Grundlagen der manuellen Identifizierung und Entfernung von Malware

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Information: Wir verlosen 9 Kinderbüchlein von Microsoft Mein Papa arbeitet bei Microsoft. Und ich darf mit!

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • AHT schrieb:

      Gebrauche das Wort "Experten" nicht so leichtfertig.
      Deswegen auch in Anführungszeichen.

      AHT schrieb:

      Jemand, der noch niemals zuvor das Tool OTL genutzt hat, streift durchs Netzt und stößt auf Beiträge, in denen ein Mediyes Trojaner entfernt wurde. Irgendetwas kommt dieser Person an den Ergebnissen der Scans merkwürdig vor - und er liest sich das erste Mal in seinem Leben für drei Minuten ein Tutorial von OTL durch. Sofort sieht er, dass in ganz Deutschland mit falschen Scripten für OTL gearbeitet wurde, die nicht 64Bit tauglich waren!
      Wenn eine Person ein gewisses Grad an Kenntnisse besitzt, dann kann ihr durchaus so etwas auffallen. Ein Laie wird da wohl nichts bemerken.

      Eisbär schrieb:

      Du findest hier in diesem Forum für deine sicher richtigen, ausschweifenden, Erklärungen nicht das von dir erwünschte Podium.
      Genau das meinte ich mit dem Emsisoft Artikel. Im Kern gibt der Artikel ja genau dies wieder, auch wenn die Programme und Herangehensweisen verschieden sind, so bekommt man einen kleinen Einblick. Der Artikel ist nun einmal für Menschen geschrieben, die eben kein/kaum Wissen in dem Bereich haben. In der Hinsicht ist der Artikel sehr gut geschrieben worden. Dass die ganze Materie wesentlich komplexer und tiefer ist, als im Artikel beschrieben, sollte jedem klar sein. Man könnte nun viele "Helfer" fragen, jeder würde da wohl eine andere Meinung vertreten.

      Deine Beiträge #6 & #7 sind noch wirklich gut, alles andere, so empfinde ich dies zumindest, machen das Thema leicht kaputt. Ein großes Publikum erreichst du hier scheinbar nicht. (leider) Ich bewundere dein Wissen sehr, ich würde es selbst nur nie haben wollen.
    • Adell Vállieré schrieb:

      Der Artikel ist nun einmal für Menschen geschrieben, die eben kein/kaum Wissen in dem Bereich haben.
      Da gibt es ein kleines Problem: Schreibt man Artikel für Leute, die keinerlei Wissen haben, muss man erst mal klarstellen, dass sich Wissen angeschafft werden muss. Malwareentfernung ist ansonsten ein gefährliches Würfelspiel - und zwar eines, bei dem ich die Augen auf dem Würfel gar nicht sehe.

      Adell Vállieré schrieb:

      Ein Laie wird da wohl nichts bemerken.
      Vollkommen richtig. Und wenn ein Laie meint, er könne in Supportforen für Virenscanner mit OTL anfangen, Rechner zu bereinigen (ohne im Prinzip zu verstehen, was er da tut), weil er anhand solcher Artikel eine "Ausbildung" genossen hat und die LOGs von OTL seit Jahren "interprätiert", sieht der das auch nicht.
      Der dumme User, der sich auf die Hilfe solcher "extrem gut aussgebildeten" Leute verlässt, hat ebenfalls keine Chance, das zu sehen.
      Weil das so abläuft, werde ich hier deutlich. Und zwar gegenüber ganz normalen Usern (auch wenn die das nicht interessiert). ;-)
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Der dumme User, der sich auf die Hilfe solcher "extrem gut aussgebildeten" Leute verlässt, hat ebenfalls keine Chance, das zu sehen.
      Weil das so abläuft, werde ich hier deutlich. Und zwar gegenüber ganz normalen Usern (auch wenn die das nicht interessiert).
      Ich gehöre auch zu den dummen oder normalen Usern und mich interessiert das Thema sehr wohl. Dass dies alles sehr komplex ist, ist mir klar - nur kann ich mir dieses Wissen nicht mehr aneignen.
      Auf alle die angebotenen Tools würde ich mich nicht verlassen - ich denke, dass ich mit den Backups, die ich mit Acronis regelmässig erstelle, im Fall der Fälle eine gute Lösung habe.

      Gruß
      Bosco
    • Bosco schrieb:

      nur kann ich mir dieses Wissen nicht mehr aneignen.
      Da liegt das Problem. Nötiges Fachwissen ist es, ein anwendbares Bild davon zu haben, wie das Betriebssystem intern funktioniert und wie die Analysetools intern funktionieren. Für Leute, die sich sowieso intensiv mit dem PC beschäftigen, ist es leichter, an ein solches Bild zu kommen. Jemand, der zum Beispiel in der API programmiert, kann das eigentlich gar nicht tun (also programmieren), wenn er diese Bild nicht hätte.
      Ich habe mir wirklich sehr lange überlegt, wie man an nötiges Fachwissen kommt, ohne sich wirklich handwerklich mit dem PC zu beschäftigen. Das ist gar nicht so einfach - denn die Microsoft Artikel im Netz, die man eigentlich verstehen muss, setzen weiteres Fachwissen voraus, damit man sie überhaupt erfolgreich lesen kann.

      Jemand, der diese Sachen wirklich verstanden hat, kann solche Artikel aber eventuell so weit kürzen und vereinfachen, dass das notwendigste auch von einem Laien verstanden wird.
      In unserem internen Forenbereich versuche ich da seit ein paar Jahren, etwas in der Art zu entwickeln.

      Bosco schrieb:

      ich denke, dass ich mit den Backups, die ich mit Acronis regelmässig erstelle, im Fall der Fälle eine gute Lösung habe.
      Viren werden in der Regel nicht programmiert, um dir Ärger zu machen. Oft stehlen die was von dir. Wurde dir was gestohlen, hat das jemand anderes. Rechneranalyse soll eigentlich nicht nur dazu dienen, den Rechner von Viren zu befreien - es kommt vor allen Dingen auch darauf an, ob jemand anderes jetzt etwas von dir hat - und was das sein könnte. Ist das der Fall, ist Nachsorge erforderlich.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Der Sinn des Artikels besteht aber nicht darin, dass man jemanden ausbilden will. Wenn jemand nun denkt, dass er ausgebildet sei, dann interpretiert man den Text falsch. Ich habe den Text so gelesen, und ich denke da spreche ich für viele, dass er einen kleinen Einblick gewährt. Mehr braucht der Kunde da auch nicht. Der Originaltext liest sich dazu auch ein klein wenig anders und wurde im deutschen leicht verständlicher gemacht. Ich lese auch nirgenwo einen Satz wie: "So sollte/muss das gemacht werden." man hat sich für ein paar Dinge entschieden, eben WEIL man es so verständlich wie möglich halten will.

      Verstehe mich da nicht falsch. Es ist schon interessant was du da schreibst. Nur kann der Laie damit überhaupt nichts anfangen, die Bestätigung hat man hier schon gelesen (gelöschte Beiträge).

      Auch deswegen:

      AHT schrieb:

      Wirkliches Fachwissen fängt meiner Ansicht nach hier an: de.wikipedia.org/wiki/Mark_Russinovich

      AHT schrieb:

      Die Suche und das Entfernen von Malware ist ein Prozess der Planung:

      1. ...man verschafft sich also Ahnung (Fachwissen) über etwas und plant eine Möglichkeit, wie man an Informationen kommt...

      Eisbär schrieb:

      Was mich betrifft, ich will dieses Wissen gar nicht erwerben und lese, wenn überhaupt, keine für mich zu schwere Kost, weil sie mir nichts bringt.
      Eine Laie wird viel von dem hier geschriebenen nicht verstehen = Es ist eine zu schwere Kost. Aber das muss jeder für sich selbst wissen. Im Kern sind sich deine Beiträge und der Artikel von Emsisoft sehr ähnlich. Wie du selbst schriebst: Man braucht Fachwissen, merkt man an deinen Beiträgen. Nur muss man diese Infos der Öffentlichkeit verfügbar machen. Sind aber nur meine zwei Cent zum Thema. Kannst die Beiträge auch gerne löschen, um die Übersicht zu wahren. Werde diesen Bereich damit auch ausblenden.

