Vorsichtig mit infizierten Festplatten umgehen

"Sollte ein Zugriff auf Ihre Daten in Windows durch den Schädling bereits unmöglich sein, hilft Ihnenes meistens, die Festplatte an einem Zweitrechner anzuschließen und lediglich als Speichermedium zu verwenden. Über das bereits installierte Windows Ihres Zweirechners können Sie so auf Ihre Daten zugreifen, ohne die infizierte Windows-Version verwenden zu müssen."

Davon kann ich jedem unerfahrenen User meist abraten.
Wenn er eine bootbare Festplatte in einen Rechner einbringt und diese eventuell in der Bootreihenfolge vor der sauberen liegt infiziert er eventuell den Rechner. Man sollte sie als sekundäre Festplatte einbringen um ein Booten zu verhindern.

Ausserdem kann jedweder Zugriff auf Daten der infizierten Fesplatte zu einer Infizierung der sauberen führen.
Alleine schon eventuelle Aufrufe von DOC,PDF oder auch in MP3 oder andere Endungen umbenannte Virendateien infizieren.
Es reicht ein auch versehendlicher Doppelklick.

Einfacher ist es dieses tun:

Infizierten Rechner mit einer bootfähigen CD von einem der grossen Antivirenprogrammhersteller booten und diese dabei mittels Netzwerk mit einer aktuellen Virendefinition aktualisieren.
Diese CD's nutzen als Betriebssystemkernel Linux und sind dadurch von Windowsviren direkt nicht angreifbar. Findet man bei vielen Computerzeitschriften wie PC Welt in gewissen Abständen oder kann sie als ISO Datei beim Antivirenprogrammanbieter downloaden und brennen.
Jeder sollte mindestens eine zuhause haben.

Wenn ein Scan bzw. eine Virenreinigung mit einer solchen CD erfolgreich ist den Rechner direkt booten und mehrmals umfangreiche Scans aller Dateien und Bootbereiche samt Rootkits machen. Virenscanner muss aktuelle Daten in sich tragen, also vorab aktualisiert werden.
Wichtig alle Dateien auch temporäre und dabei die heurestische Suche nutzen, Also einen Tiefenscan.

Wenn dies erfogreich ist alle vorhandenen Systemwiederherstellungspunkte löschen indem man die Systemwiederherstellung aufhebt. Wenn er alle Systemwiederherstellungspunkte gelöscht hat eine Säuberungssoftware wie CCleaner nutzen um so noch alle temporären Systemdateien und sonstigen Unrat zu löschen.

Nach einem erneuten Start noch mal einen Virenscan und auf jeden Fall einen Hintergrundwächter laufen lassen. Man kann die Systemwiederherstellung wieder aktivieren.

Wichtig auch nun alle vorhanden Passwörter, egal ob Facebook, Google, Foren, Bank usw ändern und Zugriffe einige Wochen lang im Auge behalten.

Wer jedoch durch den Virenscan mit der Boot-CD keinen Erfolg hat kann noch folgendes tun bevor er seine Festplatte formatiert.
Mit einem leicht verständlichen bootbaren Linux (Also Linux direkt von DVD ohne Install) und der Hilfe eines Linuxnutzers (Ubuntu, Knoppix..)
den Rechner ins Linux starten lassen und die privaten Daten dort mit dem Virenscanner von Linux checken lassen.
Auch kann man so wichtige Dateien mit einem sogenannten Onlinevirenscan prüfen lassen. Bieten viele Antivirenprogrammhersteller kostenlos an.
Nun die wichtigen Daten auf eine oder mehrere DVD brennen. Beispielsweise mit KDE3 oder anderem Linuxbrenntool.

Vor einem Formatieren einer Festplatte sollte man genau schauen ob noch eine funktionierende InstallationsCD des Betriebssystemes, alle InstallationsCD gekaufter Software usw. vorliegen und ob man alle Passwörter etc auch zur Hand hat.

Bevor man zu aggresiven Mitteln greift lieber andere User wie auch manchmal im Ort befindliche Gruppen um Hilfe bitten.
Ältere Menschen finden auch Hilfe in Seniorenverbänden. Oder man fragt mal bei der Volkshochschule oder einer nahen Schule, denn dort gibts oft Arbeitsgruppen.

