Anzeige:
Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 15 von 21

Thema: Wie Malware entfernen?

  1. #1
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121

    Question Wie Malware entfernen?

    Ein Scan mit Clamav zeigt mir das ein paar Dateien, die in Mails enthalten sind oder in Download-Verzeichnissen von Lan-Parties liegen etwas Malware enthalten ist:

    Ausgabe von

    cat clamlog0.txt | grep " FOUND" | cut -d":" -f2-11 | rev | cut -d":" -f1 | rev | sort | uniq

    :

    Exploit.HTML.IFrameBOF-7 FOUND
    HackTool.DDOS.HOIC FOUND
    HackTool.DDOS.LOIC-2 FOUND
    Hacktool.SSL-DoS FOUND
    Hacktool.WindowsLoader FOUND
    Heuristics.Phishing.Email.SpoofedDomain FOUND
    Heuristics.Phishing.Email.SSL-Spoof FOUND
    HTML.FileDownload_atl_dll FOUND
    HTML.Phishing.Auction-226 FOUND
    HTML.Phishing.Bank-839 FOUND
    INF.Autorun-43 FOUND
    Trojan.Agent-134402 FOUND
    Trojan.Agent-16150 FOUND
    Trojan.Agent-243229 FOUND
    Trojan.Agent-243230 FOUND
    Trojan.Agent-270738 FOUND
    Trojan.ArcBomb-1 FOUND
    Trojan.Dialer.AS FOUND
    Trojan.Downloader-1408 FOUND
    Trojan.FakeAV-344 FOUND
    Trojan.FakeAV-886 FOUND
    Trojan.Hupigon-19594 FOUND
    Trojan.Keygen-5 FOUND
    Trojan.Medbot-98 FOUND
    Trojan.Spy-29209 FOUND
    Trojan.Spy-54881 FOUND
    Trojan.Spy-67710 FOUND
    Trojan.Startpage-100 FOUND
    Trojan.Startpage-402 FOUND
    VBS.LoveLetter.D FOUND
    VBS.SST-A.3 FOUND
    W32.BugBear.A FOUND
    Worm.Autorun-1783 FOUND
    Worm.BadTrans.B1 FOUND
    Worm.Gibe.F FOUND
    Worm.Indra.04 FOUND
    Worm.SCO.A-1 FOUND
    Worm.Sircam FOUND
    Worm.Sober.C1 FOUND
    Worm.Tenga.A FOUND

    Unter Linux stört das nicht, aber bei einigen Dateien will ich die Malware beseitigen.
    Welche Tools gibt es dazu unter Linux?
    Oder empfehlen die Experten hier ein Windoof-Programm?

  2. #2
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    "Etwas" ist gut

    Das ist ja eher ein Fullhouse.

    Was heißt jetzt beseitigen? Lösche doch einfach die Mails und gut ist. Oder liegt der Krempel auf einer Windows Partition? Wenn ja, dann starte den Rechner mit einer Kasperky Rescue CD und lasse den Kollegen seine Arbeit tun.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121
    Zitat Zitat von stefan.becker Beitrag anzeigen
    Was heißt jetzt beseitigen? Lösche doch einfach die Mails und gut ist. Oder liegt der Krempel auf einer Windows Partition? Wenn ja, dann starte den Rechner mit einer Kasperky Rescue CD und lasse den Kollegen seine Arbeit tun.
    Da die meisten Dateien auf verschlüsselten Partitionen liegen, geht das mit der Rescue CD wohl nicht so einfach.
    Bei den Mails stört die Malware nicht und neben Hacktools hebe ich auch Klassiker wie 42.zip auf, so das nur die wenigsten weg sollen, beispielsweise wenn die an einer Exe zu einem Spiel hängen oder an einem PDF. Wie bekomme ich die gesäubert?
    Geändert von Noether (05.10.12 um 21:16 Uhr)

  4. #4
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.639
    .. du könntest die free Version eines AV Programmes (z.B. Avira) installieren und beim Scannen die Option "in Quarantäne" verschieben wählen.. musst dann aber vorher von Hand eine Liste anlegen welche Dateien er in Ruhe lassen soll...

