PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Virus loswerden



Walter
15-06-2005, 07:40
Hallo,

ich habe ein aktuelles Problem.

Ich habe mir trotz Anti Virenprogramm und Firewall einen Trojaner eingefangen. Es ist der TR Rootkit L der die Datei rdriv.sys befallen hat. Leider bringe ich es nicht fertig den Trojaner zu entfernen. Weder mit dem MS Patch noch mit 2 Viren Programmen, Stinger etc. kann ich dem Ding beirücken. Jemand eine Idee wie ich den Hund wieder loswerde ? (System neu installieren wäre eigentlich nur die letzte Lösung)

Wie kann ich mich demnächst vor so einem Ding schützen wenn schon alle anderen programme versagen ?

SeTTleR
15-06-2005, 08:16
Hi Walter,

Klick (http://www.trojaner-board.de/archive/index.php/t-18478.html) <-- hier kannst du mal nachschauen. Der Typ scheint das gleiche Problem wie du zu haben und die Leute in dem Forum haben ihm auch geholfen. Vll findest du da eine Lösung.

MFG Bernd

Walter
15-06-2005, 16:28
Hi,

tja der Trojaner hat sich festgebissen. Musste den PC neu aufziehen. Jetzt mit neuer Firewall und Anti-Viren PRG.

tobu
15-06-2005, 16:39
bitter... :(

SeTTleR
15-06-2005, 19:04
Ja, das ist in solchen Fällen auch eigentlich das Beste. In einem Link in dem Forum steht ja auch sowas in der Art. Das System ist halt nicht mehr vertrauenswürdig. Wenn du das Teil jetzt gerade neu aufgesetzt hast, zieh dir doch mal nen Image davon mit Drive Image oder Norton Ghost. Dann kannste das im Notfall immer einfach wieder draufpacken und musst die ganze Kiste nicht nochmal neu aufsetzen.

MFG Bernd

Walter
15-06-2005, 19:12
Hi,

ja würde ich auch gerne machen habe aber kein Ghost :(

SeTTleR
15-06-2005, 19:43
Mmh na gut, das ist dann natürlich ein Problem. Kennst du denn keinen, der dir das evtl. mal "borgen" könnte? Ich habe so etwas leider auch nicht.

Walter
15-06-2005, 20:18
Hi,

nee kenn da keinen. Als hätte ich es geahnt stand ich in den letzten Tagen vor dem Ghost im Media Markt aber 45 Tacken war mir zuviel zudem auch gerade mein neues Navi-System fällig war.

tobu
16-06-2005, 09:31
was ich dir empfehlen kann weil ich es ausgiebig getestet habe (und handbuch geschrieben, sorry für evtl unverständlichkeit :D ) ist das hdd easy recovery von senul.... gibts als software, dongle und pci version... das ding gräbt ein image von jeglicher platte/partition irgendwo gaaaanz unten in den bootsektor der jeweiligen platte ein (bei der pci version in ein flashrom auf der pci karte!)

man kann sich das sehr cool einrichten, wiederherstellungspunkte etc... und vor allem wenn das system so ist wie du es haben willst, stellst du das kerlchen auf automatisch wiederherstellen beim booten und du hast nach jemem reboot nen quasi "jungfäulichen" rechner... virus eingefangen? na dann reboot und das wars zu dem thema. geil oder?

nach deren angaben braucht das "vergrabene image" der platte ungefähr 1% der grösse der tatsächlichen daten... und so ein wiederherstellungsprozess nach boot up dauert 2-5 sek...

ach ja, der setup screen für das teil kommt noch VOR dem bios... also du kannst ne taste halten um reinzugehen, änhlich wie die klassische "hold DEL for setup"

kostet glaub ich 25/40/70 € je nach version; taugen tuts echt, hab hier im büro gleich mal alle uns überlassenen probeexemplare verbaut...

ein simpler beispieltest von damals zur verdeutlichung:
hdd dingens installiert, klar, dann console: format c: rattaratta, kiste tot... reboot, hallo windows...

Walter
16-06-2005, 09:34
Hi,

hmm mverstehe ich nicht. Wie soll der denn die ganze Platte in den Bootsektor sichern oder auf ner Karte ? Ich blicke es gerade nicht. Hört sich auf jedenfall gut an.

tobu
16-06-2005, 09:40
ich glaub deren grösstes betriebsgeheimnis ist der kompressionsalgorhytmus den sie für diese images verwenden... weiss auch nicht wie das funzt... der cheffe von denen meinte nur "stells dir so ähnlich vor wie beim zippen", ja klar, hehe...

oha, stimmt ja, der name war hdd sheriff easy recovery...

senul website (http://www.senul-gmbh.de/de/hdd_sheriff.htm)


oh, doch teurer als ich's in erinnerung hatte... oben erwähnte preise waren wohl für die markteinführungsaktion... :o

SeTTleR
16-06-2005, 11:06
Ja klar, das ist eine Sheriff-Karte, so wie sie auch in Schulen, Schulungsräumen, etc. verbaut wird. Das wäre natürlich auch ne Lösung, wenns vom preislichen her passt. Zur Technik kann ich auch nicht viel sagen, ausser, dass ich mir das mit dem MBR nicht vorstellen kann. So klein kann man IMHO ein Image von einer Festplatte nicht machen. Aber ich lasse mich gerne belehren.

MFG Bernd

zyx
16-06-2005, 15:35
so wie ich das verstanden habe speichert der nur ne aenderung in eine eigene partition....

tobu
16-06-2005, 15:55
also ich hab zum testen die PCI version installiert gehabt... eingerichtet, rechner aus... systemplatte raus, leere formatierte platte rein... recovery dauert paar sekunden... windows bootet... noch fragen? ich fand das extrem überzeugend.

Walter
16-06-2005, 16:02
Hi,

naja ist mir alles zu teuer und aufwendig. Ich denke es wird wohl Ghost 9,0 werden. Hat eigentlich ganz gut abgeschnitten.

Kiro
16-06-2005, 16:39
Wie kann ich mich demnächst vor so einem Ding schützen wenn schon alle anderen programme versagen ?
...tze, erstmal die Schuld auf die Programme schieben, is klar...
"Programme sind immer nur so gut wie sie angewendet werden"

- Firewall VOR dem Internetzugang installieren (oft gemachter Fehler)
- Virusprogramm immer aktuell halten (auch die Engine nicht nur das Patternfile - am besten mehrmals tägl. per Cronjob oder Scheduler)
- und das Wichtigste : Die Neugier zügeln und nicht auf jeden dummen Mailanhang klicken nur weil da "Free Porn" (o.ä.) draufsteht... :D

Pflaugi
16-06-2005, 16:59
Hättest mal AntiVir ausprobieren sollen, der löscht eigentlich sämtliche Trojaner... :)
bekommst du auf: www.free-av.de

tobu
16-06-2005, 17:00
@ kiro:
das war jetzt dein vielbesagtes paddel, oder? :D

@walter:
yo, das ghost verwenden fast alle hardcore-windows-user die ich kenn; das hat hand und fuss - falls man ma neu installieren muss.

Walter
16-06-2005, 17:08
...tze, erstmal die Schuld auf die Programme schieben, is klar...
"Programme sind immer nur so gut wie sie angewendet werden"

- Firewall VOR dem Internetzugang installieren (oft gemachter Fehler)
- Virusprogramm immer aktuell halten (auch die Engine nicht nur das Patternfile - am besten mehrmals tägl. per Cronjob oder Scheduler)
- und das Wichtigste : Die Neugier zügeln und nicht auf jeden dummen Mailanhang klicken nur weil da "Free Porn" (o.ä.) draufsteht... :D

Ist ja lächerlich. Jetzt tue mal nicht so als ob ich direkt von den Baumwollfeldern hierher gekommen bin. Deine Unterstellung mit den Anhängen lasse ich mal ohne Kommentar stehen.

tobu
16-06-2005, 17:15
trojaner kann man doch sonstwie bekommen; ich hab mal einen in ner gif animation entdeckt.

SeTTleR
16-06-2005, 20:53
Sicherheitslücken gibt es ja leider Gottes überall. Da hilft nur, das System so aktuell wie möglich zu halten und sich an ein paar Spielregeln halten. Aber selbst dann ist die Gefahr noch groß, dass man sich was einfängt.

Kiro
17-06-2005, 12:51
Ist ja lächerlich. Jetzt tue mal nicht so als ob ich direkt von den Baumwollfeldern hierher gekommen bin. Deine Unterstellung mit den Anhängen lasse ich mal ohne Kommentar stehen.
Das war keine Unterstellung, sondern lediglich ein allgemeiner Ratschlag, noch dazu mit nem Smiley - also immer schön ruhig bleiben... :D
Kannst ja nicht wissen das ich es als Security Engineer dauernd mit den heftigsten DAUs zu tun habe...

Walter
17-06-2005, 12:54
Nee kann ich nicht wissen. Aber auch ich habe mit den Jungs und Mädels zu tun. Und eins weiß ich jetzt schon. Sowas passt mir nicht nochmal. (naja ich habe alles mögliche jetzt getan)

Hawkeye
17-06-2005, 18:44
off-topic aber - musste gerade zwei "schlagwörter" hier lesen DAU und Ghost...

wurde am mittwoch zu einem "kunden" gerufen...renter mit sehr viel zeit...
alles klar oder!

so das fehlerbild gem aussage des schwerhörigen mannes am telefon:
"in excel konnte ich plötzlich in einem kästchen keine zahl mehr eintragen....da hab ich mit ghost die c und d platte wiederhergestellt....und jetzt steht da (der Mann kann kein Englisch) No bot dehvize font Rebot and selekt proper...press a kehi.....". nun war ja eh klar, was da stehen musste :eek:

also - in dem fall, mühevoll, windows XP neuinstalliert. daten die noch auffindbar waren wieder eingespielt (t-online,usw.)...
und ganz zum schluß wurde ich sehr energisch daraufhingewiesen, das zuvor das bild nie - mitsicherheit niemals, schwarzweiß wurde, wenn er den pc runtergefahren hat.... :mad:

so musste ich loswerden, ihr versteht schon...

golytronic
18-06-2005, 11:18
so etwas nennt man "Nervkunden" die einem die Zeit rauben und dann noch auf der Strasse erzählen, wie ungerecht sie bedient worden sind. Leider macht mir über die Jahre gesehen das fast nichts mehr aus. Wenn ich so was zu Ohren kriege räume ich das aus und dann ist das gegessen. In deinem Fall hätte ich ganz cool gesagt : Wissen sie, durch die optimierte Bioseinstellung.... :D und Ruhe ist im Schuhkarton. - manche wollen nicht die Wahrheit wissen, sondern Märchen hören -
Es gibt bestimmt wichtigere Aufgaben (für mich jedenfalls) als sich mit sowas zu beschäftigen.

Kiro
20-06-2005, 08:43
Ein Kerl ruft beim technischen Support an, um mitzuteilen, daß sein Computer fehlerhaft ist.

Tech: Was ist das Problem?
User: Es kommt Rauch aus dem Netzteil.
Tech: Sie brauchen ein neues Netzteil.
User: Nein, brauch ich nicht! Ich muß lediglich die Starteinstellungen verändern.
Tech: Das Netzteil ist hinüber, mein Herr. Sie müssen es austauschen.
User: Keineswegs! Jemand hat mir gesagt, daß ich bloß die Starteinstellungen verändern muß und daß damit das Problem gelöst sei! Alles, wofür ich Sie brauche, ist es, mir den Befehl zu nennen.

Zehn Minuten später beharrt der User immer noch darauf, daß er recht hat. Der Techniker ist frustriert und gibt auf.

Tech: Entschuldigung, der Herr. Normalerweise sagen wird dies unseren Kunden nicht, aber es gibt einen undokumentierten DOS Befehl, der das Problem lösen wird.
User: Hab ich's doch gewußt!
Tech: Fügen sie lediglich die Zeile LOAD NOSMOKE.COM ans Ende der Datei CONFIG.SYS hinzu. Lassen Sie mich hören, wie es funktioniert.

Zehn Minuten später.

User: Es hat nicht geklappt. Das Netzteil raucht immer noch.
Tech: Nun ja, welche DOS-Version benutzen Sie?
User: MS-DOS 6.22.
Tech: Ah, da liegt das Problem. Diese Version von DOS wurde ohne die Datei NOSMOKE ausgeliefert. Kontaktieren Sie Microsoft und fragen Sie nach einem Patch, der Ihnen das File liefert. Lassen Sie mich hören, wie es funktioniert.

Eine Stunde später.

User: Ich brauche ein neues Netzteil.
Tech: Wie kommen Sie denn darauf?
User: Nun, ich habe Microsoft angerufen und ihnen migeteilt, was Sie mir gesagt haben. Dann haben Sie mir Fragen zu meinem Netzteil gestellt.
Tech: Und was hat er gesagt?
User: Er sagte mit, daß mein Netzteil nicht kompatibel zur Datei NOSMOKE sei.

tobu
20-06-2005, 09:21
@kiro:
L O L, nosmoke.com... :D :D

und jetzt nochmal besonderes augenmerk auf meine signatur: