Virus: Windows neu aufsetzen und Daten übertragen?

[coasterblog]

Wenn ich jedesmal, wenn der Virenscanner anschlägt, neu installiert hätte, hätte ich viel zu tun gehabt

Ok, dann hätte ich jetzt...mal überlegen...null mal neu aufsetzen müssen.
Mir selbst sind Schädlinge fremd, auch schon zu 286er Zeiten. Ich habe meine Erfahrungen (auch die false positives) nur von Systemen Anderer.

 

[nutrix]

Dann hast Du bisher Glück gehabt. Passiert öfters, als man denkt, sogar im beruflichen Bereich, wenn man "offizielle Software" lädt.

 

[coasterblog]

Eher Disziplin. Vor false positives ist man dabei aber nicht sicher, das stimmt, ja. Aber sonst reicht brain.exe

 

[tollertyp]

Passiert öfters, als man denkt, sogar im beruflichen Bereich, wenn man "offizielle Software" lädt.

Ist mir weder privat noch beruflich passiert wenn es um offizielle Software geht.
Das höchste der Gefühle mögen vielleicht ungewollte Browser-Bars (vor 10 Jahren) oder die falsche FileZilla-Version gewesen sein...

Wenn es um weniger offizielle Software geht, sieht die Sache etwas anders aus hust
Aber das Thema ist bei mir auch schon lange vorbei.

 

[Tokkan82]

Vielen Dank an alle für eure Rückmeldung sowie die vielen Tipps & Tricks.

Es handelt sich bei mir um Windows 10 22H2 (alle Updates installiert), also auf dem neusten Stand.
Ich war mit dem Gerät knapp 1 Jahr ohne AV-Programm unterwegs. Danach war das Gerät mal extrem langsam beim Starten und es hat sich immer für ein paar Sekunden ein schwarzes Fenster kurz geöffnet (cmd?).

Danach habe ich dann ein AV Programm erworben - das war Oktober 2023, welches 2 Viren gefunden hat. Diese dann entfernt. Dann habe ich mir nichts mehr dabei gedacht, bis ich vor ein paar Tagen davon gehört habe, dass gewisse Viren AV-Programme täuschen können, wenn das Programm NACH dem Virus installiert wird. Daher war dann meine Befürchtung dass der Virus trotz nachträglichem AV und trotz "Ihr System ist sauber" noch vorhanden sein könnte. Merken tu ich davon nichts.

Mit den Wichtigen Daten meinte ich meine Bewerbungsunterlagen, Fotos und ein paar wenige .txt & .pdf Dokumente.

Kann denn ein Virus auch in einem .txt oder .pdf Stecken welcher "gefährlich" sein kann? Oder sind die meisten Viren .exe Dateien oder?

Ich habe mir nun von Avira die Rescue ISO (von meinem aktuellen Gerät) heruntergeladen, auf einen frischen USB-Stick kopiert und dann davon gebootet und die SSD prüfen lassen. Da wurde nichts gefunden.

Wie würdet ihr in meinem Fall vorgehen?
Mach ich mir zu viele Sorgen?
Das nachträglich installierte AV-Programm (Norton) findet beim System-Scan nichts.
Avira Rescue ISO findet auch nichts...


Wenn kein 2 sauberer Rechner vorhanden ist, könnte ich eventuell in den Computerladen vor Ort, die können mir eventuell auch eine Windows 10 ISO auf einen neuen Stick laden, oder wäre das übertrieben?

Bzw. wenn ich dann eine frische ISO für den Install in den Rechner stecke, kann dann der Virus nicht sofort sich auch in diese neue ISO einschleichen? Damit wäre es ja einen Teufelskreis...

Notfalls würde ich folgendermaßen vorgehen:

-> Mir von einem User hier oder vom Computerladen ein Erase-Programm + eine Windows 10 ISO holen, dann zuerst die Platte formatieren und dann Windows neu Installieren. Bin ich dann sicher?

 

[coasterblog]

Ich war mit dem Gerät knapp 1 Jahr ohne AV-Programm unterwegs

Wenn du den Defender nicht ausgeschaltet hast dann nicht.

Windows neu Installieren. Bin ich dann sicher?

Das hatten wir hier schon in den Antworten.

 

[purzelbär]

Mit den Wichtigen Daten meinte ich meine Bewerbungsunterlagen, Fotos und ein paar wenige .txt & .pdf Dokumente.

Sichere die auf alle Fälle mal als Kopien auf einem externen Speichermedium USB Stick oder USB Festplatte.

Das nachträglich installierte AV-Programm (Norton) findet beim System-Scan nichts.
Avira Rescue ISO findet auch nichts...

Das ist prinzipiell gut, besagt aber auch nur das der Avira und der Norton Scanner nichts gefunden haben und ist keine 100%ige Garantie das gar kein Virus auf deinem System ist.

Wenn kein 2 sauberer Rechner vorhanden ist, könnte ich eventuell in den Computerladen vor Ort, die können mir eventuell auch eine Windows 10 ISO auf einen neuen Stick laden, oder wäre das übertrieben?

Bzw. wenn ich dann eine frische ISO für den Install in den Rechner stecke, kann dann der Virus nicht sofort sich auch in diese neue ISO einschleichen? Damit wäre es ja einen Teufelskreis...

Ist keine verkehrte Idee, dir im Computerladen eine Windows 10 Installationsmedium erstellen zu lassen. Zu dem 2. Absatz: wenn du den PC aus hast, den Stick anschliesst und dann von dem bootest um Windows neu zu installieren, dann kann da kein Virus kommen und sich einschleichen. Wichtig ist nur: lasse alle bisherigen Partitionen löschen und formatieren und dann installiere Windows 10 in den neuen nicht zugewiesenen freien Speicherplatz.

 

[tollertyp]

Manche Anti-Viren-Programme haben auch einen Aufmerksamkeitsdrang und sehen Schädlinge, wo keine sind.

Aber wenn du nicht weißt, was für Viren du hattest, dann musst du halt vom schlimmsten ausgehen.

 

[bisy]

Ich war mit dem Gerät knapp 1 Jahr ohne AV-Programm unterwegs

Windows 10 hat doch ein eigenes Antivirenprogramm mit an Board, hast du das deaktiviert?

Mach ich mir zu viele Sorgen?

Jop machst du.

Wie würdet ihr in meinem Fall vorgehen?

Windows normal weiter nutzen, fertig.

Wenn man es jetzt wirklich übertreiben will, Bau deine System SSD aus, entsorg die, baue ne neue ein und installiere Windows neu.

Nicht gesicherte Daten sind dann halt weg.

 

[cyberpirate]

Und um sicher zu sein starte doch einfach mal eine AV Live und scanne den PC außerhalb des Windows. zb hiermit:

https://www.eset.com/th-en/support/sysrescue/

 

[bisy]

starte doch einfach mal eine AV Live und scanne

Hat er ja schon, mit der Avira Rescue iso

 

[andy_m4]

Wenn ich jedesmal, wenn der Virenscanner anschlägt, neu installiert hätte, hätte ich viel zu tun gehabt.

Wenn das alles False-Positives waren, dann ist das Antivirenprogramm schlicht untauglich.
Generell hast Du ja immer das Problem eine echte Meldung von einem Fehlalarm zu unterscheiden.
Btw. ist neu aufsetzen gar nicht so dramatisch. Allerdings muss man sich halt auf den Fall vorbereiten.
Das hat dann gleich noch einen Nebeneffekt. Wenn man vorbereitet ist und das neu aufsetzen schnell geht, hat man viel weniger Hemmungen es zu tun. Man überlegt nicht großartig herum und versucht sich vielleicht sogar noch Vorfälle schönzureden ("wird schon nix gewesen sein") oder probiert irgendwelche halbgaren manuellen Entfernungsversuche.

 

[nutrix]

Wenn das alles False-Positives waren, dann ist das Antivirenprogramm schlicht untauglich.

Hatte ich doch erst mit dem Tor Browser:
https://www.heise.de/news/Start-ver...r-faelschlicherweise-als-Malware-9323834.html
Oder 7zip
https://www.borncity.com/blog/2023/06/21/7-zip-23-01-verffentlicht-virenscanner-haben-fehlalarm/
Wie wärs damit:
https://www.heise.de/news/Trend-Mic...ner-im-Webbrowser-Microsoft-Edge-7073156.html
Von Log4j fange ich erst mal gar nicht an:
https://www.heise.de/meinung/Patch-...-Art-ein-Unternehmen-lahmzulegen-6356397.html
Gerade bei Log4j und Konsorten ging es so weit, daß manche Firmen Virenscans auf den Linux-Servern einstellten.

Oder wenn man in diversen Entwicklungsprogrammen entsprechende "gefährliche Plugins" installiert, die irgendwie was mit Kommunikation und Services in diverse Netze macht. Ganz beliebt sind auch die Nirsoft-Tools, beispielsweise die Netzwerktools, die alle bei fast allen Virenscannern anschlagen.
https://www.borncity.com/blog/2020/04/14/die-nirsoft-tools-und-die-dll-hijacking-schwachstellen/

Der Anti-Cheat Schutz wurde eine Zeitlang auch als Problem für den Defender erkannt. Ebenso, wenn man Aurora (Cheat-Tool, was ich ausschließlich für Single Player Spiele nutze) verwendet. Auch so Tools wie der RDP Wrapper (wird leider schon lange nicht mehr weiterentwickelt) ist an sich harmlos für den Zweck, wird aber regelmäßig als gefährlich eingestuft.

Man muß nicht unbedingt was mit illegaler Software zu tun haben, um permanent mit false/positive und Anschlagen von Virenscannern zu tun zu haben. Von der ganzen Office/PDF Problematik mit Makros und Co., was da tagtäglich eintrudelt, fange ich erst mal gar nicht an. Und man sollte sich ja nicht mit einem IDS/IPS aka Snort, Surikata und Co. beschäftigen, da wird man nur noch paranoide, was da alles anschlägt.

Daher, wenn ich da jedes Mal neu installiert hätte, wäre eine Menge Lebenszeit draufgegangen.

Generell hast Du ja immer das Problem eine echte Meldung von einem Fehlalarm zu unterscheiden.

Korrekt, deshalb prüft man das ja auch an vielen Stellen, wie mit Virustotal.

Btw. ist neu aufsetzen gar nicht so dramatisch. Allerdings muss man sich halt auf den Fall vorbereiten.

Für ein 08/15 System vielleicht. Nicht, wen Du ein großes gewachsenes System hast. Bei einer DAW bzw. als ich meinen Server neu mit Win11 aufsetzte, weil die Kernisolieriung rumspackte, war ich mehrere Wochen beschäftigt, bis ich alles soweit wieder hatte.

Das hat dann gleich noch einen Nebeneffekt. Wenn man vorbereitet ist und das neu aufsetzen schnell geht, hat man viel weniger Hemmungen es zu tun.

Das mit dem "schnell neu Aufsetzen" funktioniert nur mit kleinen bescheidenen Systemen ohne Ansprüche. Und ich kann sehr wohl nachvollziehen, daß bei vielen das sehr lange dauert und eben mal nicht so schnell neu installiert ist.

Man überlegt nicht großartig herum und versucht sich vielleicht sogar noch Vorfälle schönzureden ("wird schon nix gewesen sein") oder probiert irgendwelche halbgaren manuellen Entfernungsversuche.

Solange nur der Virenscanner bei einer heruntergeladenen Datei anschlägt, ist keine Panik angesagt. Die meisten Dinger werden erst aktiv, wenn man sie ausführt oder irgendwie in einem Kreis zur Ausführung berechtigt. Aber schon auspacken oder Starten von Dokumenten bzw. Dateien kann gefährlich sein. Solange die "gefährlichen" Dateien nur rumliegen, passsiert erst mal nichts weiter. Dafür sind Images gut, oder Sandboxes wie VMs, um solche unklaren Programme oder Dateien zu testen.

Privat hat sich Defender + ab und zu mal Malwarebytes und Virustotal bei mir an sich bewährt. Win11 wurde mit allen aktuellen Sicherheitsfeatures wie Kernisolierung und Ordnerüberwachung aktiviert. Dazu nur Downloads und Updates über offizielle Herstellerseiten, CB oder Heise, das ist schon die halbe Miete.

Dazu noch ein gutes Backupkonzept, wo ich das OS 3x pro Woche mit 4 Wochen Haltezeit sichere, manche Daten öfter, OS und Daten streng getrennt, siehe auch
https://www.computerbase.de/forum/t...ach-installation.2188150/page-2#post-29227959
Dann habe ich selbst bei einem aus Verstehen oder per Schlussligkeit gestarteten riskanten Datei (ist mir mal mit Adware bei Freefilesync passiert, zu schnell geklickt) schnell wieder ein laufendes "sauberes" System, ich kann immer wieder schnell auf einen älteren Stand ohne viel oder keinen Verlust (bist auf fehlende Updates) zurückrollen. Nix mit Neuinstallation. 🤗 😎

 

[andy_m4]

Man muß nicht unbedingt was mit illegaler Software zu tun haben, um permanent mit false/positive und Anschlagen von Virenscannern zu tun zu haben.

Ich weiß nicht, was Du mir mit dem ganzen Abschnitt sagen willst.
Ich sag ja nur, das das Antivirenprogramm untauglich ist.

Korrekt, deshalb prüft man das ja auch an vielen Stellen, wie mit Virustotal.

Auch ein Virustotal kann da keine absolute Aussage machen. Du hast vielleicht etwas mehr "Sicherheit", weil gegen mehrere Virenscanner getestet wird.
Die Frage ist aber, wozu ich dann überhaupt noch einen lokalen Virenscanner brauche. Dann checke ich doch meine Downloads gleich mit Virustotal.

Nicht, wen Du ein großes gewachsenes System hast. Bei einer DAW bzw. als ich meinen Server neu mit Win11 aufsetzte, weil die Kernisolieriung rumspackte, war ich mehrere Wochen beschäftigt, bis ich alles soweit wieder hatte.

Für solche Dinge gibt es die Möglichkeit Images zu erstellen. Dann hast Du Dein System ruckzuck wieder, egal was installiert und konfiguriert wurde.

ich kann immer wieder schnell auf einen älteren Stand ohne viel oder keinen Verlust (bist auf fehlende Updates) zurückrollen. Nix mit Neuinstallation.

Wie gesagt. Wenn man vorbereitet ist, ist Vieles aus dem Bereich kein großes Ding.
Deshalb wundert mich so ein bisschen, warum Du Dich dagegen ausgesprochen hast. Zumindest wirkte es so.

 

[nutrix]

Deshalb wundert mich so ein bisschen, warum Du Dich dagegen ausgesprochen hast. Zumindest wirkte es so.

Nein, alles was ich sage, daß man nicht gleich bei jedem Anschlagen des Virenscanners neu installieren muß. Man sollte es differenziert betrachten und analysieren. Solange so eine gefundene Datei nur passiv rumliegt, passiert hier weiter nichts.

Ergänzung (17. März 2024)

Ich weiß nicht, was Du mir mit dem ganzen Abschnitt sagen willst.

Das war jetzt nicht explizit auf Dich bezogen, nur erwecken einige Kollegen den Eindruck, daß das Anschlagen des Virenscanners auf das eigene Fehlverhalten zurückzuführen sei, weil bei ihnen so lange sowas nicht mehr passiert sei.