Tipps für und zu Offline Virenscanner

MORPEUS schrieb:
Dateiersetzungen wo selbst Datum, Größe, Signatur und Prüfsummen passen obwohl Schadcode drin ist.
Deswegen will ich ja die Kiste endlich wieder hochfahren, ohne diese angeblich kompromittierten Systemdateien zu entfernen (was zu 99% eh Probleme machen wird, spätestens wenn ein 32 b Prog starten will)

Sollten diese Dateien durch Schädlinge ersetzt sein, dann würden sie ja nicht mehr im Sinne des Herstellers funktionieren und ebenfalls Fehler werfen. Oder?
Somit wäre das hochfahren eine Testmöglichkeit, wie integer die diese Dateien noch sind?
Ok, würde auf Virus total alles rot sein, würden 70 von 72 Scannern rot sein, dann ist das verseucht und aus. Aber da es umkehrt ist, hoffe ich auf false positiv

MORPEUS schrieb:
(Schau Dir mal ein paar Reportage zu "Pegasus" an, da traust Du künftig nicht mal mehr Deinem Toaster.)
Echt, nene, mein Toaster bestellt die Brötchen immer bei Alibaba, der ist brav.
 
Was willst du denn mit diesen Programmen und Systemdateien? Sind das deine Daten, die du retten wolltest?

Setz den Rechner doch endlich neu auf.....
Ich verstehe dein rumgedoktor hier nicht. Der Rechner ist scheinbar wichtig für deine Arbeit, aber seit Tagen machst du nichts anderes als sinnloses prüfen von irgendwelchen Systemdatein und Programmen. Ich für meinen Teil checke es nicht ganz, was jetzt überhaupt dein Ziel ist
 
  • Gefällt mir
Reaktionen: brianmolko
Obwohl ich mein Ziel sicher 50x definiert habe - hier nochmal:
  1. Da am Problemrechner noch wichtige, aber nicht im (3 Tage zurückliegenden) Backup enthaltene Daten sind >
  2. wollte ich diese Ordner/Dateien unter möglichst sicheren Bedingungen checken, sichern, bergen.
  3. Jene Daten sollten, sofern von der Mehrheit aller Scanner als ok deklariert, zwischengelagert und ggf. wieder Verwendung finden.
  4. Der Problemrechner soll NACH diesen Aktionen neu aufgesetzt werden, selbst wenn die Mehrheit aller Scanner keine Beanstandungen hätte.
  5. Letztlich würde auf dem Rechner wieder alles (sicher cleanes Backup + gescannte Daten der 3 fehlenden Tage) zusammengeführt werden.
blackshuck schrieb:
Was willst du denn mit diesen Programmen und
Welche Programme?

blackshuck schrieb:
Systemdateien? Sind das deine Daten, die du retten wolltest?
Nein, für was auch?

blackshuck schrieb:
Setz den Rechner doch endlich neu auf.....
Jahaaaa! NACH allen Aktionen!
Oder soll ich die wichtigen Daten dann per Recovery-Tools rausholen?

blackshuck schrieb:
Der Rechner ist scheinbar wichtig für deine Arbeit,
Ja, auch.

blackshuck schrieb:
Das liegt aber auch an einigen Faktoren und gäbe einiges zu sagen:
  1. Ich habe pro Tag nur wenige Stunden Zeit für sowas.
  2. Auch die schnellsten Scanner brauchen eine Weile, v.a. wenn diese vom Desinfec't Paket gestartet werden, laufen manche davon bis zu 25 Stunden(!)
    Standalone aber auch ein paar Stunden.
    Und es kann vorkommen, das ich während der Scans auch was anderes mache (was? Info nur per PM, gell)
  3. Weiters gabs noch andere Baustellen: Tastatur und Maus zugleich echt kaputt, daher steter Umzug der Eingabegeräte vom Reserverechner zum Problemrechner und umgekehrt. (Bevor wer fragt: ja, heute kamen die Sachen)
  4. Darf ich dafür auch Jahre brauchen, oder?

blackshuck schrieb:
machst du nichts anderes als sinnloses prüfen von irgendwelchen Systemdatein und Programmen
ICH prüfte nicht nur diese Dateien (und welche Programme?)
Einige Scanner haben Systemdateien verdächtigt, beanstandet. Ich habe diese nicht extra geprüft, sondern wie immer alles.
Wenn die Scanner Systemdateien als evtl. kompromittiert anzeigen, ist das nun mal so und man muss entscheiden, ob man es für Wahr oder Falsch hält.
Wenn diese Programmdateien melden, dann kann ich doch nichts dafür. Außer ich hätte irgendwelche illegalen Tools geladen - dann gehört man dafür eh bestraft.

Also nochmal:
Ich lasse alle Scanner alles prüfen, beschränke diese Suche nicht "sinnlos" auf ein paar Systemdateien und ein paar Programme

---

MORPEUS schrieb:
Welcome To The Club. :daumen:
Darf ich auch beitreten?
 
petzi schrieb:
Welche Programme?

Diese:
petzi schrieb:
/media/62F0D62FF0D608E5/Program Files (x86)/Microsoft/Edge/Application/msedge.exe sei "Win.Ransomware.Lazy-9979242-0"
petzi schrieb:
/media/62F0D62FF0D608E5/Program Files (x86)/Adobe/Adobe Photoshop CS2/Beispiele/Droplets/ImageReady-Droplets/Dia-Miniatur.exe
petzi schrieb:
/media/62F0D62FF0D608E5/Program Files (x86)/Adobe/Adobe Photoshop CS2/Beispiele/Droplets/ImageReady-Droplets/Metalldia-Miniatur.exe

petzi schrieb:
Wenn die Scanner Systemdateien als evtl. kompromittiert anzeigen, ist das nun mal so und man muss entscheiden, ob man es für Wahr oder Falsch hält.
Nein, muss man nicht. Denn man setzt den Rechner eh neu auf.

Warum scannst du nicht nur deine Dateien, die du retten willst? Und wenn die sauber sind, einfach auf nen Stick kopieren. Du machst hier alles sehr kompliziert und da bin ich nicht der einzige hier, der so denkt. Und ich will dir ja helfen, mit möglichst wenig Aufwand wieder zum Status Quo zu kommen. Ist aber natürlich deine Sache, wie du es machen willst ;)
 
  • Gefällt mir
Reaktionen: petzi
blackshuck schrieb:
Tja, die hat ClamAV (als einziger von 72 Scannern) angemeckert.
Und ja, die sind eh wurst, wenn man neu aufsetzt. Hab halt alle Ergebnisse gepostet.

blackshuck schrieb:
Nein, muss man nicht. Denn man setzt den Rechner eh neu auf.
Stimmt, das "muss" man nicht. Doch aus Interesse denke ich drüber nach: "kann das stimmen?"

blackshuck schrieb:
Warum scannst du nicht nur deine Dateien, die du retten willst?
Genau dazu kam ich erst heute, das läuft nun grade. Aber ja, auch mit Desinfec't und daher kann auch das noch dauern.

Bisher ließ halt alle Scanner alles prüfen. Das kann eher ohne Aufsicht laufen, ich kann währenddessen ... machen ... Beim selektiven Scannen meiner wichtigen Sachen muss ich dabeibleiben - dazu ist genau jetzt erstmal Zeit.

Und wie man es von mir gewohnt ist, belasse ich nicht bei den 2, 3 funktionierenden Scannern vom Desinfec't, sondern ziehe dann auch noch das mir dzt. sympathischste Tool, die "Kaspersky Rescue Disc" zu Rate.

blackshuck schrieb:
Du machst hier alles sehr kompliziert
Meinst? Es steckt auch viel Interesse drin (und die Sache mit den wichtigen Daten, die eben unbedingt retten will)
blackshuck schrieb:
und ich will dir ja helfen, mit möglichst wenig Aufwand wieder zum Status Quo zu kommen.
Danke!
Ich habe halt ein bissl viel Aufwand getrieben, gell ...

Wie auch immer - Danke an Alle!
Melde mich dann wieder, wenn die selektiven Scans durch sind.
 
petzi schrieb:
Meinst? Es steckt auch viel Interesse drin
Ja, denn im Eingangspost hast du das geschrieben:
petzi schrieb:
(Zeitdruck, Abgabetermine und die Arbeit ist am kaputten Rechner))
Da hörte es sich halt so an, als wenn möglichst schnell der Rechner wieder laufen soll.

Aber egal, jetzt warten wir mal ab was die gerade laufenden Scanner sagen. Ist normal, dass das dauert.
 
blackshuck schrieb:
Da hörte es sich halt so an, als wenn möglichst schnell der Rechner wieder laufen soll.
Stimmt auch. Aber nach dem ersten Schock, nach der Diskussion mit der Chefin (die ob des verzögerten Abgabetermins einer wichtigen Reportage sehr erfreut war, gell) ... nach dem abwarten und Kaffee tanken ...
dann erwachte das Interesse, warum wieso, wie biege ich das hin.

Klar: In der IT sollten zeitkritische Sachen zuerst schnell repariert, getauscht, gefixt werden; dann kann man noch immer nachforschen warum eine HW kaputtging, wieso die SW xyz spinnt und wie die besch. Schadcodes den Weg fanden.
Doch ich bin kein IT Techniker, wohl aber das was in der Signatur steht. Daher gesteigertes Interesse, daher nerve ich euch hier so gerne.
 
oder nicht.

Zum einen schlafe ich nachts nur selten und zum anderen: Selbst wenn die langsamen Desinfec't Scanner laufen, sind diese paar Dateien schnell durch. Da würde Kiste 30 min Scannen und die ganze Nacht untätig durchlaufen (eine Art Energiesparmodus fand ich da nicht)

Daher dabei bleiben und je nach Größe der zu prüfenden Ordner eben alle paar Minuten oder nach einer Stunde die nächsten.
Auch hier wäre eine Art Batch cool: Man wählt in einer Liste alle Verzeichnisse, die man prüfen will und lässt das laufen. Sicher formen Linux Kenner schon in Gedanken eine kilometerlange Kommandozeile oder das Unix Äquivalent einer *.bat - ich kann sowas nicht.
 
Ich verstehe irgendwie die ganze Herangehensweise nicht so ganz. Scheint mir ziemlich kopf- und planlos.

1. Ein Live-Linux mit Virenscanner oder ein Antiviren-Rettungstool mit Dateimanager auf einer SD-Speicherkarte ablegen (an einem anderen Rechner, vielleicht bei Freunden oder Familie, wenn man selbst keinen Zweitrechner hat) und dann mit aktiviertem Schreibschutz (!) in einem USB-Kartenleser, der den Schreibschutz auch wirklich in Hardware berücksichtigt (vorher an einem anderen Rechner testen), am befallenen Rechner booten.

Idealerweise hat man sowas schon in "guten Zeiten" mal auf Vorrat angelegt und erfolgreich getestet. Dann geht es im Ernstfall schneller. Ansonsten braucht man halt einen Zweitrechner dafür. Auf einer schreibgeschützten Karte kann nichts geschrieben werden, auch kein Virus. USB-Sticks mit Schreibschutz gibt es ja leider keine mehr, deshalb der Umweg über die Speicherkarte. Dann kann man auch dieselbe Karte später für andere Tools weiterverwenden. Dieser Schritt dauert etwa eine halbe Stunde.

2. Wenn der Rechner dann von dem schreibgeschützten Live-Betriebssystem gebootet und online die neuesten AV-Signaturen gezogen wurden, nur die Dateien, die man unbedingt braucht und die noch nicht Teil des letzten Backups waren, mit dem AV-Programm scannen und, falls in Ordnung, auf einen USB-Stick oder eine externe Festplatte sichern. Kann man auch umgekehrt machen, also erst auf den Stick ziehen und danach am Stück mit AV scannen, falls das einfacher in der Handhabung ist. Beim Kopieren unter Linux werden die evtl. vorhandenen Windows-Viren nicht aktiv. Alles andere ignorieren.

Es bringt absolut nichts, ein potentiell befallenes System oder die Daten, deren Backup man noch hat, komplett zu scannen. Das System ist tot und wird niemals, niemals wieder hochgefahren, Ende! Auf das absolut Nötigste beschränken. Alles andere ist pure Zeitverschwendung.

