Fragen zur angemessenen Bereinigung nach Virenfund
 

Hallo,

mein (Desktop) PC und mein Laptop sind von Viren befallen und ich würde gerne wissen, ob mein Vorhaben bei der Bereinigung sinnvoll ist (kann aus Zeitgründen einfach nicht alle Partitionen formatieren, was bestimmt am Besten wär).

Chronologischer Ablauf:
- Auf PC:
Backdoor wurde von AntiVir bei Vollst. Systemscan gefunden. Daraufhin habe ich die System-Partition C formatiert und Windows 7 neu installiert.
Partition D enthält Installationsdateien (.exe, ...) aller meiner Programme. Die konnte ich einfach nicht löschen, da ich für die Wiederbeschaffung nicht die Zeit habe. Nach der System-Neuinstallation habe ich also bei der Installation der Programme auf diese Dateien z.T. zurück gegriffen.
Partition E enthält Medien (Texte, Bilder, Audio/Video).
=> Ist der PC trotz befundloser sukzessiver vollständiger Scans mit AntiVir, Norton Antivirus, Malwarebytes Anti-Malware, SuperAntispyware dennoch wahrsch. infiziert? Wie relativ sicher kann ich mir sein?
- Auf Laptop:
Standardmäßig genutztes AntiVir hatte bisher keinen Fund entdeckt. Im Zuge meines Befalls auf dem PC habe ich aber dann Antivir gelöscht und Malwarebytes einen vollst. Scan durchführen lassen. -> Fund: RiskWare.Tool.CK bei 3 exe Files, welche ich dann gelöscht habe. Nun läuft SuperAntiSpyware im vollst. Scan und liefert folg. Funde:
Trojan.Agent/Gen-FakeAV in C:\Programme\WinRar\Default.SFX
Trojan.Agent\Gen-Nullo[Short] in 3 Dateien in D:\System Volume Information\_Restore...\...\A0064151.exe und ...52.exe und ...53.exe.
Application Agent\Gen-TempZ in 3Dateien in D:\My Download Files\...\ExtendMonitor1.exe und ...2.exe und ...MoniSwitch.exe. Diese 3 Dateien sind (mir bekannte) kleine Bildschirm-Tools, bei denen ich die Infektion eher nachträglich oder gar nicht (falsch positiv) vermute.
=> Ist die Wahrsch. von Falsch-Positiven Funden verschwindend gering ? Wie zuverlässig sind die Funde (dieser relativ unbekannten Programme), wenn doch z.B. Antivir und Norton Antivirus nichts gefunden haben? Und Bringt es nichts, diese Trojaner zu löschen? Gibt es keine andere Möglichkeit als die Formatierung der Systemplatte?

Vielen Dank für Eure Hilfe!

instaliere avira mal wieder :-)
das sieht alles nach fehlalarm aus, poste am schluss die logs.
wir werden dann deinen windows 7 laptop noch absichern falls erwünscht.

Im Ernst? Sind alle Meldungen wirklich Fehlalarme? Kannst du deine Einschätzung vielleicht näher erläutern? Stehen die Meldungen etwa öfter im Zusammenhang mit Fehlalarmen?
Wenn dem so ist, würde mich über diese ja positive Nachricht schwarz ärgern, da ich schon das ganze We inkl. Nachtschicht deswegen vorm Rechner hänge...
Auf PC läuft Win 7 und auf dem Laptop WinXP

die super antispyware meldungen sehen nach fehlalarm aus, aber ich hätte dazu erst mal gern das log.

Also Antivir auf beiden Rechnern wieder drauf und dann von beiden die Log?
Oder Log von Super AntiSpyware? Log von Malwarebytes exist. wg. Deinstallation nicht mehr.

ja avira drauf, und nein erst mal keine logs. du hast doch geschrieben das du auf deinem zweiten pc super antispyware laufen lässt, davon wollte ich das log.

Ah ok. Habe nach dem Super Antispyware Durchlauf die Funde in die Quarantäne verschieben lassen und jetzt läuft im Abgesicherten Modus ein 2. Durchlauf, der wahrsch. etwa 2 Std. dauern wird...

Kannst du mir sagen, ob ein gefundener Virus (Backdoor) auf Partition C sich auf die Programm-Installationsdateien auf Partition D ausbreiten könnte? (Angenommen, dies war kein Fehlalarm.) Ist also die alleinige Formatierung von C: sinnlos oder würde dies ausreichen?

ja aber ich brauche auch den fund des ersten durchlaufs falls möglich, sollte irgendwo logdateien geben im programm wenn ich mich nicht irre. aber wie gesagt das werden wohl fehlalarme sein.
dann können wir uns ja um den windows 7 pc kümmern.


1. solltest du nur noch als eingeschrenkter nutzer arbeiten , das admin konto ist nur für instalationen gedacht.
klicke start, tippe unter suchen (ausführen) systemsteuerung. wähle dort Benutzerkonten hinzufügen/entfernen.
wähle "neues konto erstellen"
Wähle standard benutzer.

die konten sollten mit einem passwort geschützt werden.
dazu auf konto endern klicken und passwörter vergeben.

die uac sollte auf maximum stehen.
klicke auf start, ausführen (suchen) tippe
uac
enter
nachfrage bestätigen, regler auf höchste stufe.
so ist es schwiriger heimlich etwas auf dem pc zu instalieren.
Die folgenden konfigurationen als admin ausführen:
2.
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.

3.
SEHOP aktivieren:
Aktivieren von SEHOP (Structured Exception Handling Overwrite Protection) in Windows-Betriebssystemen
klicke auf "Feature automatisch aktivieren"
und folge den anweisungen
dieser tipp, gilt auch für windows 7
4.
einer der sichersten browser ist opera.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
in den letzten jahren lag er was die sicherheit angeht weit vor den großen wie dem internet explorer und dem firefox.
außerdem ist er auch noch schneller im seitenaufbau etc.
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen
lesezeichen importieren:
http://operawiki.de/wiki/Lesezeichen
der link ist im monent nicht verfügbar, geduld also :-)
wenn dir der opera nicht zusagt, passe ich die anleitung auf den ff an.
5.
instaliere avira genauestens nach anleitung:
http://www.trojaner-board.de/54192-a...tellungen.html
außer unter konfiguration, guard, autostart kannst du die haken weg lassen.
6.
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.
7.
autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport
8.
Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.
9.
regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Acronis True Image 2011 - Festplatten-Backup-Software, Datei-Backup und Disk Imaging, Wiederherstellung von Anwendungseinstellungen, Backup von Musik, Videos, Fotos und Outlook-Mails
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.
10.

surfe ab sofort nur noch im standard nutzer konto, und dort in der sandbox, mit klick auf "sandboxed web browser"
allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.

frage:
machst du online banking?

Ja, mache Online Banking.

Sorry, muss nochmal nachhaken:
Ist die Antwort auf meine Frage ? Falls ja, verwechselst du evtl., was auf welchem Rechner passiert ist: Meine Frage bezieht sich auf den Desktop PC (kurz: PC). Die in der Antwort genannten (beiden) Durchläufe sind Läufe von Super Antispyware, was auf dem Laptop läuft.
Ich hoffe, es wird nicht noch konfuser :)

Also ich poste die Logs beider Durchläufe von Super Antispyware (Laptop) in ca. 1 Std. und um den Desktop PC mit Win 7 gehts dann evtl. anschließend.

die formatierung von c: reicht, ich redete über die logs von super anti spyware von deinem zweit pc, wo funde gemacht wurden.
es reicht eigendlich immer die betroffene partition zu formatieren.
zum online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia

Genau, Super Antispyware lief und läuft (nur) auf dem Laptop. Aber auch auf dem Desktop PC wurde durch Antivir ein Fund gemacht (Backdoor).

Ich habe halt öfter gelesen, dass sich Viren gleich auf alle ausführbaren Dateien (exe, xls, chd, doc ...) ausbreiten, s.d. eigentlich alle Dateien (außer audio, video, bilder) gelöscht werden müssten, um wirklich sicher zu sein. Auch soll die Partition den Viren egal sein.

Das mit dem Lesegerät verlangt glaube ich meine Bank ab nächstem Jahr, von daher :) Aber danke für die Anmerkung!

was du meinst sind viren, diese infizieren alle ausführbaren dateien, dies tun trojaner nicht.
du hast doch gesagt, den pc hast du formatiert und dort ist windows 7 neu instaliert.
dann reicht es, wenn du dort avira + malwarebytes drauf tust und die von mir genannten tipps durchführst.

so, auf dem laptop sagst du, du hast malwarebytes genutzt, öffne das programm, logdateien, posten.
dann sagst du, super antispyware läuft, ebenfalls logs posten. denn es sind, wie ich vermute fehlalarme.
und warum du avira deinstaliert hast verstehe ich nicht ganz, damit hast du keinen aktieven hintergrund scanner mehr.

Die Meldung lautete Backdoor. Wird so eine Hintertür nicht dafür verwendet, Viren usw. nachzuladen? Es müssen ja nicht unbedingt nur Trojaner nachgeladen worden sein.

Ja genau, PC ist formatiert. Es dürfen aber doch keine 2 Virenprogramme gleichzeitig installiert sein, oder? Kommen sich deren Wächter dann nicht gg.seitig in die Quere?

Aus diesem angenommenen Grund habe ich auf dem Laptop auch Malwarebytes deinstalliert, nachdem das gefundene RiskWare.Tool.CK bei 3 exe-Dateien gelöscht wurde. (Anschließend habe ich ja dann Super Antispyware installiert.) Daher kann ich die Log von MalwareBytes nicht mehr posten; Log von Super Antispyware poste ich, aber der Durchlauf dauert ewig.....

Deinstallation von Antivir, weil wie gesagt ja keine 2 Virenprogramme gleichzeitig installiert sein sollen.

ja 2 antiviren programme mit hintergrundwächtern sollten nicht instaliert sein, aber für einen scan ist das schon ok.

theoretisch hast du recht, nachgeladen kann alles werden aber wir haben es meistens mit trojanern etc zu tun, selten file infectoren.

Ist ja nicht zu fassen: Fünfeinhalb Std. rödelt Super AntiSpyware jetzt schon rum und es nimmt kein Ende. Läuft ja im Abgesicherten Modus, vorher hats "nur" 2 Std. gebraucht.

Dafür macht der Desktop PC wieder Laune: Hab jetzt Antivir, MalwareBytes, Super Antispyware und Norton Antivirus vollständig scannen lassen. Nur bei MalwareBytes gabs einen Fund: Adaware Tracking Cookie im Flash Player, was ja nichts wirklich bedrohliches ist, oder? Habs dann entfernen lassen.
=> Das müsste doch reichen, um den Desktop PC als clean anzusehen, oder?