      Kleine Anmerkung: Warum eröffnet man dafür nicht eine eigene Sektion, ähnlich wie bei dem Computer ABC? Da könnte AHT sich zu all solchen Dingen ausschreiben und es wäre sehr übersichtlich.
    • Adell Vállieré schrieb:

      Der Sinn des Artikels besteht aber nicht darin, dass man jemanden ausbilden will. Wenn jemand nun denkt, dass er ausgebildet sei, dann interpretiert man den Text falsch. Ich habe den Text so gelesen, und ich denke da spreche ich für viele, dass er einen kleinen Einblick gewährt. Mehr braucht der Kunde da auch nicht.
      Was will der Kunde mit diesem Einblick denn nachher tun - oder was glaubt er vielleicht, damit tun zu können?

      Adell Vállieré schrieb:

      ur muss man diese Infos der Öffentlichkeit verfügbar machen.
      Da ist ein kleines Problem. Werden Sachen wirklich jedem auf einfache Art erklärt, ist vielleicht auch jeder mit nur zwei Cent Grips im Kopf dazu in der Lage, selbst Trojaner zu schreiben. Manches ist wirklich sehr einfach. Gerade Trojaner über die WMI benötigen kaum wirkliches Wissen (wenn man einige Sachen kürzt).

      Bei der Sache hier...
      ...stehen im internen Bereich des Forums noch einfache Quelltexte in Powershell dabei, damit man besser verstehen und sehen kann, wie die Analysettools auf solche Sachen reagieren. Im Prinzip unterscheidet sich das Wissen, das zur Trojanersuche nötig ist, nicht vom Wissen, das nötig ist, um Trojaner zu schreiben.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • 2.) Was setze ich wie genau ein?

      Anhand meines Wissens darüber, was ich an Daten brauche und was davon mir die Tools liefern, entwickele ich meine Vorgehensweise.

      Meine Planung hier im Forum sieht da zur Zeit so aus:
      Virenscans sollten vorher möglichst wenig oder gar nicht ausgeführt werden, weil sonst wichtige Daten verschwinden, die auf das Datum der Infektion hindeuten.
      Den PPFScanner setze ich generell als Haupttool ein, um den Rechner zu analysieren. Als "Kontrolltool" für die Ergebnisse des PPFScanners verwende ich das Tool von Farbar (im Prinzip ist das eine Gegenseitige Kontrolle der Ergebnisse). Ich führe im PPFScanner immer das Script Erweiterter Scan.scp aus, was mir erst einmal die wichtigsten Daten von dem hier liefert. Mit eingeschlossen sind da zusätzlich Scriptteile, die mir LOGs vom Guard von Antivir, Microsost Security Essentials und vom WindowsDefender liefern. LOGs von den Schutzmodulen von Avast holt es sich ebenfalls. Ich habe dann zusätzlich einen Überblick darüber, was schon gefunden und gelöscht wurde. Fehler und Warnungen in der Ereignisanzeige lasse ich ebenfalls auslesen.
      Speicher- und Threadinformationen, über die ich darauf kommen kann, das versteckt DLLs ausgeführt werden, sind ebenfalls mit drin. Auch ein kleiner Teil zum Ermitteln von RootKit- und Zombieprozessen aus dem Usermode ist mit enthalten.
      Ist der Rechner auffallend langsam, lassen ich vom Scanner gleich im ersten Schritt den Performancemonitor von Windows mit ausführen und ein grafisches LOG erstellen, was mir unter anderem die Prozessorauslastung über mindesten 40 Minuten aufzeichnet.
      In allen anderen Fällen lasse ich das Tool automatisch noch RootKitscanner herunterladen und ausführen, die im Kernelmode arbeiten. Das sind zur Zeit der TDSSKIller von Kaspersky und das Tool RootkitBuster von Trend Micro. Ich hole mir damit Infos über versteckte Elemente, an die der PPFScanner selbst nicht herankommt.

      Der Prozess der Datensammlung ist dabei ein Prozess, der ständig angepasst werden muss. Es werden dauernd neue Möglichkeiten bekannt, Software automatisch starten zu lassen. Das Problem löse ich im PPFScanner hauptsächlich durch Anpassung der Scripte. Die kann ich auch während eines Analyseorgangs anpassen, wenn ich da merke, das mir irgendwas an Daten noch fehlt.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • Was fällt bis zu diesem Punkt auf?

      Was auffällt ist bis hier vor allen Dingen, dass ich mir wesentlich mehr Daten einhole, als die Frau in dem Artikel. Warum das wichtig ist, sich noch andere Daten einzuholen, wird deutlich, wenn es später um die Entfernung geht. Ich wüsste aus dem Stehgreif mindestens einen Fall, bei dem sich die Frau mit dieser dort vorgestellten Vorgehensweise wohl den Rechner ruiniert hätte. Also bitte sehr genau überlegen, ob man nach dieser Methode wirklich selbst Malware entfernt. Warum man das überlegen sollte, kommt später noch.

      Wenn es um Infos darüber geht, ob der Rechner definitiv infiziert ist, kann man sich problemlos nach dem Artikel richten. Ob ein Rechner, der nach der Methodik überprüft wurde, wirklich sauber ist, steht auf einem ganz anderen Blatt.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Man sollte Informationen immer zielgruppengerecht verfassen. Ich kann einem Kind aus dem Kindergarten nicht den Stoff aus der 7. Klasse vermitteln und halte beim Kegel-Klub "Alle Neune" keinen Vortrag übers Fliegenfischen. Der Artikel von Emsisoft will möglichst viele Menschen erreichen und entsprechend ist er auch geschrieben. In diesem Artikel tiefer ins Detail zu gehen ist unnötig. Wer sich intensiver mit dem Thema beschäftigen möchte, sucht sich selbstständig weitere Infos und Dokumentationen.
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Was tut man da am besten? 4

      Das Ergebnis ist nur für Teilnehmer sichtbar.

      Das ist vollkommen richtig. Man sollte vor allen Dingen klarstellen, warum man das zwingend tun muss - denn ansonsten verschafft man mit solchen Artikeln, wie sie die Frau da online stellt, den Eindruck, dass Kinder aus dem Kindergarten sich erfolgreich mit Malwarebeseitigung beschäftigen können, ohne sich überhaupt Durchblick durch manche Sachen aneignen zu müssen.
      Leider ist der allgemeine Eindruck - sogar bei den Leuten, die sich in Supportforen von Antivirenfirmen mit Malwarebeseitigung beschäftigen - schon in der Regel so, dass man das gar nicht muss. Das ist alles unnötig.
      Weißt man die Leute auf was hin und sagt denen, die sollen sich mal die Artikel von Microsoft durchlesen, um zu erkennen, was die denn da falsch machen, kriegt man als Antwort:
      "Ich bin in Malwarebeseitigung ausgebildet - und du bist ein Idiot."
      Dazu fällt einem manchmal nichts mehr ein, gar nichts mehr. :0ahnung:
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

    • Warum man bei der Rechneranalyse nicht so vorgehen sollte, wie in dem Artikel? Ein Beispiel...

      Hab grad eine Minute Zeit - hier also mal die Dienste eines Rechner mit Autoruns gelistet:

      Das sieht OK aus.

      EMISoft schrieb:

      Alternativ können Sie den Computer auch im abgesicherten Modus neu starten. Dabei werden weder die Werte unter „Run“ noch die Dateien im Startup-Ordner geladen. Damit ersparen Sie sich das zusätzliche Herunterladen von Process Explorer.
      Da der Rechner OK aussieht, muss ich den Process Explorer gar nicht herunterladen. Ich surfe also munter weiter, ich mache weiter mein Onlinebanking, ich kaufe weiter mit dem Rechner ein. Oder???

      Untersucht man den gleichen Rechner mit der aktuellen Version des PPFScanners, sieht man in der Datei Warnings.txt folgenden Eintrag:

      Warnings.txt schrieb:

      Warnung: Zugriff verweigert
      ->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Virus
      Jetzt kommt Ahnung über das Betriebssystem ins Spiel:
      1. Dienste werden über den Prozess Services.exe gestartet.
      2. Der Prozess Services.exe läuft im Accou8nt "System - das ist der Account des lokalen Betriebssystems.
      3. Die aktuellen Autostarteinträge für Dienste befinden sich unter dem Registryschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services.
      4. Die Unterschlüssel davon können weitere Registryschlüssel mit einem Wert Imagepath enthalten, der die Datei des Dienstes angibt, die gestartet werden soll.
      5. Registryschlüssel haben (so wie Dateien auch) Zugriffsrechte. Man kann also Zugriff erlauben oder verwehren.
      6. Erlaubt man dort Zugriff auf einen Treiberschlüssel nur für den Account System, kann Autoruns die nicht lesen, sie können aber vom System gestartet werden.
      Würde man das so tun, was die Frau da schreibt, um den Rechner auf Malware hin zu überprüfen, wäre das Geld wohl bereits in Russland.

