98204
Goto Top

Was tun wenn der PC ein Zombie ist?

Ein PC ist offensichtlich ein sog. "Zombie" geworden und verschickt ferngesteuert Mails. Wie kann man das Betriebssystem wieder reparieren?

Hallo zusammen,

ein Bekannter hat Post (Briefpost!) von seinem Provider bekommen, daß sein PC offensichtlich ferngesteuert Spam-Mails verschickt. Er hätte 2 Tage Zeit das Problem zu lösen.
Bei genauer Inspektion des PC hat er dann festgestellt, daß jemand(?) den Virenscanner deaktiviert hat.
Weiß jemand von euch Rat, wie man das Betriebssystem wieder in den Normalzustand bringen kann? Virenscanner neu installieren ist klar, aber man ist ja die Malware deswegen noch nicht los.
Betriebssystem: Windows XP SP3

Content-ID: 192367

Url: https://administrator.de/contentid/192367

Ausgedruckt am: 31.10.2024 um 12:10 Uhr

brammer
brammer 08.10.2012 um 06:28:16 Uhr
Goto Top
Hallo,

wie immer bei solchen Infektionen:

Daten sichern
Persönliche Einstellungen Dokumentieren
Rechner platt machen
Neuinstallieren.

Bei allen anderen Methoden wie Reinigung, Desinfektion und ähnliches kannst du dir nie sicher sein das alles in Ordnung ist.

brammer
kaiand1
kaiand1 08.10.2012 um 06:30:57 Uhr
Goto Top
Sowie noch USB STicks, Externe Platten nacher Checken ob sich da nicht noch was versteckt hat.
102534
102534 08.10.2012 um 08:00:14 Uhr
Goto Top
richtig - und erst wieder einen wiederbeschreibbaren Datenträger anschließen wenn nach der Neuinstallation:

- alle Updates aufgespielt sind
- der Virenscanner installiert und aktiviert ist
- der Datenträger komplett gescannt wurde

für den Virenscanner gilt:

nicht einfach ohne Virenscanner googeln sondern direkt auf die Herstellerseite gehen - wenn nötig vor auf echtem Papier die Adresse aufschreiben...
maretz
maretz 08.10.2012 um 08:06:36 Uhr
Goto Top
Hmm - ich würde Claire, Chris und ggf. Alice holen....

Ok, ernsthaft: Wie alle schon schreiben - platt machen die Kiste... Und wenn du dir viel Action ersparen willst dann gleich nen User zum Surfen o.ä. anlegen -> der keine Admin-Rechte benötigt... Damit schaffst du schon viel weg (ok, nur wenn der davor nicht dann trotzdem immer auf "mach mal" klickt...)
98204
98204 08.10.2012 um 08:27:49 Uhr
Goto Top
Ok, aber wie und vor allem womit kann man die externen Datenträger checken? Gibt es da ein Tool? Oder kann der Kumpel alles wegwerfen was jemals an dem Zombie dran gehangen hat?
106543
106543 08.10.2012 um 08:43:26 Uhr
Goto Top
Hi Internetter,

der Virenscanner kann normalerweise externe Datenträger überprüfen face-smile

Grüße
Dominik
goscho
goscho 08.10.2012 um 08:48:52 Uhr
Goto Top
Moin
Zitat von @98204:
Ok, aber wie und vor allem womit kann man die externen Datenträger checken? Gibt es da ein Tool?
Boote den PC von einer Linux-Boot-CD mit AV-Software (gerne von mir genommen wird die Desinfec't von der c't).
Hänge die externen Datenträger an und lass diese auf Viren prüfen und (falls nötig) säubern.
Oder kann der Kumpel alles wegwerfen was jemals an dem Zombie dran gehangen hat?
Nicht wegwerfen - es könnte jemand unbedarftes finden und sich infizieren.
Besser wäre (im Hochofen) verbrennen. face-big-smile

Und dann alles neukaufen -> Es lebe die Konsumgesellschaft. face-wink
106543
106543 08.10.2012 um 08:57:56 Uhr
Goto Top
Hi,

ach Goscho gib doch gescheite Antworten face-big-smile am Ende macht ers noch so und kauft sich dafür extra nen Hochofen face-smile

Also ich würde wie gesagt einfach nen alten Rechner Virenscanner drauf, die externen Sachen anschließen und vom Virenscanner checken lassen ;)

Grüße Dominik
kontext
kontext 08.10.2012 aktualisiert um 09:03:38 Uhr
Goto Top
HeyHo,

wie eh schon alle geschrieben haben:

Daten sichern
Maschine neu aufsetzen und sauber durchpatchen
AV installieren und aktualisieren

Danach Boot von einer Linux CD oder Kaspersky Rescue Disc und alle externen Datenträger scannen.

[OT]

@goscho - das mit dem Hochofen muss ich mir merken - der is Gut :D

[/OT]

Cheers
@zanko
ackerdiesel
ackerdiesel 08.10.2012 aktualisiert um 11:05:06 Uhr
Goto Top
Hallo,

ich würde mit der Micorosft Defender CD den Rechner überprüfen und reinigen:

http://windows.microsoft.com/de-DE/windows/what-is-windows-defender-off ...

Nach der Reinigung würde ich den Internetverkehr mitschneiden (z.B. Wireshark) um zu sehen, ob das Problem beseitigt wurde.

Gruß
ackerdiesel
brammer
brammer 08.10.2012 um 11:43:32 Uhr
Goto Top
Hallo,

@ackerdiesel
und woran würdest du im Wireshark Dump identifizieren wollen ob dieser oder jener Traffic erlaubt und richtig ist?


Rechner platt machen, neu aufsetzen.

brammer
ackerdiesel
ackerdiesel 08.10.2012 aktualisiert um 13:02:32 Uhr
Goto Top
Zitat von @brammer:
Hallo,

@ackerdiesel
und woran würdest du im Wireshark Dump identifizieren wollen ob dieser oder jener Traffic erlaubt und richtig ist?


Rechner platt machen, neu aufsetzen.

brammer
Ganz einfach, wenn ich nicht im Internet bin, dann darf das Ding nicht "Nach Hause telefonieren".
Also würde ich schauen, was generell an Traffic da ist.
Alchimedes
Alchimedes 08.10.2012 um 14:30:25 Uhr
Goto Top
Hallo ,


es ist davon auszugehen das schon durch die Fragestellung feststeht das Internetter jegliches
tiefergehendes Knowhow diesbezueglich fehlt.

Um den richtigen Uebeltaeter zu erwischen muss eigentlich erst der Prozess ,z.B mit procexp.exe aus den sysinternals e.t.c , identifiziert sein.
Dann kann man durchaus mit Wireshark schauen wohin die Reise geht.

Wenn das ne Privatmoehre ist kann natuerlich auch der Router der Uebeltaeter sein.
Da war doch grad was mit Sicherheitslecks von einigen Telekomroutern.
Also auch unbedingt den Router checken und das Routerpasswort aendern.

Gruss
jadefalke
jadefalke 10.10.2012 um 16:54:48 Uhr
Goto Top
@Alchimedes

du hast Highjackthis vergessen face-smile
mit Procexp, Wireshark und Highjackthis bin ich bis jetzt jedem Virus erfolgreich begegnet.

@threatersteller

Installier die Möhre neu