Grundlagen der manuellen Identifizierung und Entfernung von Malware

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • Grundlagen der manuellen Identifizierung und Entfernung von Malware

      Emsisoft startet eine Reihe zur Malware-Entfernung, in der Sicherheitsexperten aus dem Nähkästchen plaudern. Mit diesen ersten Artikel gibt die leitende Malware-Analytikerin Elise zunächst eine Einführung zum manuellen Identifizieren und Entfernen von Malware sowie zu zugehörigen Tools, Vorgehensweisen und Tipps zur Vorbeugung.

      Der Artikel ist im Blog von Emsosoft zu finden: blog.emsisoft.com/de/31201/gru…g-entfernung-von-malware/
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Ein paar Anmerkungen zu dem Artikel...

      1. Der Artikel spricht vo Autoruns von Sysinternals. Gerade die Anwendung würde ich auf aktuellen Systemen nicht unbedingt verwenden. Man wird damit einiges nicht sehen. Des Weiteren lebt Malware nicht nur in Autostarteinträgen, sondern setzt auf Einstellungen, ohne Softwatre im Autostart abzulegen - zum Beispiel DNS Server oder Proxyeinstellungen.
      2. Wenn ich sowieso vorhabe, das System per Augenmaß zu analysieren, würde zuerst gar keinen weiteren Malwarescan durchführen. Bei passender Malware kann das sogar gewaltig in die Hose gehen.
      3. Der Artikel spricht von der Ladeadresse der EXE als wichtigem Erkennungsmerkmal. Die Ladeadresse ist oft bei Anwendungen gleich - sie kann sich sogar auf neuen Systemen ändern (EXploitschutz von Windows10), ohne das Malwarebefall vorliegt. Was er/sie da eigentlich wohl meint, sind die Orte der Starteinträge. Bei dem Wort "Ladeadresse" kriege ich Brechreiz in dem Zusammenhang.
      4. Eine wichtige Zuordnung in den Bereich "keine Malware" kann über das Zuordnen einer gültigen Signatur erfolgen.

      Schwabenpfeil! schrieb:

      Mit diesen ersten Artikel gibt die leitende Malware-Analytikerin Elise
      Hat die wirklich Fachwissen in dem Bereich?
      Wirkliches Fachwissen fängt meiner Ansicht nach hier an: de.wikipedia.org/wiki/Mark_Russinovich
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 13 mal editiert, zuletzt von AHT ()

    • Das ganze ist eine Übersetzung, vielleicht ging da auch das eine oder andere verloren, oder wurde unglücklich übersetzt? Auf jeden Fall wäre es eine Überlegung wert Deine Einwände direkt an Emsisoft zu mailen. :-)
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Kannst Du natürlich gerne machen, aber ich denke Emsisoft würde sich schon auch für Deine Antwort interessieren. :-)

      Da es sich bei der Autorin um eine leitende Malware-Analytikerin handelt, gehe ich mal von entsprechendem Wissen aus. Man darf natürlich auch nicht vergessen, dass solch ein Artikel möglichst so geschrieben werden sollte, dass er auch von vielen verstanden wird. Würde man zu sehr in die Tiefe gehen, dann erreicht man damit nur eine sehr kleine Leserschaft.
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von EstherCH ()

    • Wie sollte eine Rechneranalyse vom Grundprinzip her ablaufen?

      Die Suche und das Entfernen von Malware ist ein Prozess der Planung:
      1. ...man verschafft sich also Ahnung (Fachwissen) über etwas und plant eine Möglichkeit, wie man an Informationen kommt...
      2. ...man führt die Schritte seiner Planung aus...
      3. ...man analysiert das Ergebnis...
      4. ...sind Fragen zum Ergebnis offen, fängt man bei 1. wieder an...
      5. ...man entwirft einen Plan zur Entfernung, wenn Malware läuft. Fehlt Fachwissen, schaft man sich das an...
      6. ...man führt den Plan für die Entfernung aus...
      7. ...man analysiert das Ergebnis der Entfernung...
      8. ...wurde Malware entfernt, fängt man noch einmal bei 1. an, um das Ergebnis zu kontrollieren...
      9. ...konnte die Malware nicht entfernt werden, fängt man ebenfall bei 1. erneut an...
      Ich ich hier von Ahnung (Fachwissen) rede, bedeutet das nicht, das man Experte in irgendwelchen Sachen sein muss. Man muss nur ein Bild von einer Sache haben, von dem man für sich selbst sagen kann, dass man das so verstanden hat, dass man es in der Realität anwenden kann - dieses Bild.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • 1a.) Welche Infos brauche ich?

