[SammelThread] Viren, Würmer & Trojaner

[Rizlok]

Da ich auf Nummer sicher gehen will habe ich mir nochmal ein zweites neues Notebook geholt, was ich danach wieder verkaufe, wenn der Spuk vorbei ist.

Will nämlich auch auf das erste neu gekaufte Notebook eine saubere Windows Installation ausführen.

Mich stört nämlich das mein erstellter Bootstick einmal angeschlossen war als das infizierte System lief...

Jetzt habe ich noch ne Frage bezüglich des Schnellstarts von Windows 10. Sollte ich den auf dem alten System vorm neuinstallieren deaktivieren? Ich will nämlich nicht, das Programmteile von Win10 noch aktiv sind im Arbeitsspeicher z. B.
Ich hatte das so verstanden, dass der Schnellstart so funktioniert, ist das richtig?

Wie vermeide ich das noch etwas im Arbeitsspeicher ist vom alten System vor der Neuinstallation von Windows?

Oder ist das nicht notwendig?

Ist es so, dass nichts vom alten System aktiv ist, auch nichts im Ram, wenn ich direkt vom Bios ausgehend vom Win 10 Boot Stick oder ähnlichem boote? Also is das was ich dann starte vom System auf den Systemdatenträgern isoliert und somit wieder sicher?

 

[Darlis]

Der Schnellstart ist ein Hybrid aus Herunterfahren und Ruhezustand. Beim Ausschalten bleibt nichts im Arbeitsspeicher und wenn du z.B. von einem Stick bootest wird dieser auch ignoriert.
Bei einem Neustart wird der nicht genutzt und wenn du Shift gedrückt hältst, während du auf Herunterfahren klickst, ebenso.
Und wenn du wirklich sicher gehen willst, nimmst du ein Linux oder ein Plattenschredder wie DBAN und löschst damit die ersten paar Sektoren der HDDs.

 

[Rizlok]

Der Schnellstart schreibt nur eine Datei auf einen Datenträger um schneller zu starten wie es auch der Ruhezustand macht, richtig?

Weshalb wäre das löschen der ersten paar Sektoren noch ne gute Idee?
Was bewirkt, das löschen der ersten paar Sektoren?

Das mache ich vielleicht auch noch lieber.

Wie mache ich das mit DBAN bzw. Linux?

Es sind auch SSD's in dem System. Eine 2,5 Zoll und eine m.2

Außerdem: Im Notebook ist nur eine eMMc bei dem ich das dann auch noch machen würde mit DBAN.

Geht das bei den Speichergeräten auch oder nur bei HDD's?

Meinst du das überschreiben, sprich sicheres löschen von Laufwerken wenn du sagst die ersten paar Sektoren löschen?

Wie gehe ich da vor? Ne Anleitung wäre gut.

Ist ein infiziertes System eigentlich isoliert von einem von USB Stick oder optischer Disk gebootetem System sodass Schadsoftware da nichts anrichten kann?

 

[Darlis]

Der Schnellstart schreibt nur eine Datei auf einen Datenträger um schneller zu starten wie es auch der Ruhezustand macht, richtig?

Ja.

Was bewirkt, das löschen der ersten paar Sektoren?

Da stehen die Partitionsinformationen. Sind die gelöscht, ist die Platte quasi im Werkszustand. Das gilt für alle Arten Datenträger.

Wie mache ich das mit DBAN bzw. Linux?

Anleitungen gibt's zuhauf im Internet. Eine Reihe an Alternativen findest du auch auf der UltimateBootCD.

Meinst du das überschreiben, sprich sicheres löschen von Laufwerken wenn du sagst die ersten paar Sektoren löschen?

"Sicheres Löschen" wäre das löschen des kompletten Datenträgers. Das kannst du machen, ist aber nicht nötig. Bei SSDs musst du es aber mit dem SecureErase-Befehl machen, nicht mit DBAN.

Ist ein infiziertes System eigentlich isoliert von einem von USB Stick oder optischer Disk gebootetem System sodass Schadsoftware da nichts anrichten kann?

Theoretisch ja. Es besteht aber immer die Möglichkeit, dass das System auf dem Stick Daten auf dem kompromittieren Datenträgern auslesen kann und damit selbst kompromittiert wird. Ein pratisches Beispiel an Schadsoftware kenne ich noch nicht, aber man kann ja auf nummer sicher gehen. Aber wenn du z.B. Windows 7 im Bios-Modus bootest, und es findet eine Platte mit GPT-Partitionsstil, werden dir gar keine Laufwerke im Setup angezeigt...

 

[Rizlok]

Das artet ja echt in ein Monsterprojekt aus. Finde es aber super wie ich hier unterstützt werde! Vielen Dank schonmal dafür!

Ich habe gestern noch mal mit jemandem geredet über die Sache mit meiner Schadsoftware und meinem Vorhaben das System neu aufzusetzen.

Was der aber sagte wirkte auf mich total übertrieben.

Er sagte u. a. :

dass ich in meinem Fall auch noch das BIOS neu flashen sollte.

dass es auch möglich ist, dass jetzt auf der Grafikkarte Schadsoftware drauf ist, die auch wieder aktiv werden könnte auf einem neu installiertem PC.

Das jetzt überall auf meinem PC wo Daten gespeichert werden können sich (die) Schadsoftware befinden könnte und (wieder) aktiv werden könnte. Mit überall sind wahrscheinlich auch Chips auf dem Mainboard und dad BIOS gemeint.

Dass ich, wenn ich auf Nr. sicher gehen möchte den ganzen PC verkaufen müsste.

Was sagt ihr dazu?

---

Sollte ich meinen Router auch resetten? Ist es möglich, dass Schadsoftware auf den Router gelangt?

(Ich hatte mich nach den Erkennungen von Schadsoftware nämlich mit dem betroffenen System auf dem Router eingeloggt.)

Wenn ich den Router mittels Reset Knopf auf Werkseinstellungen zurücksetze, ist dann evtl. vorhandene Schadsoftware auf dem Router beseitigt?

Oder ist das gar nicht möglich, dass da Schadsoftware drauf gelangt? Allgemein und in meinem Fall meine ich.

 

[purzelbär]

Ich habe gestern noch mal mit jemandem geredet über die Sache mit meiner Schadsoftware und meinem Vorhaben das System neu aufzusetzen.

Was der aber sagte wirkte auf mich total übertrieben.

Er sagte u. a. :

dass ich in meinem Fall auch noch das BIOS neu flashen sollte.

dass es auch möglich ist, dass jetzt auf der Grafikkarte Schadsoftware drauf ist, die auch wieder aktiv werden könnte auf einem neu installiertem PC.

Das jetzt überall auf meinem PC wo Daten gespeichert werden können sich (die) Schadsoftware befinden könnte und (wieder) aktiv werden könnte. Mit überall sind wahrscheinlich auch Chips auf dem Mainboard und dad BIOS gemeint.

Dass ich, wenn ich auf Nr. sicher gehen möchte den ganzen PC verkaufen müsste.

Was sagt ihr dazu?

Kurz und knapp: derjenige ist ein Quatschkopf der keine Ahnung hat und sich dir gegenüber nur wichtig machen wollte. Mach es so wie es Darlis dir geschrieben hat und wenn du fertig bist, mache wie von mir beschrieben ein Systembackup mit dem genannten Programm auf eine USB Festplatte.

 

[Darlis]

Theoretisch gibt es Viren, die sich in die Biosse einnisten können. Praktisch sind die kaum bis gar nicht im Umlauf.
Das der Router (oder sonstige intelligente Geräte wie NAS oder IoT) von Schadsoftware befallen wird ist schon wahrscheinlicher. Da müsstest du aber mal das Modell hier posten und welche Firmwareversion da drauf ist.

 

[Rizlok]

Es ist ein cbn (Compal Broadband Networks) CH7466CE Router.

Firmware Version: 4.50.20.3

Ich würde eben gerne wissen was zu tun ist, wenn da Schadsoftware drauf ist. Selbst wenn keine Drauf IST würde ich das gerne dann machen um das ausschließen zu können.

 

[Darlis]

Firmware finde ich zu dem Teil jetzt nicht. Ein Werksreset löscht "nur" die Konfiguration. Das, und der Neustart, reichen aber auch in vielen Fällen aus, um Schadsoftware loszuwerden. Die verankert sich auch selten im Gerät sondern greift immer bei Bedarf aus dem Internet über Sicherheitslücken zu.

Nach dem Neustart/Reset Adminpasswort ändern,
unter Router>Basic>LAN Settings UPnP deaktivieren (gerade neulich mal wieder als Sicherheitslücke bekannt geworden https://www.computerbase.de/2018-11/router-botnetz-upnp-luecke/)
unter Router>Advanced Firewall sicherstellen, dass die Firewall für v4 und v6 aktiv ist
unter Portweiterleitung sollte nichts eingetragen sein, es sei denn du hast da aktiv was eingetragen
ebenso DynDNS.
USB und Medienserver ebenfalls deaktivieren, falls nicht benötigt.

 

[Rizlok]

Firmware finde ich zu dem Teil jetzt nicht. Ein Werksreset löscht "nur" die Konfiguration. Das, und der Neustart, reichen aber auch in vielen Fällen aus, um Schadsoftware loszuwerden. Die verankert sich auch selten im Gerät sondern greift immer bei Bedarf aus dem Internet über Sicherheitslücken zu.

Nach dem Neustart/Reset Adminpasswort ändern,
unter Router>Basic>LAN Settings UPnP deaktivieren (gerade neulich mal wieder als Sicherheitslücke bekannt geworden https://www.computerbase.de/2018-11/router-botnetz-upnp-luecke/)
unter Router>Advanced Firewall sicherstellen, dass die Firewall für v4 und v6 aktiv ist
unter Portweiterleitung sollte nichts eingetragen sein, es sei denn du hast da aktiv was eingetragen
ebenso DynDNS.
USB und Medienserver ebenfalls deaktivieren, falls nicht benötigt.

Ein paar Einstellungen finde ich nicht im Router Menü. Ich kann keine Einstellung finden, wie ich die v4 Firewall aktivieren kann. (unter Router>Advanced Firewall ist nur das im angehängten Bild zu sehen.)

Des weiteren finde ich auch keine Einstellung was DynDNS betrifft. Was nun?

--

Die beiden neu gekauften Notebooks habe ich aus verschiedenen Gründen zurückgegeben.

Ich habe nun vor nochmal neu zu starten. Ich schreibe jetzt nochmal detailliert wie ich beabsichtige vorzugehen und würde mich darüber freuen, wenn ihr mir sagt ob das die richtige Vorgehensweise ist oder ob ich noch etwas besser machen kann:

1. Neues Notebook kaufen

2. Außschließlich das Notebook mit meinem Router verbinden nachdem ich durch Taste am Router einen Reset vorgenommen habe. Kein anderes Gerät mit dem Router verbunden währenddessen und danach.

3. Den Router wie Darlis sagt konfigurieren ( Ich hoffe du gehst nochmal auf die Einstellungen ein, welche ich nicht finde)

4. Über das neue Notebook auf einem neu gekauften USB Stick ein frisches BIOS für das Mainboard draufspielen und flashen

5. Dann würde ich auf den USB Stick ein System drauf installieren womit ich die Partitionsinformationen der Laufwerke löschen kann. Wie heißt dieser Befehl?

Ich hatte mal Gparted im Einsatz, womit ich Secure Erase auf einer SSD die über ein SATA Kabel angeschlossen war ausführen konnte. Das ging aber nur über Umwege, weil es nicht möglich war die SSD aus dem frozen Zustand zu holen indem man den PC über Gparted in den Standby Modus schaltet und wieder aufweckt.
Hatte dann SATA Hot Plug im BIOS aktiviert und alle Kabel der SSD während des laufenden Betriebs von Gparted getrennt und wieder eingesteckt. Dann ging Secure Erase. Das geht ja bei einer M.2 SSD nicht.

Wie mache ich das jetzt mit einer M.2 SSD ?

6. Über das neue Notebook einen Windows 10 Installations Stick erstellen

7. Windows neu installieren

8. PC wieder wieder wie vor der Infektion nutzbar?

Mir fällt noch ein, dass ich auch einen Drucker angeschlossen hatte. Auf Drucker kann ja auch Schadsoftware gelangen. Wie gehe ich bezüglich des Druckers vor? Ich würde den Drucker frühestens wieder anschließen sobald Windows 10 und der Defender alle neuesten Updates hat. Würde Defender dann anschlagen, falls auf dem Drucker Schadsoftware ist, auf dem Drucker Schadsoftware läuft, über den Drucker Schadsoftware evtl. auf den PC gelangt? Oder Ähnliches? (Weiß ja nicht wie sich Schadsoftware auf Druckern verhält oder was die macht.) Es ist ein Brother HL-2130.

Ich bin auf eure Antworten und Meinungen gespannt. Will halt ausschließen, dass sich irgendwo noch übrig gebliebene Schadsoftware versteckt.

 

[Darlis]

Wenn du auf deinem Router die Einstellungen nicht findest, kannst du die ignorieren, dann wurden die von deinem Anbieter nicht freigeschaltet.

5. Du kannst in GParted die SSD auch nur neu initialisieren (bin mir nicht sicher, wie der Punkt genau heißt). Also den MBR bzw. GPT neu schreiben lassen. Ein SecureErase wäre Overkill.

8. Ja.

Auch Drucker können infiziert werden. Das ist derzeit aber mehr Theorie als Praxis. https://www.borncity.com/blog/2018/08/06/hp-drucker-remote-code-execution-sicherheitslcke/
Ob ein Virenscanner den erkennen könnte hängt von der Art der Infektion ab. Wenn der Drucker nur Bitcoins schürft eher nicht.

 

[Gullwoop]

Als ich vorhin in einem Forum unterwegs war wurde bei mir die folgende Seite über einen Image-Hoster aufgerissen (ich füge diese extra nicht als Link ein damit da nicht jemand ausversehen draufklickt!):

https://kbx1sth37s.com

Ich habe keine Ahnung was sich hinter dieser Adresse verbirgt aber ich denke einfach mal dass es nichts gutes ist. Durch mein Antivierenprogramm wurde die Seite gesperrt. Kennt sowas vielleicht jemand und weiß wie man sich davor besser schützt bzw. kann mir etwas zu dieser Seite sagen?

Wißt ihr ob man seinem Browser irgendwie beibringen kann dass wirklich nur die angeforderten Seiten aufgerufen werden und nicht immer mal wieder solche dubiosen Drittanbieter Seiten? Ich nutze Firefox mit uBlock Origin und uMatrix. Scripte sind generell ersteinmal nicht erlaubt bei uMatrix. Über uBlock Origin kann man generell PopUps verbieten, scheint aber nicht viel zu bringen!?

 

[Dr. McCoy]

Als ich vorhin in einem Forum unterwegs war wurde bei mir die folgende Seite über einen Image-Hoster aufgerissen

Also hast Du in dem Forum einen Link aus einem Beitrag angeklickt, der zu einem Imagehoster führte?

Ich habe keine Ahnung was sich hinter dieser Adresse verbirgt

Malware:
-> https://www.virustotal.com/#/file/b...4250022d3faa8e6167f85aa12db19f7f25f/detection

Wißt ihr ob man seinem Browser irgendwie beibringen kann dass wirklich nur die angeforderten Seiten aufgerufen werden und nicht immer mal wieder solche dubiosen Drittanbieter Seiten?

Das geht nicht ohne Weiteres. Weil viele Webseiten ziehen ihren Quellcode aus verschiedenen Quellen, Mann kann allerdings über Browser-Plugins z.B. einstellen, dass für via iFrame eingebettete oder bisher unbekannte Seiten keine Scripte ausgeführt werden. Das reduziert die Angriffsfläche enorm, siehe auch hier, da wird auch ein Script genutzt (.js).

Ich nutze Firefox mit uBlock Origin und uMatrix. Scripte sind generell ersteinmal nicht erlaubt bei uMatrix.

Das ist doch schon mal gut.

Über uBlock Origin kann man generell PopUps verbieten, scheint aber nicht viel zu bringen!?

PopUps haben ja nichts mit iFrames zu tun, oder Webseiten, die man von Hand mittels Klicks aufruft.

Abgesehen davon, hatte ich Dir auf diese Konstellation schon mal ziemlich genau vor einem Jahr ausführlicher geantwortet:
-> https://www.computerbase.de/forum/threads/eset-js-redirector-nds.1725401/#post-20643325

Vergessen? Damals nicht richtig gelesen?

 

[Rizlok]

Und wenn du wirklich sicher gehen willst, nimmst du ein Linux oder ein Plattenschredder wie DBAN und löschst damit die ersten paar Sektoren der HDDs.

Ist es auch genauso sicher von einer Windows Boot DVD zu booten anstelle von einem Live System?

Von dort würde ich dann die Eingabeaufforderung öffnen und mittels Diskpart und Befehl clean all die Festplatte säubern.

Dieses Programm mit Eingabe des clean all Befehls sollte doch das was du meintest ausführen oder?
Meines Wissens nach löscht das die Partitionierungstabelle wie den Master Boot Record oder GPT, die Partitionierung sowie alle Daten sicher.

Wenn du schreibst die ersten paar Sektoren löschen, war doch sicherlich gemeint eben auch den Bootsektor der Festplatte mit zu löschen oder?

Geht das was du meinst auch auf diesem wege?

 

[Darlis]

Theoretisch würde das gehen. Aber auf der SSD solltest du nicht "clean all" nutzen, Secure Erase wäre deutlich besser. "clean" (löschen des Bootsektors und Partitionsstruktur (MBR/GPT)) reicht außerdem bei einem Virenbefall und eignet sich auch bei SSDs.
Da du ein Windows-Virus vermutest, ist es natürlich nicht so ideal ein anderes Windows zum bekämpfen zu booten. Es wird ja in gewissem Rahmen vom Datenträger gelesen und interpretiert. Wenn du nach dem cleanen, ohne eine Partitionsstruktur angelegt zu haben, das Setup nochmal neu startest, solltest du aber auf der sicheren Seite sein.

 

[emeraldmine]

Der erste FF-Trojaner den ich hatte , heute am 07.01.2019..Windows Defender hat den gefunden im Browser-Cache stand er mit codiertem Dateinamen.

Scho weg, irgendwie sollte er weg.

mrt gestartet -> weitere infizierte Dateien, nicht gut, gar nicht gut. Hoffentlich legt er doch irgendwo ne LOG-Datei hin, damit man das verfolgen kann !?

HA , Glück , die Funde waren nur ein Verdacht von mrt. Keine Bedrohungen gefunden. Weiter machen. ^^

 

[Rizlok]

Theoretisch würde das gehen. Aber auf der SSD solltest du nicht "clean all" nutzen, Secure Erase wäre deutlich besser. "clean" (löschen des Bootsektors und Partitionsstruktur (MBR/GPT)) reicht außerdem bei einem Virenbefall und eignet sich auch bei SSDs.
Da du ein Windows-Virus vermutest, ist es natürlich nicht so ideal ein anderes Windows zum bekämpfen zu booten. Es wird ja in gewissem Rahmen vom Datenträger gelesen und interpretiert. Wenn du nach dem cleanen, ohne eine Partitionsstruktur angelegt zu haben, das Setup nochmal neu startest, solltest du aber auf der sicheren Seite sein.

Könntest du mir vielleicht noch sagen wie ich die HDD unter Linux ( Knoppix 8.2 Live DVD ) lösche, wie als wenn ich bei Diskpart unter Windows clean bzw. clean all eingebe?

Ich hoffe das war verständlich ausgedrückt. Habe jetzt stundenlang gegoogelt aber nicht das passende gefunden. Gparted ist auf der Knoppix drauf falls dir das weiterhilft.

 

[emeraldmine]

@Rizlok , rewrite partition table.

Edit:

Bei Gparted.

 

[Rizlok]

@Rizlok , rewrite partition table.

Wo eingeben?

Und für die SSD reicht ein einfacher Secure Erase für Parted Magic Live CD aus um Schadsoftware komplett zu beseitigen? Es gibt nämlich noch den Sanitize Befehl, welchen ich aber ohne weiteres nicht ausführen lassen kann über ein Bootmedium. Das Sandisk Dashboard erlaubt mir nicht so einen Bootstick zu erstellen wenn keine Sandisk SSD im System ist ( Wollte Bootstick über anderen Rechner erstellen, weil nicht infiziert.) Wüsste sonst keinen anderen weg für sanitize. Ihr?

Aber ich warte mal die Antworten ab. Vielleicht reicht Secure Erase ja auch wie gefragt...

 

[Darlis]

https://gparted.org/display-doc.php?name=help-manual
Device -> Create Partition table

SecureErase ist quasi ein Werksreset, alle Daten sind danach weg. Also ja, "reicht aus". Oder meinst du das bezogen auf GParted? Würde aber auch ausreichen.