[SammelThread] Viren, Würmer & Trojaner

[Rizlok]

https://gparted.org/display-doc.php?name=help-manual
Device -> Create Partition table

Diese Option löscht den Bootsektor doch aber nicht. Sondern schreibt nur einen neuen oder?

Oder wird damit der alte komplett gelöscht und ein neuer geschrieben und somit dasselbe erreicht?

Secure Erase der SSD habe ich über Parted Magic 2013-08-01 gemacht. Sogar Enhanced Secure Erase. Wo ist da eigentlich der Unterschied?

Kann ich mit Erase Disk von Parted Magic 2013-08-01 auch die notwendigen Schritte für die HDD vornehmen?

Dort gibt es nämlich die Option Erase MBR... Siehe angehängtes Bild.

Erreiche ich mit dieser Methode dasselbe?

Wie kann ich nach erfolgreichem löschen des Bootsektors MBR z. B. nachprüfen ob das erfolgreich war? Am besten auch über Parted Magic 2013-08-01.

MBR oder GPT sind doch nur Varianten die im Bootsektor stehen können? Wenn man ein Linuxformat möchte heißen die sicherlich wieder anders, richtig?


Du hattest mal geschrieben ich soll die ersten paar Sektoren löschen. An der Aussage habe ich immer noch zu knabbern. Was gebau meintest du damit eigentlich? Meintest du damit den Bootsektor sprich MBR z. B. löschen?

So viel ich weiß befinden sich der Bootloader, die Partitionstabelle und evtl. noch anderes im ersten Sektor eines Datenträgers. Diesen zu löschen besprechen wir ja gerade. Aber ich frage mich nun wie ich dann noch die restlichen "paar" Sektoren lösche...

 

[Darlis]

Oder wird damit der alte komplett gelöscht und ein neuer geschrieben und somit dasselbe erreicht?

Genau das.

Secure Erase der SSD habe ich über Parted Magic 2013-08-01 gemacht. Sogar Enhanced Secure Erase. Wo ist da eigentlich der Unterschied?

Enhanced Secure Erase schreibt zusätzlich Pseudodaten. Wenn die Methode, die du gewählt hast, länger als ein paar Sekunden gedauert hat, wir deine SSD für die nächste Zeit schön langsam sein. Deswegen habe ich von Tools wie DBAN & Co. abgeraten.

Dort gibt es nämlich die Option Erase MBR... Siehe angehängtes Bild.

Erreiche ich mit dieser Methode dasselbe?

Erase MBR löscht ja nur den MBR, also die ersten paar Sektoren. Eigentlich für deine Zwecke ausreichend. Alle Methoden funktionieren natürlich auch für HDDs. Bei Secure Erase solltest du idealerweise eine USV haben, wird der Vorgang unterbrochen (und das dauert je nach größe mehrere Stunden) kann die HDD in den Zustand "frozen" gehen und dann muss man gucken, ob man die wieder un-freezen kann.

Wie kann ich nach erfolgreichem löschen des Bootsektors MBR z. B. nachprüfen ob das erfolgreich war?

Wenn GParted keine Partitionen mehr anzeigt. Unter Windows würdest du aufgefordert, das Laufwerk zu initialisieren.

MBR oder GPT sind doch nur Varianten die im Bootsektor stehen können? Wenn man ein Linuxformat möchte heißen die sicherlich wieder anders, richtig?

Es gibt nur MBR und GPT. Das hat mit Linux nix zu zun. Du meinst vermtulich Dateisystem wie NTFS, FAT, ext, etc.

Du hattest mal geschrieben ich soll die ersten paar Sektoren löschen. An der Aussage habe ich immer noch zu knabbern. Was gebau meintest du damit eigentlich? Meintest du damit den Bootsektor sprich MBR z. B. löschen?

Genau das.