      Gesehen habe ich so etwas bei mancher Malware aus Russland - das geht in der Art auch noch an anderen Stellen.
      Man kann also nicht darauf verzichten, bei der Nutzung von Autoruns den Process Explorer einzusetzen - dann würde man nämlich eventuell merken, das man irgendetwas nicht sieht. Bei den Systemeinstellungen, Browser Addons und den Treibern sind wird jetzt noch gar nicht.
      Wer nach so einer Anweisung meint, er könne überprüfen, ob eine Infektion vorliegt oder nicht, würfelt ein Würfelspiel mit verdeckten Augen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • 3.) Was mache ich mit den Daten? Wie werte ich die aus?

      Der Artikel sagt darüber sehr viel gutes - eigentlich alles davon ist richtig und sollte man sich gut durchlesen.
      Ein paar Sachen noch zur Ergänzung:
      • Sehr wichtig bei der Analyse sind Signaturen - die kann man nicht so einfach fälschen. Infos in der Dateiresource müssen nicht stimmen, Signaturen sind sehr verlässlich. Ich schaue also nach, welche ausführbaren Dateien mit einer gültigen Signatur versehen sind.
        • Was eine gültige Signatur von Microsoft besitzt, ist nicht verändert und gehört in der Regel zum System (davon kann ich erst mal ausgehen).
        • Um bei den anderen signierten Dateien auf Malware stoßen zu können, schaue ich nach dem Firmennamen in der Signatur und überprüfe, womit sich die Firma beschäftigt.
          • Ist das eine Werbefirma, kann das Adware sein.
        • Ist eine Datei nicht signiert, die eigentlich zum System gehört und normalerweise signiert ist, kann das auf den Befall mit einem Fileinfektor hindeuten. Ich müsste also dann diese Dateien in diese Richtung weiter testen.
          • Zum Beispiel kann man die Prüfsumme der Dateien bei Virustotal hochladen. Erscheinen die Dateien dort als signiert, liegt keine Infektion der Dateien vor.
      • Bei den nicht signierten Dateien schaue ich mir zuzüglich zu den Sachen im Artikel noch den Pfad an, von dem sie ausgeführt wird:
        • Oft befindet sich Malware nicht an Orten, die normalerweise dafür genutzt werden, ausführbare Dateien abzuspeichern, sondern diirekt in Ordner wie %Temp%, %AppData%, %Programdata%,..., weil dort weniger Rechte benötigt werden, um dort Sachen abzulegen.
        • Befindet sich eine Datei mit dem gleichen Namen wie eine Windowsdatei an einem anderen Ort (und wird von da ausgeführt), ist auch das sehr verdächtig.
      • Bei im System angegebenen Proxy- oder DNS-Servern kontrolliere ich die IP.
      • Bei Browser Addons schaue ich ebenfalls, ob ich im Netz Infos zur Firma finde, die das Ding erstellt hat.
      • Zuzüglich schaue ich in meinen Daten nach Widersprüchen:
        • Widersprüche deuten darauf hin, dass mir aus irgendeinem Grund Daten fehlen.
          • Kann ich von einer ausführbaren Datei keine MD5 ermitteln?
            • Ist das der Fall, läuft in der Regel ein RootKit. Das muss ich erst entfernen, um Daten über Malware zu sehen, die eventuell zur Zeit für mich nicht sichtbar sind.
          • Sind unter 64Bit Treiber geladen, die nicht signiert sind?
            • Ist das der Fall, kann ein RootKit laufen. Das muss ich erst entfernen, um Daten über Malware zu sehen, die eventuell zur Zeit für mich nicht sichtbar sind.
          • Finde ich für eine Datei, die jetzt läuft, nicht den Grund (den Autostarteintrag), warum sie gestartet wurde?
            • Ist das der Fall, sind eventuell nicht alle Autostarteinträge für mich sichtbar.
              • Etwas ist durch das Setzen von Registryrechten zum Lesen blockiert.
              • Es könnte ein RootKitbefall vorliegen.
              • Mein Tool listet einen Autostarteintrag nicht.



