[SammelThread] Viren, Würmer & Trojaner

Schon Ärger damit gehabt?

  • Ja

    Stimmen: 1.042 71,6%
  • Nein

    Stimmen: 413 28,4%

  • Umfrageteilnehmer
    1.455
purzelbär schrieb:
Zum formatieren wählst du bei gparted wenn du die Auswahlmöglichkeit hast, bitte nicht die Schnellformatierung sondern die normale Formatierung oder eben löschen der Festplatte. So gemacht überlebt das kein Virus auf der Festplatte.
Aber nur wenn man die Partitionstabelle löscht! Ob schnell oder langsam formatieren juckt einen Virus wenig. Unter gParted müsste das Device->Create Partition Table sein. Du kannst aber jeden beliebigen HDD-Schredder nehmen und den ein paar Sekunden(!) laufen lassen, dann ist die Partitionstabelle auch weg. Wenn du die SSD zu 100% löschen willst, musst du die SecureErase-Funktion nutzen. Entweder beim Hersteller der SSD gucken oder unter einem Live-Linux ein passendes Tool suchen.
 
Und was ist bzw wäre wenn er statt formatieren die Festplatte bzw die Partitionen darauf löscht?
 
Einen infizierten MBR wirst du damit nicht wieder los. Der MBR enthält noch mehr Informationen als nur Partitionseinträge. Kann sein, dass Partitionstools damit Schadcode überschreiben können, verlassen würde ich mich darauf aber nicht.
 
ich habe zur Zeit 500gb ssd verbaut und noch eine alte 500gb ssd rumliegen, die ich gerne einbauen würde. Allerdings ist diese ssd mit hoher Wahrscheinlichkeit mit Viren befallen. Nun zur Frage:

Wie bekomme ich die ssd am besten Virenfrei?

Kann ich die ssd ohne Bedenken an den PC anschließen und danach formatieren, oder wird der PC dann schon automatisch infiziert?
Da stellt sich auch die Frage ob seine alte SSD überhaupt verseucht ist Viren oder ob er das nur vermutet und wenn ja, ist die nächste Frage was für Infektionen darauf sind bzw waren. die meisten Schädlinge infizieren ja wohl kaum den MBR und ich glaube bei denen reicht es aus wenn die festplatte formatiert oder eben gelöscht wird. Wären Schädlinge drauf die den MBR mitinfiziert haben würde ich mir überlegen die festplatte zu entsorgen oder damit zu einem bekannten zu gehen der eine PC Werkstatt hat und den bitten die so zu bereinigen das nichts überlebt auch keine Infektionen im MBR.
 
purzelbär schrieb:
Wären Schädlinge drauf die den MBR mitinfiziert haben würde ich mir überlegen die festplatte zu entsorgen
Echt jetzt? Weißt du überhaupt, was der MBR ist? Das ist kein Spezialchip sondern Daten auf der Festplatte. Das kann jeder HDDSchredder oder -Diagnosetool löschen. Ich würde auch behaupten dass man per GParted schneller den MBR neu geschrieben hat als 2+ Partitionen zu löschen.
Ein Infekt des MBR ist eher unwahrscheinlich, richtig, aber wenn man schon mal alles plattmachen will, kann man es ja auch ordentlich machen.
 
  • Gefällt mir
Reaktionen: CMDCake
Sorry, du hast wahrscheinlich mehr Ahnung von PC's als ich aber hast du nicht mit der MBR Geschichte angefangen?
 
Und du hast Panik vor einem unbekannten Wort bekommen und überreagiert. Gab es da nicht mal eine Schule die genau so mit Ihren versuchten PCs umgegangen ist?
 