So viel ich weiß befinden sich der Bootloader, die Partitionstabelle und evtl. noch anderes im ersten Sektor eines Datenträgers. Diesen zu löschen besprechen wir ja gerade. Aber ich frage mich nun wie ich dann noch die restlichen "paar" Sektoren lösche...

Wozu? Um einen Virus loszuwerden muss das nicht gemacht werden, da ja alles neu geschrieben wird. Sonst müsste ja ein Programm wissen, wo der Virus ehemals auf dem Datenträger lag und explizit von dort lesen. Das wird aber nur im Bereich des MBR/GPT gemacht, wo Daten erwartet werden. Oder willst du die Platte(n) verkaufen? Parted Magic bietet dir ja ein breites Spektrum an Löschoptionen.

 

[Rizlok]

Genau das.


Enhanced Secure Erase schreibt zusätzlich Pseudodaten. Wenn die Methode, die du gewählt hast, länger als ein paar Sekunden gedauert hat, wir deine SSD für die nächste Zeit schön langsam sein. Deswegen habe ich von Tools wie DBAN & Co. abgeraten.


Erase MBR löscht ja nur den MBR, also die ersten paar Sektoren. Eigentlich für deine Zwecke ausreichend. Alle Methoden funktionieren natürlich auch für HDDs. Bei Secure Erase solltest du idealerweise eine USV haben, wird der Vorgang unterbrochen (und das dauert je nach größe mehrere Stunden) kann die HDD in den Zustand "frozen" gehen und dann muss man gucken, ob man die wieder un-freezen kann.

Wenn GParted keine Partitionen mehr anzeigt. Unter Windows würdest du aufgefordert, das Laufwerk zu initialisieren.


Es gibt nur MBR und GPT. Das hat mit Linux nix zu zun. Du meinst vermtulich Dateisystem wie NTFS, FAT, ext, etc.

Genau das.

Wozu? Um einen Virus loszuwerden muss das nicht gemacht werden, da ja alles neu geschrieben wird. Sonst müsste ja ein Programm wissen, wo der Virus ehemals auf dem Datenträger lag und explizit von dort lesen. Das wird aber nur im Bereich des MBR/GPT gemacht, wo Daten erwartet werden. Oder willst du die Platte(n) verkaufen? Parted Magic bietet dir ja ein breites Spektrum an Löschoptionen.

Mit USV meinst du unterbrechungsfreie Stromversorgung?

Ich will aber auch generell wissen wie man Daten so löscht, dass sie nicht wiederherstellbar sind. Das will ich gerne über EIN Live System machen. Vorzugsweise Parted Magic 2013-08-01

Auch wenn du sagst es reicht den MBR bzw. GPT zu löschen im Falle eines Malwarebefalls würde ich mich wohler fühlen, wenn alle Daten auf den Datenträgern gelöscht werden sodass sie nicht wiederherstellbar sind. Wer weiß was Malware alles so kann!

Ist das so bei Secure Erase der SSD?
Werden dabei auch die ersten paar Sektoren der SSD sprich der MBR bzw. GPT gelöscht?

Ist das so bei Enhanced Secure Erase der SSD?
Werden dabei auch die ersten paar Sektoren der SSD sprich der MBR bzw. GPT gelöscht?

Welche Methode für eine HDD über Parted Magic die dort angeboten wird bewerkstelligt das? Am besten es ist eine bei Parted Magic dabei, siehe Screenshot den ich zuvor angehängt habe.

Bei HDD's soll es ja reichen die Platte einmal mit Nullen zu überschreiben, richtig?
Gibts die Funktion bei Parted Magic (Siehe Screenshot) ?

Außerdem interessiert es mich generell wie man Daten unwiederbringlich löscht, weil mich alles was mit IT zu tun hat interessiert und auch für den Fall, dass ich die Datenträger bzw. Datenträger mal weitergeben oder verkaufen will, ja.
Gut zu wissen ist es außerdem falls man mal einen externen Datenträger verleiht damit Daten die andere nichts angehen nicht wiederhergestellt werden können.