    Funktionieren wird das natürlich nur wenn die Dateien separat einzeln vorliegen.. sonst riskierst du dass die ganze outlook .pst Datei verschoben wird...
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  5. #5
    Registrierter Benutzer
    Registriert seit
    Sep 2006
    Beiträge
    1.121
    Zitat Zitat von Newbie314 Beitrag anzeigen
    .. du könntest die free Version eines AV Programmes (z.B. Avira) installieren und beim Scannen die Option "in Quarantäne" verschieben wählen.
    Das hilft nicht weiter, denn es soll nicht verschoben sondern entfernt werden, so das die Original-Datei, beispielsweise ein PDF, wieder hergestellt wird.

  6. #6
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Diese Art von Bereinigung kannst du dir eh klemmen. Die Dokumente sind doch verseucht von A-Z. Die heutigen Scanner können doch a) ignorieren, b) löschen, c) Quarantäne.

    Lösche den Müll und gut ist.

  7. #7
    eigentlich keine Blondine
    Registriert seit
    Mar 2010
    Beiträge
    931
    D.h. früher hat man versucht, Dateien zu "heilen", und jetzt hat man das aufgegeben?

  8. #8
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.639
    Zitat Zitat von Noether Beitrag anzeigen
    Das hilft nicht weiter, denn es soll nicht verschoben sondern entfernt werden, so das die Original-Datei, beispielsweise ein PDF, wieder hergestellt wird.

    Da würde ich mal rumgooglen welche AV Hersteller das noch anbieten und dann versuchen herauszufinden ob deren Linux Variante (sofern vorhanden) das auch kann.

    "Bereinigen" geht natürlich davon aus dass man die Schadsoftware einwandfrei identifiziert hat (geht also nur bei signaturbasierter Erkennung) und dann muss für jeden Schädling eine eigene Bereinigungsroutine bereitgestellt werden.

    Sollte eine Datei von mehreren Schädlingen befallen sein geht das schief, ein Restrisiko wird also bleiben, und alle Dateien wirst du nicht bereinigen können.
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  9. #9
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Früher waren die Viren und die Infektionswege anders.

    Früher kam ein Schädling über irgendeinen Wechseldatenträger, hat sich in deine Dateien kopiert/angehängt und vervielfältigt. Da wurden die Dateien bereinigt und gut ist.

    Heute kommen Trojaner per Drive by durch Sicherheitslücken im Browser/Flash/PDF Reader. Oder du holst dir die Pest durch Fakedownloads oder Keygeneratoren.

    Zumeist sperren sie deinen Rechner (BKA Trojaner), verschlüsseln Dateien, täuschen ein Antivirus vor, spionieren Passwörter aus etc. Sprich: Das Zeugs hängt sich nicht in Dateien rein, sondern du holst dir Dateien aus dem Netz, wo das Zeugs bewusst reingebaut wurde. Was willst du da bereinigen? Den Schund kannst du nur löschen, mehr geht da nicht.

    Und wenn dein Rechner befallen ist, ist eine Neuinstallation meist der schnellste Weg. Ich habe viel in einer VM getestet. Bei olddownloads.com alte Versionen runtergeladen von Java und Flash und dann "Top of the Pops" getestet. Sprich: Malware Domain List abgegrast und einen Link nach dem anderen aufgerufen. Danach zig Scanner drüberlaufen lassen, jeder findet was trotz vorheriger Durchläufe anderer Scanner.

    Die Thematik ist echt interessant, macht fast süchtig Aber genauso ist das Fazit erschreckend.

    Und wenn man das selbst nicht alles mal ausprobiert hat, dann kann man sich das ganze nicht so recht vorstellen.

    Früher war der von Viren betroffene zumeist selbst schuld. Einmal Pornoseite und gut bzw. schlecht war es.

    Heute reicht der Besuch einer Seite aus, wobei irgendjemand den Server gekapert hat bzw. manipulierte Werbebanner untergejubelt hat. Dazu eine Sicherheitslücke, und schon ist es passiert. Es gibt selbst prominente Seiten wie wetter.com, die schon befallen waren.

    Dann denke mal an die ganzen Möchtegern-Admins, die sich einen Rootserver mieten und nicht mal wissen, wie man einen PC einschaltet. Das sind doch bevorzugte Opfer der Virenmafia.

    Und man muss schon von Mafia reden. Es wird doch inzwischen versucht, dich zu erpressen. Der BKA Trojaner sperrt deinen Rechner und fordert dich auf, 50 Ocken per Ukash zu überweisen. Nicht nachvollziehbare Zahlungswege.

    Die Fake-AVs legen fast alles lahm und zeigen andauernd an, dass dein Rechner 198.000 Viren hat und du am besten ebenfalls per UKash eine Lizenz kaufst. Webseiten von seriösen AVs werden als Gefahr angezeigt und nicht geladen. Das Windows Sicherheitscenter wird gefakt und zeigt alles ok an.

    Frage mal den Tankwart um die Ecke. Ich habe es gemacht, bei ihm waren schon einige, die so was gekauft haben.

    Von daher an den TE: Löschen.

  10. #10
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.639
    Das Problem sehe ich eher so dass man heute beim Scan halt am Internet hängt. Nur eine Zeitfrage bis ein Rootkit erkennt dass man Malwarebytes, OTL oder sonstwas heruntergeladen hat und sich die neueste versteckte Variante seines Droppers runterlädt um "zu überwintern".. praktisch wie ein HIV Virus...

    Wenn also mal ein Rechner so viele "Würmer" hat sind bestimmt auch ein paar drauf die man mit ein paar Scannern bestimmt nicht los wird...
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  11. #11
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Das habe ich mal als "Juliane Werding Virus" tituliert: Wenn du denkst du denkst dann denkst du nur du denkst ...

    Ist inzwischen bald der Normalfall: So ein Rootkit sorgt bei einem Virenscan unter Windows dafür, dass du was anderes siehst als die Realität. Manchmal sieht man offensichtliches, damit du nicht weiter nachschaust, Oder du siehst gar nichts, obwohl inzwischen die Pest den Rechner befallen hat. Den letzteren Fall hatte ich auch mal bei meinen Tests.

    Von daher ist die "Rescue CD" ein besserer Weg als ein Virenscan unter Windows.

    Wenn das ganze oben genannte auf einer Windows Partition liegt, dann ist das wohl inzwischen eher ein Windows Zombie. Dann ist eh nichts mehr zu retten und da hilft nur eine Neuinstallation.

    Und dazu hat ClamAV ja wohl die schlechteste Erkennungsrate ...

  12. #12
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Zitat Zitat von Newbie314 Beitrag anzeigen
    Wenn also mal ein Rechner so viele "Würmer" hat sind bestimmt auch ein paar drauf die man mit ein paar Scannern bestimmt nicht los wird...
    Heute nachmittag lief wieder der "Top of the Pop" Test, diesmal mit Commodo AV+Firewall (ich teste derzeit mal verschiedene Scanner).

    Danach IE Cache gelöscht, dann Bereinigungsversuche:

    - Malware Bytes Quickscan: Treffer
    - Malware Bytes Fullscan: Treffer
    - Eset Online Scanner: Treffer
    - Kaspersky 10 Rescue CD: Treffer
    - DE Cleaner (Avira) Rescue CD: Treffer
    - DE Cleaner (Kaspersky 9) unter Windows: Treffer

    Quarantäne nach jedem Scan gelöscht, damit der folgende Scan nicht die Treffer des vorherigen findet.

    Das ganze in einer VM (NAT, Clipboard nur Host nach Guest, Shared Folder mit Read Only), will mir ja nicht meine Windows Partitionen zerschießen.

    Wenn jemand selbst testen will, Viren gibt es haufenweise unter:

    hxxp://www.malwaredomainlist.com/mdl.php
    hxxp://www.scumware.org/
    hxxp://forums.malwarebytes.org/index.php?showtopic=25715

    Am besten bei meinen Tests waren von den kostenfreien Scannern bis jetzt AVG und Avast. Bei AVG brachte keiner der folgenden Scans noch einen Treffer. Aber das kann Zufall sein, ist halt auch immer eine Frage der Aktualisierung der Signaturen und der an dem Tag gefundenen Links.

  13. #13
    Linux-Anfänger Avatar von Dogge
    Registriert seit
    Apr 2003
    Beiträge
    427
    Da bin ich ja froh, bei meinen Eltern den AVG installiert zu haben nachdem der Avast ein bisschen mit der Lizenzverlängerung genervt hat.
    Früher hatte ich ihnen immer AntiVir installiert aber der fing irgendwann mit wirklich penetranten PopUps zu nerven an.
    OS: Debian Testing | DE: Sway

    mrtin[at]jmdosch[dot]de (Ox or OMEMO)

  14. #14
    Newbie and practicing Avatar von Newbie314
    Registriert seit
    Mar 2007
    Beiträge
    7.639
    Ach du experimentierst weiter ? Solche Nachrichten welche Scanner zur Zeit gut funktionieren finde ich sehr interessant.

    Allerdings findest du (naturgemäß) nur die Schadsoftware die nicht erkennt dass sie in einer VM läuft.. es soll schon Schadsoftware geben die das erkennt und in VMs "die Füße stillhält".

    Ich bin übrigens Disinfec't Fan... wenn ich einen Rechner damit gescant habe gehe (wenn er nichts findet) ich davon aus dass zumindest keine bekannten "handelsüblichen" Schadprogramme drauf sind.
    Bei Konsolenausgaben / Fehlermeldungen bitte immer Code Tags verwenden: [code] -Text- [/code]
    "Überzeugungen sind gefährlichere Feinde der Wahrheit als Lügen" (H. Lesch)

  15. #15
    Mod. FAQ/Howto/Emulation
    Registriert seit
    Sep 2000
    Beiträge
    17.397
    Jepp, ich bin einer, der FakeAV und Sperrbildschirme sucht und nicht vermeidet. Ich ärger mich über E-Mails, die GMX abfängt, weil Viren drin sind.

    Interessiert mich halt einfach. Für meine Windows PCs zu Hause habe ich mir jetzt eine Eset Nod32 3er Lizenz gekauft. Für Anwender im privaten Umfeld teste ich gerade mal die brauchbaren freien Alternativen. Hier waren bis jetzt AVG und Avast am besten, wie bereits zuvor gesagt, kann das aber auch tagesabhängig schon mal zu Abweichungen führen.

    Im Chip Forum wird der Begriff "Virenklingel" gebraucht. Finde ich ganz passend, wobei das eher für eine Klingel in einem Geschäft gilt: Wenn es klingelt, ist der Kunde zumeist schon drin.

    Ansonsten ist Desinfect eine gute Sache, das spart halt den Download von zig verschiedenen CDs.

    Ändert aber nichts an der obigen Empfehlung, den Müll zu löschen.

Ähnliche Themen

  1. Injected Malware Aufspühren
    Von Sinowal im Forum Sicherheit
    Antworten: 4
    Letzter Beitrag: 05.11.09, 20:01
  2. Probleme beim entfernen von Paketen (pycentral)
    Von dingeling im Forum System installieren und konfigurieren
    Antworten: 4
    Letzter Beitrag: 07.09.07, 10:43
  3. apt-get will kde entfernen
    Von brummfliege im Forum System installieren und konfigurieren
    Antworten: 6
    Letzter Beitrag: 21.06.06, 19:43
  4. HTML.Phishing.Pay-6 aus evolution Inbox entfernen?
    Von Master Mayhem im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 29.05.05, 17:04
  5. scsi-kontroller aus konfiguration entfernen
    Von boxi im Forum System installieren und konfigurieren
    Antworten: 0
    Letzter Beitrag: 10.12.01, 15:35

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •