stefankittel
Goto Top

Kann ein befallener PC überhaupt sicher von Viren gereinigt werden?

Hallo,

kann man einen befallenen PC überhaupt sicher von Viren reinigen?

Viele Viren kann man gar nicht entfernen, so dass eine Neuinstallation oder das zurückspielen eines Images notwendig wird.

Wie sieht es aber mit PCs aus, von denen man einen Virus gerade runtergeschmissen hat?

Hintergrund:
Mich ruft ein Kunde an: "Meine Maus bewegt sich von allein, hat zuerst Outlook gestartet und öffnet nun geziehlt einzelnde Emails und schliesst diese kurz danach wieder. Ist meine Maus defekt?"
Ich habe ihm gesagt er möge doch bitte das Stromkabel aus seinem PC ziehen und sofort den DSL-Router ausschalten.

Wir haben den PC, den Server und die anderen 9 PCs mit 3 Leuten ca. 8 Stunden auf Viren überprüft (von 18-4 Uhr).
Bis auf Cookies... Nichts. (Der Benutzer surft(e) wohl viel auf Pornoseiten) Gar nichts. Außer einer hohen Rechnung.

Der PC hat aktuelle Windows Updates, NOD32 auf jedem PC und dem Server. Der Benutzer hat allerdings lokale Adminrechte, da deren Warenwirtschaft das vorraussettt (Daumen hoch).
Ich habe AVG, HijackThis, Bitdefender, Ad-Aware, Spybot Search & Destroy, Spyware Doktor ausprobiert.
(Ewido gibts nicht mehr, ist nun AVG)
Nichts. Als ob nie was da war.
Ich habe den PC gewippedt und neu installiert.
Ein altes Image konnte ich nicht verwenden, da ich ja nicht weiß seit wann der PC befallen ist.

Aber auch bei anderen Viren die man vermeindlich entfernt hat. Wie sicher kann man sich sein, dass dort nicht noch was schlaueres lauert was einfach ein paar Tage wartet.

Und was ist mit den Viren die so gut sind, dass sie noch nie Jemand bemerkt hat.
Dann kennt diese auch kein Antivirenprogramm.

Besonders bei PCs in Firmennetzwerken kann man es unter diesen Gesichtspunkten eigentlich nicht verantworten, dass diese nach einer Reinigung wieder ans Netzwerk gehen.

Was meint Ihr?
Viren PCs grundsätzlich töten und neu installieren?

Stefan

Content-ID: 102959

Url: https://administrator.de/contentid/102959

Ausgedruckt am: 05.11.2024 um 05:11 Uhr

csw
csw 29.11.2008 um 22:44:18 Uhr
Goto Top
Viren im klassischen Sinn gibt es eigentlich gar nicht mehr. Oft handelt es sich um Backdoor-Programme, Trojaner und Rootkits. Eine vermeintliche Reinigung birgt nie die 100%ige Sicherheit, dass der Rechner nur auch wirklich sauber ist. Es gibt meiner Meinung nach kein Programm, dass alle Malware und Viren erkennt und diese sauber entfernt.
Man ist nur auf der sicheren Seite wenn man sich die Mühe einer Neuinstallation macht.
60730
60730 29.11.2008 um 23:23:24 Uhr
Goto Top
Servus,

zur Antwort deiner Überschrift:

Nein - manchmal aber ja. (je nachdem wie "gut" das Scriptkiddy ist/war)

Aber zu deiner Frage (Problem) ansich:

Mich ruft ein Kunde an:
"Meine Maus bewegt sich von allein, hat zuerst Outlook gestartet und öffnet nun geziehlt einzelnde Emails und schliesst diese kurz danach wieder.
Ist meine Maus defekt?"
Gegenfrage
Ist es eine Drahtlos Maus und nicht die einzige im Zimmer?
Wäre nicht der erste/letzte Fall, wo Kolleg(in) x ohne Ihr/sein Wissen den Rechner von Kollege(in) y oder z steuert.

Gruß
StefanKittel
StefanKittel 30.11.2008 um 00:03:36 Uhr
Goto Top
Zitat von @60730:
Ist es eine Drahtlos Maus und nicht die einzige im Zimmer?
Ja, Nein

Wäre nicht der erste/letzte Fall, wo Kolleg(in) x ohne Ihr/sein
Wissen den Rechner von Kollege(in) y oder z steuert.
Daran dachte ich auch zuerst. Kann aber in diesem Fall (leider) nicht sein.

Stefan
dog
dog 30.11.2008 um 05:04:37 Uhr
Goto Top
Vielleicht hat sich auch nur ein Kollege mit DameWare einen Spaß gemacht.
Das lässt sich übers Netzwerk installieren und wieder deinstallieren und da euere Benutzer ja Adminrechte haben...

Ein Virus würde nie die Maus "bewegen".
A) Weil so ziemlich jeder Virus die APIs verwendet. Die haben es gar nicht notwendig über die GUI an Daten zu kommen.
B) Selbst wenn der Virus über die GUI arbeitet würde die Maus springen, eine Bewegung wäre schließlich extra Aufwand in der Programmierung.

Und zum leidigen Thema Software mit Adminrechten:
Idealerweise solltet ihr das Programm ganz schnell los werden.
Wenn das nicht geht solltest du dir vom Hersteller eine Liste mit Dateien geben, die die Software schreiben muss (oder ggf. mit Filemon selbst erstellen), so dass du gezielt diese Dateien auch für Benutzer freigeben kannst.
Ich würde persönlich eher eine Software wegschmeißen als einem Benutzer Adminrechte zu geben.

Grüße

Max
StefanKittel
StefanKittel 30.11.2008 um 10:48:44 Uhr
Goto Top
Dameware oder ähnliches kann ich auch ausschliessen.
Wegen der Maus gehe ich eher von einem Hacker aus, der sich a'la VNC auf den PC aufgeschaltet hat um mal zu schauen.
zu 80% ein ScriptKiddy.

Die Entscheidung der Software liegt nicht bei mir.

Stefan
cykes
cykes 30.11.2008 um 13:07:08 Uhr
Goto Top
Hallo,

zu dem Problem bei Deinem Kunden, wenn das Phänomen mit dem selbständig agierenden Windows/Outlook nach ziehen des Netzwerkkabels bzw. ausschalten des Routers weiterbesteht, dann würde ich eventuell auch mal sein Outlook einer genaueren Untersuchung unterziehen. Vielleicht hat sich da auch ein Script installiert, dass die Aktionen durchführt. Sollten die Aktionen nur bei bestehender Internetverbindung auftreten, dann könnte - wie hier bereits vermutet - irgendeine Fernwartungssoftware Schuld sein.

Ganz allgemein, bei einem Virenbefall und nach der ersten Analyse, die man am besten gleich entweder im abgesicherten Modus oder per BootCD (besser) durchführt, ist es je nach Anzahl der gefundenen Malware meist sinnvoll gleich eine Neuinstallation (nach Sicherung der wichtigen Daten z.B. auf eine USB Platte) zu beginnen, da man meist mehrere Komplettscans durchführen muss, um alles loszuwerden und der Zeitaufwand erheblich grösser ist.

Gruß

cykes
ljjessie
ljjessie 01.12.2008 um 09:35:02 Uhr
Goto Top
Grundsätzlich, sobald Zweifel bestehen die Kiste einfach neu aufsetzten und richtig absichern gegen Befall und
schon is ruhe.
60730
60730 01.12.2008 um 10:31:48 Uhr
Goto Top
Servus,

läuft denn VNC auf dem Rechner?

ein "echter" Hacker würde übrigens niemals VNC benutzen face-wink

Hast du den Drahtlos Port der Maus denn schon mal abgeklemmt und das Phänomen ist weiterhin da? - Oder wie kannst du das ausschliessen? kennst du wirklich alle Funkmäuse in dem Haus / Nachbarshaus?

Gruß
StefanKittel
StefanKittel 01.12.2008 um 20:39:12 Uhr
Goto Top
Zitat von @60730:
läuft denn VNC auf dem Rechner?
Ich habe zumindest nichts gefunden

Zitat von @60730:
ein "echter" Hacker würde übrigens niemals VNC
benutzen face-wink
Man muß ja nicht immer das Rad neu erfinden.
Und viele Hacker sind nicht soooo schlau

Zitat von @60730:
Hast du den Drahtlos Port der Maus denn schon mal abgeklemmt und das
Phänomen ist weiterhin da? - Oder wie kannst du das
ausschliessen?
Die Mauern dort sind ca. 60cm Dick. Wenn ich mit der Maus in den nächsten Raum gehe
habe ich kein bischen empfang

Zitat von @60730:kennst du wirklich alle Funkmäuse in dem Haus / Nachbarshaus?


Ich kann das ganze nicht reproduzieren, respektive es ist nicht wieder aufgetreten.
Ich, besser der Kunde, kann und will dieses Risiko aber nicht eingehen.
gnarff
gnarff 20.12.2008 um 02:37:52 Uhr
Goto Top
Wenn Du nicht mit 100%-iger Sicherheit die Ursache des vorgefundenen Problems ermitteln kannst, dann muss das betroffene System NEU aufgesetzt werden.

Wenn sich Pprogramme von selbst starten oder schliessen, der Mauszeiger magische Eigendynamik entwickelt, geht man man von einem Trojaner aus.

saludos
gnarff