      1. Auf welchem Betriebssystem befinde ich mich eigentlich? Was Malware wie tun kann, hängt manchmal vom Betriebssystem ab.
        • An Fachwissen benötige ich folgendes zwingend:
          • Welche Unterschiede gibt es zwischen den Betriebssystemen?
          • Was sind die Unterschiede bei einem 32Bit und 64Bit Betriebssystem?
          • Wie sind die Festplatten formatiert?
        • Es wäre schon, folgendes über das Betriebssystem zu wissen:
          • Welche Version läuft?
          • Home oder Pro?
          • 32Bit oder 64Bit?
          • Welche Servicepacks sind installiert?
      2. Malware kann nur etwas tun, wenn sie läuft. Ich brauche also Infos über laufende Prozesse.
        • An Fachwissen benötige ich folgendes zwingend:
          • Was sind Prozesse überhaupt?
          • Was ist der Unterschied bei 32Bit und 64Bit Prozessen?
          • Was ist eine ProzessID?
          • Wie werden Prozesse gestartet?
          • Was sind ausführbare Dateien und wie funktionieren sie?
          • Was sind DLLs und wie funktionieren sie?
          • Was sind Threads und wie funktionieren sie?
          • Was sind User Accounts und welche Prozesse laufen in anderen Accounts, als in dem des eingeloggten Users?
          • Was sind Dateiresourcen?
          • Was sind Signaturen?
          • Wie funktioniert die Ausführung von Code?
        • Über die Prozesse wäre es schön, folgende Sachen zu wissen (Idealvorstellung erst mal):
          • Wie ist der Name des jeweiligen Prozesses?
          • Wie lautet die ProzessID?
          • Welche Datei hat den Prozess gestartet genau gestartet? Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei?
          • Mit welchen Parametern wurde die Datei gestartet?
          • Welcher Prozess hat genau welchen Prozess gestartet?
          • In welchem Account läuft der jeweilige Prozess?
          • Welche DLL wurde in welchen Prozess geladen?
          • Wie hoch ist die Prozessorauslastung jedes Prozesses über einen gewissen Zeitraum?
          • Welche Threads laufen in welchem Prozess? Führt jeder Thread nur Code aus, der sichtbar in einer DLL steht?
      3. Welche Treiber laufen aktuell im System?
        • An Fachwissen benötige ich folgendes zwingend:
          • Was sind Treiber?
          • Wie werden sie gestartet?
          • Besonderheiten bei Treibern unter 64Bit.
        • Über die laufenden Treiber wäre es schön, folgende Sachen zu wissen (Idealvorstellung erst mal):
          • Genauer Dateiname und Pfad des Treiber. Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei?
          • Welche Treiber laufen auch im abgesicherten Modus oder würden da laufen?
          • Von wo aus wird der Treiber gestartet?
      4. Welche ausführbaren Dateien startet das System automatisch (DLLs, Dienste, Treiber, EXE-Dateien, Scripte, Batch-Dateien, Verknüpfungen,...)?
        1. Welche Dateien werden über das Vorhandensein in bestimmten Ordnern gestartet?
          • An Fachwissen benötige ich folgendes zwingend:
            • Welche Ordner gibt es auf dem jeweiligen System, aus denen Dateien heraus automatisch gestartet werden?
            • Was sind Verknüpfungen? Welche Arten von Verknüpfungen gibt es und wie funktionieren sie?
              • Wann weist der Parameter einer ausführbaren Datei auf die Malware und wann nicht?
            • Wie Sicher ist ein Dateidatum einer Datei? Unter welchen Voraussetzungen stimmt es nicht mit der Änderung oder Erstellung der Datei überein?
          • Was müsste ich an Infos über die Dateien in diesen Ordnern wissen?
            • Wann wurde der Eintrag erstellt?
            • Wann wurde der Eintrag erstellt bzw. geändert?
            • Ist es irgendeine Art von Verknüpfung?
              • Ist es eine Verknüpfung, muss ich das Ziel ermitteln können.
                • Welche Dateien werden über die Verknüpfung gestartet? Genauer Dateiname und Pfad der gestarteten Datei. Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei? Mit welchen Parametern wird sie gestartet? Wann wurde die Datei erstellt bzw. geändert?
            • Ist es keine Verknüpfung?
              • Genauer Dateiname und Pfad der gestarteten Datei. Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei? Wann wurde die Datei erstellt bzw. geändert?

        2. Welche Dateien werden über die Registry gestartet?
          • An Fachwissen benötige ich folgendes zwingend:
            • Was sind Registryhives?
            • Was sind Registrywerte?
            • Was sind Registryschlüssel?
            • Welche Autostartmöglichkeiten gibt es?
              • Wie sind diese aufgebaut?
              • Wie funktionieren sie?
              • Wie sehen Autostarts aus, die generell auf allen Systemen vorhanden sind?
              • Wann weist der Parameter einer ausführbaren Datei auf die Malware und wann nicht?
            • Kann man das Datum eines Eintrags in der Registry ermitteln? Wie sicher ist das?
          • Was müsste ich an Infos über diese Autostarts wissen?
            • Genauer Dateiname und Pfad der gestarteten Datei. Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei? Welche Dateiattribute hat sie? Wann wurde die Datei erstellt bzw. geändert?
            • Wan wurde der Schlüssel zuletzt geändert, in dem sich der Autostart befindet?
        3. Was wird an Code über die WMI gestartet?
          • An Fachwissen benötige ich folgendes zwingend:
            • Was ist die WMI?
            • Welche Autostartmöglichkeiten gibt es?
              • Wie sind diese aufgebaut?
              • Wie funktionieren sie?
              • Wann weist der Parameter einer ausführbaren Datei auf die Malware und wann nicht?
              • Wie sehen Autostarts aus, die generell auf allen Systemen vorhanden sind?
          • Was müsste ich an Infos über diese Autostarts wissen?
            • Genauer Dateiname und Pfad der gestarteten Datei. Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei? Welche Dateiattribute hat sie? Mit welchen Parametern wird sie gestartet? Wann wurde die Datei erstellt bzw. geändert?
        4. Welche Dateien werden über das Vorhandensein bestimmter Dateien gestartet?
          • An Fachwissen benötige ich folgendes zwingend:
            • Welche Autostartmöglichkeiten gibt es da?
            • Wie funktionieren diese Autostartmöglichkeiten?
          • Was müsste ich an Infos über diese Autostarts wissen?
            • Genauer Dateiname und Pfad der gestarteten Datei. Ist sie signiert - wen ja, mit welchen welchen Firmeninfos? Welche Dateiresourcen hat sie (Produktname, Beschreibung der Datei, Firmenname)? Welche MD5 hat die Datei? Welche Dateiattribute hat sie? Mit welchen Parametern wird sie gestartet? Wann wurde die Datei erstellt bzw. geändert?