Darlis schrieb:
Einen infizierten MBR wirst du damit nicht wieder los. Der MBR enthält noch mehr Informationen als nur Partitionseinträge. Kann sein, dass Partitionstools damit Schadcode überschreiben können, verlassen würde ich mich darauf aber nicht.
Nicht jeder ist deiner Meinung:
PS: Eine eher ungewöhnliche Ausnahme sind Schädlinge, die sich im MBR, also im Master Boot Record, festgesetzt haben.
Diese überstehen sogar das Formatieren der Windows-Partition.
Was ist das MBR? Der MBR ist der erste Festplatten-Sektor, der einen Boot-Loader sowie die Partitions-Tabelle enthält. MBR-Schädlinge kann man loswerden, indem man von der Windows-Installations-DVD bootet, sich in die Eingabeaufforderung begibt und dort dann
Bootrec /FixMbr
und
Bootrec /FixBoot
eingibt, und zwar nacheinander.
Ersteres löscht den MBR, Letzteres richtet ihn neu ein (sodass er Schädlings-frei ist).

Quelle: https://de.answers.yahoo.com/question/index?qid=20091012102753AAR42gA&guccounter=1
https://de.answers.yahoo.com/question/index?qid=20091012102753AAR42gA&guccounter=1
Und so kenne ich das auch von meinem Bekannten mit der PC Werkstatt bzw vom lesen im Internet: wenn der MBR neu geschrieben wird, wird zuerst der alte MBR gelöscht und damit Schädlinge darin auch und danach wird ein neuer MBR geschrieben der dann sauber ist.
 
Bootrec ist kein Partitonstool. Aber gut, jeder darf seine eigene Meinung haben. Meine 500GB SSD überlasse ich dir jedenfalls nicht.
 
Ich steig mal aus bei der Diskussion mit Dir , wir 2 haben eh unterschiedliche Meinungen und der fragende User soll es machen wie er es für richtig hält.
 
Moin, bei technischen Sachfragen gibt es keine Meinungen, nur richtige oder falsche Vorstellungen...

Aber ich wollte ja was fragen:

Kann mir jemand eine Virenscanner .iso für eine boot-CD empfehlen? Außer Sophos, Avira, AVG, Kaspersky, Bitdefender, Dr.Web. Die ersten 5 funzen bei mir nicht, Bitdefender geht (aber ich will einen zweiten Scanner), Dr.Web bietet nicht die Option "keine Aktion durchführen bei Fund" (was für mich ein Ausschlusskriterium ist).
Danke im Voraus... :-)

an den mit der verseuchten SSD:
Ich glaube schon, dass Partitionierung löschen den Bootsektor und somit MBR-Viren löscht. Wenn Du ganz sicher sein willst, klemme die verseuchte SSD als einzige Platte im Rechner an, fahre den Rechner mit mit einer boot-cd oder bootstick hoch, auf der ein life-System mit AV-Software ist. Bereinige die SSD damit. Zur Sicherheit kannst Du jetzt ja nochmal mit einem live System mit Partitionierungs-Tool starten und hier alle Partitionen löschen, eine neue über die gesamte SSD anlegen und formatieren. Wenn Du ganz ganz ganz sicher sein willst, frag hier im Forum im Bereich https://www.computerbase.de/forum/forums/massenspeicher.174/
da sind die SSD-Experten.
 
Zuletzt bearbeitet:
Die hab ich noch nicht probiert, danke :)
 
Ich bekomme öfters mal von meinem Antivierenprogramm (ESET) die Meldung dass irgendetwas mit Bilddateien nicht stimmt. Ich meine wenn ich aus Foren oder pinterest.com ein eingebettetes Bild aufrufe welches auf einem Bilderhoster liegt.

Aktuell war es vorhin als ich eine Bilddatei, von dem Hoster pixhost.to, aufgerufen habe. Dort gab mir mein Antivierenprogramm dann folgende Meldung aus bevor die .jpg Datei geladen wurde:

- JS/ExoClick.A eventuell unerwünschte Anwendung - Verbindung getrennt.

Dabei sind viele Bilder auf diesen Hostern und z.B. bei anderen bekomme ich diese Meldung nicht. An irgendetwas muß es ja liegen. Was genau ist mit "JS/ExoClick.A" gemeint, weiß das jemand genauer? Googeln brachte da nichts.