 

[Darlis]

Mit USV meinst du unterbrechungsfreie Stromversorgung?

Ja.

Ich will aber auch generell wissen wie man Daten so löscht, dass sie nicht wiederherstellbar sind.

Bei PartedMagic wären das die Optionen Disk, NWipe und Secure Erase. Die ersten 2 für HDDs, letzteres für SSDs. Mit Secure Erase wird auch der Pufferspeicher, auf den du nicht direkt zugreifen kannst gelöscht, sowie die Schreibperformance wiederhergestellt. Das ist mit den ersten 2 Optionen nicht gegeben. Außerdem dauert es nur ein paar Sekunden.
Generell reicht es, 1x die Daten zu überschreiben. Mehrfaches Überschreiben (NWipe, DBAN) ist nicht nötig. Dieses Vorgehen stammt noch aus der Zeiten der Disketten und ersten HDDs, bei denen man die Datenspuren noch mit bloßem Auge erkennen konnte.
Als Alternative geht natürlich auch diskpart clean /all (für HDDs), wenn du gerade im Windows-Setup bist.

Wer weiß was Malware alles so kann!

Jo, da reicht schon eine magische Bitfolge, die irgendwo auf dem Datenträger liegt und alles ist sofort wieder infiziert...

 

[Rizlok]

Jo, da reicht schon eine magische Bitfolge, die irgendwo auf dem Datenträger liegt und alles ist sofort wieder infiziert...

Das war jetzt Sarkasmus und nicht ernst gemeint, oder?

Ich bin ja bald fertig mit dem Thema hoffe ich.

Löscht denn Secure Erase und Enhanced Secure Erase auch den MBR bzw. GPT gleich mit?

 

[Darlis]

Ja, das war Sarkasmus.

Zum Verständis: MBR und GPT werden normal auf dem Datenträger gespeichert, der Datenträger selbst kennt das Konzept nicht, der schreibt/liest nur stur 0en und 1en. Wenn du also eine Funktion hast, die alle Daten auf dem Datenträger löscht, wird natürlich auch MBR/GPT mit gelöscht. Bei der Part-Funktion wird z.B. nur der Inhalt einer Partition gelöscht, lässt also MBR/GPT unangetastet.

 

[Rizlok]

Und wie löscht man den MBR bzw. GPT auf einem USB Stick?
Habe nämlich eben mal über diskpart jeweils clean und clean all auf einem USB Stick ausgeführt. Wenn ich danach in die Datenträgerverwaltung gehe um das erfolgreiche löschen zu verifizieren wird mir nicht angezeigt, dass der Datenträger nicht initialisiert ist und es kommt auch keine Meldung, dass man ihn initialisieren soll.
Woran liegt das?
Hat diese Vorgehensweise auf dem USB Stick nicht geklappt?

(clean all hatte ich nur ausgeführt, weil ich dachte der Befehl clean löscht den MBR bzw. GPT nicht bzw. anscheinend auf einem USB Stick nicht.)

 

[Darlis]

Habe das gerade getestet, bei USB-Sticks wird tatsächlich automatisch ein MBR erstellt. Könnte ein "Feature" des Sticks sein, bin mir da aber nicht sicher. Auf jeden Fall werden die Partitionseinträge gelöscht.
Bei HDDs ist es definitiv so, dass der MBR komplett gelöscht wird und der Datenträger initialisiert werden muss.

 

[Rizlok]

Habe das gerade getestet, bei USB-Sticks wird tatsächlich automatisch ein MBR erstellt. Könnte ein "Feature" des Sticks sein, bin mir da aber nicht sicher. Auf jeden Fall werden die Partitionseinträge gelöscht.
Bei HDDs ist es definitiv so, dass der MBR komplett gelöscht wird und der Datenträger initialisiert werden muss.

