malware auf Windowapartitionen finden

**rstuby** · 06.04.13, 09:22

Hallo!
Unser Admin (der nicht nur unserer ist und nur einmal die Woche kommt) hat immer noch nicht die Zeit gefunden, den schon einmal erwähnten Studentencomputer neu aufzusetzen. Zur Zeit wird der Computer nicht benutzt, ich bin aber trotzdem irgendwie nicht zufrieden mit dem Status Quo.
Ich habe den starken Verdacht, dass da Malware drauf ist und zwar immer noch, obwohl ich alles, was die Virenscanner gefunden haben (und viel war das gar nicht) gelöscht habe.

Daher frage mich mich (und jetzt euch), ob es ein Werkzeug für Linux wie chkrootkit oder rkhunter gibt, mit dem man auch (oder nur) Windows-Partitionen scannen kann. Bei Google finde ich da irgendwie nichts, obwohl überall steht, dass man Live-Medien zum Scannen benutzen soll.

Wenn das was findet, hätten wir auch gleich eine gute Begründung, WARUM wir gleich die ganze Platte platt machen und nur einigermaßen studienrelevante und von uns gefundene Daten vorher sichern.

**stefan.becker** · 06.04.13, 09:38

Schwierig.

Zunächst erkennt ein Antivirenprogramm auch Rootkits.

Du bekommst drei Virenscanner für Linux problemlos zum Laufen:

- Avast
- Avira
- Bitdefender

Gibt es jeweils auf der Homepage, kostenfrei. Die suchen auch bzw. gerade nach Windows Viren. Also Windows Partition in Linux mounten und schon geht es los.

ClamAV kannst du vergessen, da kannst du auch würfeln, ist vermutlich treffsicherer.

Dann kannst du den Rechner per OTL untersuchen. Das ist ein Analyswerkzeug, welches eine Bestandsaufnahme des Rechners macht. Z. B. werden typische Stellen aufgelistet, wo sich Malware schon mal gerne versteckt. OTL ist aber kein Virenscanner. Man erhält Logfiles, die von einem Menschen ausgewertet werden müssen.

Am besten finde ich das OTL-PE. Das startet über eine XP-PE Boot CD. Beschreibung:

http://forum.botfrei.de/showthread.php?2598-OTLpe

Damit kannst du den Rechner untersuchen. Die Logfiles kannst du hier posten, ich schau gerne mal drüber. Allerdings sei gewarnt: Da wird unter Umständen evtl. auch was aufgelistet, was nicht jeder sehen soll. Wenn du es nicht öffentlich machen willst, dann kannst du mir eine PM schreiben und das entweder irgendwo hochladen (pastebin) oder mir als Mail senden.

Alternativ kannst du OTL auch unter Windows starten. Da dann aber die Malware aktiv ist, ist das eher die 2. Wahl. Wer weiss, was da reingeschrieben wird.

Alternativ zum Posten hier kannst du die Logiles natürlich auch in einem Fachforum wie trojaner-board, chip.de/Sicherheit oder botfrei analysieren lassen.

Falls du aus der Vergangenheit hijackthis kennen solltest: Vergiss es, das ist veraltet. OTL ist moderner.

**rstuby** · 06.04.13, 09:50

Ach so, vielen Dank für die Infos! Ich hatte f-prot und clamav benutzt und hatte irgendwie schon den Verdacht auf Falschmeldungen.
Die Programme werde ich mal ausprobieren, obwohl Avast auf Windows "lief".
Ich dachte, ein Rootkit würde sich gerade dadurch auszeichnen, dass es für einen normalen Virenscanner nicht mehr zu finden sei.
Das mit dem Auswerten durch Fachpersonen ist aber wahrscheinlich übertrieben für ein Gerät, das in nächster Zeit sowieso neu aufgesetzt wird.

**stefan.becker** · 06.04.13, 09:53

Alternativ kannst du auch Linux CD mit integriertem Virenscanner nehmen.

Beispiele:

- DE-Cleaner mit Avira: https://www.botfrei.de/decleaner.html
- Kaspersky: http://www.chip.de/downloads/Kaspers..._44976921.html
- Desinfec't (gibt es nur bei der c't als DVD, kein Download)

Wichtig ist vor dem Scannen die Einstellungen zu ändern. Sonst wird ja alles Schädliche gelöscht und dir evtl. das Argument für eine Neuinstallation genommen.

**stefan.becker** · 06.04.13, 09:58

Und zum Abschluss eine gute Begründungshilfe. Wer glaubt, Malware zuverlässig löschen zu können, sollte dies mal lesen:

http://www.iron-city.de/index.php/ko...oderne-malware

http://www.iron-city.de/index.php/ko...erheits-mythen

http://www.iron-city.de/index.php/ko...er-sicher-doch

Und viele weiteres Lesenswertes auf dieser Seite.

**rstuby** · 06.04.13, 10:08

Alternativ oder auch zusätzlich, ja?
Vielen Dank! mal sehen, zu vie viel davon ich überhaupt komme...

(Wenn's nach mir ginge, würde ich ja Xubuntu drauf spielen oder, wenn das nicht rund läuft, Debian mit XFCE. Das könnte ich auch alleine. Zumal auf dem Gerät irgendwann in der Vergangenheit schon mal ein Linux installiert war. Die Gamer können auf der Uralt-Kiste doch eh nicht mehr viel erreichen, die sollen ihre eigenen Laptops benutzen für studien-irrelevantes Zeug oder darauf verzichten. Leider beauftragt mich aber keiner, das zu tun, und der Admin kennt sich auch mit Windows besser aus.)

**stefan.becker** · 06.04.13, 10:24

Ich würde mal mit OTL anfangen. Der Scan ist in der Regel nach 10 Minuten durch.

Wichtig sind da die Einstellungen wie im Link beschrieben.

**rstuby** · 08.04.13, 09:15

Oh, zu spät dran, ich habe gerade etwas heruntergeladen und dann kam der Admin und hat gesagt, dass er sich den Computer JETZT vornimmt. Gut so, und die Tools werden vielleicht noch anderweitig irgendwann nützlich sein.

**stefan.becker** · 08.04.13, 17:48

Dränge bitte darauf, dass die Festplatte per Linux CD komplett geputzt wird. Also alle Partitionen löschen. Dann kann man per Windows-CD/DVD neu installieren. Falls sonst ein Rootkit aktiv ist, überlebt dies nämlich die Neuinstallation.

**rstuby** · 08.04.13, 18:52

Ich habe schon gesagt, dass alle Partitionen gelöscht werden sollen, auch wenn ich es anders begründet habe. Ich sehe dann mal nach (aber nicht heute Abend), aber denke schon, dass er das auch gemacht hat. Da war nämlich auch noch ein winziger Rest einer Linux-Partition auf der Platte, und das fand ich ziemlich chaotisch.

**kreol** · 08.04.13, 19:38

Nicht nur aber auch für so Fälle ist es nicht verkehrt, einen Ultimate Boot Stick zu haben. Damit kann man sowohl eine Linux-Live als auch eine Windows-PE sowie verschiedene Diagnose Tools booten. Virenscanner sind vorinstalliert und können im Live-System vor dem Suchlauf aktualisiert werden, etc. pp...

Kreol

**rstuby** · 08.04.13, 20:03

Reicht dafür vielleicht auch eine disc? Ich hab nicht so viele Sticks übrig...

**kreol** · 08.04.13, 20:21

Ohne das Live-Win, aber auch tauglich: Ultimate Boot CD. Dem Link sind weiter führende Links zu entnehmen.

Das beste: Mit den Suchworten "ultimate boot stick auf cd" war er in 0.0004 sec. gefunden...

Kreol