      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von AHT ()

    • 4.) Sind Fragen offen, fange ich wieder von vorne an und hole mir weitere Daten

      • Identifiziere ich Malware in einem Treiber, muss ich davon ausgehen, dass nach der Entfernung des Treibers andere Sachen für mich sichtbar werden oder später anders darstellen, wenn der Treiber entfernt ist. Ich hole mir nach der Entfernung des Treibers also nochmals komplett die gleichen Daten neu.
      • Finde ich den Ort nicht, von dem aus die Malware gestartet wurde, passt etwas an meiner Datensammlung nicht. Ich sammele mir also Daten auf andere Art - eventuell durch eine Registrysuche oder schaue nach versteckten Objekten. Des Weiteren überprüfe ich, ob ich irgendwo Wissenslücken habe.
      • Oft ist die Frage offen, ob noch weitere Dateien von der Malware abgelegt wurden, als die bereits gefundenen. Ich suche dann noch nach folgenden Sachen:
        • Dateien, die etwa zur selben Zeit erstellt bzw. geändert wurden, wie die Malwaredatei.
        • Dateien mit der gleichen Signatur, wenn die Malware signiert war.
        • Dateien mit den gleichen Resourceninfos wie die Malware, wenn diese besonders auffällig sind.
      • Was tut die Malware?
        • Ich kann sie da zum Beispiel in einer Onlinesandbox testen lassen.
        • Ich kann mir den Quelltext ansehen, wenn es ein Script ist.
        • Ich kann sie auf dem Rechner decodieren, wenn es ein codiertes Powershell Script ist und der Rechner ein Windows10 Rechner ist.
      • Kann ich mir irgendetwas, was in meinen LOGs steht, nicht erklären?
        • Ist das der Fall, fehlt mir Fachwissen. Das muss ich mir aneignen - ich lese mir also sol lange Sachen im Netz durch, bis ich weiß, warum das in dem LOG so steht.
          • Danach sammele ich weitere Daten, wenn sich aus meiner Untersuchung ergeben sollte, das mir etwas fehlt.
      • ....
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

    • 5.) Planung der Entfernung - was musss ich berücksichtigen?

      Elise von EMISOFT schrieb:

      Wie bereits erwähnt, kann Malware sich nach der Entfernung wieder neu anlegen oder sogar den Löschversuch unterbinden.
      Zuzüglich dazu kann sie an anderen Stellen auftauchen, wenn sie von dem Versuch etwas mitbekommt. Genau deshalb muss geplant werden - und genau nach diesem Kernsatz. Man sollte da so wenig wie möglich ausprobieren, sondern wirklich planen.

      Was muss ich also berücksichtigen?
      • Ist die Malware ein Treiber, muss er in einem Modus entfernt werden, in dem der Treiber nicht läuft. Ob er im abgesicherten Modus läuft, sagen meine Daten. Läuft er da nicht, kann ich ihn dort killen. Läuft er dort auch, wäre eine Entfernung von einem anderen System aus angebracht (Live-CD,...). Versucht man manche Malware zu entfernen, bevor der Treiber entfernt wurde (gerade bei DLLs im LSP-Bereich), kann es vorkommen, dass man das System zerschießt, wenn der Treiber da etwas auf bestimmte Art schützt.
      • Ist diese Malware eine DLL, ist es wichtig zu wissen, in welchem Prozess diese DLL läuft.
        • Manche Prozesse sind mit einem Flag CriticalProcess markiert. Versucht man so einen Prozess zu beenden, endet das in einem Bluescreen. Malware kann diesen Flag selbst setzen - tut das aber nur selten. Der User könnte durch einen Rechnerabsturz auf die Maslware stoßen - ich denke, dass da der Grund liegt.
      • Sind es mehrere Prozesse, die von Malware befallen sind, können die sich gegenseitig daraufhin kontrollieren, ob sie noch laufen. Oft hilft es da, alle Threads aller Malwareprozesse erst einmal nur anzuhalten und dann zu beenden, wenn keiner der Malwarethreads in irgendeinem Prozess mehr läuft.
      • Wird die Malware nicht zu früh gestartet, kann man sie eventuell auch berim rechnerneustart entfernen lassen. Da hierfür aber Einträge in die Registry erfolgen, könnte Malware auch darauf reagieren.
      • Unter Umständen kann Malware auch als Prozess im abgesicherten Modus laufen - je nachdem, was befallen ist.
      • Wurde ein Starteintrag nicht für Malware neu erstellt sondern nur ein Eintrag des Systems geändert, darf ich den Eintrag nicht löschen, sondern muss ihn wieder auf den Standard setzen.
      • Reichen die rechte meines Tools aus, um die Malware zu entfernen?
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

    • 6.) Malware entfernen

      Malware haut man ja nicht mit einem Hammer kaputt - in der Regel nutzt man dafür auch irgendein Tool. Wichtig ist dabei zu wissen, wie dieses Tool die Malware entfernt - und ob das so erfolgt, wie das meiner Planung und den Notwendigkeiten entspricht. Ist das nicht der Fall, muss ich nach anderen Mitteln suchen.
      • Wird eine Malwaredatei bei laufendem System oder beim Reboot gelöscht?
      • Stellt mein Tool Standardeinträge automatisch wieder her, oder löscht es nur?
      • Holt es sich zum Löschen spezielle Rechte - oder ändert Zugriffsrechte von Objekten, um diese zu löschen?
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

    • 7.) Ergebnis kontrollieren

      Die Kontrolle des Ergebnisses sollte auf zwei Arten erfolgen:
      1. Das Tool, das ich zur Löschung verwende, sollte mir Rückmeldung über Erfolg und Misserfolg der einzelnen Schritte der Entfernung geben.
        • Je genauer ich sagen kann, warum welcher Schritt nicht funktioniert hat, umso größer ist die Chance, dass ich einen Weg zur Entfernung finde.
      2. Eine Kontrolle des Ergebnisses sollte eigentlich immer auch über eine erneute komplette Sammlung von Daten erfolgen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Oldi-40 schrieb:

      schon mal überlegt, ob man die Scans nicht generell von einem PE-System machen müsste?
      Natürlich!

      Von einem PE System kann man Signaturen, die nicht direkt an die ausführbare Datei angehängt worden sind, nicht korrekt ermitteln. Per API kommt man dann nicht an den Katalog. Das betrifft fast alle Dateien des Betriebssystems.
      Auch wenn man von einem PE System scannt, lässt sich vor Autoruns einiges eventuell auf ähnliche Weise verstecken, wie hier beschrieben:
      Hinweise darauf, dass sich etwas auf einem aktiven System verstecken will, erhalte ich auch nicht. Gerade das ist ja ein sehr guter Hinweis auf Malware. Das hat also alles zwei Seiten.
      Infos aus dem Prozessbereich kann ich ebenfalls nicht auswerten. Listet mein Analysetool den Autostart nicht, den die Malware verwendet, habe ich in dem Fall schon verloren. Das ein Tool von Sysinternals kommt, heißt definitiv nicht,, dass es alle existierenden Autostartmöglichkeiten listet.

      Vorteil bei einem PE System ist, dass RootKits nicht aktiv sind und dort Sachen aufgedeckt sind. Die Tools laufen da auch im Account "System". Auch das kann bei manchen Sachen ein Vorteil sein - aber vielleicht auch ein Nachteil.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 6 mal editiert, zuletzt von AHT ()

    • Oldi-40 schrieb:

      Ich verwende Autoruns nur noch von einem USB-Stick.
      Was mich be Autoruns extrem stört:
      Ich erhalte gar keine Infos über Fehler beim Auslesen. Ich kann also gar nicht merken, ob ich einfach irgendetwas nicht lesen darf, auch wenn das OS mir das über die Rückmeldung der API, die ich nutze, sagen würde, dass das so ist. Für ein Analysetool wäre es eigentlich angebracht, diese Rückmeldungen einzuholen und auszuwerten.
      Alles sieht im Prinzip so aus, als wäre es nicht da - auch wenn es da ist und ich es einfach nur nicht lesen kann.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT