Liebe Security-Profis,

anlässlich meines 1. Postings sage ich erst einmal "Hallo" und "Guten Tag".

Letzten Donnerstag brachte mir ein Freund seinen PC (Windows XP Home), auf dem er sich beim Surfen "Windows XP Restore" Scareware / Rogueware eingefangen hatte. Sein G-Data Antivirus 2010 hatte das Teil zwar erkannt, aber offensichtlich trotzdem durchgelassen.

Ich kämpfte mich bis zur Eingabeaufforderung vor, sicherte mit Robocopy auf eine externe Festplatte und machte mich dann an den heldenhaften Kampf gegen die Malware. Details erpar ich uns mal, weil sie nicht Inhalt dieses Postings sind.

Nach einigen Stunden der Arbeit "sah" alles wieder prima aus. Da ich zur Kenntnis nehmen musste, dass G-Data Antivirus noch nicht einmal die Dateien erkannte, von denen ich durch Googleln bereits wusste, dass es Malware war, habe ich mir stattdessen Kaspersky Internet-Security besorgt.

Und jetzt kommt's: Beim Booten nach der Deinstallation von G-Data wird der Rechner geschreddert Die Autostart-Programme werden nicht ausgeführt, sondern in der Eingabeaufforderung angezeigt, weil der programme-Ordner weitgehend gelöscht wurde. Auch ließ sich hier nichts Neues installieren, weil angeblich die Rechte fehlten (obwohl ich Admin war).

Na gut, dachte ich mir, ist die Malware doch schlauer als ich. Mit XP-CD bewaffnet und für den nächsten Tag Neu-Installation des Systems geplant.

Da ich von G-Datas Leistung doch herb enttäuscht war, habe ich mir auch für mein eigenen Rechner Kaspersky gekauft, saß Sonntag abend mit dem Notebook auf dem Schoß vor dem "Tatort" und deinstallierte zunächst mein G-Data. Nach dem Booten musste ich dann zusehen, wie mein treuer Begleiter mit genau den oben beschriebenen Symptomen unbrauchbar gemacht wurde. Es war zum Heulen: 28 Jahre lang PC-Benutzer, von PC-Dos 2.1 bin Win 7 64 Bit alle PC-Betriebssysteme durchlitten, nie auf riskanten Seiten gesurft, nie ominöse E-Mails geöffnet, zig Leuten geholfen, wenn sie sich etwas eingefangen hatten, immer kostenpflichtige Antivirus-Programme namhafter Hersteller benutzt, nie Opfer eines Angriffs geworden und nun das ... :-(((((

Das Allerschlimmste - und damit komme ich nach langer Vorrede zur eigentlichen Frage - : Ich habe bis dato nicht die geringste Ahnung, wie die Malware auf meinen Rechner gekommen ist

Folgende Alternativen fallen mir ein:
1. G-Data selber ist der Schädling (buggy, gephishte oder gehackte Version ...) und schreddert den PC bei der Deinstallation.
2. Mein Notebook hatte eine Vorschädigung (Backdoor ...), und der "Schläfer" hat nur darauf gewartet, dass der Wächter verschwindet, um zuzuschlagen.
3. Die Malware vom PC meines Freundes ist irgendwie auf meinem Notebook gelandet.

Zu 1.: Ich installierte und deinstallierte die G-Data-Version, die auf beiden Rechnern ihren Dienst tat, in virtuellen Maschinen - ohne jede Auffälligkeit.

Zu 2.: Meine letzte (zum Glück sehr junge) Datensicherung habe ich mit Kaspersky und Emsisoft untersucht - ohne jeden Befund. Mein Notebook habe ich - da Windows den Dienst verweigert - mit Kaspersky Linux-CD untersucht - ebenfalls ohne Befund.

Wenn also 3. zutreffen würde, wird das Teil zumindestens von Kasperky nicht gefunden.