      5. Malware ändert manchmal (manchmal auch nur) Einstellungen des Betriebssystems. Das kann erfolgen, um die Ausführung erst möglich zu machen oder aber auch, um Malwareaktionen direkt durchzuführen. Ich brauche also eine Möglichkeit, bestimmte Einstellungen des Systems zu lesen.
        • An Fachwissen benötige ich folgendes zwingend:
        • Welche Einstellungen sind für Malware relevant?
          • Wo befinden diese Einstellungen sich?
          • Wie sind sie aufgebaut?
          • Was bewirken sie genau?
          • Wie sind die Standardwerte auf dem jeweiligen Betriebssystem?

        • Was müsste ich an Infos über diese Einstellungen wissen?
          • Wie lauten die dort gesetzten Einstellungen?
            • Welche Proxyserver sind eingestellt?
            • Welche DNS-Server sind eingestellt?
            • Wie ist die UAC eingestellt, wenn das System die besitzt?
            • Welche Dateiendungen sind mit welchen ausführbaren Dateien verknüpft?
            • ...

      6. Malware ändert manchmal Einstellungen des Browsers, um zum Beispiel zusätzliche Plugins oder Addons auszuführen, Internetseiten zu starten oder über bestimmte Proxys im Internet surfen zu lassen. Ich brauch also eine Möglichkeit, Browsereinstellungen zu lesen.
        • An Fachwissen benötige ich folgendes zwingend:
          • Welche unterschiedlichen Browser gibt es?
          • Welche Einstellungen könnten für Malware relevant sein?
          • Wie werden dort genau Einstellungen gesetzt? Wie funktionieren sie?
        • Was müsste ich an Einstellungen auslesen?
        • Eingestellte Plugins.
        • Eingestellte Addons.
        • Eingestellte Proxyserver.
        • Eingestellte Suchmaschinen.
        • Eingestellte Start- und Suchseiten (etc.).
      7. Ich brauche eine Möglichkeit, Sachen im Dateisystem zu suchen. Ideal wären hier folgende Suchmöglichkeiten:
        • Suche nach Datei oder Ordnername.
        • Suche nach MD5.
        • Suche nach Änderungs- oder Erstellungsdatum.
        • Suche nach Resourcen (Firmenname, Produktname).
        • Suche nach Signaturen (Firmenname).
      8. Ich brauch eine Möglichkeit, Sachen in der Registry möglichst zuverlässig suchen zu lassen.
      9. Ich brauche eine Möglichkeit, beliebige Sachen aus der WMI zu listen.
      10. Malware versteckt sich manchmal vor Virsenscannern und auch vor dem Auge des Users. Ich brauch also Möglichkeiten, auf Versteckte Objekte stoßen zu können, denn alleine die Tatsache, dass etwas versteckt ist, deutet in der Regel schon auf Malwarebefall hin.
        • An Fachwissen benötige ich folgendes zwingend:
          • Ich muss wissen, welche Versteckmöglichkeiten Malware hat:
            • Versteckmöglichkeiten im MBR oder Bootsektor.
            • Versteckmöglichkeiten durch Eingriffe in Objekte im Kernel oder Usermode.
            • Versteckmöglichkeiten durch API Hooking:
              • Welche APIs sind für Malware interessant?
              • Wie funktionieren die verschiedenen Techniken von API Hooking?
            • Versteckmöglichkeiten durch das Setzen von Rechten.
            • Wie funktionieren Scantechniken für versteckte Objekte?
              • Welche Scantechniken für versteckte Objekte funktionieren auf welchen Systemen nicht?
          • Welche versteckten Objekte muss ich berücksichtigen?
            • MBR und Bootsektor eventuell.
            • Rechteeinstellungen in der Registry.
            • Rootkits im Kernelmode oder Usermode

      11. Malware ändert manchmal nur den Inhalt von Verknüpfungen,, auch wenn sie nicht automatisch vom System gestartet werden. Das geschieht zum Beispiel, um ein weiteres Programm mit einem anderen zusammen zu starten oder den User auf andere Art zum Anklicken der Verknüpfungen anzuregen. Ich brauche also ein Programm, was mir beliebige Verknüpfungen auflöst und deren Inhalt anzeigt.

      Aus den Sachen ergibt sich unter anderem, welche Tools ich nutze.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von AHT ()

    • 1b.) Grundsätzliches zur Auswahl eine Analysetools

      Grundsätzliches:
      Sucht man ein Tool aus für die Hauptanalyse aus, sollte man nicht unbedingt immer das Tool nehmen, was die meisten Infos liefert. Wichtig ist, das Tool zu nutzen, dessen Daten für einen persönlich am aussagekräftigsten sind (das man also am besten kennt) - und das aus folgendem Grund:
      Manchmal (eigentlich schon recht oft) sagen nicht nur die Daten, die man erhalten hat, etwas über einen Befall eines Rechners aus - es sind auch die Daten, die eigentlich da sein müssten, die aber nicht angezeigt werden.

      Beispiel 1.)
      Auf einem 64Bit System läuft ein Treiber, der scheinbar unsigniert ist. Das Tool, das ich nutze, müsste die Signatur eigentlich lesen können. Das System wurde nicht so eingestellt, dass unsignierte Treiber ausgeführt werden können.
      Das alleine ist eigentlich schon ein sicherer Hinweis darauf, dass ein RootKit auf dem Rechner läuft.

      Beispiel 2.)
      Auf einen System befindet sich eine Datei, die ausgeführt wird, von der sich aber keine MD5 ermitteln lässt. Das Tool, das ich nutze, müsste die MD5 eigentlich lesen können.
      Auch das ist eigentlich schon ein Hinweis darauf, dass ein RootKit auf dem Rechner läuft und ich mit meinen bisherigen Scantechniken manche Sachen unter Umständen nicht sehen kann.

      Aus diesem Grund ist mein Hauptanalysetool aus ein selbst erstelltes Tool. Wenn irgendetwas widersprüchliches gelistet wird, springt mir das in der Regel in die Augen und haut mich mit 'nem Knüppel - eben weil ich genau weiß, was das Tool intern tut und wie es das tut. Hat man keine Ahnung und kein Fachwissen, stößt man auf solche Widersprüche nicht. Unter anderem deswegen steht hier auch immer die Ansammlung von Wissen vor jeder Aktion.

      Ergebnisse des Hauptanalysetools sollten (meiner Meinung nach) immer mit anderen Mitteln gegenkontrolliert werden. Warm ist das so?
      • Tools können genau die gleiche Sache auf unterschiedliche Arten tun - und deshalb in Sonderfällen unterschiedliche Ergebnisse bringen. Malwarebefall gehört zu den Sonderfällen.
      • Kein Tool ist frei von Fehlern und Lücken:
        • Es gehört manchmal nicht viel dazu, als Malwareschreiber Fehler in einem Tool zu erkennen und diese auszunutzen, um Sachen vor dem Tool zu verstecken - es muss sich nur lohnen.
        • Wird immer nur ein Tool genutzt, fallen Fehler und Lücken gar nicht auf
      Ein weiteres Kriterium bei der Auswahl der Analysetools ist eigentlich genau die Sache, die dazu gebracht hat, einen Rechner für infiziert zu halten.

      Beispiel 1.)
      Ist der Rechner auffällig langsam, benötige ich am besten noch eine Möglichkeit, die Prozessorlast der einzelnen Prozesse über langere Zeit auszuwerten.

      Beispiel 2.)
      Poppen Fenster im Browser beim Surfen auf, nutzt es nichts, nur die Autostarteinstellungen zu kontrollieren. Ich brauch auch Infos über die Browser.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von AHT ()

    • Adell Vállieré schrieb:

      Da bleibe ich lieber beim Emsisoft Artikel...
      Warum genau? Liegt es daran, dass da nirgendwo von dem Aneignen von Fachwissen die Rede ist? Liegt es daran, dass man in dem Artikel nur irgendein Tool auswählen muss, was irgendwelche Autostarts listet und man irgendwo draufklicken muss, ohne zu verstehen, was das Tool eigentlich tut?
      So einfach ist das leider nicht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

    • 1c.) Die Auswahl des/der Tools - einige Analysetools und ihre Vor- und Nachteile