Du meinst wohl es ist allgemein ein "Feature" von USB Sticks. Ich habe das mit 2 Sticks verschiedener Hersteller getestet. Es war bei beiden der Fall. Was mag das für einen Grund haben?

Bei HDD's klappts ja. Hat auch bei mir geklappt!

Vielen vielen Dank @Darlis übrigens für deine Super Unterstützung! Dank natürlich auch an die anderen!

 

[Darlis]

Ich habe mir das mal mit ProcessMonitor angeguckt und es ist wohl doch ein Windows-(diskpart?)-Feature: Beim cleanen werden erst 1MiB am Anfang und Ende des Datenträgers geschrieben (vermutlich 0en) und danach nochmal 512 Bytes am Anfang. Das wird der neue MBR sein.

 

[StarAndi]

Eine allgemeine Frage:

Ausgangslage:
Man nutzt Adblock Plus (Ich weiß Ublock Origin ist besser aber das
soll jetzt nicht das Thema sein) und man ist auf einer Seite wo trotzdem
Werbung angezeigt wird.
Man klickt ausversehen auf die Werbung auf einem Fenster/Banner zB zum neuen Spiele Cyberpunk 2077.
Die Seite beginnt mit adclick irgendwas, wenn man es googelt sieht man
das es auf Doubleclick also der Google Werbung basiert.

Ist das dann Spyware/Maleware ein Cookie oder sonst irgendwas gefährliches?
Oder ist es ungefährlich?
Oder kann man das nicht pauschal sagen?

 

[Dr. McCoy]

Das kann man nicht pauschal sagen, da sich potentiell hinter jeder Werbung auch ein Exploit befinden kann. Gerade zentrale Werbeserver sind dazu ein belebtes Ziel, und das schon seit vielen Jahren:
-> https://www.heise.de/newsticker/meldung/Vergiftete-Websites-Update-117002.html

 

[StarAndi]

Das kann man nicht pauschal sagen, da sich potentiell hinter jeder Werbung auch ein Exploit befinden kann. Gerade zentrale Werbeserver sind dazu ein belebtes Ziel, und das schon seit vielen Jahren:
-> https://www.heise.de/newsticker/meldung/Vergiftete-Websites-Update-117002.html

Wie hoch ist die Warscheinlichkeit für sowas?...
Es geht um www.readmore.de ,
Werbung trotz Adblock Plus.

Ich meine es gibt ja viele Leute die auf bestimmten Seiten
Werbung absichtlich zulassen und darauf klicken um
die Seite zu unterstützen.

 

[Fruchtfliege]

Hallo alle zusammen, ich brauche mal Hilfe. Ich habe mir Schadsoftware eingefangen und versucht, diese zu entfernen. Da ich mich mit solchen Sachen aber nicht gut auskenne, würde ich gerne wissen, wie ich festestellen kann, ob das Entfernen geklappt hat, oder welche Schritte erforderlich sind.

Ich habe Win7 und kann dieses Jahr auch noch nicht auf Win10 umstellen, da mein Simulator nicht mehr mit meiner Hardware und meiber Addon-Zusammenstellung laufen würde. Diese Investition in einen neuen Simulator und in neue Hardware ist dieses Jahr einfach nicht so leicht möglich.

In einem anderen Forum habe ich gelesen, wie 2 Hilfesuchende richtig runtergeputzt wurden deswegen. Ich hoffe, hier läuft es anders. Ich wäre Euch für Eure Hilfe sehr dankbar. Meine PC Kenntnisse reichen für das, was ich privat so mache aus, wenn es tiefer in die Materie geht, bin ich ahnungslos.

Welche Angaben benötigt Ihr?

Danke schon mal.

LG
Fruchtfliege

 

[Dr. McCoy]

@Fruchtfliege, willkommen im Forum!

1. Welche Schadsoftware genau hast Du Dir "eingefangen", und wo genau wurde sie gefunden (Pfad/Datei)?
2. Wie genau hast Du versucht, sie zu entfernen?
3. Hast Du externe Backups (Datensicherungen) Deiner Dir wichtigen Daten in Mehrfachkopie, z.B. auf verschiedenen externen Festplatten, vorliegen?

 

[Fruchtfliege]

Hallo Dr. McCoy,

danke Dir für Deine rasche Antwort. Mir ist etwas dazwischen gekommen, deshalb antworte ich jetzt erst. Tut mir leid.

Ich habe bemerkt, dass mein Browser neue Seiten öffnet, die keinen sichbaren Inhalt anzeigen, deren Zieladresse aber mit 1online begannen. Google hat mir dazu den "About:blank Hijacker" benannt. Mein Antivierenprogramm Avira Antivir hatte das nicht erkannt. Erst bei einem erneuten manuellen Scan wurde eine Datei gefunden.

C:\Users\Thyi\AppData\Local\Mozilla\Firefox\Profiles\act9cwhp.default\cache2\entries\3D8659AEDCB8C07E7E7F25E24CDFFC78C5245598

Ich habe dann Anleitungen im Netz gefunden, mit denen ich versucht habe, die Schadsoftware zu entfernen. Zuerst hat Antivir diese Datei gelöscht. Danach habe ich Mein System auf ein Abbild von April zurückgesetzt. Ein erneuter Scan war unauffällig. Ich habe mir dann die folgenden Tools runtergeladen.

1. Malwarebytes Anti Malware (MBAM)
2. Malwarebytes Adw Cleaner
3. ESET

Alle drei Scans waren ohne Schadsoftware. Mein Browser spinnt auch nicht mehr. Backups habe ich, sowohl in meiner Dropbox, als auch auf einer externen Festplatte, die nie angeschlossen ist, es sei denn, ich sichere gerade.

Meine Daten, die auf der Dropbox liegen, habe ich auch gescannt. Alles negativ.

Vielen Dank schon mal :-)

Liebe grüße
Fruchtfliege

 

[Dr. McCoy]

Google hat mir dazu den "About:blank Hijacker" benannt.

Okay, damit war definitv Malware im weiteren Sinne aktiv. Das ist ganz simpel immer dann der Fall, wenn sich plötzlich eine Software auf dem System befindet, die Du nicht kennst, deren Quelle Du nicht kennst, die Du nicht haben wolltest und auch nicht bewusst installiert hast.

Mein Antivierenprogramm Avira Antivir hatte das nicht erkannt.

Das ist durchaus normal, dass Virenscanner im Allgemeinen etwas nicht erkennen, selbst dann, wenn es sich schon länger aktiv auf dem System befindet und im Hintergrund sein Unwesen treibt. Deshalb ist es besonders wichtig, selbst geeignete Maßnahmen abseits von Virenscanenr & Co zu treffen, die die Installation jeglicher Malware verhindern.

Ich habe dann Anleitungen im Netz gefunden, mit denen ich versucht habe, die Schadsoftware zu entfernen.

Nein, das sollte man nicht machen. Mit dem Entfernen einzelner gefundener Schadkomponenten hat man noch lange kein vertrauenswürdiges System zurück. Denn Malware zeigt sich nicht nur in offensichtlichen Symptomen, sondern es ist durchaus möglich und auch in der Praxis so anzutreffen, dass im Hintergrund unentdeckte Komponenten weiter aktiv sind und z.B. sensible Daten auslesen, ohne dabei aufzufallen. Der Nutzer hingegen freut sich, dass die offensichtliche Symptomatik im Browser verschwunden sind, und sieht das Problem als erledigt an -- obwohl dem nicht so ist, da er die für ihn zunächst symptomfreie Malwareproblematik nicht erkennt.

Daher greift man im Falle einer Systemkompromittierung -- und eine solche liegt bei jeder aktiv gewordenen Malware vor -- entweder zur Neuinstallation, oder eben zum Image/Abbild:

Danach habe ich Mein System auf ein Abbild von April zurückgesetzt.

