Grundlagen der manuellen Identifizierung und Entfernung von Malware

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Information: Wir verlosen 9 Kinderbüchlein von Microsoft Mein Papa arbeitet bei Microsoft. Und ich darf mit!

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • p. specht schrieb:

      Hab gerade einen von USB eingeschleppten Virus im letzten Moment erkannt und Gröberes vermutlich verhindern können - durch rechtzeitiges Abwürgen des Compis. Avira macht gerade Voll-Durchlauf - von Malware hab ich derzeit genug. Später vielleicht einmal - nicht böse sein bitte!
      Wie verhält man sich da (meiner Meinung nach) richtig?
      Die Wahrscheinlichkeit, dass Malware nicht bereis im Autostart sitzt (wenn es Malware war und sie sich auf dem Rechner ablegen wollte) oder ihre Aktionen durchgeführt hatte, die zu dem Zeitpunkt möglich waren (wenn es Malware war), bevor du den Rechner aus hattest, ist eigentlich null.

      Du hast bei dieser Sache drei große Vorteile, die du nutzen kannst, um darauf zu stoßen, was denn da passiert ist:
      1. Du kennst die genaue Uhrzeit, zu der etwas passiert ist.
      2. Du weißt sehr genau, was dich auf die Idee gebracht hat, dass da Malware auf dem Stick sein könnte.
      3. Wenn es Malware war, kennst du den Infektionsweg.
      Das letzte, was ich tun würde, wäre es, einen Komplettscan mit Antivir durchführen zu lassen.
      Ich würde auf jeden Fall erst mal verhindern, dass der betroffene Rechner irgendwie ins Netzwerk kann. Ich würde den also vom Internet und Bluetooth trennen.

      Da du die genaue Uhrzeit des Vorfalls weißt, würde ich dannl nach Dateien suchen, die zu diesem Zeitpunkt erstellt oder geändert wurden. Das sollte mit einer Software geschehen, mit der man das auch wirklich sicher kann. Also nicht mit Windowsmitteln. Eine Software, die man dazu verwendet, sollte auf jeden Fall mit Adminrechten laufen und sich intern das Privileg SeBackupPrivilege aktivieren - um wirklich alles finden zu können.
      Als nächstes würde ich mir nach dem Konzept, das hier vorgestellt wurde, sehr genau die Autostarts etc. anschauen. Da es die API SetFileTime gibt, ist eine alleinige Suche nach dem Dateidatum nicht immer komplett zuverlässig.

      Hat dich ein Aufpoppen einer Meldung von Antivir darauf gebracht, das Malware auf dem Stick sein könnte, würde ich mir die Meldung genauer ansehen. Der Guard von Antivir legt in der Regel diese Meldungen in der Ereignisanzeige ab.
      Anhand der Meldung kannst du sehen, welche Art von Trojaner dort vielleicht gefunden wurde und ob Antivir das Ausführen der Malware nicht bereits erfolgreich verhindert hat.

      Den Stick würde ich beiseite legen und nochmals etwas genauer auf einem Rechner und System ansehen, das speziell dafür eingerichtet wurde. Ideal wäre hier eine frisch installierte Version von Windows7 ohne Updates und Virenscanner.
      Ob 32Bit oder 64Bit müsste man mal testen - meist ist 32Bit für so etwas besser geeignet, weil die Malware da mehr Möglichkeiten hat.

      Hat dich irgendeine Aktivität des Rechner darauf gebracht, dass dort Malware etwas tut, würde ich schauen, ob man die Aktivitäten auf einem solchen Testrechner nachvollziehen kann. Ein wichtiges Werkzeug dafür wäre der Performance Monitor von Windows in Verbindung mit einer Software, die gleichzeitig Infos über laufende Prozesse liefert (um später auffällige Prozesse auch wirklich zuordnen zu können).
      Den Inhalt des Sticks würde ich mir ebefalls sehr genau auf dem Testrechner ansehen. Auch hier wieder nicht mit Windowsmitteln, sonder mit einer Software, mit der ich vernünftig nach Dateien und Ordnern suchen kann und die mir folgende Infos liefert:
      • Attribute
      • Erstellungsdatum
      • Änderungsdatum
      • Pfad und kompletter Name mit Dateiendung
      • Infos aus der Dateiresource:
        • Produktname
        • Firmenname
        • Beschreibung der Datei
      • Signatur der Datei
      Bevor der Stick in den Testrechner eingesteckt wird, würde ich eine Software starten, die mir alle Dateiänderungen listet - so was zum Beispiel:
      AH Folderspy
      Registryänderung würde ich ebefalls überwachen:
      Man kann auch andere Sachen dafür einsetzen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von AHT ()

    • AHT schrieb:

      Das letzte, was ich tun würde, wäre es, einen Komplettscan mit Antivir durchführen zu lassen.
      Ist das erledigt und wurden keine weiteren Sachen gefunden, würde ich dann das letzte durchführen.
      Was Antivir da findet, würde ich aber nicht gleich löschen lassen, sondern mir weitere Infos per Dateisuche zu den Datei holen - und zu Dateien, die mit diesen in Beug auf Änderungsdatum, Erstellungsdatum, Resourceninfos, Signatur, Erstellungsort in Verbindung gebracht werden können.

