Win XP: Diskussion über Trojaner - Rechner platt machen etc.

Hallo!

"Gute Schutzprogramme bringen die überwiegende Zahl der Schädlinge ordentlich raus"        Damit ist eigentlich alles gesagt.
Es hängt natürlich vom Trojaner ab, manche sind superhartnäckig, manche zack-weg.
Wenn man weiß, welches Schadprogramm man erwischt hat, kann man ja dessen Angewohnheiten nachlesen und sieht, ob Neuinstall wirklich nötig wäre
Natürlich hängts auch vom persönlichen Sicherheitsbedürfnis ab. Manche sind mit einer leicht verschmuddelten Kiste über Jahre glücklich.

Das mit "kompromittiertem System" ist zwar im Prinzip richtig, aber der private User kann das meist etwas lockerer sehen, wenn er nichts hochsensibles gespeichert hat.
Wer perfekte Sauberkeit will, greift zu einem Image.
Grüße, Karl-Heinz

gegen Trojaner hilft meistens Spybot ....
Das VOLLE Programm :
HijackThis incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
Log oder Zusammenfassung  ggf hier posten.

-------------------------------------------------------------------------------------------------------------

Unbedingt :
Im abgesicherten Modus !
unter SYSTEM die Systemwiederherstellumg AUS , (vorsicht, alle Punkte sind dann weg)
Virenscan machen  & ggf Adwarscan mit Spybot S&D oder Adware-SE
Systemwiederherst. wenn OK = wieder AN
Normalstart

-------------------------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

-------------------------------------------------------------------------------------------------------------

Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren anhaken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Fertig damit :
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf einen Punkt mit Bemerkung setzen. 

-------------------------------------------------------------------------------------------------------------

Der Virendoktor
http://www.heise.de/security/artikel/80369

-------------------------------------------------------------------------------------------------------------

Hallo,
es ist schon erstaunlich was für seltsame Thesen so in den Raum gestellt werden...

 

Gute Schutzprogramme bringen die überwiegende Zahl der Schädlinge ordentlich raus"

Gute User lassen Schädlinge erst gar nicht auf ihr System.
Schutzprogramme können immer nur bekämpfen was sie kennen...

 

Es hängt natürlich vom Trojaner ab, manche sind superhartnäckig, manche zack-weg.
 

Es hängt nur von den dahinterstehenden "Fähigkeiten" des Trojaners ab,wie weiter zu verfahren ist.

 

aber der private User kann das meist etwas lockerer sehen, wenn er nichts hochsensibles gespeichert hat.
 

Ob das der einzelne User wirklich locker sehen kann,wage ich in Zweifel zu ziehen.

Wenn er nämlich zwangsweise Mitglied in einem Bot-Netz ist,könnte es mit dem "locker schnell vorbei sein...

 

gegen Trojaner hilft meistens

Angemessenes Verhalten,sonst nichts !!
Sir Reklov

@SIR R. - Hi, joh !!!
schon komisch wenn man hier im Forum lesen muß ,Trojaner mit Spybot oder ähnlichen Witzprogrammen zu beseitigen.Egal welcher Trojaner drauf ist sollte man sich persönlich überlegen ob danach der Pc noch vertrauenswürdig ist.(nicht immer auf HJThis verlassen !!!)Dann doch immer die Variante des Neuaufsetzen.Gerade wenn man dann noch Onlinebanking,Ebay etc auf dem Rechner ausführt.
Aber wie gesagt jeder soll das machen,was er für richtig empfindet.

 

Zitat
gegen Trojaner hilft meistens
 

 

Angemessenes Verhalten,sonst nichts !!
Sir Reklov
 

Aber welches Verhalten ist denn angemessen, wenn z.B. beliebige Seiten mit *.ani Programmen präpariert werden können, ohne daß der Owner oder User etwas davon weiß oder merkt?

Fragt sich und euch, leicht zweifelnd,
Joachim im Web

Hallo, Sir!

Bin neu hier - hier in Computerhilfen geht man anscheinend sehr ruppig zur Sache - da muß man sich erst dran gewöhnen 
In anderen Foren versucht man ein klein wenig mehr auf den anderen einzugehen, was der gemeint hat. Brauchst auch nicht meinen, daß Du allein den Supersachverstand hast.
Ich war doch nicht im mindesten gegen "angemessenes Verhalten".
Ich finde nur den Reflex
Trojaner drin = Neuinstall
übertrieben. 
Wenn der Virenscanner ihn sauber rausbringt sollte man nicht die Großpanik schieben. Man kann ja bei großen Ängsten noch Rootkit-Tests, Online-Scans, Boot-CD-Scans  etc. machen.
Und es merkt doch jeder Nicht-Verblendete sofort, wenn mit seinem Rechner was nicht stimmt, wenn dauernd die Festplatte läuft usw.
Natürlich ist ein Neuinstall prima aber aufwendig. Und ein Image ist noch besser.
Aber die Frage war, ob nach JEDEM Trojaner format C: sein muß und ich meine: "Keinesfalls generell"

Aber ist das echt so, das man gar nicht mehr sicher ist, wenn man sich einen eingefangen hat und das Antivir Programm zuschlägt? Denn ich hatte mir gestern einen eingefangen und den in meinen Container verschoben (AVAST!). Sozusagen müsste der doch jetzt eigentlich nichts mehr anrichten können? Oder wie muss man das jetzt verstehen?

Mir ist klar das der Trojaner, bzw. die Datei noch auf meinem Rechner ist, aber dieser Trojaner kann doch keinen Schaden mehr anrichten?! Er müsste meiner Meinung nach als "ausgelöscht" sein, aber nicht vom Rechner, sondern von seinen Funktionen! Richtig?

Kann mir das denn nicht eben' jemand beanworten?

 

Mir ist klar das der Trojaner, bzw. die Datei noch auf meinem Rechner ist, aber dieser Trojaner kann doch keinen Schaden mehr anrichten?! Er müsste meiner Meinung nach als "ausgelöscht" sein, aber nicht vom Rechner, sondern von seinen Funktionen! Richtig?

Kann mir das denn nicht eben' jemand beanworten?

Na ja, scootertuner, man weiß halt nie (oder nur selten) so genau, was das Vieh so eingebaut hat. Manche können sich und andere nachladen. Auch dann, wenn sie selbst deaktiviert sind. 

Hallo,

auf den anderen eingehen ist eine Kunst, die ganz viele nicht können 

Man muß klar trennen:
1) Ist das Vieh schon aktiv geworden (d.h. man hat es aufgerufen)?
Dann ist die Gefahr schon gegeben, daß es sich regenerieren kann. Nähereres muß man halt im Einzelfall erforschen - anhand von Internet-Info, durch eigene Beobachtung oder - sehr guter Weg, durch Boot-CD.

2) Man hat das Vieh bloß heruntergeladen. Der Virenskanner hats gleich beanstandet und weggeputzt
In diesem Fall besteht KEINE Gefahr und ein Neuinstall wäre Irrsinn

In Deinem Fall ist wahrscheinlich alles ok. Die Quarantäne des Virenscanners kann und soll man ja mal  löschen, dann ist alles weg. Solltest halt noch Info zu Deinem Schädling nachlesen und evtl. mit einem Online-Scan oder Boot-CD Gewißheit schaffen.

Hallo,
 

hier in Computerhilfen geht man anscheinend sehr ruppig zur Sache - da muß man sich erst dran gewöhnen  

Eigentlich ist hier sogar eher ein "Kuscheleck",in dem auch noch die sinnfreieste Frage liebevoll "behandelt" wird...
"Ruppig" bin eher ich...ich allerdings würde "direkter" dazu sagen...

 

Ich finde nur den Reflex
Trojaner drin = Neuinstall

Dann hast du eine neue Definition von Trojaner,denn laut Google und Wikipedia,sowie MS ist ein Trojaner etwas das "remote" auf deine Kiste zugreifen kann.
...und da hilft nunmal einzig eine Neuinstallation,da niemand,Scanner und Programme im Besonderen nicht,wirklich sicher sagen kann was verändert wurde.

 

Wenn der Virenscanner ihn sauber rausbringt  

Das eben ist zu bezweifeln.Es gibt keine Möglichkeit das zuverlässig zu kontrollieren.Es sei denn,du hast ein absolut ! deckungsgleiches System,in dem die Dateien per Prüfsumme und Hash -Wert definiert sind.
Dann kannst du es überprüfen.Aber einzelne MS-Dateien aus dem zu prüfenden System rauszufischen ist nicht so ganz einfach.Der Zeitaufwand dafür ist hoch,sehr hoch.Allemal länger als eine Neuinstallation brauchen würde....

 

Und es merkt doch jeder Nicht-Verblendete sofort, wenn mit seinem Rechner was nicht stimmt

Das halte ich für sehr anmaßend...

 

Natürlich ist ein Neuinstall prima aber aufwendig. Und ein Image ist noch besser

Dem kann ich zustimmen...

 

Aber die Frage war, ob nach JEDEM Trojaner format C: sein muß und ich meine: "Keinesfalls generell"

Dem nicht...
Dein Satz impliziert ein öfteres Vorkommen eines rojaners...
Der User sollte sich auf jeden Fall um sein Internetverhalten Gedanken machen.Auch Trojaner kommen nicht einfach angeflogen,der User selbst hat sie installiert.Dort ist der erste und einzig richtige Ansatzpunkt.Denn es gilt doch die Viecher erst gar nicht auf die Platte zulassen.
Wenn das Kind erst mal im Brunnen liegt,sprich Trojaner drauf,ist es nunmal effektiver den Brunnen zuzuschütten,als dem Kind da rauszuhelfen und darauf zu warten das daß Nächste dort reinfällt....

 

Aber welches Verhalten ist denn angemessen, wenn z.B. beliebige Seiten mit *.ani Programmen präpariert werden können, ohne daß der Owner oder User etwas davon weiß oder merkt?

Fragt sich und euch, leicht zweifelnd,
Joachim im Web

Du sprichst von der ganz neu entdeckten Lücke bei Microsoft Windows...
Das ist in der Tat mit angemessenem Verhalten derzeit nicht in den Griff zu kriegen.
"Automatische Update" anhaben und auf den MS Patch warten,oder zu Linux wechseln....
Sir Reklov
 

2) Man hat das Vieh bloß heruntergeladen. Der Virenskanner hats gleich beanstandet und weggeputzt
In diesem Fall besteht KEINE Gefahr und ein Neuinstall wäre Irrsinn

Na dann, bin ich ja beruhigt!

Ich hätte da noch ne Frage bezüglich AVAST!.
Wenn ich nun diese Datei aus meinem Container lösche, wird die dann nur aus dem Container gelöscht oder direkt mit vom ganzen Rechner?

Hallo,

 

In Deinem Fall ist wahrscheinlich alles ok. 

Eine höchst gewagte Prognose....
Die Infos dafür sind viel zu dünn.

Solange die infizierte Datei im "temp" Ordner liegt,ist noch nichts passiert.Sollte da ein Scanner meckern kann man bedenkenlos den temp Ordner löschen.
(einer der Vorteile wenn man nicht als Admin arbeitet)
Aber :
Wenn du diesem frühen Zeitpunkt ein Trojaner erkannt wird,ist der Autor eine Pfeife und kann nix...
Scanner schauen nur bis zu einer bestimmten Tiefe in eine Datei.Schaut er teifer, meckert der User weil das so langsam ist...
Es ist also eine Abwägung von Performance und Sicherheit.Dem User zuliebe wird dann auf Performance mehr Wert gelegt....
Also umgeht jeder Autor diese Tiefenkontrolle in dem er folgendes macht :
1. Zipfile mit Schrott füllen,dahinter den Trojaner setzen und mit Passwort sichern
2. txt-File erstellen in dem steht, dass das PW für das Zipfile auf Deiner Seite zu finden ist
3. zip und txt file in ein weiteres zipfle packen, wahlweise "Vista Ultimate Keygen", "ultimate hackertool", "shakira nude" oder "best blowjob ever" nennen und bei emule reinstellen.
Dein Scanner ist ausgetrickst und die Neugier des Users ist geweckt...
Wollen wir wetten,das mein Trojaner auf der Platte ist ?
Wollen wir wetten ,das der User meine Spuren auch noch selbst löscht ?
Er wird nämlich ganz enttäuscht meine Datei löschen,weil die Shakira doch nicht nackisch zu sehen ist.Mein Trojaner hat aber mittlerweile die remote Verbindung erstellt.
Ich habe nun Zugriff auf den fremden Rechner,auch ohne das  Festplatten rattern...
Sir Reklov

 

An den Sir,

Wikipedia sagt klar, daß Trojaner keineswegs "Backdoor" bedeutet. Trojaner heißt bloß, daß ein Programm, das der User für nützlich hält, Schadfunktionen enthält.
Kurzzitat Wikipedia:
> Vermutlich ergab sich daraus das Missverständnis, dass
> die Backdoorfunktion ein Trojanisches Pferd definiert.
> Diese Trojanerart stellt heute jedoch eine Minderheit dar.
Soviel zu Deinem überlegenen Wissen 

Wie Du schreibst, wirkt es ziemlich wichtigtuerisch und ängste-macherisch. Brauchst auch nicht den seltenen Extremfall zum Regelfall erklären.

Wie schon gesagt wurde, bei scooterturner wurde wohl bloß ein zip-File runtergeladen und der Virussucher hat die verdächtige exe gleich gekillt. Somit ist kein Schaden entstanden, da kannst du schreiben, was Du willst.
Was Du schreibst mit doppelt einpacken und Passwort ist doch unrelevant. Der Trojaner wird erst gefährlich, wenn das entsprechende Programm aufgerufen wird, z.B. Patch.exe oder Key_gen.exe. Und vor dem Starten packt ja wieder der Virenscanner zu und verhindert das.

Also, ich weiß nicht, was da rumdiskutiert wird. Nach technischen Spitzfindigkeiten hat hier niemand gefragt, man sollte so eine Frage nicht damit zumüllen, sodaß der Zusammenhang verloren geht.

Der Trojaner wird erst gefährlich, wenn das entsprechende Programm aufgerufen wird, z.B. Patch.exe oder Key_gen.exe. Und vor dem Starten packt ja wieder der Virenscanner zu und verhindert das.

Genau das, ist bei mir geschehen! Ich hab eine .exe geöffnet und der Scanner hat direkt zugeschlagen. Hab das direkt in den Container verschoben..