Dann hatte ich es vor einer Weile dass ich meine alten Bookmarks im Browser durchgegangen bin. Dabei wollte ich ziemlich alte Spielseiten aufrufen (noch aus Half-Life Zeiten). Einige gingen davon noch, einige waren inzwischen natürlich down. Dabei scheint es oft so zu sein dass die Domain (wenn diese von niemanden gekauft wird) von irgendwelchen Drittanietern mit Werbung zugepflastert zu werden bzw. die Domain leitet dann einfach zufällig auf eine Seite um.

Als ich auf einer alten Half-Life Domain war und diese (sah zumindest so aus) Seite weiterleitete auf der Aldi-Werbung war sprang mein Antivierenprogramm mit folgender Meldung an:

- JS/Redirector.NDS Trojaner;Verbindung getrennt

Was ist damit gemeint?

Das sind so "meine" derzeitigen Problemchen mit Vieren/Trojanern oder was das überhaupt so ist.

In beiden Fällen waren/sind uBlock Origin und uMatrix aktiv und Scripte sind generell nicht erlaubt für fremde Seiten (sind also weder beim Bilderhoster noch bei der Fremddomain zum Einsatz gekomen).

Wie kann man sich vor sowas schützen, außer jetzt generell Bilder zu verbieten? Für diese obigen erwähnten Fälle habe ich einfach keine gute Stratgie im Petto. Sehr schade finde ich es halt dass mit der Domain in älteren Firefox Versionen nicht der Fall war bei mir da Firefox immer über einen Button nachfragte ob ich diese Weiterleitung erlauben will. Seit diesem Quantum-Update ist die Option in Firefox "Mich warnen wenn versucht wird umzuleiten" scheinbar gänzlich verschwunden.
 
ExoClick is a Barcelona-based online advertising company, which provides online advertising services to both advertisers and publishers all over the world via web, mobile, tablet and smart TV.
Also "eventuell unerwünschte" Werbung. Guck mal ob das in uBlock oder uMatrix angezeigt wird und ggf. sogar (aus Versehen?) erlaubt ist. Bei mir wird auf pixhost.to nichts angezeigt, hängt evtl. vom Bild ab.

Zum Redirector findet mir Google das: https://www.computerbase.de/forum/threads/eset-js-redirector-nds.1725401/
;)
 
Jep, zum JS/Redirector.NDS Trojaner hatte ich schon einmal gefragt. Richtig gefunden. *fg* Hatte ich schon fast vergessen.

Mit dem dass Google nichts passendes gefunden hatte bezog ich mich auf das mit dem ExoClick (ich suche da in der Regel aber auch nur auf deutschen Seiten - ist mein Problem).

Das mit ExoClick hatte ich zwar auch im Trojaner-Board gefunden (gibt ja auch eine Seite die so heißt) aber bin mir nicht wirklich sicher gewesen dass das ein und dasselbe sein soll. Die Bedrohung (ebenso wie ja das mit dem JS/Redirector.NDS Trojaner damals) wird oftmals direkt in den .jpg Dateien gefunden, nicht generell auf der Seite. Auf pixhost.to kann ich auch rauf gehen und habe dort keine Probleme. Von Fall zu Fall ist es manchmal in einigen Bildern der Fall dass dann ESET anschlägt (und nein, nicht in Schmudelforen ^.^).

Bei meinem uMatrix ist alles so eingestellt dass generell ersteinmal alles geblockt wird wenn ich eine Seite besuche, außer: Cookies, CSS Formatierungen und Grafiken werden nur für die aktuell besuchte Domain erlaubt. Alles andere ist ersteinmal geblockt bei fremden Seiten (so auch bei pixhost.to).

Wie soll man sich den vor Grafiken schützen außer diese komplett zu blocken (was nicht wirklich sehr gut funktioniert mit uMatrix da diese trotzdem geladen, wenn auch im Hauptfenster nicht angezeigt, werden - müßte ich die schon im Browser generell deaktivieren). Ich hatte mal einen Artikel dazu gelesen dass man Schadcode in Bilddateien verstecken kann.

Edit: Das mit der obigen Meldung, JS/ExoClick.A, hatte ich nun auch eben unter www.imagebam.com (nicht generell die Seite - einzelne Dateien). Hat da jemand eine Idee was das genau sein soll bzw. wie man sich preventiv vor sowas schützen kann oder was überhaupt damit gemeint ist. Dass das etwas mit dem besagten Unternehmen ExoClick zu tun hat scheint mir eher unwahrscheinlich (da diese Seite in keiner Form eingebunden ist).

Hinzugekommen ist eben, als ich ein eingebettetes Bild von https://imagetwist.com/ die Meldung:
- JS/Adware.Agent.AA Anwendung;Verbindung getrennt

Es betrifft nicht generell die Seiten sondern die jeweils individuell geladene JPG Datei (da es so ein großes Bilderarchiv ist was geladen wird habe ich grade keinen Nerv die betroffenen herauszufischen). Was mir aufgefallen ist die Tatsache dass das bisher immer Bilder-Hoster betroffen hat die es dem User erlauben die Bilddatei unverändert anzuzeigen. Bei Hostern, ähnlich wie es YouTube macht mit seinen Videos, wo der User-Upload nocheinmal durch einen eigenen Filter gejagt wird ist mir das bisher nicht passiert (ich denke mal dort geht beim neu abspeichern der Datei ggf. enthaltener Schadcode den Bach hinunter).

Inwiefern kann es überhaupt möglich sein Scriptcode aus einer JPG Datei zu starten. Ich hatte darüber mal etwas gelesen dass das möglich sei und auch genutzt wird!?

Wenn ich es richtig verstanden habe ist es in diesem Fall so dass bei Anfragen von meinem PC aus der Traffic erst zu meinem Router kommt, vom Router aus zum OS und vom OS zum Browser - wo dieser dann ausgeführt wird. Sollte es so sein klemmt sich das Antivierenprogramm ja noch davor ein, bevor der angeforderte Traffic den Browser ereicht!? Sollte es also an Scripten liegen sollten die ja im Browser sowieso geblockt werden durch Script-Blocker. Das Antivierenprogramm schlägt aber schon vorher an da es den Traffic vor dem Script-Blocker durchleuchtet!? Also in jedem Fall dürfte da nichts passieren in diesem Fall?!

Ich hatte mir den verlinkten Beitrag, zu meiner damaligen Frage zum JS/Redirector.NDS Trojaner, nocheinmal durchgelesen. Demnach sagten die Leutchen dort a) es wäre ein Script was als JPG Datei getarnt ist b) man nicht herunterladen könnte da es keine Bilddatei ist und derlei. Das Script wurde aber auch damals schon in einer JPG Datei erkannt, nicht irgendwo beim Hoster sonst. Man konnte das Bild auch herunterladen.
 
Zuletzt bearbeitet von einem Moderator:
Hi,

ich hatte heute in meinem Posteingang eine scheinbar von mir selbst abgesandte Mail mit folgendem Text:

" Hallo, lieber Benutzer von < hier stand meine Firmendomain>
Wir haben eine RAT-Software auf Ihrem Gerät installiert.
In diesem Moment habe ich deinen Account gehackt<hier stand meine Emailadresse>, dein Passwort ist <...>

Siehe , jetzt habe ich den Zugriff auf Ihre Konten).


Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.

Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button "Play" auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.

Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $700 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 1CMQMKmvT4hz2k2ijyxVxN7fHS62K7uQ7z
Sie haben 2 Tage nach dem Lesen dieses Briefes.

Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!

Und von nun an, seien Sie vorsichtiger!
Bitte besuchen Sie nur sichere Webseiten!
Tschüss!"


Nach kurzer Googlrecherche schien klar, dass das wohl ein Fake sein muss und man eigentlich nichts weiter tun muss und die Mail ignorieren kann. Dafür spricht auch der recht allgemein gehaltene Text.


Was mich allerdings stutzig macht, ist, dass bei "dein Passwort ist" ein Passwort stand, das meinem tatsächlichen Emailaccount-Passwort verdammt nahe kommt und das ich in in jeweils leicht abgeänderten Versionen bei verschiedenen Diensten nutze. Dass jemand meine E-Mailadresse kennt und seinen Absender so manipuliert, dass es aussieht als wäre die E-Mail von meinem eigenen Account gekommen ist nicht weiter überraschend. Aber die Ähnlichkeit des angegebenen Passworts macht mich irgendwie doch unsicher ob das wirklich nur ein Fake ist.
Eine Gefahr im eigentlichen Sinn droht nicht, Videos von mir gibt es auf dem laptop nicht, eine Kamera lässt sich abkleben und ich habe auch nicht vor im Büro zu masturbieren ;-) Aber wegen dieser Passwortsache bin ich am Überlegen ob ich die Kiste nicht doch sicherheitshalber platt machen,neu aufsetzen und sämtliche Passwörter abändern sollte...
 
Bronco5000 schrieb:
Hi,

ich hatte heute in meinem Posteingang eine scheinbar von mir selbst abgesandte Mail mit folgendem Text:

" Hallo, lieber Benutzer von < hier stand meine Firmendomain>
Wir haben eine RAT-Software auf Ihrem Gerät installiert.
In diesem Moment habe ich deinen Account gehackt<hier stand meine Emailadresse>, dein Passwort ist <...>


Siehe , jetzt habe ich den Zugriff auf Ihre Konten).


Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen und ich habe weitere Beweise erhalten.
Die interessantesten Sachen, die ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.


Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn auf Ihren Betriebssystem installiert.
Als Sie auf den Button "Play" auf Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr Gerät heruntergeladen.
Nach der Installation nimmt Ihre Frontkamera jedes Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit dem von Ihnen gewählten Video synchronisiert.


Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen Netzwerken und E-Mail-Adressen gesammelt.
Wenn Sie alle Daten gesammelt von Ihr System löschen müssen, senden Sie mir $700 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 1CMQMKmvT4hz2k2ijyxVxN7fHS62K7uQ7z
Sie haben 2 Tage nach dem Lesen dieses Briefes.


Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.
Ansonsten sende ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!


Und von nun an, seien Sie vorsichtiger!
Bitte besuchen Sie nur sichere Webseiten!
Tschüss!"


Nach kurzer Googlrecherche schien klar, dass das wohl ein Fake sein muss und man eigentlich nichts weiter tun muss und die Mail ignorieren kann. Dafür spricht auch der recht allgemein gehaltene Text.


Was mich allerdings stutzig macht, ist, dass bei "dein Passwort ist" ein Passwort stand, das meinem tatsächlichen Emailaccount-Passwort verdammt nahe kommt und das ich in in jeweils leicht abgeänderten Versionen bei verschiedenen Diensten nutze. Dass jemand meine E-Mailadresse kennt und seinen Absender so manipuliert, dass es aussieht als wäre die E-Mail von meinem eigenen Account gekommen ist nicht weiter überraschend. Aber die Ähnlichkeit des angegebenen Passworts macht mich irgendwie doch unsicher ob das wirklich nur ein Fake ist.
Eine Gefahr im eigentlichen Sinn droht nicht, Videos von mir gibt es auf dem laptop nicht, eine Kamera lässt sich abkleben und ich habe auch nicht vor im Büro zu masturbieren ;-) Aber wegen dieser Passwortsache bin ich am Überlegen ob ich die Kiste nicht doch sicherheitshalber platt machen,neu aufsetzen und sämtliche Passwörter abändern sollte...
PC Neu aufsetzten ganz klar.
Passwörter abändern ? Neu erstellen am besten mit nem passwort generator und in einen Passwordsafe damit oder in ne Textdatei damit und ausdrucken.
 
Zurück
Oben