10
Kann ein befallener PC überhaupt sicher von Viren gereinigt werden?
Hallo,
kann man einen befallenen PC überhaupt sicher von Viren reinigen?
Viele Viren kann man gar nicht entfernen, so dass eine Neuinstallation oder das zurückspielen eines Images notwendig wird.
Wie sieht es aber mit PCs aus, von denen man einen Virus gerade runtergeschmissen hat?
Hintergrund:
Mich ruft ein Kunde an: "Meine Maus bewegt sich von allein, hat zuerst Outlook gestartet und öffnet nun geziehlt einzelnde Emails und schliesst diese kurz danach wieder. Ist meine Maus defekt?"
Ich habe ihm gesagt er möge doch bitte das Stromkabel aus seinem PC ziehen und sofort den DSL-Router ausschalten.
Wir haben den PC, den Server und die anderen 9 PCs mit 3 Leuten ca. 8 Stunden auf Viren überprüft (von 18-4 Uhr).
Bis auf Cookies... Nichts. (Der Benutzer surft(e) wohl viel auf Pornoseiten) Gar nichts. Außer einer hohen Rechnung.
Der PC hat aktuelle Windows Updates, NOD32 auf jedem PC und dem Server. Der Benutzer hat allerdings lokale Adminrechte, da deren Warenwirtschaft das vorraussettt (Daumen hoch).
Ich habe AVG, HijackThis, Bitdefender, Ad-Aware, Spybot Search & Destroy, Spyware Doktor ausprobiert.
(Ewido gibts nicht mehr, ist nun AVG)
Nichts. Als ob nie was da war.
Ich habe den PC gewippedt und neu installiert.
Ein altes Image konnte ich nicht verwenden, da ich ja nicht weiß seit wann der PC befallen ist.
Aber auch bei anderen Viren die man vermeindlich entfernt hat. Wie sicher kann man sich sein, dass dort nicht noch was schlaueres lauert was einfach ein paar Tage wartet.
Und was ist mit den Viren die so gut sind, dass sie noch nie Jemand bemerkt hat.
Dann kennt diese auch kein Antivirenprogramm.
Besonders bei PCs in Firmennetzwerken kann man es unter diesen Gesichtspunkten eigentlich nicht verantworten, dass diese nach einer Reinigung wieder ans Netzwerk gehen.
Was meint Ihr?
Viren PCs grundsätzlich töten und neu installieren?
Stefan
kann man einen befallenen PC überhaupt sicher von Viren reinigen?
Viele Viren kann man gar nicht entfernen, so dass eine Neuinstallation oder das zurückspielen eines Images notwendig wird.
Wie sieht es aber mit PCs aus, von denen man einen Virus gerade runtergeschmissen hat?
Hintergrund:
Mich ruft ein Kunde an: "Meine Maus bewegt sich von allein, hat zuerst Outlook gestartet und öffnet nun geziehlt einzelnde Emails und schliesst diese kurz danach wieder. Ist meine Maus defekt?"
Ich habe ihm gesagt er möge doch bitte das Stromkabel aus seinem PC ziehen und sofort den DSL-Router ausschalten.
Wir haben den PC, den Server und die anderen 9 PCs mit 3 Leuten ca. 8 Stunden auf Viren überprüft (von 18-4 Uhr).
Bis auf Cookies... Nichts. (Der Benutzer surft(e) wohl viel auf Pornoseiten) Gar nichts. Außer einer hohen Rechnung.
Der PC hat aktuelle Windows Updates, NOD32 auf jedem PC und dem Server. Der Benutzer hat allerdings lokale Adminrechte, da deren Warenwirtschaft das vorraussettt (Daumen hoch).
Ich habe AVG, HijackThis, Bitdefender, Ad-Aware, Spybot Search & Destroy, Spyware Doktor ausprobiert.
(Ewido gibts nicht mehr, ist nun AVG)
Nichts. Als ob nie was da war.
Ich habe den PC gewippedt und neu installiert.
Ein altes Image konnte ich nicht verwenden, da ich ja nicht weiß seit wann der PC befallen ist.
Aber auch bei anderen Viren die man vermeindlich entfernt hat. Wie sicher kann man sich sein, dass dort nicht noch was schlaueres lauert was einfach ein paar Tage wartet.
Und was ist mit den Viren die so gut sind, dass sie noch nie Jemand bemerkt hat.
Dann kennt diese auch kein Antivirenprogramm.
Besonders bei PCs in Firmennetzwerken kann man es unter diesen Gesichtspunkten eigentlich nicht verantworten, dass diese nach einer Reinigung wieder ans Netzwerk gehen.
Was meint Ihr?
Viren PCs grundsätzlich töten und neu installieren?
Stefan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 102959
Url: https://administrator.de/contentid/102959
Ausgedruckt am: 23.11.2024 um 06:11 Uhr
10 Kommentare
Neuester Kommentar
Viren im klassischen Sinn gibt es eigentlich gar nicht mehr. Oft handelt es sich um Backdoor-Programme, Trojaner und Rootkits. Eine vermeintliche Reinigung birgt nie die 100%ige Sicherheit, dass der Rechner nur auch wirklich sauber ist. Es gibt meiner Meinung nach kein Programm, dass alle Malware und Viren erkennt und diese sauber entfernt.
Man ist nur auf der sicheren Seite wenn man sich die Mühe einer Neuinstallation macht.
Man ist nur auf der sicheren Seite wenn man sich die Mühe einer Neuinstallation macht.
Servus,
zur Antwort deiner Überschrift:
Nein - manchmal aber ja. (je nachdem wie "gut" das Scriptkiddy ist/war)
Aber zu deiner Frage (Problem) ansich:
Ist es eine Drahtlos Maus und nicht die einzige im Zimmer?
Wäre nicht der erste/letzte Fall, wo Kolleg(in) x ohne Ihr/sein Wissen den Rechner von Kollege(in) y oder z steuert.
Gruß
zur Antwort deiner Überschrift:
Nein - manchmal aber ja. (je nachdem wie "gut" das Scriptkiddy ist/war)
Aber zu deiner Frage (Problem) ansich:
Mich ruft ein Kunde an:
"Meine Maus bewegt sich von allein, hat zuerst Outlook gestartet und öffnet nun geziehlt einzelnde Emails und schliesst diese kurz danach wieder.
Ist meine Maus defekt?"
Gegenfrage"Meine Maus bewegt sich von allein, hat zuerst Outlook gestartet und öffnet nun geziehlt einzelnde Emails und schliesst diese kurz danach wieder.
Ist meine Maus defekt?"
Ist es eine Drahtlos Maus und nicht die einzige im Zimmer?
Wäre nicht der erste/letzte Fall, wo Kolleg(in) x ohne Ihr/sein Wissen den Rechner von Kollege(in) y oder z steuert.
Gruß
Zitat von @60730:
Ist es eine Drahtlos Maus und nicht die einzige im Zimmer?
Ja, NeinIst es eine Drahtlos Maus und nicht die einzige im Zimmer?
Wäre nicht der erste/letzte Fall, wo Kolleg(in) x ohne Ihr/sein
Wissen den Rechner von Kollege(in) y oder z steuert.
Daran dachte ich auch zuerst. Kann aber in diesem Fall (leider) nicht sein.Wissen den Rechner von Kollege(in) y oder z steuert.
Stefan
Vielleicht hat sich auch nur ein Kollege mit DameWare einen Spaß gemacht.
Das lässt sich übers Netzwerk installieren und wieder deinstallieren und da euere Benutzer ja Adminrechte haben...
Ein Virus würde nie die Maus "bewegen".
A) Weil so ziemlich jeder Virus die APIs verwendet. Die haben es gar nicht notwendig über die GUI an Daten zu kommen.
B) Selbst wenn der Virus über die GUI arbeitet würde die Maus springen, eine Bewegung wäre schließlich extra Aufwand in der Programmierung.
Und zum leidigen Thema Software mit Adminrechten:
Idealerweise solltet ihr das Programm ganz schnell los werden.
Wenn das nicht geht solltest du dir vom Hersteller eine Liste mit Dateien geben, die die Software schreiben muss (oder ggf. mit Filemon selbst erstellen), so dass du gezielt diese Dateien auch für Benutzer freigeben kannst.
Ich würde persönlich eher eine Software wegschmeißen als einem Benutzer Adminrechte zu geben.
Grüße
Max
Das lässt sich übers Netzwerk installieren und wieder deinstallieren und da euere Benutzer ja Adminrechte haben...
Ein Virus würde nie die Maus "bewegen".
A) Weil so ziemlich jeder Virus die APIs verwendet. Die haben es gar nicht notwendig über die GUI an Daten zu kommen.
B) Selbst wenn der Virus über die GUI arbeitet würde die Maus springen, eine Bewegung wäre schließlich extra Aufwand in der Programmierung.
Und zum leidigen Thema Software mit Adminrechten:
Idealerweise solltet ihr das Programm ganz schnell los werden.
Wenn das nicht geht solltest du dir vom Hersteller eine Liste mit Dateien geben, die die Software schreiben muss (oder ggf. mit Filemon selbst erstellen), so dass du gezielt diese Dateien auch für Benutzer freigeben kannst.
Ich würde persönlich eher eine Software wegschmeißen als einem Benutzer Adminrechte zu geben.
Grüße
Max
Dameware oder ähnliches kann ich auch ausschliessen.
Wegen der Maus gehe ich eher von einem Hacker aus, der sich a'la VNC auf den PC aufgeschaltet hat um mal zu schauen.
zu 80% ein ScriptKiddy.
Die Entscheidung der Software liegt nicht bei mir.
Stefan
Wegen der Maus gehe ich eher von einem Hacker aus, der sich a'la VNC auf den PC aufgeschaltet hat um mal zu schauen.
zu 80% ein ScriptKiddy.
Die Entscheidung der Software liegt nicht bei mir.
Stefan
Hallo,
zu dem Problem bei Deinem Kunden, wenn das Phänomen mit dem selbständig agierenden Windows/Outlook nach ziehen des Netzwerkkabels bzw. ausschalten des Routers weiterbesteht, dann würde ich eventuell auch mal sein Outlook einer genaueren Untersuchung unterziehen. Vielleicht hat sich da auch ein Script installiert, dass die Aktionen durchführt. Sollten die Aktionen nur bei bestehender Internetverbindung auftreten, dann könnte - wie hier bereits vermutet - irgendeine Fernwartungssoftware Schuld sein.
Ganz allgemein, bei einem Virenbefall und nach der ersten Analyse, die man am besten gleich entweder im abgesicherten Modus oder per BootCD (besser) durchführt, ist es je nach Anzahl der gefundenen Malware meist sinnvoll gleich eine Neuinstallation (nach Sicherung der wichtigen Daten z.B. auf eine USB Platte) zu beginnen, da man meist mehrere Komplettscans durchführen muss, um alles loszuwerden und der Zeitaufwand erheblich grösser ist.
Gruß
cykes
zu dem Problem bei Deinem Kunden, wenn das Phänomen mit dem selbständig agierenden Windows/Outlook nach ziehen des Netzwerkkabels bzw. ausschalten des Routers weiterbesteht, dann würde ich eventuell auch mal sein Outlook einer genaueren Untersuchung unterziehen. Vielleicht hat sich da auch ein Script installiert, dass die Aktionen durchführt. Sollten die Aktionen nur bei bestehender Internetverbindung auftreten, dann könnte - wie hier bereits vermutet - irgendeine Fernwartungssoftware Schuld sein.
Ganz allgemein, bei einem Virenbefall und nach der ersten Analyse, die man am besten gleich entweder im abgesicherten Modus oder per BootCD (besser) durchführt, ist es je nach Anzahl der gefundenen Malware meist sinnvoll gleich eine Neuinstallation (nach Sicherung der wichtigen Daten z.B. auf eine USB Platte) zu beginnen, da man meist mehrere Komplettscans durchführen muss, um alles loszuwerden und der Zeitaufwand erheblich grösser ist.
Gruß
cykes
Grundsätzlich, sobald Zweifel bestehen die Kiste einfach neu aufsetzten und richtig absichern gegen Befall und
schon is ruhe.
schon is ruhe.
Servus,
läuft denn VNC auf dem Rechner?
ein "echter" Hacker würde übrigens niemals VNC benutzen
Hast du den Drahtlos Port der Maus denn schon mal abgeklemmt und das Phänomen ist weiterhin da? - Oder wie kannst du das ausschliessen? kennst du wirklich alle Funkmäuse in dem Haus / Nachbarshaus?
Gruß
läuft denn VNC auf dem Rechner?
ein "echter" Hacker würde übrigens niemals VNC benutzen
Hast du den Drahtlos Port der Maus denn schon mal abgeklemmt und das Phänomen ist weiterhin da? - Oder wie kannst du das ausschliessen? kennst du wirklich alle Funkmäuse in dem Haus / Nachbarshaus?
Gruß
Zitat von @60730:
läuft denn VNC auf dem Rechner?
Ich habe zumindest nichts gefundenläuft denn VNC auf dem Rechner?
Zitat von @60730:
ein "echter" Hacker würde übrigens niemals VNC
benutzen
Man muß ja nicht immer das Rad neu erfinden.ein "echter" Hacker würde übrigens niemals VNC
benutzen
Und viele Hacker sind nicht soooo schlau
Zitat von @60730:
Hast du den Drahtlos Port der Maus denn schon mal abgeklemmt und das
Phänomen ist weiterhin da? - Oder wie kannst du das
ausschliessen?
Die Mauern dort sind ca. 60cm Dick. Wenn ich mit der Maus in den nächsten Raum geheHast du den Drahtlos Port der Maus denn schon mal abgeklemmt und das
Phänomen ist weiterhin da? - Oder wie kannst du das
ausschliessen?
habe ich kein bischen empfang
Zitat von @60730:kennst du wirklich alle Funkmäuse in dem Haus / Nachbarshaus?
NöIch kann das ganze nicht reproduzieren, respektive es ist nicht wieder aufgetreten.
Ich, besser der Kunde, kann und will dieses Risiko aber nicht eingehen.
Wenn Du nicht mit 100%-iger Sicherheit die Ursache des vorgefundenen Problems ermitteln kannst, dann muss das betroffene System NEU aufgesetzt werden.
Wenn sich Pprogramme von selbst starten oder schliessen, der Mauszeiger magische Eigendynamik entwickelt, geht man man von einem Trojaner aus.
saludos
gnarff
Wenn sich Pprogramme von selbst starten oder schliessen, der Mauszeiger magische Eigendynamik entwickelt, geht man man von einem Trojaner aus.
saludos
gnarff