Ich selbst habe gerade vor einigen Tagen wieder einen Rechner eines Bekannten von einem Trojaner gesäubert, der so blöd war und sich selbst schon beim Rechnerstart meldete "huhu ich bin der Trojaner überweise mal Geld auf mein Konto" und fand bei einem Tiefenscan weitere Sachen wie infizierte Doc's.
Zumeist melden sich Trojaner aber nicht und stehlen wie der Bundestrojaner gemütlich die Daten.


bye

 

Hallo,
was verstehst Du genau unter einem "Tiefenscan"? Einen kompletten Systemscan, im Gegensatz zum Schnellscan der nur Systemdateien kontrolliert oder gibt es da spezielle Funktionen im Antvirenprogramm bzw. spezielle Tools, die man extra aus dem Internet beziehen muss?
Oder kann ich das auch mit meinem Standardantivirus (bei mir Bitdefender Internet Security 2012) machen?
Danke für die Info.

 

Soweit Zustimmung.

Auch okay.

Und da gehts los, denn wie willst du das verifizieren. Ein gewaaaaltig großes WENN! Kein Virenscanner arbeitet zuverlässig, insbesondere nicht beim "Reinigen".

Ganz schlecht. Derartige Tools richten mehr Schaden an, als zu helfen.
Nein. Wenn ein PC infiziert ist, dann rettet man über ein Ubuntu-Live-System Daten und setzt das System dann komplett neu auf. Alles andere ist Pfusch!

Aber bitte solche, die sich wirklich damit auskennen und nicht Nachbars genialen Sohnemann.

 

Das "zuverlässig" hängt vom Virus ab.
Mit dem brutalen Vorgehen hat man recht, wenn ein regelmässiges altes "reines" Fullbackup vorliegt, das man danach aufbringen kann. Das tun selbst kleine Firmen oder Selbstständige selten regelmässig.
Erlebe Fullbackups von 2009.

Leider ist was Datenrettung angeht es oft nicht leicht, wenn z.B. die Dokumente mit Makroviren verseucht sind oder auf Excel Dateien geänderte Passwörter gesetzt wurden. Dann sichert man vor dem Formatieren ja die infizierten Daten. Und diese bringt man zu leicht wieder auf den gesäuberten Rechner auf.

Selbst wenn man nicht alle Dateien wegbekommt hat man trotzdem Chancen zumindest in Ruhe alle Daten wirklich zu sichern, wenn man das System zumindest noch einige Tage, offline, nutzen kann.
Denn wer weiss schon welche Daten alle erforderlich sind.
Man denke nur an die Fälle in denen die Rechte auf downgeloadete Musiksoftware in versteckten Datendateien lagen und die Nutzer nach dem Neuinstallieren selbst von grossen Musikarchiven aufgefordert wurden alle Rechte erneut zu kaufen. Ein bekannter Fall eines Radiomitarbeiters lies so tausende Euro kosten. Zum Glück sind heute zumeist die Musikdateien nicht an beschränkte Nutzungsrechte gebunden.

Die Scanner bekommen zumeist die aktiven Teile weg, zurück bleiben oft reine passiven Logs und Datensammlungen. Die heurestische Suche kann natürlich nur Dateien aufgreifen, bei deren Analyse Teilsegmente des Virus oder spezielle Schlüsselworte vorkommen. Eine hallo_anna.doc, in der die Logs der Keyscans versteckt sind findet selten ein Scanner.
Aber da nützt das Datensichern hinsichtlich dieser passiven Datei nix, da zumeist dann Nutzer natürlich DOC's vor dem Formatieren sichern und wieder aufbringen.
Frage mal wer in seinem Textverarbeitungsprogramm die automatische Ausführung der Makros deaktiviert hat.

Ich selbst empfinde es viel schlimmer das selbst Grossbetriebe, Kleinbetriebe und Anbieter mit "vielen Gesichtern" oder "Büchern" oder Suchmaschinen nicht auf die Datensicherheit achten.

Nur einzelne Betriebe nutzen wirklich getrennte Netze und Router mit aktivem Virenscan.
Checke mal in dem man eine JPG manipuliert und in deren ein paar einzelne Pixel verändert.
Oft reicht ein XXX oder ein Schlüsselwort radikaler Herkunft. Wenn die beim Empfänger ankommt ist der Router nicht 100 %ig gesichert.
Bei Banken kommt die selten an, man kriegt dann die übliche Remail.
Aber selbst Juristen habe ich schon solche Anhänge gesendet.
Auch in Bilder verschlüsselt eingebrachte aktive Dateien kamen an.

Man kann eines zum Wohlsein der deutschen Jugendlichen sagen. Deren Rechner stehen im Vergleich zu allen Rechnern von Industrienationen nicht schlecht da. Kleinunternehmen sind oft verseuchter wie Rechner in Kinderzimmern.

Und was Datenweiterreichung angeht ist ein minimal verseuchter Rechner ja zumeist ungefährlicher als eine übergrosse Aufbringung aller persöhnlichen Daten in Foren, sozialen Netzwerken, Handy's, SMS, Onlinebanking vom Handy aus.....

Was waren das noch gute Zeiten als das komplette Betriebssystem in nicht umprogrammierbaren Bausteinen steckte.
Heute aber kann man selbst die Akkuüberwachung eines bekannten Herstellers aggresiv befallen lassen.

P.S Mein Atari läuft heute noch.

 

Nein. Ich weiß zwar, was du meinst, aber dein Gedankengang ist falsch. Zuverlässig hängt von deiner Konsequenz ab.

Was hat in einer Sicherheitsdiskussion eigentlich der Begriff "brutal" zu suchen?

Backups sind was Feines.

Das ist unangebrachter Optimismus. Ich erlebe täglich das Gegenteil.

Darum macht man Betroffene auf dieses Problem ja auch aufmerksam.

Das ist der größte Unsinn, den ich je gelesen habe. Was heißt hier MINIMAL verseucht? Verseucht ist verseucht. Das ist schlecht für den eigenen Rechner und dessen Daten (und Passwörter), schlecht für alle angeschlossenen Wechseldatenträger - schlecht für George und Gracie (im Internet).

Ja, ich hab noch ein funktionierendes Win 3.1 anzubieten. Mit DOS 5.0

 

auch ich mußte mich mit einem verseuchten PC herumplagen. Zuerst bemerkte ich es, als ich ein Bild aus dem "Keller" wieder herraufholen wollte. Da waren mehr als 2000! (zweittausend!!) Bilder drauf. Ein Bruchteil davon waren von mir. Der Rest: Pistolen, Sturmhauben, Fotos eines Ladens von außen und nachts aufgenommen, Google-Auszüge, Landkarten von der Ostsee bis runter nach Bayern, sowohl auf der deutschen, wie auch von der anderen Seite, Privat-Fotos, ein paar Sexbilder, tschechische Suchanfragen, auch in kyrillischer Schrift verfasste Dokumente u.s.w.
Als ich damit zur Polizei ging, zuckten sie nur mit den Schultern und rieten mir, meinen PC "nur" mit einem Passwort zu schützen und nicht, wie ich es mache, mit Rohos und Wondows SteadyState. Ich war richtig verärgert.
Zu Hause schaute ich mir meinen PC genauer an und entdeckte bei dem Aufruf von SteadyState 3 neue, mir unbekannte Benutzerprofile. Sie waren passwort-geschützt. Jeglicher Versuch, sie zu entfernen scheiterte. Ich schrieb sie mir auf und ging in die Registry und löschte rigoros alle Schlüssel, die diese Namen dann enthielten, aber auch das half nichts. Dann erst, als ich in C:\Windows\ system32\lusrmgr per Rechtsklick ansteuerte, entdeckte ich sie. Als ich dieses trotz dll auch löschte, war der Spuck vorbei.
die 3 "Besucher" hießen:IUSER, UPDATEUSER und IWAM
Ich sollte wohl in die Irre geleitet werden, als sie diese Namen wählten.