20
Anleitung zum Entfernen des SIREFEF!CFG-Trojaners - Virus - (Windows-Firewall u. Defender verschwunden bzw nicht startbar)
hier: Windows 7
Anleitung zum Entfernen des SIREFEF!CFG-Trojaners
(Kurz-Anleitung ohne Gewähr, für versierte Nutzer):
Symptome (Auszug):
- Windows Defender nicht verfügbar/installierbar
- Windows Firewall nicht verfügbar
- Windows Basisfilter nicht verfügbar
- dito: alle 3 Dienste verschwunden
Benötigt: 1 PC mit „gleichem“ Betriebssystem
Von diesem, noch funktionierenden Referenzsystem werden folgende Daten/Dateien benötigt:
Folgende REG-KEYS sind desweiteren zu exportieren:
GENERELLE VORGEHENSWEISE:
1. Full-Backup des infizierten Systems erstellen (zB ein Offline-Image auf USB-HDD erstellen)
2. den Ordner C:\Program Files\Windows Defender löschen und durch die Kopie ersetzen
3. die oben genannten Dateien ersetzen/einfügen
4. die 5 .REG-Dateien ausführen
5. zu dem BFE-Schlüssel die Berechtigung „Vollzugriff“ für NT Service\BFE hinzufügen
6. zu dem MPSSVC-Schlüssel die Berechtigung „Vollzugriff“ für Local Service & Network hinzufügen
7. zu dem SharedAccess-Schlüssel die Berechtigung „Vollzugriff“ für NT SERVICE\mpssvc hinzufügen
8. ggflls Microsoft Fix it 2530126 ausführen (nur obligatorisch, ging bei mir ohne)
9. Dienste starten und Defender ausführen
-> Rechner booten
Sollten noch weitere Dienste verschwunden oder nicht startbar sein muss analog verfahren werden:
entsprechenden .REG-Teil am sauberen Rechner exportieren, ggflls. die darin aufgeführten Dateien kopieren, diese am Zielrechner ersetzen bzw importieren und Berechtigungen auf die Reg-Keys setzen (im Zweifel einfach die aufgeführten alle hinzufügen und via NT SERVICE\“RegKey-Name“ oder „Service-Name“ versuchen ob das angenommen wird, NUR im Zweifelsfalle den Benutzer JEDER verwenden (unsicher!)
Nochmal zum Mitschreiben: das Wichtigste steht unter Punkt 1.
Viel Erfolg
RS
Anleitung zum Entfernen des SIREFEF!CFG-Trojaners
(Kurz-Anleitung ohne Gewähr, für versierte Nutzer):
Symptome (Auszug):
- Windows Defender nicht verfügbar/installierbar
- Windows Firewall nicht verfügbar
- Windows Basisfilter nicht verfügbar
- dito: alle 3 Dienste verschwunden
Benötigt: 1 PC mit „gleichem“ Betriebssystem
Von diesem, noch funktionierenden Referenzsystem werden folgende Daten/Dateien benötigt:
C:\Program Files\Windows Defender (der ganze Ordner)
C:\Windows\System32\BFE.DLL
C:\Windows\System32\MPSSVC.DLL
C:\Windows\System32\drivers\MPSDRV.SYS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPSDRV
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MPSSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WSCSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SHAREACCESS
1. Full-Backup des infizierten Systems erstellen (zB ein Offline-Image auf USB-HDD erstellen)
2. den Ordner C:\Program Files\Windows Defender löschen und durch die Kopie ersetzen
3. die oben genannten Dateien ersetzen/einfügen
4. die 5 .REG-Dateien ausführen
5. zu dem BFE-Schlüssel die Berechtigung „Vollzugriff“ für NT Service\BFE hinzufügen
6. zu dem MPSSVC-Schlüssel die Berechtigung „Vollzugriff“ für Local Service & Network hinzufügen
7. zu dem SharedAccess-Schlüssel die Berechtigung „Vollzugriff“ für NT SERVICE\mpssvc hinzufügen
8. ggflls Microsoft Fix it 2530126 ausführen (nur obligatorisch, ging bei mir ohne)
9. Dienste starten und Defender ausführen
-> Rechner booten
Sollten noch weitere Dienste verschwunden oder nicht startbar sein muss analog verfahren werden:
entsprechenden .REG-Teil am sauberen Rechner exportieren, ggflls. die darin aufgeführten Dateien kopieren, diese am Zielrechner ersetzen bzw importieren und Berechtigungen auf die Reg-Keys setzen (im Zweifel einfach die aufgeführten alle hinzufügen und via NT SERVICE\“RegKey-Name“ oder „Service-Name“ versuchen ob das angenommen wird, NUR im Zweifelsfalle den Benutzer JEDER verwenden (unsicher!)
Nochmal zum Mitschreiben: das Wichtigste steht unter Punkt 1.
Viel Erfolg
RS
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 221520
Url: https://administrator.de/contentid/221520
Ausgedruckt am: 21.11.2024 um 16:11 Uhr
20 Kommentare
Neuester Kommentar
Moin,
Wenn sich etwas so ins System festfrißt, ist die bessere Methode neu zu installieren.
Ich weiß, es gibt Fälle in denen das keien Option ist, aber dann muß vorher eien Risikoabwägung erfolgen.
Zumindest sollte in so einer Anleitung imemr drinstehen, was die sinnvollere Option wäre.
lks
Wenn sich etwas so ins System festfrißt, ist die bessere Methode neu zu installieren.
Ich weiß, es gibt Fälle in denen das keien Option ist, aber dann muß vorher eien Risikoabwägung erfolgen.
Zumindest sollte in so einer Anleitung imemr drinstehen, was die sinnvollere Option wäre.
lks
6
Neu-Installation ist für Angsthasen 
10
Das gleiche gilt für Backup - komischerweise sollte man vom infizierten PC ein Backup machen ...
... aber auf die Idee ein brauchbares Backupkonzept zu erstellen und zu nutzen kommt niemad
Aber nichts desto trotz, auch hier wieder (wie immer) meine übliche Antwort bzgl. Viren auf einem PC ...
Ein Kontaminiertes System wird immer eines bleiben.
Solltest du es schaffen, dass das System wieder halbwegs funktioniert - ist das nächste Theater schon vorprogrammiert...
... Glaub mir - es haben schon viele geglaubt - juhu mein System war / ist sauber ...
... Ergebnis: spät. nach 2 Monaten wurde die Maschine neu-installiert
PS: wie schon oben erwähnt - Backup wird überbewertet ...
... mit einem Backup hättest du dir die ganze Sache erspart und nach 30 Minuten wieder ein funktionierendes System
PPS: die Aussage bzgl. Neu-Installation ist für Angsthasen hat dich IMHO leider ins Abseits gestellt ...
Just my 2 Cents
@kontext
... aber auf die Idee ein brauchbares Backupkonzept zu erstellen und zu nutzen kommt niemad
Aber nichts desto trotz, auch hier wieder (wie immer) meine übliche Antwort bzgl. Viren auf einem PC ...
Ein Kontaminiertes System wird immer eines bleiben.
Solltest du es schaffen, dass das System wieder halbwegs funktioniert - ist das nächste Theater schon vorprogrammiert...
... Glaub mir - es haben schon viele geglaubt - juhu mein System war / ist sauber ...
... Ergebnis: spät. nach 2 Monaten wurde die Maschine neu-installiert
PS: wie schon oben erwähnt - Backup wird überbewertet ...
... mit einem Backup hättest du dir die ganze Sache erspart und nach 30 Minuten wieder ein funktionierendes System
PPS: die Aussage bzgl. Neu-Installation ist für Angsthasen hat dich IMHO leider ins Abseits gestellt ...
Just my 2 Cents
@kontext
4
Hallo,
das Vorgehen in allen Ehren...
Aber ein System bei dem es einen erfolgreichen Angriff auf die Sicherheitssysteme gab, durch bloses hin und her kopieren von ein paar Dateien und Anpassen von ein paar Berechtigungen wieder als Sauber zu betrachten...da sträuben sich mir die Nackenhaare....
Das mag in einer kleinen Umgebung oder bei einem Einzelplatz machbar sein...bei einer komplexen Umgebung mit mehr als 1000 Rechnern ist das für mich ein NoGo....
brammer
das Vorgehen in allen Ehren...
Aber ein System bei dem es einen erfolgreichen Angriff auf die Sicherheitssysteme gab, durch bloses hin und her kopieren von ein paar Dateien und Anpassen von ein paar Berechtigungen wieder als Sauber zu betrachten...da sträuben sich mir die Nackenhaare....
Das mag in einer kleinen Umgebung oder bei einem Einzelplatz machbar sein...bei einer komplexen Umgebung mit mehr als 1000 Rechnern ist das für mich ein NoGo....
brammer
2
Hey wie seit Ihr denn drauf ?
Ich will hier keine Ratschläge geben ob und wie man Backups erstellt und recovered,
sondern einfach nur einfach eine Anleitung für den Notfall geben wie man diesen
Trojaner los wird. Es gibt nun mal bekanntlich Menschen, die kein funktionierendes
Backupkonzept haben, und erst mal irgendwie weiterarbeiten und nicht komplett
untergehen wollen. Spätestens nach einem Befall (und evtl. einem kleineren Schaden
durch diese Lösung) überdenken bestimmt die meistens ihr Backupkonzept.
an Kontext, den Schlaumeier:
natürlich sollte man vom infizierten System ein Backup/Image machen, damit man
im Zweifel und bei Mißerfolg nach dem Aufsetzen eines neuen OS zumindest die
wichtigsten Daten isoliert extrahieren und ggflss. weiternutzen kann... gelle ?
naja,
dann helft Euch doch selber mit Euren dummen Kommentaren,
RS
Ich will hier keine Ratschläge geben ob und wie man Backups erstellt und recovered,
sondern einfach nur einfach eine Anleitung für den Notfall geben wie man diesen
Trojaner los wird. Es gibt nun mal bekanntlich Menschen, die kein funktionierendes
Backupkonzept haben, und erst mal irgendwie weiterarbeiten und nicht komplett
untergehen wollen. Spätestens nach einem Befall (und evtl. einem kleineren Schaden
durch diese Lösung) überdenken bestimmt die meistens ihr Backupkonzept.
an Kontext, den Schlaumeier:
natürlich sollte man vom infizierten System ein Backup/Image machen, damit man
im Zweifel und bei Mißerfolg nach dem Aufsetzen eines neuen OS zumindest die
wichtigsten Daten isoliert extrahieren und ggflss. weiternutzen kann... gelle ?
naja,
dann helft Euch doch selber mit Euren dummen Kommentaren,
RS
4
Genau das gleiche könnte man dich fragen ...
... wow wie bist du denn drauf, denn:
... und zweites - haben wir hier wieder mal einen Admin (ist er ein Admin oder was ist er) der sich gleich angegriffen fühlt, wenn man eine konstruktive Kritik liefert.