      Ich werde an dieser Stelle einige Tools vorstellen und deren Vor- und Nachteile bei der Analyse und Entfernung von Malware aufzeigen.
      Der Artikel mit der Zeit komplettiert - ich habe im Augenblick wenig Zeit dazu, hier Sachen einzutragen. Also öfters mal reinsehen, wenn das interessiert.
      1. Autoruns for Windows (das im Artikel vorgestellte Tool)
        • Vorteile
          • Es ist einfach und übersichtlich aufgebaut.
          • Es listet Einträge im Bereich der WMI sehr zuverlässig.
          • Es zeigt in der Regel den Ort der Einträge genau an.
          • Es kann eine LOG-Datei erstellt werden um die Ergebnisse mit anderen zu besprechen und sie zu teilen.
          • Es kann Einträge einfach entfernen.
          • Es kann Einträge, die definitiv zu Windows gehören, recht sicher ausblenden.
          • Es funktioniert unter 32Bit und 64Bit (es gibt eine 64Bit Version).
          • Was es aus dem Bereich der Autostarts listet, reicht bei der meisten Malware aus.
        • Nachteile
          • Es listet nur die Sachen im Bereich der Autostarts. Alle anderen Bereiche müssten mit zusätzlichen Tools untersucht werden.
          • Wenn ein Eintrag über das Tool bei laufender Malware gelöscht wurde, kann die Malware das mitbekommen und den Autostart Eintrag an anderer Stelle neu erstellen.
          • Das Tool listet zum Beispiel Autostarteinträge im Bereich der Telephony Providers nicht, wenn ich das zur Zeit richtig sehe. Um Einträge zu listet, die nicht vom Tool angezeigt werden, muss man auf ein Update des Tools warten.
          • Es zeigt dem User keinen Fehlerbericht über die Aktionen an, die ausgeführt wurden. Es ist deshalb immer fraglich, ob das Tool wirklich alles gelistet hat, was es an Autostarteinträgen normalerweise listen kann.
        • Fazit
          • Das Tool ist zwar "alltagstauglich", reicht aber bei alleine weitem nicht für eine Rechneranalyse nicht aus. Man kann zwar Einträge entfernen - ob das bei Malware aber wirklich sicher geschieht, steht auf einem ganz anderen Blatt.
      2. HijackThis
        • Vorteile
        • Nachteile
          • Es ist aklles andere als aktuell und listet bei weitem nicht alles, was wichtig ist.
          • Es ist nicht 64Bit tauglich. Es berücksichtigt die Umleitungen des WOW64 Emulators unter 64Bit nicht. Die Ergebnisse sind deshalb an vielen Stellen unter 64Bit nicht korrekt.
          • Was es listet und was nicht, ist starr vorgegeben. Es kann vom User in der Funktionalität nicht erweitert werden.
        • Fazit
          • Unter keinen Umständen würde ich dieses Tool heutzutage noch zur Systemanalyse verwenden!
      3. OTL
        • Vorteile
          • Es berücksichtigt mehrere Bereiche (Prozesse, Systemeinstellungen, Browsereinstellungen, Autostarts).
          • Das Tool ist von seiner Funktionalität her in dem was es listet stark erweiterbar.
          • Es kann kann Sachen auch entfernen.
          • Es berücksichtigt die WOW64 Umleitungen - oder kann sie optional berücksichtigen (OTL ist 32Bit).
          • Es gibt Anleitungen im Netz.
          • Man kann mit einer Boot CD den Rechner auch untersuchen, ohne dass das System aktuell läuft.
        • Nachteile
          • Es wird nicht mehr weiterentwickelt.
          • Der RunOnceEx Autostartschlüssel wird falsch gelistet.
          • Es ist ein 32Bit Programm und kann alleine deshalb schon unter 64Bit nicht alles tun.
          • Einige deutsche Anleitungen wurden leider aus dem Netz entfernt.
          • Bei der Anwendung unter 64Bit ist sehr viel Fachwissen über den WOW64 Emulator notwendig, um das Tool in jedem Fall wirklich korrekt bedienen zu können.
        • Fazit
          • Hat man das passende Fachwissen und berücksichtigt die Einschränkungen, die man mit dem Tool unter 64Bit und aufgrund der Fehler hat, kann man das Tool zur Not zur Systemanalyse noch nutzen. Ob es wirklich an jeder Stelle (vor allen Dingen im Bereich der Browser) noch optimale Ergebnisse bringt, steht auf einem anderen Blatt.
      4. ZHPDiag
        • Vorteile
          • Ist zwar ein 32Bit Programm, es berücksichtigt aber die WOW64 Umleitungen des Systems und kann auch unter 64Bit genutzt werden.
          • Es sucht scheinbar auch selbständig nach bekannter Malware und gibt Hinweise darauf, was auf dem System gefunden wurde.
          • Es ermöglicht den Einblick in mehrere Bereiche von dem hier.
        • Nachteile
          • Gute Tutorials finde ich im Netzt gar nicht. Was ich finde, ist in der Originalsprache nur in Französisch:
          • Der Funktionsumfang des Tools ist scheinbar vom User nicht erweiterbar. Man ist auf Updates angewiesen, um zusätzliche Sachen scannen zu können.
          • Es deckt mit Sicherheit nicht alle Bereiche ab, die von Malware genutzt wird.
          • Entfernung wirkt aufgrund der fehlenden Tutorials sehr kompliziert. Ein extra Tool ist nötig.
          • Die LOGs sind etwas "eingewöhnungsbedürftig". Was Signatur ist und was Resource ist manchmal schwer ersichtlich.
          • Es ist nur ein 32Bit Programm. Auch wenn die Umleitungen korrekt deaktiviert werden, sollte man das für die Analyse wissen - es kann mit einem 32Bit Programm unter 64Bit eben nicht alles korrekt ermittelt werden.
        • Fazit
          • Im deutschen Sprachraum würde ich das Tool eher nur zur Überprüfung von Ergebnissen anderer Tools nutzen. Der Funktionsumfang ist mir persönlich zu gering, um damit an wirklich aussagekräftige Ergebnisse zu kommen.
      5. Farabar Recovery Scan Tool
        • Vorteile
          • Es gibt eine 32Bit und eine 64Bit Version. Das Tool ist also voll kompatibel mit 64Bit Systemen.
          • Es gibt laufend Updates für das Tool.
          • Es wird in fast allen Onlineforen genutzt. Es ist deshalb einfach, sich einen Überblick über die Nutzung zu verschaffen.
          • Es deckt die wichtigsten von Malware genutzten Bereiche von hier ab.
          • Der Funktionsumfang des Tools ist durch Fixlist-Scripte vom User erweiterbar. Unter anderem durch die Nutzung von Kommandozeilen-Tools und die Nutzung von Powershell.
          • Die LOGs sind einfach und übersichtlich.
          • Es gibt sehr viele gute Tutorials für das Tool: trojaner-board.de/145752-anlei…ool-frst.html#post1208897
          • Malware ist über das Tool einfach entfernbar.
          • Es gibt die Möglichkeit, einige Einträge in den LOGs auszublenden, die das Tool für unbedenklich hält.
          • Es listet auch Fehler aus der Ereignisanzeige - auch das kann Hinweise auf einen Befall liefern.
          • Es listet Erkennungen des Guards des WindowsDefenders.
        • Nachteile
          • Es ist in Autoit programmiert:
            • Malware kann sich leicht auf das Tool anpassen, da es sehr einfach komplett in den Quelltext hinein dekompilierbar ist.
            • Autoit hat einen "Fehler" im Bereich des Listens von Registrywerten und Registryschlüsseln. Dieser Fehler kann von Malware ausgenutzt werden, um sich vor in Autoit geschriebenen Programmen zu verstecken. Das Tool von Farbar ist hier an wenigen Stellen dafür noch anfällig. Da Powershell auf die gleichen Manipulationen in der Registry mit ähnlichem Fehlverhalten reagiert, können Ergebnisse unsicher sein.
          • Es wird in vielen Ländern in Onlineforen als einziges wirkliches Tool zur Systemanalyse genutzt. Ein Austricksen des Tools könnte sich für manche Malware lohnen.
          • Man erhält zu wenig Information, die auf den Befall des Rechners mit einem Fileinfektor (also einen klassischen Virus) hindeuten. Man sollte weitere Tools einsetzen, die in diesem Bereich Sachen suchen oder Infos liefern.
          • Auch wenn es die wichtigsten Bereiche abdeckt, fehlen beim Scan noch wichtige Sachen. An die kann man erst in einem zweiten Schritt kommen, wenn man die sich holen möchte. Bei OTL ist das anders.
          • Wie sicher das Ausblenden von unbedenklichen Einträgen wirklich funktioniert, ist fraglich.
        • Fazit
          • Nutzt man das Tool, sollte man immer im Hinterkopf haben, dass die Ergebnisse fehlerhaft oder nicht komplett sein könnten, weil bestimmte Malware es darauf anlegen könnte, dass das so ist. Das ist bei der Analyse auf jeden Fall zu berücksichtigen - also bei dem, was man zusätzlich noch tut.
      6. PPFScanner
        • Vorteile
          • Es gibt eine 32Bit und eine 64Bit Version.
          • Die 32Bit Version deaktiviert die Umleitungen des WOW64 Emulators und ist deshalb bedingt zur Not ebenfals unter 64Bit einsetzbar.
          • Das Tool ist vom User durch Scripte im großen Rahmen in seiner Funktionalität anpassbar. Die Ansteuerung und Einbindung anderer Scriptsprachen (Powershell, VBScript, Javascript, XProfan, Autoit, ...) ist durch Scripte möglich.
          • Es kann fast beliebig andere Tools ansteuern und mit in die Sammlung dr Daten einbauen.
          • Es können alle Bereiche von hier abgedeckt werden.
          • Es nutzt intern an mehreren Stellen andere Vorgehensweisen als das Tool von Farbar.
        • Nachteile
          • Es ist sehr komplex in der Bedienung.
          • Malware kann nicht auf einfache Art automatisch entfernt werden.
          • Ein hohes Maß an Fachwissen ist für die Bedienung des Tools nötig. Zum Teil reicht das bis in den Programmierbereich hinein.
          • Scans können sehr lange dauern, da sie komplett Scriptgesteuert sind und der Rechner deshalb mehrfach durchgegangen wird.
        • Fazit
          • Für normale Anwender ist das Ding nicht geeignet (soll es auch nicht sein). Wunderbar eignet es sich meiner Meinung nach zur Gegenkontrolle der Ergebnisse anderer Tools.
      7. Process Monitor
        • Vorteile
          • Das Tool kann Ereignisse auf dem Rechner, die durch Prozesse erzeugt wurden, mitloggen:
            • Netzwerkzugriffe
            • Registryzugriffe
            • Dateizugriffe
            • Process- und Threadaktivitäten:
              • Prozess oder Thread erzeugen
              • Prozess oder Thread beenden
              • Image in Prozessspeicher laden
          • Die geloggten Ereignisse lassen sich sehr umfangreich filtern.

        • Nachteile
          • Es kümmert sich nur um den Prozessbereich. Für alle anderen Sachen braucht man weitere Tools.
          • Es liest keine Signaturen von ausführbaren Dateien aus.
          • Prozesse können nicht beendet werden.
        • Fazit
          • Ein sehr schönes Tool, wenn man bestimmte Aktivitäten von Prozessen überwachen möchte. Zur Malwareanalyse aber nur bedingt geeignet.
      8. Process Explorer (das im Artikel erwähnte Tool)
        • Vorteile
          • Es gibt eine 32Bit und eine 64Bit Version.
          • Es kann Umgebungsvariablen der Prozesse listen.
          • Es kann Textausdrücke aus dem Prozessspeicher listen.
          • Prozesse und Kindprozesse können beendet werden.
          • Prozesse können angehalten werden und fortgesetzt werden.
          • Prozesse können bei Virustotal überprüft werden.
          • Es kann online nach Prozessnamen gesucht werden.
          • Man kann die dazugehörige Datei im Explorer suchen und Signaturen dort überprüfen.
        • Nachteile
          • Ein komplettes LOG mit wichtigen Infos zu allen laufenden Prozessen kann nicht erstellt werden. Es eignet sich eher zur lokalen Anwendung, als zur Analyse im Netz.
          • Es kümmert sich nur um den Prozessbereich. Für alle anderen Bereiche benötigt man weitere Tools.
          • Es liest und überprüft selbst keine Signaturen. Der Check ist da umständlich.
        • Fazit
          • Zur Malwareanalyse im Prozessbereich auf einem lokalen Rechner halte ich das Tool für absolut genial. Alleine reicht das Tool zur Rechneranalyse aber bei weitem natürlich nicht aus.