Entscheidend ist allerdings, dass dieses Image ebenfalls sauber sein muss. Daher ist eine stets gute Absicherung des Systems so wichtig, weil man damit jede Menge Folgeprobleme und den Zeitaufwand dafür einspart.

Ein erneuter Scan war unauffällig. Ich habe mir dann die folgenden Tools runtergeladen.

Wie gesagt, Virenscanner-Scans, von kompromittierten System aus durchgeführt sowieso, sind nicht belastbar hinsichtlich der Aussage, ob ein System sauber und vertrauenswürdig ist oder nicht.

1. Malwarebytes Anti Malware (MBAM)
2. Malwarebytes Adw Cleaner
3. ESET

Weniger ist mehr. da solltest Du für die Zukunft deutlich ausdünnen.

 

[Fruchtfliege]

Hallo Dr. McCoy,

danke Dir für Deine ausführliche Antwort. Das Abbild war sauber, das ist sicher. Ich habe bis Anfang August nie Probleme dieser Art gehabt. Das Abbild ist entstanden, nachdem ich mir eine neue Festplatte gekauft und das System neu installiert habe. Das Abbild ist auf einer anderen Festplatte.

Warum sind die 3 Tools zu viel? Was davon würdest Du weglassen und warum?

 

[Maxi-Air]

Ich hänge mich hier mal dran, mit einer hoffentlich einfachen Frage, die mich seit ein paar Tagen nicht mehr los lässt. Ich habe neulich eine Website in einem neuen Tab aus der Google Suche heraus geöffnet, der Tab hat sich sofort wieder geschlossen. Im Nachhinein habe ich festgestellt, dass es eine ".com" statt ".cc" Endung hatte und somit die falsche Website war. Dann kam die Erinnerung wieder, irgendwer hatte dem Nutzerkreis der eigentlichen Website vor einigen Monaten mitgeteilt, dass es sich bei der Seite mit ".com" Endung um eine Schadhafte Website handle. Hab den Rechner seitdem zwar noch nicht neu gestartet, aber auch nichts festgestellt. Allerdings bin ich da auch nicht der absolute Profi, mir können Anzeichen also vllt auch durch die Lappen gegangen sein. Browser war/ist Google Chrome.

Nun meine zwei Fragen dazu, kann in dem Moment schon ein unbemerkter Download oder sowas gestartet worden sein?
Und wie kann man solche Websites (auch jetzt im Nachgang) gründlich überprüfen (lassen)?

 

[p0wnd]

Eine allgemeine Frage:

Ausgangslage:
Man nutzt Adblock Plus (Ich weiß Ublock Origin ist besser aber das
soll jetzt nicht das Thema sein) und man ist auf einer Seite wo trotzdem
Werbung angezeigt wird.
Man klickt ausversehen auf die Werbung auf einem Fenster/Banner zB zum neuen Spiele Cyberpunk 2077.
Die Seite beginnt mit adclick irgendwas, wenn man es googelt sieht man
das es auf Doubleclick also der Google Werbung basiert.

Ist das dann Spyware/Maleware ein Cookie oder sonst irgendwas gefährliches?
Oder ist es ungefährlich?
Oder kann man das nicht pauschal sagen?

Bitte korrigieren, wenn ich falsch liege.
Aber ich meine Google hatte mal n Deal mit Adblock Plus bzgl. Werbung...
Ansonsten gibt es aber auch die Möglichkeit, dass die Werbung im Code der Website so implementiert ist, dass es von der gleichen Domäne kommt. Deswegen war es auch eine Zeit lang so, dass man Werbung auf Twitch nicht blocken konnte.
Spy-/Malware halte ich für unwahrscheinlich. Cookie kein Plan, ist ja eig. nurn Tracker, hat also nichts damit zu tun, dass Werbung eingeblendet wird, sondern eher welche Werbung im Falle einer Einblendung zu sehen ist.