Tipps für und zu Offline Virenscanner

[petzi]

UPDATE und Bitte um Hilfe bei der Interpretation der Scan-Ergebnisse

Nach einigen weiteren Try&Error Tagen mit div. Offline-Scannern kam ich endlich an diese Desinfec't Sammlung von Heise heran.
Auch wenn ich mit Kaspersky ganz zufrieden bin: mehr Scanner - mehr Info - mehr Sicherheit bez. Genauigkeit der Ergebnise.
Und Desinfec't war mir wichtig. Leider können auch dessen Komponenten spinnen und v.a. sehr viel Zeit beanspruchen. Bis alle Scanner ohne Fehler, Hänger, ... durch waren vergingen Tage.
Nun gibt es endlich Ergebnisse. Doch ich bin mir weiterhin unsicher.

Ich schreibe nun vom Problemrechner aus, eben über das Desinfec't Ubuntu.

Avast und F-Secure: meldeten keine Funde

ClamAV oder und Eset: (hier wird aus dem Ergebnis nicht klar, wer der beiden, hintereinander gelaufenen Scanner welche Funde zeigte)
Leider kann ich die gespeicherten Ergebnisseiten nicht mehr öffnen, Firefox blockiert das. Also kopiere ich aus, mit irgendeinem Texteditor.

Hier wurde angemeckert:

1. /media/62F0D62FF0D608E5/Program Files (x86)/Microsoft/Edge/Application/msedge.exe sei "Win.Ransomware.Lazy-9979242-0"
2. /media/62F0D62FF0D608E5/Program Files (x86)/Adobe/Adobe Photoshop CS2/Beispiele/Droplets/ImageReady-Droplets/Dia-Miniatur.exe wird als "Win.Dropper" bezeichnet.
3. /media/62F0D62FF0D608E5/Program Files (x86)/Adobe/Adobe Photoshop CS2/Beispiele/Droplets/ImageReady-Droplets/Metalldia-Miniatur.exe ebenfalls.
4. /media/62F0D62FF0D608E5/Windows/SysWOW64/mfc140cht.dll als "Win.Ransomware.GandCrab-9952422-0"
5. /media/62F0D62FF0D608E5/Windows/SysWOW64/mfc140fra.dll sei auch ein "Win.Dropper"
6. /media/62F0D62FF0D608E5/Windows/SysWOW64/mfc140jpn.dll detto

Zu 1: false positve? (ich brauche Edge nicht, doch wie deinstallieren?)
Zu 2 und 3: Diese Dateien sind seit Ewigkeiten auf allen Rechnern, wo noch der gute alte Photoshop CS 2 installiert ist. Eine von Adobe damals legal zvg. Version!
Zu 4 - 6: Denke, auch hier an einen Irrtum.

Nun habe ich alles zu Virus total geladen. Diese Sammlung von > 70 Scannern ist auch meiner Ansicht.
Außer bei den 2, 3: Dort meinem 2 von 72 Scannern, es handle sich um einen Schädling. "Win.Dropper" Einer dieser Scanner ist "ClamAV" (den anderen sehe ich nicht) ...

Was ist nun von dem zu halten?

Und wie geht es nun weiter?
Man könnte die Dateien nun einfach unter dem Hintern von Win löschen, doch bei 4-6 würde es dann evtl. Probleme geben, sobald Win wieder das Steuer übernimmt.
Ist es mit dem löschen per Desinfect dann getan, sicher? Oder gibt es noch wo spezielle Lösch-Tools, Shredder, Quarantäne-Tools in der Sammlung?

 

[Hauro]

...eben über das Desinfec't Ubuntu.

Avast und F-Secure: meldeten keine Funde

Avast ist bei c't 13/2022 (Desinfec’t 2022) und c't Desinfec't 2022/23 nicht dabei. Wie aktuell ist Desinfec’t? Dies ist wichtig, da davon das Ergebnis abhängig sein kann.

Desinfec’t legt für jeden Scanner eine Logging-Datei an.

Würde von Fehlalarmen ausgehen.

 

[MORPEUS]

Tendenziell würde auch alles in Richtung false-positiv verorten.

1. Ich würde die Dateien zu .bak umbenennen, damit sie nicht mehr ausgeführt aber ggf. wiederhergestellt werden könnten.
2. Internetverbindung kappen und Rechner hochfahren
3. Benötigte Daten sichern (diese ggf. nochmals scannen lassen)
4. Festplatte komplett platt machen und Windows neu installieren → Das ist die einzige sichere Methode.

 

[s1ave77]

Außer bei den 2, 3: Dort meinem 2 von 72 Scannern, es handle sich um einen Schädling. "Win.Dropper" Einer dieser Scanner ist "ClamAV" (den anderen sehe ich nicht) ...

ClamAV ist bekannt für notorische False-Positives. Da würde ich nichts drauf geben.

Wenn Photoshop nicht genutzt wird, weg damit .

@MORPEUS 1. halte ich für bedenklich bei Windows-DLLs und 4. für Overkill im betreffenden Fall. Außer 1. sorgt dafür, das Windows nicht mehr startet .

 

[blackshuck]

Also dein anfängliches Ziel war doch:
1) Daten retten
2) Windows so oder so neu aufsetzen

Warum machst du das jetzt nicht endlich einfach?

 

[MORPEUS]

@MORPEUS 1. halte ich für bedenklich bei Windows-DLLs und 4. für Overkill im betreffenden Fall. Außer 1. sorgt dafür, das Windows nicht mehr startet .

zu 1.
Mehr zu verlieren hat er nicht. Und bei Virenbefall macht man keine halben Sachen. Entweder es fährt gereinigt hoch oder es soll es bleiben lassen. Ein System was läuft aber infiziert ist hat keinen Wert. Außerdem habe ich die Hintertür offen gelassen, dass er die Dateien nicht löschen sondern nur umbenennen soll. Und in gewissen Umfang repariert sich Windows selbst.

zu 4.
Für User mit weniger Fachwissen ist das die zielführendste Lösung. Und wie @blackshuck es auch ansprach, meine ich auch, dass er irgendwo erwähnte nach der Datenrettung ohnehin neu installieren zu wollen.

 

[s1ave77]

Und bei Virenbefall macht man keine halben Sachen.

Grundsätzlich richtig. Wenn virustotal nichts bemängelt aber eher False-Positive. Am Ende die Entscheidung des TE.

 

[petzi]

Avast ist bei c't 13/2022 (Desinfec’t 2022)

Stimmt, ein Scanner dieses Namens scheint nirgends auf. Aber eine Logdatei listete das genau so.

Wie aktuell ist Desinfec’t?

Naja, vor ein paar Tagen vom im PDF angegeben Link geladen und alle Komponenten stets vor jedem Scan aktualisiert

Desinfec’t legt für jeden Scanner eine Logging-Datei an.

Jein. Manchmal schreibt es die hintereinander gestarteten in eine Datei. Und das so verkorkst, dass zumindest ich nicht erkenne, welcher Scanner hat nun was gefunden und wie bewertet.
Wenn ich dann denn betroffenen Rechner wieder starte, stelle ich von dort aus so eine Datei, oder einen Screenshot rein.

Würde von Fehlalarmen ausgehen

Ich auch.

1. Ich würde die Dateien zu .bak umbenennen, damit sie nicht mehr ausgeführt aber ggf. wiederhergestellt werden könnten.
2. Internetverbindung kappen und Rechner hochfahren
3. Benötigte Daten sichern (diese ggf. nochmals scannen lassen)
4. Festplatte komplett platt machen und Windows neu installieren → Das ist die einzige sichere Methode.

1. oder, wie angeboten per Desinfec't die Endung .VIRUS geben.
3. habe ich heute schon gemacht, die sind alle clean. (ergänzend: Alle gemeldeten "funde" sind Dateien, welche seit Jahren auf jeden Rechner sind. Also eher nicht von dem Vorfall vom 1.12)
4. eh klar

ClamAV ist bekannt für notorische False-Positives. Da würde ich nichts drauf geben.

Glaube ich auch. Hab aber auch gelesen, das Tool hätte eine miese Erkennungsrate.

Wenn Photoshop nicht genutzt wird, weg damit

Ne, der wird viel genutzt. Alt, aber super und noch keine Aboware.

1. halte ich für bedenklich bei Windows-DLLs

Klar. Aber die sind ja auch schnell wieder original benannt.

dass er irgendwo erwähnte nach der Datenrettung ohnehin neu installieren zu wollen

ja, mache ich.

Das Dauer-Problem Nr. 1 war ja, die wichtigsten der Daten, welche nicht in dem Backup sind, möglichst clean zu erhalten. Nicht retten, denn für was kompromittierte Daten retten? Sondern nur, wenn ich die zu 99,99% safe wiederhaben kann, dann werden die gerettet. Ansonsten nicht.

 

[Hauro]

Manchmal schreibt es die hintereinander gestarteten in eine Datei.

Die Scanner werden (bei mir) Nacheinander ausgeführt und eine Logging-Datei angelegt.

Logging-Dateien der letzten beiden Scans:

ESET 20221125-1440

Time detected,Severity,Object URI,Detection,Detection Type,Action,Hash,Raw detection name

f-secure 20221203-1249

Engine versions: F-Secure Corporation Aquarius/18.0.923/2022-12-03_05 F-Secure Corporation Hydra/6.0.545/2022-12-01_01 F-Secure Corporation FMLib/17.11.122.1 (bf136a6)/2022-06-22_01 fsicapd/2.0.250

230188 files scanned
40904 files could not be scanned

 

[petzi]

Die Scanner werden (bei mir) Nacheinander ausgeführt

klar

und eine Logging-Datei angelegt

eine pro Scanner oder eine für alle? (bei mir war es 2 mal in einer Datei, mehrmals eh einzeln)

Werde dann den nochmal mit Desinfect hochfahren und die eine kombinierte Logdatei .html hier zeigen. Vllt. gibts noch woanders, andere Logdateien., evtl. übersah ich eine Option ... oder so.
Dauert aber ne Weile, muss erst wieder Maus und Tastatur zum anderen übersiedeln, die neuen Sachen kommen morgen.

 

[Hauro]

Werde dann den nochmal mit Desinfect hochfahren und die eine kombinierte Logdatei .html hier zeigen. Vllt. gibts noch woanders, andere Logdateien., evtl. übersah ich eine Option ... oder so.

Es gibt Logging-Dateien mit der Dateinamenserweiterung .log, die als Basis für die HTML-Datei verwendet werden. Die Logging-Dateien sollten sich unter "/opt/desinfect/signatures/desinfect_logs/" befinden.

 

[petzi]

Hier eine der Log Htmls, wo 2 Scanner zugleich drauf sind.
So erkenne zumindest ich nicht, welcher der beiden was zu bemeckern hatte

 

[Hauro]

So erkenne zumindest ich nicht, welcher der beiden was zu bemeckern hatte

Es geht nach Spalten

 

[petzi]

Es gibt Logging-Dateien mit der Dateinamenserweiterung .log, die als Basis für die HTML-Datei verwendet werden. Die Logging-Dateien sollten sich unter "/opt/desinfect/signatures/desinfect_logs/" befinden.

Achso.
Finde die aber nicht und weiß auch nicht wie man einen Pfad eingibt

Ergänzung (9. Dezember 2022)

Es geht nach Spalten

Klar.
Nur stehen unter "ESET" eben genau jene Dateien.
Heißt das, ESET findet verdächtige Dateien - und - ClamAV tut die nur bewerten? Kenn mich nicht aus.

Ergänzung (9. Dezember 2022)

"/opt/desinfect/signatures/desinfect_logs/"

gefunden!
Bloß: Das sind error logs, aber Suchergebnisse sehe ich da drin nicht

 

[Hauro]

Links stehen die Dateien mit Pfad und unter dem Scanner (in der Spalte) die Funde des Scaners:


[Quelle: c’t 2022, Heft 13 Seite 25]

das sind error logs, aber Suchergebnisse sehe ich da drin nicht

Dort sind die Logging-Dateien der Scanner gespeichert. Nenne sie immer um, aber der Name enthält das Datum mit Uhrzeit (yyyymmdd-hhmm, z.B. 20221125-1440) und den Namen (z.B. ESET, f-secure, usw.).

 

[petzi]

Links stehen die Dateien mit Pfad und unter dem Scanner die Funde

achso ...
genauer hin gucken ich muss

Danke

Ergänzung (9. Dezember 2022)

Wie könnte man diese "Schadcodes" nun loswerden?
Angenommen, diese Dateien sind echt infiziert oder selbst Schädling und gehören nicht zum OS.
Einfach löschen und gut isses? Gibt es bei Desinfec't auch so Optionen (blockieren, Quarantäne, entfernen,) wie bei üblichen Scannern? Wenn ja, wo?

Die Systemdateien, klar, die werde ich mal umbenennen und dann einfach normal hochfahren versuchen.
Für was auch immer die DLL's in "Windows/SysWOW64/"gut sind, man wird es irgendwann schon merken,

 

[purzelbär]

Angenommen, diese Dateien sind echt infiziert oder selbst Schädling und gehören nicht zum OS.
Einfach löschen und gut isses? Gibt es bei Desinfec't auch so Optionen (blockieren, Quarantäne, entfernen,) wie bei üblichen Scannern? Wenn ja, wo?

Wenn das Dateien sind, die du nicht unbedingt brauchst dann lösche die einfach auf dem Datenträger auf dem die sind.

Die Systemdateien, klar, die werde ich mal umbenennen und dann einfach normal hochfahren versuchen.
Für was auch immer die DLL's in "Windows/SysWOW64/"gut sind, man wird es irgendwann schon merken,

Hier würde ich an deiner Stelle nicht so handeln, sondern eine Datensicherung dir wichtiger Dateien machen und dann Windows 10 komplett neu installieren. Wenn das gemacht ist und Windows 10 wieder wie gewünscht eingerichtet ist, ein Backup Programm wie Aomei Backupper oder Macrium Reflect Free installieren und damit regelmäßig Systembackups machen auf eine USB Festplatte.

 

[Hauro]

Gibt es bei Desinfec't auch so Optionen (blockieren, Quarantäne, entfernen,) wie bei üblichen Scannern? Wenn ja, wo?

Desinfec't nennt Dateien nur um, damit sie notfalls wiederhergestellt werden können. Desinfec't ist wie der offline Scan des Defender:

Ausführen und Überprüfen der Ergebnisse eines Offline Scans von Microsoft Defender | Microsoft Docs

Microsoft Defender offline ist ein Antimalware-Scan-Tool, mit dem Sie einen Scan aus einer vertrauenswürdigen Umgebung starten und ausführen können. Die Überprüfung wird außerhalb des normalen Windows-Kernel ausgeführt, sodass Schadsoftware aufgespürt werden kann, die versucht, die Windows-Shell zu umgehen, z.B. Viren und Rootkits, die den Master Boot Record (MBR) infizieren oder überschreiben.

Sie können Microsoft Defender offline verwenden, wenn Sie eine Malware Infektion vermuten oder eine gründliche Bereinigung des Endpunkts nach einem Malwareausbruch bestätigen möchten.

In Windows 10 kann Microsoft Defender offline mit einem Mausklick direkt aus der Windows-Sicherheit-App ausgeführt werden. In früheren Versionen von Windows musste ein Benutzer Microsoft Defender offline auf startfähigen Medien installieren, den Endpunkt neu starten und die startbaren Medien laden.

Für was auch immer die DLL's in "Windows/SysWOW64/"gut sind

System Windows-On-Windows 64-Bit ist Subsystem das eine Umgebung bereitstellt, in der 32-Bit-Programme ausgeführt werden können.

 

[petzi]

lösche die einfach auf dem Datenträger

Das reicht?

Dachte bisher, AV-Tools behandeln solche Fundstücke immer besonders.
Dachte bisher, das "Entfernen" wäre evtl. eher eine Art shreddern, nicht bloß löschen. So lässt allein die Dauer der Entfernung einer winzigen Datei stets auf eine Sonderbehandlung schließen.
Warum das mit Desinfec't anders ist, hmm.
Aber wenn das reicht, soll es mit recht sein.

Windows 10 komplett neu installieren

Jaha, wie so oft gesagt. Wollte es nun mal probieren. Doch wenn SysWOW64 das is, was Hauro schreibt, dann wäre da eh nicht gut.

ein Backup Programm wie

Das ist ein eigenes Thema und das habe ich hier erneut aufgetischt.
Es ist ja nicht so, dass ich gar kein Backup hatte, im Gegenteil, ich habe seit Win 95 keine einizge Datei verloren. Ich brauche aber endlich eins, welches täglich automatisch synchronisiert.

Macrium Reflect Free installieren

das tolle Tool ist zwar mein Weltmeister fürs Klonen usw - kann aber scheinbar auch nicht synchronisieren.
Bloß: In dem verlinkten Thema versuchte mir jemand zu erklären, dass normale Backup-Tool aufgrund der "Versionierung" weit sicherer seien, als Synchro-Tools.
Falls jemand dazu was weiß, dann gerne dort mal reinschauen.

Systembackups

Brauche ich nicht oft. Na schaut mal ins andere Thema.

System Windows-On-Windows 64-Bit ist Subsystem das eine Umgebung bereitstellt, in der 32-Bit-Programme ausgeführt werden können.

Oo ... Also darüber braucht man nicht

Ergänzung (9. Dezember 2022)

Eben kam das von Kaspersky:
Schwerwiegende Sicherheitslücke in Chrome und Edge gefunden

Evtl. hat ClamAV das gemeint, als es die msedge.exe anmeckerte ...
Kanns leider nicht verlinken, diese Meldung erschien im Kaspersky AV-Tool

 

[MORPEUS]

Alle gemeldeten "funde" sind Dateien, welche seit Jahren auf jeden Rechner sind. Also eher nicht von dem Vorfall vom 1.12)

So einfach ist das leider nicht. Je besser die Schadsoftware, desto besser versteckt sie sich. Beginnend bei ähnlich klingenden Dateinamen, über Dateiersetzungen wo selbst Datum, Größe, Signatur und Prüfsummen passen obwohl Schadcode drin ist.

(Schau Dir mal ein paar Reportagen zu "Pegasus" an, da traust Du künftig nicht mal mehr Deinem Toaster.)