Serjo schrieb:
Das bezieht sich doch nur auf eine Systemsicherung oder? Nicht auf Bilder, Videos etc.?
Das bezieht sich erstmal auf alles. Viele schließen nämlich unter dem infizierten Windows direkt ihre externe Festplatte, den USB-Stick. etc. an, um dann noch Daten rüber zu kopieren. Damit ebnet man jedoch aktiver Malware den Weg, sich a) in dem Moment ebenfalls selbst auf den externen Datenträger zu kopieren, oder b), darauf befindliche Dateien z.B. zu verschlüsseln.
Ich hatte nämlich mal gelesen, dass man in solchen Fällen nicht einmal mehr seine Dateien sichern soll weil das angeblich unsicher wäre,
Dem ist auch so, zumal Daten immer
im Vorfeld im Rahmen von Backups extern in Mehrfachkopie gesichert werden müssen. Als "im Nachhinein", wenn das Kind bereits in den Brunnen gefallen ist, taugen "Backups" per Definition gar nicht.
kann mir aber absolut nicht vorstellen was genau da die Gefahr sein soll. Selbst wenn sich irgendwo ne .exe von einem Virus eingeschlichen hätte, müsste ich die doch erst noch einmal selber ausführen damit es zu einer erneuten Infektion kommen kann, oder?
Nur mal abgenommen, es ließe sich darauf begrenzen: Das ist schneller geschehen, als man vielleicht denkt. Denn man will die Daten sichern, um sie irgendwann wieder zu öffnen.
Eine Infektion kann nämlich bereits beim ersten Öffnen einer Datei vom Wechseldatenträger aus stattfinden. Dazu reicht es, dass sich eine Malware die Standardkonfiguration der Windows Ordneroptionen (auch: Explorer-Optionen) zu Nutze macht. Dort sind nämlich Dateinamenerweiterungen bekannter Dateitypen ausgeblendet, versteckte Dateien und Ordner ebenso wie Systemdateien.
Also versteckt die Malware die Ordner auf dem Wechseldatenträger, indem sie als Systemordner klassifiziert werden, erstellt exe-Dateien mit Ordnersymbol unter Übernahme der jeweiligen Ordnernamen, und leitet nach Klick auf die "Ordner-Exe" zum eigentlichen Ordnerinhalt um. Du landest im Ordner, siehst Deine Daten, hast dabei jedoch eine .exe ausgeführt, ohne es zu bemerken. Solche Infektionen kommen immer wieder vor:
->
https://www.howtogeek.com/forum/topic/folder-is-turned-to-exe-and-actual-folder-is-hidden
->
https://angelcom.com/virus-changes-all-folders-to-exe-files-and-hides-folders-and-files/
->
https://www.symantec.com/connect/forums/how-remove-automatically-folderexe-files-created-w32svich
->
https://answers.microsoft.com/en-us...d/05aac88e-fc9f-4385-807f-cbfbe1edaf22?auth=1
Oder, eine Verschlüsselungsmalware verschlüsselt nach Anstöpseln der externen Festplatte alle darauf gespeicherten Daten:
->
https://www.kaspersky.de/blog/cryptolocker-bringt-arger/1948/
Zumindest bei diesen Punkten kann man für den ersten Moment gegensteuern, indem man eine "nachträgliche Datensicherung", mehr schon eine Datenrettung, über ein Live-System durchführt.
Wirklich "sauber" ist so eine Lösung letztlich auch nicht, da man ferner auch von manipulierten Dateien ausgehen muss, die ggf. Exploits zur Ausnutzung von Sicherheitslücken in verwendeter Software mitbringen.
Akeem schrieb:
[...] habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.
Du gehst nur von Anzeichen, von äußeren Symptomen, aus. Sowas darf man bei einem kompromittierten System nie machen.
Also scheint erstmal zu klappen.
"Scheint" und "erstmal" sind bereits zwei Einschränkungen, die, jede für sich genommen, den weiteren Einsatz so eines Systems als Produktivsystem verbieten.
Für alle die auch mal auf dieses Problem stoßen hier eine kleine Hilfestellung:
Für alle etwaigen Betroffenen, bitte diesem Weg nicht folgen, er lässt das System verantwortungsloser Weise in einem nicht mehr vertrauenswürdigen Zustand zurück.
Antivir Programm laufen lassen und gefundene Objekte in Quarantäne
Das bringt ebenfalls kein vertrauenswürdiges System zurück. Du kannst nicht eine Software, die eine Infektion zuvor schon nicht hatte verhindern können, plötzlich so einsetzen wollen, als könne sie nun nachträglich plötzlich das Relevante erkennen.
CCleaner öffnen und neue Programme die ihr nicht selbst installiert habt löschen
Also ob Malware eine offensichtliche und dann auch noch funktionierende Deinstallationsroutine mitbrächte...
Google Chrome, Windows Edge und Internet Explorer nach Add-Ons durchsuchen die nicht darein gehören, danach alles zurücksetzen.
Das bringt ebenfalls nichts, weil diese Browser auf dem kompromittierten System laufen. Was Du machst, ist Gummistiefel anziehen, in einem Boot, das sinkt.
Gegebenfalls neu installieren. Bei Google Chrome nicht mit eurem Acc anmelden da ihr sonst die alten Add-Ons wieder installiert und somit auch das unerwünschte Add-On.
Das deutet auf eine aktivierte Synchronisation hin. Sowas sollte man natürlich allenfalls auf Systemen einsetzen, die vernünftig abgesichert sind!
Windows im Abgesicherten Modus starten und CCleaner öffnen da dann die Fehlersuche starten und bei den gefundenen Fehlern auf den RegistrierungsCode achten. (Achtung Fehler nicht beheben) Wenn dort ein Code steht, den ihr nicht kennt oder mit .ru endet oder einfach nicht dort reingehört Suchleiste bei Windows öffnen und regedit eingeben.
"Code, den ihr nicht kennt" ist für Laien ohnehin kein guter Rat. Weil kaum jemand von ihnen überhaupt etwas bezüglich Registry kennt, und dann dort möglicherweise was herumlöscht, was gar nichts mit der Sache zu tun hat. Mal abgesehen davon, dass dies auf einem kompromittierten System ohnehin egal wäre, weil es ja so oder so neu aufgesetzt werden müsste.
[...] Wenn ihr die alle gelöscht habt begebt euch zu eurem Papierkorb und entleert diesen einmal mit Rechtsklick und dann noch mit CCleaner. Danach noch einmal mit AntiVir durchsuchen und dann sollte sich das Problem beseitigt haben.
Du hast, wie gesagt, damit allenfalls oberflächliche Symptome kosmetisch korrigiert. Sauber und vertrauenswürdig ist das System damit allerdings noch lange nicht:
->
http://www.malte-wetz.de/wiki/pmwiki.php/De/VirenEntfernen
Eventuell kann man sich ein oder zwei Schritte sparen aber so hat es bei mir funktioniert.
Man kann sich alle Schritte sparen.
purzelbär schrieb:
Wenn du es noch mit Scannern probieren willst, [...]
Wozu? Die Sache ist doch klar und eindeutig. Freilich, aus Analysegründen kann man Untersuchungen durchführen, zum Beispiel, um Rückschlüsse auf Infektionswege zu ziehen, oder neue Malware den AV-Labs zukommen zu lassen. Doch bitte nicht zum Zwecke der Wiederherstellung eines vertrauenswürdigen Zustands.
Hilft das nicht und die Symptome treten weiterhin auf,
Auch Du begehst den gleichen Fehler, und beurteilst den Systemzustand, nachdem eine Kompromittierung bereits klar ist, nach dem Auftreten oder Ausbleiben oberflächlicher Symptome.
Datensicherung machen dir wichtiger Dateien [...], die gesicherten Dateien erst auf dem externen Medium mit 2 verschiedenen Scannern überprüfen und wenn die sauber sind, dann wieder aufs neu gemachte System aufspielen.
Das nahezu grenzenlose Vertrauen in Virenscanner ist unangebracht. Wenn sie was erkennen, ist es mehr Zufall, alleine aufgrund der schieren Menge kursierender Schädlinge.
[...] ein Backup Programm wie Aomei Backupper Standard, Macrium Refelect Free, Easeus Todo Backup Freee oder Paragon Backup & Recovery Free installieren, dann mit dessen Assistenten das Rettungsmedium erstellen wpofür du eine leere CD oder einen leeren USB Stick brauchst und das Rettungsmedium gut aufheben. Dann eine USB Festplatte anschliessen und mit dem Backup Programm ein sog. Systembackup bzw Komplettbackup deines Systems machen bei dem alle Partitionen gesichert werden auf die besagte USB Festplatte. Und solche Backups regelmässig machen zum Beispiel mindestens 1 Mal im Monat.
Diesen Rat unterschreibe ich ausdrücklich. Er ist mit das wichtigste bei einer PC-Nutzung.
Für dieses System im aktuellen Zustand ist es jedoch zu spät, hier gilt nun "abreißen und neu machen".
->
https://msdn.microsoft.com/de-de/library/dn151182.aspx
, habe mich noch ein bisschen im abgesicherten Modus ohne Internetverbindung rumgetrieben und habe im Registrierungs Editor nach HKEY_CLASSES_ROOT IE....mail.ru gesucht und bin fündig geworden. Habe diesen dann gelöscht bin noch mit CCleaner über Fehlersuche auf Spurensuche gegangen und habe alle HKEY mail.ru Verbindungen daraus gelöscht. Und dann wieder mit AntiVir das System gecheckt. Keine Anzeichen mehr von meinem leidigen Freund.
Mittelfristig plane ich die Anschaffung von mehr Speicherplatz. Aber im Moment reichts noch dicke 