Auch hierbei ist es - wie auch zum Managen eines Backups - mal wieder hilfreich, ein funktionierendes Dateiablagesystem zu haben, also einen Dokumente-Ordner oder sowas, nicht dass die Benutzerdaten irgendwo verstreut in Systemordnern herumfliegen. Wenn man die Windows-Standardvorgaben nutzt, kann man sich auf C:\Users\Benutzername konzentrieren, den man im schlimmsten Fall komplett scannt, im besten Fall aber dort seine drei Dateien seit der letzten Sicherung raus sucht und nur diese nimmt.

Die Datenrettung macht man von einem Live-System, das selbst nicht kompromittiert ist. Auf einem Live-Linux richten Windows-Viren auch keinen Schaden an. Und so lange die Dateien, die man unter diesem nicht kompromittierten Live-System auf einen USB-Stick überträgt, selbst nicht befallen sind, also erfolgreich als virenfrei gescannt wurden, sondern nur irgendwelche Systemdateien auf der Festplatte des nun ruhenden Systems, besteht auch keine Gefahr, dass man ein Virus mitschleppt.

Dieser zweite Schritt dauert auch nicht viel länger als eine halbe oder ganze Stunde, abhängig von der Anzahl und Größe der Dateien, die man unbedingt noch retten muss. In drei Tagen seit dem letzten Backup kann man doch nicht Datenmengen generiert haben, bei denen allein ein Virenscan sich über Stunden und Tage hinzieht. Dann stimmt erstens die Backupstrategie nicht und wäre es zweitens zielführender gewesen, sich die drei Tage nochmal hinzusetzen und die Daten neu zu generieren.

3. Wenn die wichtigsten Daten erfolgreich gesichert wurden, dann wiederum in einem Linux die befallene Systemfestplatte komplett löschen, also inkl. Partitionstabelle und allem. Dann Windows von null installieren. Abgesehen von dem ganzen Aufwand, sich sein Windows wieder wie zuvor einzurichten, hat man so innerhalb von insgesamt zwei bis drei Stunden wieder ein lauffähiges System und kann sein Datenbackup und die vorher gesicherten Dateien wieder zurück kopieren und normal weiterarbeiten.
 
ThommyDD schrieb:
SD-Speicherkarte ... mit aktiviertem Schreibschutz (!)
Das hatte ich überhaupt nicht am Radar, wäre eine gute Idee gewesen.

ThommyDD schrieb:
Idealerweise hat man sowas schon in "guten Zeiten" mal auf Vorrat angelegt und erfolgreich getestet.
Ab jetzt habe ich das!

ThommyDD schrieb:
nur die Dateien, die man unbedingt braucht und die noch nicht Teil des letzten Backups waren, mit dem AV-Programm scannen und, falls in Ordnung, auf einen USB-Stick oder eine externe Festplatte sichern.
Genau so wäre es richtiger, effizienter gewesen.
Aber ich Depp habe zigmal die ganze Kiste gescannt. Naja, wollte ja auch wissen, wo sich was eingenistet haben könnte. (Das bereits erwähnte Interesse, welches über die schnelle Rettung hinausging)

---
Update:
Inzwischen ist alles wieder am Stand von vor dem 1.12.
Hab nach all den Scanner-Marathons die zu 99% cleanen Daten nun am Reserverechner, der jetzt auch am neuesten Stand ist.

Der Problemrechner ist nun platt, wird irgendwann neu aufgesetzt oder per Klon-Migration vom Reserverechner diesem angeglichen. Ersteres dauert sicher eine Weile, ist aber eben ne cleane Neuinstallation; zweites wäre schneller und einfacher, aber eben nur ein Klon.

---

Wichtiger als alles andere ist aber jetzt eine bessere, sicherere Backup-Strategie mit deutlich kürzeren Intervall.
Inzwischen wurde mir ja von der bisherigen Synchronisation abgeraten, ich solle ein richtiges Backup-Tool einsetzen, dass mehr Sicherheit bietet.
Auch wenn ich zu dumm bin, den Vorteil zu kapieren, suche ich nun solange nach einem einfachen, aber guten Backuptool wie es sein muss.
 
Wichtiger als alles andere ist aber jetzt eine bessere, sicherere Backup-Strategie mit deutlich kürzeren Intervall.
Inzwischen wurde mir ja von der bisherigen Synchronisation abgeraten, ich solle ein richtiges Backup-Tool einsetzen, dass mehr Sicherheit bietet.
Auch wenn ich zu dumm bin, den Vorteil zu kapieren, suche ich nun solange nach einem einfachen, aber guten Backuptool wie es sein muss.
Schau dir mal Aomei Backupper Pro an von dem es oft kostenlose Jahreslizenzen gibt: https://www.deskmodder.de/blog/2022/05/18/aomei-backupper-pro-kostenlos-fuer-euch/ und Synchronisation kann es wohl auch:
23.jpg
 
purzelbär schrieb:
Aomei Backupper Pro
Den hatte ich auch mal (in der Deskmodder-Edition) getestet, doch weiß nicht mehr genau, was mir daran nicht passte.

---

Interessant:

Diverse USB-Sticks bekamen die geretteten Daten des ehem. Problemrechners
  1. Einer behielt die Daten zur späteren manuellen Prüfung, Bereinigung und v.a. tieferen Überprüfung mit anderen Scannern. Was inzwischen negativ erledigt wurde
  2. Einen weiteren dieser Sticks habe ich mit den Linux Rettungsumgebungen nur gelöscht, weil in der zufällig kein Tool zum Formatieren enthalten war, bzw. ich es nicht fand.
  3. Den dritten Stick hatte ich, mit einer der anderen Offline-AV-Scanner Rettungsumgebungen (auch auf Linux) formatiert, weil diese solche Tools enthielten. (irgendwas mit gparted)
Nun habe ich die beiden Sticks #2, #3 wieder an den Rechner, sollten ja (lt. den Linux Filemanagern) leer, bzw. formatiert sein. Mir wurde hier ja gesagt, ich solle die Sticks formatieren, ruhig weiter verwenden.
Aber nein, beide enthalten lt. Explorer 1,25 GB Daten! Beide hätten FAT 32, aber unter Win zeigen sich die Sticks leer.

Fragen:
  1. Wie kann ich diese Daten nun wieder sehen, verwenden, ...?
  2. Warum ist ein löschen, bzw. formatieren mit Linux quasi eher nur ein Daten verstecken als echtes entfernen?
  3. Was, wenn da echt ein Schädling drin ist und man lässt den formatierten Stick mit seinen nun unsichtbaren Dateiinhalten auf ein sauberes System los?
usbstick_format_linux.JPG
usbstick_format_linux2.JPG
 
Zuletzt bearbeitet: (Screenshots dazu)
Hast du denn bei den USB Sticks per rechter Maustaste das formatieren gewählt und ausgeführt?
 
Wie genau das alles aussah, weiß ich nicht mehr.

Bei dem Programm, wo ich nur löschen hatte, habe ich es halt einfach gelöscht. Wobei, da kann ich mich erinnern, dass das nicht gleich ging. Da blieb ein Ordner solange übrig, bis ich dessen Inhalt von inner her löschte. Also da ging dieses rekursive Löschen nicht.

Da wo formatieren angeboten wurde, ja weiß nicht mehr genau. wie es halt mit Gparted (oder so?) geht. Einfach Partition löschen, entfernen. Weiß nicht mehr wie genau, jedenfalls war der Stick dann "weg".

Müsste nun wieder einige dieser Rettungsdisks booten um das nachvollziehen zu können. Das geht aber nicht gleich.
Ergänzung ()

Glaube es ist gelöst: Diese 1,25 GB scheinen die Linux Boot Partition zu sein, die sicherlich auch ein Dateisystem hat, was Win nicht sieht.
 
Zuletzt bearbeitet:
Hauro schrieb:
da traue ich mich nicht drüber

und sicher löschen muss ich ja nicht, der Stick soll einfach wieder leer sein und aus.
(Dazu hätte ich die Shredder-Tools im Paragon HDM, mit denen sogar ich zurechtkomme)

Hab ihn nochmals mit so einer Rettungsdisk angesehen, tatsächlich war alles noch drauf, was zuvor als gelöscht bezeichnet wurde. Weg war nur dessen Boot Sektion oder was auch immer, jedenfalls war der Stick danach kein Bootstick mehr.

Jetzt werde ich ihn dann unter Win formatieren und gut isses. Das ist hoffentlich dann auch sicher weg, nicht wie mit Linux ...

So, nach dem Win Formatieren ist alles weg und blieb es auch ...
 
Zuletzt bearbeitet:
Zurück
Oben