Mit anderen Worten: Ich habe keine Ahnung, warum es mir mein Notebook am Sonntag zerrissen hat, und ich weiß auch nicht, was ich tun soll, damit so etwas nicht wieder passiert :-(

Drei Fragen hätte ich jetzt an Euch:
1. Wie könnte die Malware auf meinen Rechner gekommen sein?
2. Gibt es für mein defektes Notebook noch bessere Linux-basierte Analyse-Programme als Kaspersky?
3. Wie kann ich herausbekommen, ob hier in meinem kleinen Netzwerk noch irgendwo ein "Schläfer" seinen Dienst tut, der nur darauf wartet, dass das Antivirus-Programm deinstalliert wird?

Kann jemand von Euch helfen? Danke schon mal im Voraus.

--
BFN
Michael

1. warum nutzt ihr gdata 2010, aktuell ist gdata 2012.
2. ist euer gdata aktuell, oder wie kommst du darauf das es "gehackt" sein könnte.
3. hast du deinen laptop schon formatiert, oder wie kommst du darauf das er geschrottet ist.
4. habt ihr vllt das selbe surfverhalten, nutzt ihr illegale angebote wie kino streaming seiten, sport streaming für bezahl sender etc.?
das antimalware programm ist sowieso der unwichtigeste teil des schutzkonzeptes welches man aufbauen sollte. was nützt einem das av, wenn das darunterliegende system löchrig wie ein käse ist, also keine updates zb? und ich meine damit nicht nur windows, sondern auch dritt anbieter software.

> 1. warum nutzt ihr gdata 2010, aktuell ist gdata 2012.
GData 2010 benutzte mein Freund beim Surfen und als er sich die Malware eingefangen hat, allerdings wohlgemerkt mit stündlich aktualisierten Viren-Definitionsdateien. Alle anderen Aussagen meines Postings incl. die Nicht-Erkennung der Malware beziehen sich auf 2012.

> 2. ist euer gdata aktuell, oder wie kommst du darauf
> das es "gehackt" sein könnte.
Wenn auf zwei Rechnern, deren einzige Gemeinsamkeit die AV-Software ist, genau dasselbe passiert, nämlich das der Rechner nach der Deinstallation derselben nicht mehr benutzbar ist, ist ja zumindestens der Gedanke nicht sooo abwegig. Dass es daran letztlich nicht lag, hatte ich ja schon geschrieben.

> 3. hast du deinen laptop schon formatiert, oder wie
> kommst du darauf das er geschrottet ist.
Alle Unterverzeichnisse von c:\programme (XP) bzw. c:\program files und c:\program files (x86) sind leer. Beim Systemstart erscheint das DOS-Fenster und teilt mir mit, dass er die Programme nicht finden kann.

> 4. habt ihr vllt das selbe surfverhalten, nutzt ihr illegale
> angebote wie kino streaming seiten, sport streaming für
> bezahl sender etc.?
Mein Freund ist 72 und Rentner und interessiert sich wohl in erster Linie für Börsenkurse, Immobilien und Urlaubsreisen. Ich persönlich mache Internetseiten und bin mit Themen wie HTML, CSS, PHP und MySQL unterwegs. Irgendwelche WareZ-Seiten bzw. illegale Internetangebote sind wirklich nicht unsere Welt. Klar, irgendwo wird sich mein Freund die Malware eingefangen haben, aber wie kommt sie auf *meinen* Rechner?!?

> was nützt einem das av, wenn das darunterliegende system
> löchrig wie ein käse ist, also keine updates zb? und ich meine
> damit nicht nur windows, sondern auch dritt anbieter software.
Markus, ich stimme Dir völlig zu, aber auch das ist wirklich nicht unser Thema. Wir haben ausschließlich legale und upgedatete Software im Einsatz.

--
BFN
Michael

1. gdata bietet aber andere schutzmodule in der 2012 version, deswegen ist nen upgrade immer wichtig, zumal kostenlos
vllt gabs in gdata 2010 einen bug der das verursacht, oder ein problem mit gdata 2010 und der neuen kaspersky version etc.

3. dann musst du ihn neu aufsetzen oder sind daten zu sichern, genau deswegen hat man nämlich ein system backup.
4. ist es das thema, denn man kann auch über ne börsenseite eine werbung einblenden, die zb eine lücke in flash player nutzt, wenn ihr also ne seite habt, die ihr gemeinsam nutzt, kann ein solcher befall zufall sein.
ich stelle die fragen nach kino seiten etc nicht umsonst und kann nicht wissen, wie alt ihr bzw dein bekannter ist, aber ich "kenne" 95 % der user hier und da läufts nach nem änlichen schema ab.
denn diese malware nutzt keine netzwerk freigaben, und, solange keine andere malware drauf war, auch keine autorun funktion mit der auf usb sticks geschrieben wird, falls du so was drann hattest.
anhand nur des malware namens etc kann man so was nie genau sagen, es könnte ja mehr drauf gewesen sein
ich würd einfach beide neu machen, daten kann man zb über ubuntu sichern
http://www.trojaner-board.de/82533-d...ted-magic.html
dann kann ich euch noch tipps geben das system abzusichern.

Zitat:

Zitat von markusg

denn diese malware nutzt keine netzwerk freigaben ...

Das ist ja schon mal eine wichtige Info.

Hier übrigens die Malware-Funde von Kaspersky:

Code: Alles auswählenAufklappen

ATTFilter

0.6497939804170705.exe	Gefunden: Backdoor.Win32.Xtoober.aua	21.06.2011 17:09:54		Untersuchung des Computers	
22732580.exe	Gefunden: Trojan.Win32.FakeAV.dogz	21.06.2011 16:53:54		Untersuchung des Computers	
A0405903.exe	Gefunden: Trojan-Dropper.Win32.FrauDrop.xyjo	21.06.2011 17:42:34		Untersuchung des Computers	
A0405908.exe	Gefunden: HEUR:Trojan.Win32.Generic	21.06.2011 17:42:36		Untersuchung des Computers	
windows-update-sp2-kb56819-setup[1].exe	Gefunden: HEUR:Trojan.Win32.Generic	21.06.2011 17:10:46		Untersuchung des Computers	
windows-update-sp2-kb70104-setup[1].exe	Gefunden: Trojan-Dropper.Win32.FrauDrop.xyjo	21.06.2011 17:10:47		Untersuchung des Computers
         

Zitat:

Zitat von markusg

ich würd einfach beide neu machen, daten kann man zb über ubuntu sichern

Hatte ich gleich als erstes gemacht - allerdings mit Knoppix ;-)

Zitat:

Zitat von markusg

dann kann ich euch noch tipps geben das system abzusichern.

Ja, bitte. Das würde mich *sehr* interessieren, wie so jemand wie Du seinen Rechner gegenüber dem Internet absichert. Oder bist Du gleich mit Linux unterwegs? Hättest Du auch noch einen Tipp für die Datensicherung? Ich nehme ja seit Jahren robocopy, und das ist für die reinen Daten auch sicherlich eine gut und effizient funktionierende Lösung. Wenn man aber den kompletten Rechner neu aufsetzen muss, sitzt man aber doch wieder ein paar Tage, bis alles so läuft wie vorher. Hast Du eine Empfehlung für eine Image-Backup-Lösung? Evtl. open source?

Danke
Michael

hast du den pc vom freund noch da, oder nur deinen.
nutzt ihr beide xp oder verschiedene systeme?

Zitat:

Zitat von markusg

hast du den pc vom freund noch da

Ja.

Zitat:

Zitat von markusg

nutzt ihr beide xp oder verschiedene systeme?

Er: Win XP Home, ich: Win 7 Home Premium 64

ok.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows xp / und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.
und du arbeitest genauso, außer oben der abschnitt, vista /windows 7

Hallo Markus,

ein dickes DANKESCHÖN für die vielen Infos.

Viele Grüße aus Hannover
Michael

arbeite es bitte durch und frage wenn sich was ergibt