Trojaner gefunden - neu aufsetzen?

[jg97]

Hallo,

Windows Defender hat auf meinem Laptop beim letzten Durchlauf einen Trojaner erkannt (JS/CoinMiner). Ich habe ihn dann entfernen lassen. Weder der Defender noch Malwarebytes finden jetzt noch eine Bedrohung.
Jetzt stelle ich mir die Frage, ob das an Maßnahmen genügt (Passwörter habe ich außerdem alle geändert)? Sollte ich Windows frisch installieren, oder... ?

Grüße

 

[Mordi]

Nun ja, das Problem ist, dass dir keiner garantieren kann dass der Defender und Malwarebytes den wirklich restlos entfernt haben. Nur, weil die nichts mehr finden, heißt das nicht, dass auch alles weg ist. Deswegen würde ich dein OS neuinstallieren.

 

[H3llF15H]

Klares Ja! als Antwort auf den Threadtitel. Siehe @Mordenkainen

 

[Binalog]

Das kannst nur Du entscheiden.

Priorisiere für Dich zwischen größtmöglicher Sicherheit und geringstem Aufwand.

Wenn Du dauernd an die Unsicherheit denken musst dann setze neu auf. Wenn Du viele Programme neu installieren musst und Dir bei diesem Gedanken graust, dann lass es.

 

[el.com]

Grundsatz: Ein kompromittiertes System immer neu aufsetzen!
Wie @Mordenkainen schon gesagt hat: du weißt nie, ob dein Anti-Virus wirklich alles gefunden und aufgeräumt hat. Wenn ein Virus sich ein mal im System eingenistet hat, kann es sein, dass der sich bereits in diverse Systemprozesse eingeklinkt hat, die das Anti-Virus-Tool nicht erkennt. Damit stehen dem Trojaner Tür und Tor offen um sich erneut einzunisten. Wenn du Pech hast, schlummert irgendwo eine Routine, die Kontakt zu einem Command and Control Server aufnimmt und den Schädling einfach nachlädt.

 

[jg97]

Danke für die Antworten!
Hmm, das hatte ich befürchtet...
Wie läuft das bei einer Neuinstallation dann mit Backups? Ich habe einfach eine Festplatte mit allen wichtige Daten drauf (größtenteils pdf und Word, etc.; alles händisch gesichert). Kann ich die nach einer Neuinstallation gefahrlos wieder draufspielen (einen Scan drüberlaufen lassen?)?

 

[Nickel]

Der wurde doch entfernt, lösche ihn noch aus der Quarantäne und gut ist.

 

[omavoss]

@jg97:
Hast Du ein vorher nicht kompromittiertes Backup der System-Partition, mit allen von Dir installierten Programmen, die aber dann auf einer zweiten Partition installiert sind, macht Du ein Recovery von der System-Partition und alles ist wie vorher.

Was Du mit privaten Daten machst, ist auch Dein privates Ding. Hast Du auf Deinem System professionell verwendete Daten (soll heißen: Daten, die für Dein Geschäft lebenswichtig sind) ist der Datenträter für alle Zeiten als kompromittiert zu betrachten und das System ist neu aufzusetzen.

Was @Nickel in #7 schreibt, ist auf Geschäftscomputern grober Leichtsinn, kann aber auf privat genutzten PC ohne sicherheitslevante Daten darauf durchaus toleriert werden. Ich mache das nicht, weder mit privaten noch mit professionell genutzten Daten.

Ist einmal ein PC kompromittiert, ist er für immer als kompromittiert zu betrachten; also entweder ein sauberes funktionierendes Recovery vom Backup oder das System neu aufsetzen.

Natürlich kann man danach autark gesicherte eigene Dateien (Briefe, Fotos, Dokumente usw.) in die dafür vorgesehen Ordner wieder zurück kopieren.

Noch besser ist es natürlich, das System auf einem dafür bestimmten Datenträger zu installieren und alle Programme auf einem zweiten Datenträger.

Die Pfade von Systemdatenträger für Eigene Dateien usw. biegt man auf den zweiten Datenträger um; falls dann der Systemdatenträger physikalisch ausfällt, tauscht man diesen Datenträger aus und macht ein Recovery und alles ist wie vorher.

 

[Viper1982]

https://www.trojaner-board.de/189313-js-coinminer-trojan-entfernen.html

 

[grill]

Ich finds geil wie hier der Großteil der Leute argumentiert. Findet der Virenscanner nichts, dann ist alles ok. Findet er was und kann es löschen und findet dann nichts mehr, ist es nicht ok, weil sich irgendwas, irgendwo eingenistet haben könnte...

Leute, es kann sich auch was eingenistet haben, selbst wenn der Virenscanner noch nie etwas gefunden hat. Das ist echt schon paranoid. Zumal wir hier von JS/CoinMiner reden. Ein JavaScript, welches durch ein Browserplugin angesteuert wird... Das ist weder tief im System noch schwer zu entfernen.

Ich kann da @Nickel nur zustimmen.

 

[DaZpoon]

Wenn es nur ein JavaScript Miner ist, dann würde ich das als gelöscht ansehen.

 

[omavoss]

@grill:
Bitte mache einen Unterschied zwischen geschäftlich genutzten Maschinen und privat genutzten Gamer-PC. Wenn ein Gamer einige Daten verliert, dann ist es eben so; es ist zwar schmerzlich, irgend ein "Messer" zu verlieren, aber wenn von Unternehmen Daten abgeschöpft werden, kann es überlebenswichtig sein, dass das nicht passiert!

 

[grill]

@omavoss Wer sich einen JavaScript Miner einfängt, der hat 1. den Geschäftsrechner nicht fürs Geschäft benutzt und 2. nach dem Entfernen sicherlich nichts mehr zu befürchten.

 

[purzelbär]

Für die Zukunft: schütze dein Sytem auch vor Coin Miner, ich nutze dafür für den Browser uBlock Origin und minerBlock.

 

[omavoss]

@grill:
Warum so ruppig? Ich habe mich auf grundsätzlich wichtige Dinge bezogen, die eigentlich jeder User verinnerlicht haben müsste.

Richtig ist natürlich, dass ein geschäftlich benutztes System nicht für private Dinge verwendet werden sollte; aber nach dem Entfernen: weiß man das ganz zu 100 % genau, dass der Schädling vom System entfernt worden ist?

Ich meine zu 100%, und nicht zu 99,999% !!!

 

[jg97]

Ich werd dann wohl auf Nummer sicher gehen und alles sauber neu installieren. Das Gerät wird zwar "nur" fürs Studium genutzt, aber sicher ist sicher und ich habe weder Unmengen an Daten noch viele Programme, sollte also nicht allzu aufwendig werden. Danke für die Hilfe!

 

[Nickel]

Ich werd dann wohl auf Nummer sicher gehen und alles sauber neu installieren.

Dann braucht man auch kein Antivirenschutz,
wenn mal was gefunden und beseitigt wird aber man trotzdem Windows neu installiert.

 

[NarutoUzumaki]

Neu aufsetzen.
Meinen Erfahrungen nach, bringt eine Entfernung nichts, es bleiben immer Reste zurück.

Außerdem würde ich dir empfehlen, zukünftig folgendes zu beachten:

• uBlock Origin im Browser verwenden
• Nicht alle Seiten anklicken
• Alle Anwendungen aktuell halten
• Gutes Antivirenprogramm verwenden und auch aktuell halten (z.B. Kaspersky Antivirus oder Windows Defender)

Mit freundlichen Grüßen

NarutoUzumaki

 

[DJServs]

Dann braucht man auch kein Antivirenschutz,
wenn mal was gefunden und beseitigt wird aber man trotzdem Windows neu installiert.

Wenn man nach einer Neuinstallation mit Einrichtung aller wichtigen Programme ein Systembackup macht das man bei Bedarf zurückspielen kann hat man doch quasi 0 Aufwand. Man sollte sich nicht auf die trügerische Sicherheit eines Virenscanners verlassen, besonders wenn das System nachweislich kompromittiert war. Natürlich haben Virenscanner trotzdem ihre Daseinsberechtigung, nämlich um zumindest bekannte Schädlinge sofern vorhanden aufzuspüren. Allerdings sollten Virenscanner in der Tat um die Möglichkeit beschnitten werden Schädlinge auch zu entfernen, denn dadurch entsteht ein falsches Gefühl von Sicherheit - einem einmal kompromittierten System kann nicht mehr vertraut werden. Der Name sagt es aber schon "Scanner", nicht "Destroyer".

 

[Hayda Ministral]

Danke für die Antworten!
Hmm, das hatte ich befürchtet...
Ich habe einfach eine Festplatte mit allen wichtige Daten drauf (größtenteils pdf und Word, etc.; alles händisch gesichert). Kann ich die nach einer Neuinstallation gefahrlos wieder draufspielen (einen Scan drüberlaufen lassen?)?

Die Zeiten in denen sich Viren von Datei zu Datei verbreitet haben sind m.E. vorbei. Heutzutage kriegst Du Trojaner die Dein System infiltrieren, die einzelnen Docs etc. aber nicht anfassen.
Unter dieser Prämisse sollte das Laden von Dokumenten aus vertrauenswürdiger Quelle (grins) nach dem Neuaufsetzen und nach der Installation eines aktuellen Virenscanners kein Sicherheitsproblem darstellen.