Junge, wir sind aus dem Sandkasten-Alter raus, wir müssen nicht alles schön reden und (bis jetzt) war ich der Meinung, dass man hier auch ein wenig diskutieren kann - Wenn du gleich Traurig bist und dich angegriffen fühlst, kriegst hier einen Keks ... und bevor ich mich nun wieder zu ewigen Diskussionen hinreißen lasse - mach du deinen Job und ich mach meinen - für Streitereien hier hab ich ehrlich gesagt keine Lust - und mit der Zeit weiß ich auch besseres anzufangen. Ich mache ab nun einen Bogen um deine Beiträge und werde diese auch nicht mehr kommentieren, nicht dass sich wieder wer blöd angemacht fühlt
Gruß
@kontext
... wow wie bist du denn drauf, denn:
naja,
dann helft Euch doch selber mit Euren dummen Kommentaren,
RS
Hat dich erstens wieder ins Abseits gestellt (schon zum 2en Mal) ...dann helft Euch doch selber mit Euren dummen Kommentaren,
RS
... und zweites - haben wir hier wieder mal einen Admin (ist er ein Admin oder was ist er) der sich gleich angegriffen fühlt, wenn man eine konstruktive Kritik liefert.
Junge, wir sind aus dem Sandkasten-Alter raus, wir müssen nicht alles schön reden und (bis jetzt) war ich der Meinung, dass man hier auch ein wenig diskutieren kann - Wenn du gleich Traurig bist und dich angegriffen fühlst, kriegst hier einen Keks ... und bevor ich mich nun wieder zu ewigen Diskussionen hinreißen lasse - mach du deinen Job und ich mach meinen - für Streitereien hier hab ich ehrlich gesagt keine Lust - und mit der Zeit weiß ich auch besseres anzufangen. Ich mache ab nun einen Bogen um deine Beiträge und werde diese auch nicht mehr kommentieren, nicht dass sich wieder wer blöd angemacht fühlt
Gruß
@kontext
1
Hi,
hmm, so ganz verstehe ich die Kommentare hier auch nicht.
1) Ich mache auch von einem infizierten System ein Backup, damit ich im Notfall (sollte die Wiederherstellung etc, nicht funktionieren) wenigstens noch an die Daten kommen. Denn die Daten sind nun mal das wichtigste, auch wenn da evtl. eine oder mehrere infizierte Dateien noch drauf sind. Im Notfalle kann ich immer noch per Linux darauf zugreifen und da sind mir die Windows Viren völlig egal.
2) Ich persönlich halte auch nichts davon, bei jedem kleinsten Virus oder Trojaner gleich das ganze System neu zu installieren. Wo kommen wir denn hin, wenn ich mir von den Entwickler von Schadsoftware meinen Job diktieren lasse. Viren oder Trojaner sind nichts anderes als ein Stück Software, die man nicht unnötig mystifizieren muss. Entfernet man(n) die Schadsoftware korrekt kommt sie in der Regel auch nicht wieder. Oft ist so, das durch "neue" Lücke im System ähnliche Viren wiederkommen. Da würde aber auch bei einer Neuinstallation passieren. Dagegen helfen nur permanente Updates des Systems und ein guter AV-Scanner. Ich habe schon sehr viele Systeme mit gescheiten Virenscanner (meist über Linux Antiviren CDs (am Besten zwei unterschiedliche)) wieder gesäubert und die laufen danach jahrelang ohne Probleme.
Sicherlich gibt es auch Fälle, da ist eine Neuinstallation der einzige sinnvolle Weg - das will ich gar nicht bestreiten - aber dieses generelle "Neuinstallation bei Viren und Trojanern" finde ich oft übertrieben. Ausnahmen sind hier sicher Firmen PCs, dort sollte man dann aber von vornherein ein System haben, dass gleich automatisch ein neues Image auf den Rechner installiert (so kenne ich das).
Ich persönliche besorge mir entweder eine Anleitung zum Entfernen (wie diese hier) oder zwei gute Linux Antiviren Images, die man von außen Booten kann (z.B. USB, CD, DVDs, etc.) Diese können auf die Windows Partitionen zugreifen und lösen das Problem sehr oft auch ohne Neuinstallation (z.B. AVG Rescue CD und Kaspersky Rescue CD)
P.S: Außerdem ist es für mich eine persönliche Herausforderung als Admin die entsprechende Schadsoftware zu finden und sie entsprechend zu eliminieren. Wie schon oben erwähnt, Viren und Trojaner sind nichts anderes als ein bisschen Software. Nicht mehr, nicht weniger.
Gruß
Frank
hmm, so ganz verstehe ich die Kommentare hier auch nicht.
1) Ich mache auch von einem infizierten System ein Backup, damit ich im Notfall (sollte die Wiederherstellung etc, nicht funktionieren) wenigstens noch an die Daten kommen. Denn die Daten sind nun mal das wichtigste, auch wenn da evtl. eine oder mehrere infizierte Dateien noch drauf sind. Im Notfalle kann ich immer noch per Linux darauf zugreifen und da sind mir die Windows Viren völlig egal.
2) Ich persönlich halte auch nichts davon, bei jedem kleinsten Virus oder Trojaner gleich das ganze System neu zu installieren. Wo kommen wir denn hin, wenn ich mir von den Entwickler von Schadsoftware meinen Job diktieren lasse. Viren oder Trojaner sind nichts anderes als ein Stück Software, die man nicht unnötig mystifizieren muss. Entfernet man(n) die Schadsoftware korrekt kommt sie in der Regel auch nicht wieder. Oft ist so, das durch "neue" Lücke im System ähnliche Viren wiederkommen. Da würde aber auch bei einer Neuinstallation passieren. Dagegen helfen nur permanente Updates des Systems und ein guter AV-Scanner. Ich habe schon sehr viele Systeme mit gescheiten Virenscanner (meist über Linux Antiviren CDs (am Besten zwei unterschiedliche)) wieder gesäubert und die laufen danach jahrelang ohne Probleme.
Sicherlich gibt es auch Fälle, da ist eine Neuinstallation der einzige sinnvolle Weg - das will ich gar nicht bestreiten - aber dieses generelle "Neuinstallation bei Viren und Trojanern" finde ich oft übertrieben. Ausnahmen sind hier sicher Firmen PCs, dort sollte man dann aber von vornherein ein System haben, dass gleich automatisch ein neues Image auf den Rechner installiert (so kenne ich das).
Ich persönliche besorge mir entweder eine Anleitung zum Entfernen (wie diese hier) oder zwei gute Linux Antiviren Images, die man von außen Booten kann (z.B. USB, CD, DVDs, etc.) Diese können auf die Windows Partitionen zugreifen und lösen das Problem sehr oft auch ohne Neuinstallation (z.B. AVG Rescue CD und Kaspersky Rescue CD)
P.S: Außerdem ist es für mich eine persönliche Herausforderung als Admin die entsprechende Schadsoftware zu finden und sie entsprechend zu eliminieren. Wie schon oben erwähnt, Viren und Trojaner sind nichts anderes als ein bisschen Software. Nicht mehr, nicht weniger.
Gruß
Frank
5Hi Frank,
zu Punkt 1) mein Kommentar war auf die Aussage des TO bezogen (Neuinstallation ist für Angsthase)
Natürlich ist mir klar, dass ich bevor was Systemkritisches wie die Windows Registry angefasst wird, zuerst ein Backup gemacht wird.
Leider ist es einfach so, das heutzutage niemand mehr was auf ein richtiges und vor allem funktionierendes Backup-Konzept legt.
Und laut TO gehöre ich in diesem Fall zu den Angsthasen - gehe dafür auf Nummer sicher ...
zu Punkt 2) es ist löblich, dass du dich auf die Suche nach dem Schädling machen willst und auch diesen zu beheben.
Das liegt glaube ich in den Grundsätzen eines Admins - man will den Fehler finden und beheben.
Jedoch weißt du bei Viren / Trojanen halt nicht ob du A) alles gelöscht hast und B) was für Hintertüren dir der Virus geöffnet hast.
Um eine saubere Analyse und vor allem Behebung des Trojaners vorzunehmen brauchst du mindestens einen halben Arbeitstag, wenn nicht länger.
Als Dienstleister kannst du diese Arbeit nicht verrechnen und als Systemadministrator sitzt man dir im Nacken, da der User arbeiten muss / soll ...
... daher ist der Weg der Neuinstallation nicht oft nur der einfachere sondern der schnellere / bessere
... wie sieht das gegenüber dem Kunden / User denn aus wenn man nach ein paar Wochen wieder das gleiche / ähnliche Problem hat
Ich hatte in der Vergangenheit schon oft Fälle wo man Viren / Trojaner aufwändig von Hand entfernt hat (Offline Scan, Bereinigung Dateisystem, Dienste / Prozesse säubern, Registry säubern, etc) - und nach ein paar Wochen / Monaten war das System wieder infiziert.
In dieser Anleitung wurden vor allem Systemkritische Dienste verändert / deaktiviert - also schon relativ tiefe Systemdienste.
Da hört meiner Meinung der Spaß auf - und man investiert einfach nur nutzlos seine Zeit ...
... denn zu 99% wird an der AntiVirus Strategie nichts geändert
... man bleibt auf dem Freeware-AV Anbieter und Backup Konzept braucht man auch keines
... heutzutage lebt man einfach blauäugig weiter - jetzt hat es mich einmal erwischt, ein zweites mal erwischt es mich sicher nicht
Wie gesagt - Viren und Trojner sind meiner Meinung andere Geschosse als Ransomware wie der Polizei-Trojaner, etc.
Bei solchen Dingen kann man leicht den Übeltäter finden und sich auch in Zukunft davor schützen
Da ist es oft einfacher und schneller den Schädling zu entfernen, einen anderen AV Anbieter installieren und JAVA (wenn nicht benötigt) zu deinstallieren
PS: Ich dachte wir sind hier ein Forum wo man über diverse Dinge diskutieren kann ...
... meiner Meinung hätte man die Anleitung besser / schöner / ausführlicher schreiben können und auf diverse Dinge eingehen können
... aber in diesem Fall hab ich mich wohl geirrt (die Zeiten von aqui's Anleitungen sind scheinbar vorbei)
... ich werde mir (wie schon erwähnt) das nächste Mal meinen Teil denken und solche Dinge nicht mehr kommentieren
... Spart uns allen eine Menge Zeit und manchen auch Ärger
PPS: nichts desto trotz ein +1 für deinen Kommentar - ich bin ja nicht so und vote als negativ nur weil es mir nicht in Kram passt
Gruß
@kontext
2
Hi,
Ich denke, das ist pure Ironie und hätte so auch von mir kommen können.
Je nach System kann eine Bereinigung auch schneller als eine Neuinstallation sein. Ich denke man kann da keine Pauschal Aussage dazu machen. Es kommt auch auf die Komplexität des Systems drauf an (und ob die Firma überhaupt ein Backups hat).
Aus meiner Erfahrung sind das oft Fälle, wo die Schadsoftware durch neuen Lücken/Schwachstellen im (meist alten) System wieder reingekommen sind. Weniger durch eine "Reaktivierung" des ehemals vorhandenen Virus/Trojaner.
Wie schon oben erwähnt, macht es natürlich nicht immer Sinn. Manchmal kommt man um eine Neuinstallation nicht herum. Die Rechner/Server aber mit der externen AV-Software zu scannen, ist für mich der erste Weg.
Generell ist aber die grundlegende Problematik von Viren und Trojanern oder das Fehlen von einem funktionierenden Backupsystem nicht Ziel der Anleitung gewesen. Hier ging es ganz alleine darum, wie man einen bestimmten Schädling eliminiert. Ob da jetzt Firmen ein Backupsystem haben, schlechte oder alte Virenscanner benutzen, nichts daraus lernen, etc. war nicht Inhalt der Anleitung und kann man dem Autor auch nicht vorwerfen.
Aqui's Anleitungen haben die Messlatte schon sehr hoch gesteckt. Nicht jede Anleitung kann diese hohe Qualität liefern, oft ist das jeweilige Thema bzw. die Lösung nicht so komplex. Hier ging es ganz gezielt nur um das Entfernen eines bestimmten Schädlings. Ich freue mich über beide Arten von Anleitungen. Die, die ausschweifen und die, die auf den Punkt kommen.
Kann man ja auch. Aber ich diskutiere doch nicht gleich über den Sinn z.B. von Autos, nur weil ich einen Platten oder Probleme im Getriebe habe
PPS: dann bekommst du natürlich auch ein +1 von mir. Da gehts mir ja nicht anders
Gruß
Frank
Neuinstallation ist für Angsthase
Ich denke, das ist pure Ironie und hätte so auch von mir kommen können.
Als Dienstleister kannst du diese Arbeit nicht verrechnen und als Systemadministrator sitzt man dir im Nacken, da der User arbeiten muss / soll ... ... daher ist der Weg der Neuinstallation nicht oft nur der einfachere sondern der schnellere / bessere
Je nach System kann eine Bereinigung auch schneller als eine Neuinstallation sein. Ich denke man kann da keine Pauschal Aussage dazu machen. Es kommt auch auf die Komplexität des Systems drauf an (und ob die Firma überhaupt ein Backups hat).
Ich hatte in der Vergangenheit schon oft Fälle wo man Viren / Trojaner aufwändig von Hand entfernt hat (Offline Scan, Bereinigung Dateisystem, Dienste / Prozesse säubern, Registry säubern, etc) - und nach ein paar Wochen / Monaten war das System wieder infiziert.
Aus meiner Erfahrung sind das oft Fälle, wo die Schadsoftware durch neuen Lücken/Schwachstellen im (meist alten) System wieder reingekommen sind. Weniger durch eine "Reaktivierung" des ehemals vorhandenen Virus/Trojaner.
Hier wurden vor allem Systemkritische Dienste verändert / deaktiviert - also schon relativ tiefe Systemdienste. Da hört meiner Meinung der Spass auf - und man investiert einfach nur nutzlos seine Zeit ...
Wie schon oben erwähnt, macht es natürlich nicht immer Sinn. Manchmal kommt man um eine Neuinstallation nicht herum. Die Rechner/Server aber mit der externen AV-Software zu scannen, ist für mich der erste Weg.
Generell ist aber die grundlegende Problematik von Viren und Trojanern oder das Fehlen von einem funktionierenden Backupsystem nicht Ziel der Anleitung gewesen. Hier ging es ganz alleine darum, wie man einen bestimmten Schädling eliminiert. Ob da jetzt Firmen ein Backupsystem haben, schlechte oder alte Virenscanner benutzen, nichts daraus lernen, etc. war nicht Inhalt der Anleitung und kann man dem Autor auch nicht vorwerfen.
... aber in diesem Fall hab ich mich wohl geirrt (die Zeiten von aqui's Anleitungen sind scheinbar vorbei)
Aqui's Anleitungen haben die Messlatte schon sehr hoch gesteckt. Nicht jede Anleitung kann diese hohe Qualität liefern, oft ist das jeweilige Thema bzw. die Lösung nicht so komplex. Hier ging es ganz gezielt nur um das Entfernen eines bestimmten Schädlings. Ich freue mich über beide Arten von Anleitungen. Die, die ausschweifen und die, die auf den Punkt kommen.
PS: Ich dachte wir sind hier ein Forum wo man über diverse Dinge diskutieren kann ...
Kann man ja auch. Aber ich diskutiere doch nicht gleich über den Sinn z.B. von Autos, nur weil ich einen Platten oder Probleme im Getriebe habe
PPS: nichts desto trotz ein +1 für deinen Kommentar - ich bin ja nicht so und vote als negativ nur weil es mir nicht in Kram passt
PPS: dann bekommst du natürlich auch ein +1 von mir. Da gehts mir ja nicht anders
Gruß
Frank
2
Moin,
Es ja nichts dagegen zu sagen, daß man eine Anleitung veröffentlicht, die eine bestimmte malware (vorgeblich) wieder aus dem System wirft, um damit wieder arbeiten zu können. Aber in so eine Anleitung gehört imho immer der Hinweis auf die Gefahren, dieses Vorgehens, insbesonderer irgendwelcher nicht entdeckter (oder entdeckbarer) Rückständen. Der Leser muß dann selbst das Risiko abwägen. Ansonsten glauben die meisten Benutzer, daß man durch ausführen der Schritte und der Anleitung wieder ein sicheres System hat.
Ich persönlich habe den Fall schon mehrmals gehabt, daß Kunden nur desinfiziert, aber nicht neu installiert haben wollten, trotz Hinweis auf das Risiko. Nach der dritten "Reinfektion" waren die dann aber doch überzeugt, daß man besser frisch installiert (waren BKA-Trojaner). Gibt mehr Geld, aber man hat keinen "Spaß" dabei.
lks
Es ja nichts dagegen zu sagen, daß man eine Anleitung veröffentlicht, die eine bestimmte malware (vorgeblich) wieder aus dem System wirft, um damit wieder arbeiten zu können. Aber in so eine Anleitung gehört imho immer der Hinweis auf die Gefahren, dieses Vorgehens, insbesonderer irgendwelcher nicht entdeckter (oder entdeckbarer) Rückständen. Der Leser muß dann selbst das Risiko abwägen. Ansonsten glauben die meisten Benutzer, daß man durch ausführen der Schritte und der Anleitung wieder ein sicheres System hat.
Ich persönlich habe den Fall schon mehrmals gehabt, daß Kunden nur desinfiziert, aber nicht neu installiert haben wollten, trotz Hinweis auf das Risiko. Nach der dritten "Reinfektion" waren die dann aber doch überzeugt, daß man besser frisch installiert (waren BKA-Trojaner). Gibt mehr Geld, aber man hat keinen "Spaß" dabei.
lks
1
Hi lks,
Siehe zweite Zeile
Ich denke, dass Zielpublikum liegt ganz klar bei den Administratoren und nicht bei den Benutzern. Ohne Admin Rechte wird's recht schwer, die REG-KEYS zu ändern.
Gruß
Frank
Anleitung zum Entfernen des SIREFEF!CFG-Trojaners
(Kurz-Anleitung ohne Gewähr, für versierte Nutzer):
(Kurz-Anleitung ohne Gewähr, für versierte Nutzer):
Siehe zweite Zeile
Ich denke, dass Zielpublikum liegt ganz klar bei den Administratoren und nicht bei den Benutzern. Ohne Admin Rechte wird's recht schwer, die REG-KEYS zu ändern.
Gruß
Frank
3Zitat von @Frank:
Ich denke auch, dass Zielpublikum liegt ganz klar bei den Administratoren und nicht bei den Benutzern.
Ich denke auch, dass Zielpublikum liegt ganz klar bei den Administratoren und nicht bei den Benutzern.
Auch für die Admins ist so ein Risikohinweis nicht verkehrt. Ich kenne genügend Admins die per ordre-di-mufti (= Du weiß wie man einen Computer einschaltet? Ab sofort bist Du Admin!) dazu wurden. Diese sind zwar "versiert", in dem Sinne, daß die mal auch mit dem Registry-Editor eine key löschen/ändern könnten, aber nicht erfahren genug, um die Folgen so einer Aktion wie oben abschätzen zu können.
lks
1
Hi lks,
Gruß
Frank
Gruß
Frank
3
Hallo,
@Frank
Nun das klingt für mich nicht wirklich Ironisch....
Wenn man sich mit dem benannten Virus etwas näher beschäftigt findet man schnell ein Dutzend Lösungswege, inklusive REG Änderungen und Pfade in denen sich der Virus festsetzt.
Inklusive so hilfreicher Meldungen alle Dateien mit dem Virus Namen zu löschen.
Das es sowas wie umbenennen gibt, scheint uunbekannt zu sein.
Aktuelle Viren sind mitunter derart hochkomplex das ein einfaches Bereinigen nicht immer ausreichend ist.
Bei einem Privatrechner mag das reichen, bei einem Server eher nicht...
Vor allen @schmitzi
Woher nimmst du die Sicherheit das dein System wirklich sauber ist?
Woher hast du den Lösungsweg?
Hast du nach Bereinigung des Cystems ein- und ausgehenden Verkeher über einen längeren Zeitraum beobachtet?
brammer
@Frank
Neuinstallation ist für Angsthase
Ich denke, das ist pure Ironie und hätte so auch von mir kommen können.
Nun das klingt für mich nicht wirklich Ironisch....
Wenn man sich mit dem benannten Virus etwas näher beschäftigt findet man schnell ein Dutzend Lösungswege, inklusive REG Änderungen und Pfade in denen sich der Virus festsetzt.
Inklusive so hilfreicher Meldungen alle Dateien mit dem Virus Namen zu löschen.
Das es sowas wie umbenennen gibt, scheint uunbekannt zu sein.
Aktuelle Viren sind mitunter derart hochkomplex das ein einfaches Bereinigen nicht immer ausreichend ist.
Bei einem Privatrechner mag das reichen, bei einem Server eher nicht...
Vor allen @schmitzi
Woher nimmst du die Sicherheit das dein System wirklich sauber ist?
Woher hast du den Lösungsweg?
Hast du nach Bereinigung des Cystems ein- und ausgehenden Verkeher über einen längeren Zeitraum beobachtet?
brammer
Hi brammer,
ganz ehrlich, wenn mir zwei aktuelle (oder mehr) unterschiedliche externe AV-Scanner keinen Fehler/Warnung/Hinweise mehr anzeigen und das System sauber funktioniert, ja dann glaube ich, dass das System wieder sauber ist. Eine 100% Sicherheit hast du nie - auch nicht bei einem System was du gerade neu aufgesetzt hast und am nächsten Tag durch einen neuen Exploit wieder kompromittiert wird. Paranoia ist wichtig, sollte aber nicht lähmen.
Wenn ich jetzt dringend an die Daten eines infizierten Systems kommen muss, bin ich doch froh, das es eine Anleitung dazu gibt. Was man danach mit dem Rechner/Server etc. noch macht, kann jeder Admin für sich selbst entscheiden.
Die Mystifizierung der Schadsoftware mit all seinen vielen Möglichkeiten bring niemanden wirklich weiter. Ein Virus oder ein Trojaner ist nur ein kleines Stück Software (ein Daemon, ein Service, einer Sicherheitslücke), der sich gut versteckt oder getarnt hat. Man kann ihn finden und löschen.
Gut, ich komme jetzt aus der Linux/Unix Welt vielleicht sehe ich das für die Windows Platform auch etwas zu optimistisch. Aber auch unter Windows gibt es Checksummen für Dateien und so anders arbeiten die AV-Scanner unter Windows auch nicht. Rein technisch gesehen ist ein System wahrscheinlich nach entfernen bzw. scannen, etc. sauber. Was aber das Gefühl des Admin dazu sagt, ist sicher eine ganz andere Geschichte (und eine andere Diskussion wert).
Gruß
Frank
ganz ehrlich, wenn mir zwei aktuelle (oder mehr) unterschiedliche externe AV-Scanner keinen Fehler/Warnung/Hinweise mehr anzeigen und das System sauber funktioniert, ja dann glaube ich, dass das System wieder sauber ist. Eine 100% Sicherheit hast du nie - auch nicht bei einem System was du gerade neu aufgesetzt hast und am nächsten Tag durch einen neuen Exploit wieder kompromittiert wird. Paranoia ist wichtig, sollte aber nicht lähmen.
Wenn ich jetzt dringend an die Daten eines infizierten Systems kommen muss, bin ich doch froh, das es eine Anleitung dazu gibt. Was man danach mit dem Rechner/Server etc. noch macht, kann jeder Admin für sich selbst entscheiden.
Die Mystifizierung der Schadsoftware mit all seinen vielen Möglichkeiten bring niemanden wirklich weiter. Ein Virus oder ein Trojaner ist nur ein kleines Stück Software (ein Daemon, ein Service, einer Sicherheitslücke), der sich gut versteckt oder getarnt hat. Man kann ihn finden und löschen.
Gut, ich komme jetzt aus der Linux/Unix Welt vielleicht sehe ich das für die Windows Platform auch etwas zu optimistisch. Aber auch unter Windows gibt es Checksummen für Dateien und so anders arbeiten die AV-Scanner unter Windows auch nicht. Rein technisch gesehen ist ein System wahrscheinlich nach entfernen bzw. scannen, etc. sauber. Was aber das Gefühl des Admin dazu sagt, ist sicher eine ganz andere Geschichte (und eine andere Diskussion wert).
Gruß
Frank
2
Hallo Frank,
die Kommentare finde ich berechtigt. Die Anleitung leitet meines Erachtens zu fahrlässigem Dilettantismus an.
Natürlich ist Schadsoftware nur Software. Die Frage ist: welche?
Schon die Überschrift disqualifiziert, weil sie nahelegt, eine konkrete Infektion könnte anhand des Phantasienamens eines AV-Herstellers identifiziert werden. Der bezeichnet aber allein die dem Hersteller vorliegenden Samples und die daraus gebildete generische Signatur. Die Signatur wiederum ermöglicht einem Scanner die Erkennung, aber noch lange nicht Identifikation. Die Falschdeklaration einer Schadsoftware bei der Erkennung ist so gewöhnlich wie Falsch-positiv-Meldungen oder Nichterkennungen. Den vermeintlich aussagekräftigen angezeigten Namen im Scan-Resultat sollte man schnell vergessen.
Zur Identifikation wären zunächst Hashes zu vergleichen. Die ausgeführte Datei kann der Laie meist nicht wiederherstellen und Hashes sind heute kaum mehr identisch. Entsprechend sinnlos sind solche Anleitungen für Leute, die ihr System und verdächtige, ggf. funktional mit bekannten Samples identische Dateien nicht fachkundig analysieren können.
Die als "Sirefef!cfg" bekannten Samples deaktivieren nun in ihrer Hauptfunktion nicht allein Sicherheitsfunktionen sondern laden vor allem beliebigen weiteren Schadcode nach. Von dessen Erkennung und "Entfernung" lese ich nichts.
Die meisten Anleitungen zur Virenentfernung unterstellen der Schadsoftware, den Nutzer sinnfrei mit einigen kosmetischen Änderungen am System zu triezen, die nur rückgängig gemacht werden müssten, und alles wäre in Ordnung. Das als naiv zu bezeichnen, ist keine Mystifizierung. Das kann überhaupt nur in einigen Fällen gut gehen, weil die Branche hart daran arbeitet, Verteilungswege von Malware innerhalb von Stunden lahm zu legen, und der Dropper daher oft ins Leere funkt.
Diese Arbeit wird nicht nur durch den zeitlichen Vorsprung der Malware-Programmierer erschwert, sondern auch durch die Fahrlässigkeit von Nutzern und Admins, selbst erkannte Infektionen mehr oder weniger bewusst unbehoben zu lassen.
Grüße
Richard
die Kommentare finde ich berechtigt. Die Anleitung leitet meines Erachtens zu fahrlässigem Dilettantismus an.
Natürlich ist Schadsoftware nur Software. Die Frage ist: welche?
Schon die Überschrift disqualifiziert, weil sie nahelegt, eine konkrete Infektion könnte anhand des Phantasienamens eines AV-Herstellers identifiziert werden. Der bezeichnet aber allein die dem Hersteller vorliegenden Samples und die daraus gebildete generische Signatur. Die Signatur wiederum ermöglicht einem Scanner die Erkennung, aber noch lange nicht Identifikation. Die Falschdeklaration einer Schadsoftware bei der Erkennung ist so gewöhnlich wie Falsch-positiv-Meldungen oder Nichterkennungen. Den vermeintlich aussagekräftigen angezeigten Namen im Scan-Resultat sollte man schnell vergessen.
Zur Identifikation wären zunächst Hashes zu vergleichen. Die ausgeführte Datei kann der Laie meist nicht wiederherstellen und Hashes sind heute kaum mehr identisch. Entsprechend sinnlos sind solche Anleitungen für Leute, die ihr System und verdächtige, ggf. funktional mit bekannten Samples identische Dateien nicht fachkundig analysieren können.
Die als "Sirefef!cfg" bekannten Samples deaktivieren nun in ihrer Hauptfunktion nicht allein Sicherheitsfunktionen sondern laden vor allem beliebigen weiteren Schadcode nach. Von dessen Erkennung und "Entfernung" lese ich nichts.
Die meisten Anleitungen zur Virenentfernung unterstellen der Schadsoftware, den Nutzer sinnfrei mit einigen kosmetischen Änderungen am System zu triezen, die nur rückgängig gemacht werden müssten, und alles wäre in Ordnung. Das als naiv zu bezeichnen, ist keine Mystifizierung. Das kann überhaupt nur in einigen Fällen gut gehen, weil die Branche hart daran arbeitet, Verteilungswege von Malware innerhalb von Stunden lahm zu legen, und der Dropper daher oft ins Leere funkt.
Diese Arbeit wird nicht nur durch den zeitlichen Vorsprung der Malware-Programmierer erschwert, sondern auch durch die Fahrlässigkeit von Nutzern und Admins, selbst erkannte Infektionen mehr oder weniger bewusst unbehoben zu lassen.
Grüße
Richard
2Zitat von @brammer:
Vor allen @schmitzi
Woher nimmst du die Sicherheit das dein System wirklich sauber ist?
Woher hast du den Lösungsweg?
Hast du nach Bereinigung des Cystems ein- und ausgehenden Verkeher über einen längeren Zeitraum beobachtet?
brammer
Vor allen @schmitzi
Woher nimmst du die Sicherheit das dein System wirklich sauber ist?
Woher hast du den Lösungsweg?
Hast du nach Bereinigung des Cystems ein- und ausgehenden Verkeher über einen längeren Zeitraum beobachtet?
brammer
Hi,
habe die Lösung hier an 3 Systemen (in aufwändiger Arbeit) erarbeitet, ist schon bis zu einem
halben Jahr her. Beim 1. System war es solala, beim 2. besser, beim 3. perfekt und mit den
Erkenntnissen konnte ich die ersten beiden Systeme nachbessern. Und diese Anleitung hier schreiben.
Alle Systeme laufen bisher 1a, unter andauernder Beobachtung, auch der Firewalls auf verdächtiges Verhalten. Mache ich halt aus sportlichen Aspekten, weil Neuinstall ist was für "Admins" die immer gleich drüberbügeln,
koste es (Daten) was es wolle. Und diese Systeme hatten nicht nur Daten onboard (die man natürlich
aus einem "verseuchten" Image nach Neuinstall. hätte herausfummeln können), sondern waren
auch alle 3 mit extrem viel Software bestückt (Konstellation) und es gab leider keinerlei Backup.
Ich bezweifele auch wie hier oben jemand schrieb dass das nach 30 minuten mit einem Restore erledigt ist.
Das setzt ja ein perfektes, tägliches Vollbackup eines PCs voraus, was die wenigsten haben dürften.
Und, NICHTS ist so wichtig wie die Daten an denen ich HEUTE gearbeitet habe... oder ?
@Frank: DANKE !!!
(Treffer an allen Fronten, erspart mit viel Schreiberei)
1...ja, ganz genau so ist es
...pure Ironie, weil mir zu diesen UNPRODUKTIVEN Kommentaren absolut gar nichts mehr einfällt.
...da möchte man etwas Positives tun und helfen, bringt Geist und Bewegung in eine Sache,
...und irgendwelche "xxx...zensiert...xxx" die nicht in der Lage sind zerreissen sich nur das Maul
:O)
2Zitat von @schmitzi:
...da möchte man etwas Positives tun und helfen, bringt Geist und Bewegung in eine Sache,
...und irgendwelche "xxx...zensiert...xxx" die nicht in der Lage sind zerreissen sich nur das Maul
...da möchte man etwas Positives tun und helfen, bringt Geist und Bewegung in eine Sache,
...und irgendwelche "xxx...zensiert...xxx" die nicht in der Lage sind zerreissen sich nur das Maul
Junge, reg dich mal ab.
Es ging nicht darum, Deine Arbeit zu schmälern, sonder Dich darauf hinzuweisen, daß es besser wäre den Leuten auch die Risiken Deines Vorgehens klarzumachen. Auch ich habe schon Tipps gegeben, wie man ein System nach Virenbefall wieder flott bekommt. Aber ein Hinweis auf ein gewisses Restrisiko ist immer angebracht, weil ansonsten zu viele Leute davon ausgehen, damit hätten sie Ihr System auf jeden Fall wieder sauber, was aber nicht immer der Fall ist, insbesondere wenn man eine "mutierte" Version der Schadsoftware erwischt hat.
Schönen Tag noch,
lks
3
Hi @all,
so ich denke, es wurde alles gesagt und kommentiert. Ich schließe nun die Diskussion zur Anleitung.
Wer will kann die Anleitung zum Entfernen der Schadsoftware nutzen, muss sich aber auch den Risiken bewusst sein. Beim Autor hat das Entfernen prima funktioniert, d.h. aber nicht, dass es auch bei anderen User genauso gut laufen muss. Dieses Risiko muss jeder User für sich selbst entscheiden.
Meine Alternative ist noch ein externer Viren Scan (z.B. über eine Linux Rescue CDs der AV Hersteller) die meisten User bevorzugen eine komplette Neuinstallation.
Es führen viele Wege nach Rom...
Gruß
Frank
Webmaster
so ich denke, es wurde alles gesagt und kommentiert. Ich schließe nun die Diskussion zur Anleitung.
Wer will kann die Anleitung zum Entfernen der Schadsoftware nutzen, muss sich aber auch den Risiken bewusst sein. Beim Autor hat das Entfernen prima funktioniert, d.h. aber nicht, dass es auch bei anderen User genauso gut laufen muss. Dieses Risiko muss jeder User für sich selbst entscheiden.
Meine Alternative ist noch ein externer Viren Scan (z.B. über eine Linux Rescue CDs der AV Hersteller) die meisten User bevorzugen eine komplette Neuinstallation.
Es führen viele Wege nach Rom...
Gruß
Frank
Webmaster
3
