 23. Oktober 2011 - 14:52
Ich habe leider ein Problem mit meinem Hauptrechner (sitze grad am Laptop). Ich habe einmal einen Viren Scan mit Free Avira machen lassen und dabei mehrere versteckte Objekte gefunden, als auch durch einen Anti-Malware-Bytes Scan auch ircBots und sowas gefunden (ja ich hatte mich infiziert mit einem Virus/Wurm).
Jedenfalls scheint es, nachdem ich durch Live-CDs von Kaspersky und Avira (hier bin ich grad noch beim Scannen) erfolgreich mehrere verdächtige Objekte gelöscht habe, tauchen immer wieder versteckte Objekte auf. Und irgendwie scheint es so zu sein, dass die versteckten Objekte von Scan zu Scan immer mehr werden. Avira meint, dass sie durch den Scan (nicht von der Live-CD, sondern im Betriebssystem selber) nicht identifizieren können, ob da was Verdächtiges ist oder nicht.
Bei dem Report, den ich mir mal durchgelesen habe, wurde auch gesagt, dass die Veränderung der Dateien, die nicht einzulesen waren oder zu identifizieren waren, auf einen versteckten Zugriff hindeuten könnten. Jetzt weiß ich nicht ob es was Schlimmes ist oder einfach nur Panik-Mache auf meiner Seite?
Was ich noch sagen wollte ist, dass Avira in der Registry auch viele "versteckte Objekte" gefunden hat oder auch Einträge. Als ich den Report durchguckte schien das alles in Ordnung zu sein, da kam vieles, was ich nicht einschätzen konnte, aber da gab es auch Einträge vom ATI's CCC oder ctfmon oder sowas.
Wie gesagt ich bin jetzt grade noch dran mit der Avira Rescue CD per CD-Boot zu scannen, da Avira das beim Scannen im Windows sagte, dass dann die versteckten Objekte identifiziert werden können bzw. ob sie gefährlich sind oder nicht.
Wegen dem versteckte Objekte Count, vorher hatte ich nur 3, dann hatte ich mal ein paar Sachen gelöscht, hatte auch probiert ein paar dll Dateien zu löschen, was aber komischerweise nicht ging weil ich keine Rechte hatte, obwohl ich die hatte (hatte in den Eigenschaften der dll's nachgesehen und gesehen dass ich alles machen darf). Jedenfalls danach kamen dann 52 versteckte Objekte hervor.
Könnt ihr mir bitte helfen bzw. mich beruhigen?
Ich benutze Windows7 64Bit.
Anzeige
#2 _d4rkn3ss4ev3r_
geschrieben 23. Oktober 2011 - 15:06
Entweder man setzt sein Malware freies Image zurück oder man formatiert komplett.
Alles andere ist nicht sicher und ist unnütze Zeitverschwendung. Siehe deine Scans. Du löscht Dateien und es kommen neue.
Also formatier dein Rechner komplett mit Partitionen löschen, hau Windows mit allen Updates neu rauf und erstelle ein sicheres Sicherheitskonzept, denn deins hat versagt.
#3
geschrieben 23. Oktober 2011 - 15:48
Kann man denn nicht etwas machen? Ich hatte ja eigentlich da wo ich erst 3 versteckte Objekte hatte nichts verändert, ich hatte nur meine System Volume Information gelöscht, da ich dachte, dass wenn dann nistet sich die Malware dort ein und wenn was passiert, dann infiziert er von dort aus von Neuem. Und dann kamen erst Meldungen von 52 infizierten Objekten.
Also wenn ich bedenkenlos die Image-Datei benutzen kann oder ich irgendwie testen kann ob die Image-Datei beschädigt/verändert ist, dann mach ich einfach das Abbild drüber und gut ist. Aber man kann sich wohl nicht sicher sein, dass auf den anderen Partitionen (hab 2 Festplatten und 3 Partitionen) nichts von der Malware drauf ist oder funktioniert einfach Malware nur so, dass es die C Partition, wo Windows drauf ist, anfällt?
Edit: Nach dem ich jetzt den Avira Rescue CD Scan gemacht habe und die Meldungen durchgegangen bin, hat er mir nichts von verdächtigen Dateien gemeldet und auch nur harmlose Warnungen gemeldet (multiple Archive oder sowas, was einfach nur durch mehrfache Archivierung entstanden ist). Jedenfalls bin ich mir sicher bei den Warnungen, dass das nichts Schlimmes ist.
Deswegen die Frage, vll spinnt Avira im Scan während ich im Windows bin etwas und da ist eigentlich nichts?
Dieser Beitrag wurde von genkidama bearbeitet: 23. Oktober 2011 - 15:52
#4
geschrieben 23. Oktober 2011 - 15:49
#5
geschrieben 23. Oktober 2011 - 16:10
Also ich bin mir ganz sicher dass ich ein Malware oder sowas mir eingefangen hatte, da über Facebook zur Zeit son Link geschickt wird (irgendein Foto wo dann die Endung JPG.scr ist) und dann wurde da drauf geklickt von meiner Freundin und später stellte sich heraus ich hatte einen Trojaner ATRAPS.Gen2 und den hab ich auch gelöscht. Backdoor IRCBots wurden entdeckt, ebenfalls gelöscht. Ich habe mehrmls nen Avira Scan gemacht, dann Malwarebytes Anti-Malware und auch im abgesichterten Modus, als auch per Live-CD nach Dateien gesucht und versucht zu löschen und sowas.
Deswegen fragte ich mich was das jetzt mit diesen versteckten Dateien soll, ob ich mir da Sorgen machen sollte oder nicht. Denn jedes Mal wenn ich jetzt nach versteckten Objekten in den Partitionen und in der Registry suche, findet er in der Registry halt immer irgendwelche Einträge und sagt dass diese Speicherveränderungen benutzt werden können um Zugriff zu nehmen auf meinen Rechner. Und wenn ich dieses Malwarebytes Anti-Malware durchlaufen lasse, dann findet er jetzt gar nichts mehr, keine Backdoor oder sonst was.
#6 _d4rkn3ss4ev3r_
geschrieben 23. Oktober 2011 - 16:11
Ist natürlich die Frage ob das Image jetzt sicher ist. Wenn du dir nicht sicher bist, formatiere lieber.
Und am besten dann danach das Windows Image extern gesichert.
#7 _Volume Z_
geschrieben 23. Oktober 2011 - 16:35
Im Avira-Vokabular ist "Versteckte Datei" gleichzusetzen mit Rootkit. Die Rootkit-Suche muß in der Konfiguration gesondert aktiviert werden und geht der Virensuche voraus. Funde in dieser Kategorie, auch noch in variierender Anzahl, würde ich als hochgradig alarmierend betrachten.
Gruß, VZ
#8
geschrieben 23. Oktober 2011 - 16:51
Zitat (Volume Z: 23. Oktober 2011 - 16:35)
Im Avira-Vokabular ist "Versteckte Datei" gleichzusetzen mit Rootkit. Die Rootkit-Suche muß in der Konfiguration gesondert aktiviert werden und geht der Virensuche voraus. Funde in dieser Kategorie, auch noch in variierender Anzahl, würde ich als hochgradig alarmierend betrachten.
Gruß, VZ
Naja die ganze Wörter sagen mir jetzt soviel nicht aber ich erinnere mich noch an früher, wo eine dicke Warnung kam, wegen irgendwelcher Dateien, die Antivir nicht lesen konnte und dann waren das nur irgendwelche Archive harmloser Dateien, die ich selber gepackt hatte.
#10
geschrieben 23. Oktober 2011 - 18:27
#11 _d4rkn3ss4ev3r_
geschrieben 23. Oktober 2011 - 19:29
#12 _Volume Z_
geschrieben 23. Oktober 2011 - 19:29
leider ja. Nach meinem Verständnis könntest Du es zuerst mit der Zurückspielung deines Images versuchen, da die Malware zwar auf die Partition übergreifen kann, aber zur Infektion des Images das Kunststück fertigbringen müßte, sich in die Image-Datei einzunisten. Sicherheitshalber nach der Zurückspielung natürlich sofort scannen.
Gruß, VZ
Dieser Beitrag wurde von Volume Z bearbeitet: 23. Oktober 2011 - 19:32
#13
geschrieben 23. Oktober 2011 - 19:41
#14
geschrieben 23. Oktober 2011 - 19:56
Ich wollte nur versuchen zu retten was geht, vor allem weil ich alles wieder neu holen muss, auch was Unterlagen angeht und sowas (hab zwar ne Sicherungskopie, aber trotzdem).
Es ist schade, dass man nicht überprüfen kann ob sich etwas in die anderen Partitionen eingenistet hat oder nicht =/
Frage: Mir ist grad durch den Kopf gegangen, was passieren würde, wenn ich per Acronis Boot-CD mein Abbild draufspielen lasse und nicht ins Windows wechsle, sondern dann noch die anderen Partitionen formatiere. Das müsste doch auch reichen oder? Weil die Registry wird ja durch das draufspielen des Abbildes eh gelöscht bzw. ich kann auch die Windows Partition formatieren und dann per Acronis Boot-CD mein Abbild draufspielen. Würde das so funktionieren, dass ich dann die Neuinstallation nicht machen muss, aber dennoch alle Partitionen formatiert habe, nur dass ich eine Partition erst nach dem Draufspielen formatiere?
Ich hoffe ich habs verständlich aufgeschrieben.
#15 _Volume Z_
geschrieben 23. Oktober 2011 - 20:09
Zitat (genkidama: 23. Oktober 2011 - 19:56)
Hallo genkidama,
wenn das Image überhaupt zurückgespielt werden soll, ist dies wohl die einzig mögliche Vorgehensweise. Das anschließende Formatieren der verbleibenden Partitionen hatte ich (wir) als selbstverständlich vorausgesetzt . Solltest Du der Festplatte generell nicht mehr über den Weg trauen, dann mache Alles neu.
Gruß, VZ