      Gleiches würde ich dann mit dem Eset Onlinescanner wiederholen - auch erst einmal nichts löschen.
      Ist es im Cache des Browsers, was da gefunden wurde, kommt man eventuell über Zusatztools an die Internetadresse, von der die Malware kommt:
      Ist ein Java Exploit gefunden worden, kann man Infos darüber hiermit holen:
      Hilflos ausgeliefert bist du in Bezug auf Malware also nicht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Hallo,

      AHT schrieb:

      Malware gar nicht erst auf den Rechner lassen.
      Der ist Gut. :top:

      Oldi-40 schrieb:

      Die großen Malwareprogramme wie Facebook, Microsoft, Google, ... lasse ich mal außen vor.
      Schaut euch doch mal das Geschäftsmodell dieser Firmen an.

      Das ist Malware/Datenklau par ex­cel­lence.

      Dazu der Aktienwert der Unternehmen erzeugt bei mir ein Unbehagen.

      -Amazon wird es mit der Werbung auch noch auf die Reihe griegen.

      Tschau
    • Oldi-40 schrieb:

      Das ist Malware/Datenklau par ex­cel­lence.
      Ich habe mich immer schon gewundert, warum Trump Präsident geworden ist.
      Alle Frauen, alle Einwander, sämtliche Internetnutzer und alle Steuerzahler hätten den doch eigentlich gar nicht wählen dürfen.
      Daten sind ein riesen Geschäft und auch sehr interessant für Leute, die andere manipulieren wollen.
      Hier in Europa leben scheinbar noch nicht ganz so viele Leute in einer "Datenblase".
      Solche Versuche werden wohl meist bei um die 15% an Wählerstimen enden.

      Das ist aber ein anders Thema. Solche Art von Datenklau hat es gar nicht nötig, unbemerkt auf dem Rechner zu laufen. Daten werden da ja ganz freiwillig gegeben und nicht heimlich geholt.

      @p. specht:
      Wenn du möchtest, "infiziere" ich hier mal einen meiner Testrechner und zeige dir auf einfache Art Anhand realer Analyselogs, wie man Durchblick durch die gelieferten Daten bekommt.
      Per PM könnte ich dir dann ein paar LOGs aus dem Internet mit realer Malware rüberreichen und wir könnten zusammen mal schauen, was man da sieht.
      Wenn du Interesse hast, mache ich das in den nächsten Tagen mal.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von AHT ()

    • Das habe ich mich vorher auch schon gefragt. Wirklich!
      Wenn ich jemandem die Möglichkeit gebe, mir sein Geburtsdatum mitzuteilen, habe ich erst mal nichts schlimmes getan. Tut er das, ist er selber Schuld.
      Hole ich mir das Geburtsdatum heimlich oder mit Trickserei, sieht das anders aus.
      Es geht bei Malware darum, ob eine Funktion im Prinzip unerwünscht oder bösartig ist.

      Was unerwünscht oder bösartig bedeutet, ist aber immer Definitionssache. Da hast du Recht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      @p. specht:
      Wenn du möchtest, "infiziere" ich hier mal einen meiner Testrechner und zeige dir auf einfache Art Anhand realer Analyselogs, wie man Durchblick durch die gelieferten Daten bekommt.
      Wegen fehlender Rückmeldung gehe ich davon aus, das zur Zeit kein Interesse besteht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Oldi-40 schrieb:

      Ich meine Programme, die heute ein Rechner (calc) sind und bei einem anderen Aufruf coole Sachen machen
      Eine wirklich coole Sache, die bei anderem Aufruf andere Sachen tut und in der Realität verwendet wird, wäre zum Beispiel das hier:
      Der eigentliche Text der INI-Datei ist da auskommentiert und mittendrin sitzen Codebestandteile eine Javaspript Datei, die dann ausgeführt werden, wenn das Ding speziell über den Windows Script Host gestartet wird.
      Das Script setzt dann einen Proxy.
      Ist wunderbar dazu geeignet, das in einer Installationsdatei mitzuliefern, die ein normales Programm installiert.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT