Virenbefall/Spyware entfernen

    Aus gegebenen Anlass, für diejenigen, die sich jetzt unsicher sind und gerne etwas tun möchten um sich an ihrem Rechner etwas sicherer zu fühlen.
    (Ich bin gerade wiedereinmal etwas bestürzt, womit der ein oder andere durch die Gewässer des Internets zieht...)


    Vorweg einige Dinge: Sämtliche Tools die ich im folgenden aufliste sollten am besten von einem schreibgeschütztem USB-Stick oder dergleichen gestartet werden. Selbst das reicht im Zweifelsfall nicht aus und eigentlich sollte man sogar von einem anderen Medium (BootCD, USB-Stick) booten, damit ein möglicher Virus das Tool zum entfernen der Viren nicht schon beim Start auseinander nimmt.
    Ich gehe aber davon aus, dass das in vielen Fällen erstmal nicht möglich ist, also bleibt dann zumindest noch die Hoffnung, dass man das System vielleicht trotzdem "aus dem Inneren heraus" sauber bekommt.


    1. Microsofts Tool zum Entfernen bösartiger Software
    2. F-Secure Blacklight Rootkit Eliminator
    3. Sysinternal Rootkit Revealer


    Danach einen Virenscanner installieren und durchlaufen lassen. Bitte nur EINEN Virenscanner installieren, mehrere verschiedene auf dem Rechner beißen sich wahrscheinlich, wenn beide fortwährend das System überwachen wollen und sich unter Umständen gegenseitig als Virus "erkennen".
    Um einfach mal einen kostenlosen (für Privatleute) zu nennen: Anti-Vir


    Daneben gibt es noch andere nützliche Programme, die man mal durchlaufen lassen könnte, wie z.B. : Spybot Search&Destroy.



    Wenn dann das System hoffentlich sicher ist, gilt es Präventionen zu treffen.
    Mindestens sollte es ein Virenscanner sein, sowie alle wichtigen Programme (insbesondere den Virenscanner selbst!) auf den aktuellen Stand zu halten.
    Daneben noch wichtig sind sicherlich der Browser und Windows selbst.


    Als Browser möchte ich den IE explizit nicht empfehlen, einfach schon aus dem Grund, weil er der Browser ist, für den die meisten Viren/Exploits usw. geschrieben werden. Firefox/Opera bieten gute Alternativen - wer nicht auf den IE verzichten möchte, sollte ihn wenigstens aktuell halten




    Daneben gibt es sicherlich weitere, teils eminent wichtige, Schritte wenn man seine Sicherheit verbessern möchte. Aber ich denke, das oben beschriebene sorgt zumindest zu einem Teil für eine Grundaustattung an Sicherheit und hilft vielleicht aktuell dem ein oder anderen.
    Explizit sagen möchte ich dennoch, dass ich insbesondere nicht sagen kann&will: mit obigen Schritten seid ihr sicher.
    Ziemlich sicher seid ihr nur mit einem Seitenschneider am Internetkabel...

    Zitat

    Original von Tyrfing
    Aus gegebenen Anlass, für diejenigen, die sich jetzt unsicher sind und gerne etwas tun möchten um sich an ihrem Rechner etwas sicherer zu fühlen.
    (Ich bin gerade wiedereinmal etwas bestürzt, womit der ein oder andere durch die Gewässer des Internets zieht...)


    Erstmal DANKE!
    Was Deine Bestürzung angeht: Ich besuche nicht jede Seite im Internet und habe Unknowns für vertrauenswürdig gehalten. Wie hier mit Attacken umgegangen wird, halte ich für indiskutabel!


    Wer den Schaden hat, braucht für den Spott nicht zu sorgen. Ist mir klar.
    Wie gesagt, ich besuche nur wenige Seiten und dachte, dieses sei eine sichere.
    Offenbar weit gefehlt.
    Mein Irrtum. Aber die Ursache des Problems liegt sicher woanders.


    Mandras
    der immer noch sehr von unknowns enttäuscht ist, aber auch Tyrfing herzlichst für seine Hilfestellung dankt!

    Mal einen Zwischenstand:


    Die Datenbank ist sauber.
    Die Dateien wurden zu 99% gefixt. Die gefixten Dateien sind immer noch sauber :)
    Das Teil ist anscheinend über die FTP Verbindung auf die Seite gelangt.


    Den Rest finde ich auch noch...


    DIe Bitte noch einmal an alle - wenn es auch selbstverständlich ist: Diese Malware erkennen die einschlägigen Sicherheitssoftwares - also bitte niemals ohne - unabhängig von unknowns.de.


    Gruß
    Sankt Peter

    "We are the unknowns. Lower your shields and surrender your ships. We will add your biological and technological distinctiveness to our own. Your culture will adapt to service us. Resistance is futile."


    Meine Spiele: Klick mich

    Was natürlich die Frage offen läßt: Wie sind denn die Dinger über die FTP Verbindung rübergekommen?


    Infiziertes FTP Programm?
    FTP Passwort geknackt? Abgefangen?


    Auf jedenfall solltest du wohl das Passwort ändern. Die Frage ist, ob man FTP überhaupt noch braucht oder auf was sichereres zuwechseln (SFTP?). Wenn das nicht geht, vielleicht lässt sich FTP ja wenigstens über SSH tunneln, d.h. man verschickt zwar FTP Befehle, aber diese werden verschlüsselt zum Server gesendet. Damit sollte zumindest das Passwort nicht mehr abgefangen werden können.


    Ich denk/hoffe du hast das FTP Passwort mittlerweile geändert bzw. den Service ganz ausgeschaltet (wenn anderes verfügbar ist).
    Dass die bereinigten Dateien nicht wieder neu infiziert werden ist doch schonmal sehr gut, dann könnte es ja vielleicht mit einem einfachen entfernen getan sein...



    Im übrigen, was neben einem Antivirus hier auch geholfen hätte: NoScript (Firefox AddOn welches Javascript ausschaltet und nur einzelnd erlaubt)
    Das Ding lädt sich anscheinend über ein JavaSkript nach, die Dinger muss ich erstmal freischalten und für eine komische ".cn" Seite mache ich sowas nicht vor einer Recherche.
    Damit gibt man allerdings schon einen Teil seiner Bequemlichkeit im Netz auf, wie das meist mit der Sicherheit so ist... das muss jeder selbst wissen.

    Sieht auf den ersten Blick so aus, als sei das Problem behoben. Mein NoScript meldet mir nicht mehr, dass irgendwelche dubiosen Seiten nachgeladen werden.


    Kann das wer anderes mal bestätigen oder widerlegen?
    Nachtrag: Anscheinend immer noch was übersehen? Zumindest meckert der Virenscanner von einem Bekannten noch? Wäre das schön, wenn das Ding mal nicht nur "geht nicht" sagt, sondern auch wo und warum nicht...

    Einmal editiert, zuletzt von Tyrfing ()


    Bei mir auch keine Meldungen. Habe auch heute nachmittag extra Spybot geupdated und durchlaufen lassen.


    EDIT: Nochmal zur Verdeutlichung: Ich habe nie eine Meldung über diese Seite erhalten. Liegt vielleicht auch an Adblock. Ansonsten hatte ich eine veraltete Version von Spybot drauf (Stichwort Immunisierung) und außerdem werkelt ein bezahltes AntiVir Pro auf meinem Computer.

    Einmal editiert, zuletzt von stmountain ()

    Zitat

    Original von stmountain
    EDIT: Nochmal zur Verdeutlichung: Ich habe nie eine Meldung über diese Seite erhalten.


    Ich auch nicht, aber ich schiebe es darauf, dass ich NoScript installiert habe und deswegen das Skript das schädliche Skript von der anderen Seite nicht nachladen konnte - also auch nichts was ein Antivirenskript bemängeln könnte.