| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: sasser & coWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
25.05.2004, 02:02
| #1 |
  |  sasser & co Hallo maspel! </font><blockquote>Zitat:</font><hr />Original erstellt von maspel: 1) ich habe gelesen, es wäre ratsam die systemwiederherstellung zu aktivieren, bevor man manuell sasser entfernt.</font>[/QUOTE]Nur als deutliche Hervorhebung: du meinst hier sicher deaktivieren. </font><blockquote>Zitat:</font><hr />Danach nach der entfernung die systemwiederherstellung wieder aktivieren. Warum sollte man so vorgehen?</font>[/QUOTE]Nun, die Systemwiederherstellung ist eine Funktion, die es dem Nutzer ermöglichen soll, bei einem ggf. beschädtigen System, z.B. nach einer missglückten De-/Installation einer Software (z.B. Treiber), das System wieder in den letzten funktionsfähigen Zustand zurückzuversetzen. Damit dies möglich wird, müssen in gewissen Abständen (automatisch im Hintergrund) Systemwiederherstellungspunkte angelegt werden, die quasi ein Abbild eines funktiosfähigen Zustandes anlegen und abspeichern. In solche Abbilder fallen dann auch Dateien, die sich in den Ordnern Windows und Windows\System32 befinden. Schadsoftwaredateien schreiben sich in der Regel aber eben auch in genau diese Verzeichnise, und werden somit auch in den automatisch angelegten Systemwiederherstellungspunkten erfasst. Das hat den Nachteil zur Folge, dass entweder durch eine automatische oder manuell vom User eingeleitete spätere Systemwiederherstellung auch die Schadsoftwaredateien wiederhergestellt werden, selbst dann, wenn man diese Dateien zuvor gelöscht hatte. Folglich ist es notwendig, nach einem Schadsoftwarebefall alle Systemwiederherstellungspunkte zu löschen. Und dies geschieht eben am einfachsten, indem man die Systemwiederherstellung deaktiviert und dann das System neu startet. Somit werden a) erstmal keine neuen Punkte angelegt, und b) die alten gelöscht. Wurde die offensichtliche Schadsoftware entfernt, kann man die Systemwiederherstellung reaktivieren. Neue Punkte werden aber auch hier erst wieder nach einem weiteren Systemneustart angelegt. </font><blockquote>Zitat:</font><hr />(Es geht lediglich um wissen; selbstverstänglich wäre es vielleicht praktischer z. b. stinger zu verwenden).</font>[/QUOTE]Nein, Stinger hat damit nichts zu tun. Stinger entfernt auch nur wenige Würmer, ist also keinesfalls als "Universal-Entfernungstool" geeignet! </font><blockquote>Zitat:</font><hr />2) Ist es erforderlich sasser im abgesicherten modus zu entfernen oder geht es auch im normalen modus? Erzielt man also auch im normalen modus daselbe ergebnis, oder?</font>[/QUOTE]Das hängt u.a. von der Art der Schadsoftware ab. Generell ist aber eine Entfernung im abgesicherten Modus unproblematischer, da hier Windows mit Minimalkonfiguration gestartet wird. Oftmals wird daher die ein oder andere Malware beim Start im abgesicherten Modus gar nicht aktiv. Ein Beenden laufender Schadsoftwareprozesse über den Taskmanager entfällt so in einigen Fällen. </font><blockquote>Zitat:</font><hr />3) Warum mit einem anti-virus programm mit aktuellen definizionen bekommt man die meldung dass sasser auf dem computer ist, aber wird der wurm nicht von dem antivirus entfernt?Weil vielleicht das prozess aktiv ist?</font>[/QUOTE]Exakt. </font><blockquote>Zitat:</font><hr />Und wenn das prozess deaktiviert wird, kann man mit einem antivirus den wurm entfernen?</font>[/QUOTE]Auch das gelingt nicht immer, z.B. bei speicherresidenter Malware. Der Wurm Sober.a zum Beispiel konnte sogar anfangs von einigen speziellen Entfernungstools nicht entfernt werden, da er sich durch zwei parallel laufende Prozesse vor dem Deaktivieren schützt. </font><blockquote>Zitat:</font><hr />4) Kann man "Stinger" mit neuen definitionen updaten, oder muss man jedes mal das kleine programm herunterladen?</font>[/QUOTE]Stinger ist kein updatefähiges AV-Programm. Es ist nur ein kleines Tool gegen ein paar Würmer. Die Leistungsfähigkeit und Wirkungsbreite von Stinger werden leider zu oft deutlich überschätzt! </font><blockquote>Zitat:</font><hr />Die normale user wie ich, die nicht von fach sind, benötigen auch solche erklärungen, um die sache besser zu verstehen.</font>[/QUOTE]Dann vielleicht noch ein paar Infos zum Schutz [1], denn "Entfernen" von Schadsoftware ist nicht sinnvoll bzw. nicht nachhaltig sicher [2]. [1] http://www.mathematik.uni-marburg.de...ompromise.html [2] http://oschad.de/wiki/index.php/Kompromittierung |
| Themen zu sasser & co |
| abgesicherten modus, antivirus, automatisch, automatische, beenden, computer, dateien, ellung, entfernen, ergebnis, folge, gelöscht, hintergrund, hängt, laufende prozesse, malware, neu, neue, ordner, programm, schutz, software, system neu, system32, taskmanager, treiber, update, voll, windows |
Baum-Darstellung