      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 18 mal editiert, zuletzt von AHT ()

    • AHT schrieb:

      Adell Vállieré schrieb:

      Da bleibe ich lieber beim Emsisoft Artikel...
      Warum genau? Liegt es daran, dass da nirgendwo von dem Aneignen von Fachwissen die Rede ist? Liegt es daran, dass man in dem Artikel nur irgendein Tool auswählen muss, was irgendwelche Autostarts listet und man irgendwo draufklicken muss, ohne zu verstehen, was das Tool eigentlich tut?So einfach ist das leider nicht.
      "Da bleibe ich lieber beim Emsisoft Artikel..." => Die Betonung liegt hier auf "lieber".

      Vorab: Du schriebst, dass du gerne erklären würdest, wie du vorgehst. Daher nimm das nicht persönlich.

      Ich denke nur, dass ein ganz normaler User dieses Wissen nicht benötigt. Der Artikel von Emsisoft richtet sich an ein Publikum, welches dieses Fachwissen eben nicht besitzt. Wieso sollte sich ein normaler User die Mühe überhaupt machen? Dafür gibt es ja solche "Experten".

      AHT schrieb:

      Hat die wirklich Fachwissen in dem Bereich?
      Wirkliches Fachwissen fängt meiner Ansicht nach hier an: de.wikipedia.org/wiki/Mark_Russinovich
      Mir solchen "Wissen" anzueignen fehlt mir einfach die Zeit.

      Das war alles. Daher ist der Emsisoft Artikel für mich als Leser angenehmer.
      Gamer from Germany | Head & Founder of the CPN | Head & Founder of the Artemis Network | Fighter for Freedom and Justice


      Der größte Trick des Teufels, mal abseits seiner Pläne,
      war die Menschheit glauben lassen, dass es ihn nicht gäbe...
    • Adell Vállieré schrieb:

      Mir solchen "Wissen" anzueignen fehlt mir einfach die Zeit.

      Das war alles. Daher ist der Emsisoft Artikel für mich als Leser angenehmer.
      Das sehe ich genauso. Man muss nicht überall Detailwissen haben, das geht auch gar nicht.
      Gruß Eisbär

      Wenn jemand ein Problem mit mir hat, darf er es ruhig behalten.
      Es ist ja schließlich seins.
      Mein aktuelles System
      Kein Backup? Kein Mitleid!
      Unterbrich nie eine Frau, wenn sie nicht redet! :-D
    • Eisbär schrieb:

      Man muss nicht überall Detailwissen haben, das geht auch gar nicht.
      Für Malwareentfernung ist das Oberflächenwissen. Dateilwissen geht sehr viel tiefer.

      Besitzt man kein Oberflächenwissen von einer Sache, ist das Ergebnis Glücksache.
      Ist Malwareentfernung ein Würfelspiel, würfelt man da um seinen eigenen Geldbeutel (oder den von anderen).
      Malewareentfernung ist an vielen Stellen im Netz nachweislich Glückssache.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Besitzt man kein Oberflächenwissen von einer Sache, ist das Ergebnis Glücksache.
      Ist Malwareentfernung ein Würfelspiel, würfelt man da um seinen eigenen Geldbeutel (oder den von anderen).
      Dafür gibt es "Experten".
      Gamer from Germany | Head & Founder of the CPN | Head & Founder of the Artemis Network | Fighter for Freedom and Justice


      Der größte Trick des Teufels, mal abseits seiner Pläne,
      war die Menschheit glauben lassen, dass es ihn nicht gäbe...
    • Gebrauche das Wort "Experten" nicht so leichtfertig. Die Leute, die erfolgreich im Netz Malware entfernen (ohne das es ein zu großes Würfelspiel ist) haben in der Regel Oberflächenwissen. Expertenwissen geht sehr viel tiefer, exponenttial in die Tiefe sozusagen...

      Die Leute, die noch nicht einmal Oberflächenwissen besitzen, halten sich in der Regel für Experten. Hat man nur einen gewissen Wissenstand (knapp über 0) kann man bei manchen Sachen die Nase noch nicht einmal so weit nach oben Recken, dass man erkennen kann, was einem an Wissen überhaupt fehlt.

      Wenn die Nase so weit über dem Wasserspiegel sitzt, dass man Luft bekommt, kann man überhaupt erst erkennen, welche Körperteile noch raus müssen, um zu arbeiten. An der Stelle sollte man bei der Malwareentfernung zu mindest sitzen - Nase über dem Wasserspiegel also. Taucht man absichtlich zu weit unter, sollte man Malwareanalysen besser nicht durchführen.

      AHT schrieb:

      Taucht man absichtlich zu weit unter, sollte man Malwareanalysen besser nicht durchführen.
      Das ist die wichtigste Grundlage der manuellen Malwareentfernung überhaupt.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 5 mal editiert, zuletzt von AHT ()

    • Eisbär schrieb:

      Man muss nicht überall Detailwissen haben, das geht auch gar nicht.
      Genau die selbe Einstellung haben leider viele Leute, die im Netz Malware entfernen. Leider machen die dabei einen Fehler:
      Die halten Oberflächenwissen für Datailwissen. Das tust du auch.
      Das ist sehr gefährlich, wenn es um Malwareentfernung geht.
      Hier ein paar Beispiele aus der Realität, die deutlich machen sollen, warum das gefährlich ist:

      Beispiel 1:
      Ein Helfer (beschäftigt im Supportforum einer namhaften Antivirenfirma) erhält von einem User (der nebenbei programmiert) mit Hilfegesuch ein LOG des Rootkitscanners GMER mit ihm merkwürdig vorkommenden Einträgen.
      Der Helfer sagt dem User, dass Einträge in GMEr nicht bedeuten müssen, dass Malware auf dem Rechner ist und er sich da erst mal keine Gedanken machen soll.
      Hätte der Helfer es nicht als unnötig empfunden, Sachen zu wissen, die hier unter 10. (API Hooking) erwähnt sind, hätte er aus dem LOG von GMER gesehen, dass Adware den Rechner befallen hat und scheinbar versucht, die Entfernung zu erschweren. Hier hat jemand ohne Ahnung (der User) bereits mehr Ahnung von der Suche nach Malware, als derjenige, der sich damit eigentlich beschäftigt. :8O:

      Beispiel 2:
      Jemand, der noch niemals zuvor das Tool OTL genutzt hat, streift durchs Netzt und stößt auf Beiträge, in denen ein Mediyes Trojaner entfernt wurde. Irgendetwas kommt dieser Person an den Ergebnissen der Scans merkwürdig vor - und er liest sich das erste Mal in seinem Leben für drei Minuten ein Tutorial von OTL durch. Sofort sieht er, dass in ganz Deutschland mit falschen Scripten für OTL gearbeitet wurde, die nicht 64Bit tauglich waren!
      Jemand ohne irgendwelche Ahnung von der Sache hat hier plötzlich mehr Wissen, als Leute, die in der Nutzung von OTL ausgebildet wurden. Warum ist das so? Weil Sachen, die hier unter 1. (Betriebsystem) erwöhnt wurden als unnötiges Wissen empfunden worden sind.

      Beispiel 3:
      Über etwa zehn Jahre hinweg sind im Netz LOGs von Farbar und OTL zu finden, die folgende Einträge enthalten:


      OTL.txt schrieb:

      O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found
      O4 - HKLM..\RunOnceEx: [Title] Mein Virus File not found

      FRST.TXT schrieb:

      1. HKLM-x32\...\runonceex: [Flags] - 128
      2. HKLM-x32\...\runonceex: [Title] - RegRun II Secure Start

      Die konnten deshalb nur über 10 Jahre hinweg so im Netz stehen, weil das Wissen über Sachen für unnötig gehalten worden ist, die ich hier 4.2. (Registry Autostarts) für unnötig gehalten worden ist. Ansonsten hätte man gesehen, dass beide Tools den RunOnceEx Schlüssel falsch listen - allein schon aus diesen Einträgen heraus.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • @AHT
      Da du mich nun mal zitiert hat.
      Die Einteilung von Detailwissen hast du vorgenommen, kein anderer. So tiefgründig war das nicht gemeint von mir.

      Ärgere dich doch nicht! :roll:
      Du findest hier in diesem Forum für deine sicher richtigen, ausschweifenden, Erklärungen nicht das von dir erwünschte Podium.
      Da beißt die Maus nun mal keinen Faden ab.
      Der Thread wurde von @Schwabenpfeil! eröffnet und diente der einfachen Info, deshalb auch meine Antwort.

      Was mich betrifft, ich will dieses Wissen gar nicht erwerben und lese, wenn überhaupt,
      keine für mich zu schwere Kost, weil sie mir nichts bringt.
      Ich kann nicht beurteilen, welche Experten sich mit welchen Absichten um die Beseitigung von z.B. Malware kümmern.
      Steckt da ein Geschäftssgebaren dahinter oder macht er/die das aus lauter Nächstenliebe.

      Deshalb kann ich auch nicht Infragestellen, was Emsisoft dazu schreibt, warum auch?
      Das wars von mir dazu, keine weiteren Beiträge.
      Gruß Eisbär

      Wenn jemand ein Problem mit mir hat, darf er es ruhig behalten.
      Es ist ja schließlich seins.
      Mein aktuelles System
      Kein Backup? Kein Mitleid!
      Unterbrich nie eine Frau, wenn sie nicht redet! :-D
    • Eisbär schrieb:

      Ärgere dich doch nicht!
      Ich ärgere mich nicht, ich freue mich sehr über deine Rückmeldung - ich kann deshalb nämlich was klarstellen:

      AHT schrieb:

      Ich ich hier von Ahnung (Fachwissen) rede, bedeutet das nicht, das man Experte in irgendwelchen Sachen sein muss. Man muss nur ein Bild von einer Sache haben, von dem man für sich selbst sagen kann, dass man das so verstanden hat, dass man es in der Realität anwenden kann - dieses Bild.
      Ist noch nicht einmal das Bild da, hat man gar kein Wissen. Detailwissen ist das, was man braucht, bei weitem nicht. Ohne Wissen geht das aber nicht. Ahnung ist dabei nicht Detailwissen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT