4. Was tun bei unterschiedlichen Virennamen und unterschiedlichen manuellen Anleitungen zum Entfernen des Virus?

Was tun bei unterschiedlichen Virennamen und unterschiedlichen manuellen Anleitungen zum Entfernen des Virus?

  • ?

    Schadcode schrieb:

    dot schrieb:

    Mein Tip: Infizierte Systeme setzt man am besten direkt neu auf und infizierte Dateien löscht man am besten so schnell wie nur irgendwie möglich...

    Klar, ist aber nicht das Thema hier.
    Einfach mal Thread lesen, dann weißt du worum's geht. 😃

    du willst einfach nur n bisschen rumfrickeln, darum geht es.
    stimmts oder hab ich recht?

    0
  • V

    Schadcode schrieb:

    Wäre es der gleiche Virus, dann müßten doch beide Anleitungen die gleichen Registrieeinträge aufzeigen.

    Ist es ja nicht.

    Logischerweise bauen Virenbauer ihre Viren so, daß es NICHT genau eine Exe-Datei gibt, die den Virus darstellt und man den mit der eindeutigen MD5-Summe der Exe-Datei sicher identifizieren könnte. Das war vor 30 Jahren. Damals hat die Virus-Exe einfach sich selbst über eine andere Exe kopiert, und wenn der Benutzer die andere aufrufen wollte, hat er dadurch aus Versehen die Virus-Exe aufgerufen, die hat eine weitere Exe infiziert und sich beendet. Der Benutzer hat sich gewundert. Komisch. MS-Word geht nicht mehr. Er hat aber noch Monate weiter mit dem Rechner gearbeitet, bis irgendwann eher gar nichts mehr ging. Und die Monate lang hat er noch fleißig auf Disketten den Virus verbreitet, wie ihm möglich war.

    Dann hatten langsam die Benutzer kapiert: Wenn auch nur ein einziges wichtiges Programm weg ist, könnte es an einem Virus liegen. Dann wird jemand aus dem Verwandtenkreis geholt, der Viren suchen kann. Die Virenprogrammierer rüsteten nach! Die haben die gute exe nur verschoben, haben sich selber hingelegt und bei Aufruf (wie immer) eine weitere exe infiziert (ausgetauscht und verschoben) und dann die verschobene aufgerufen. Dann gab es Virenscanner, die haben sich zu jeder Exe-Datei auf dem System die Größe gemerkt und beim nächsten Aufruf verglichen. Größenänderung => Virus!

    Die nächsten Viren haben die infizierte exe in der Größe gelassen! Haben nur ihren Code drübergeschrieben, reingeschrieben. Das war lange lange gut.

    Noch sind wie bei DOS 6

    Hat gereicht, daß MS selber zum Beispiel infizierte Windows-Disketten verkauft hat.

    Einige interessante und Trarige Entwicklungen zu dieser Zeit lasse ich mal aus.

    Also der Virus muss die infizierte Exe-Datei ändern und doch volle Funktionalität erhalten, damit der Benutzer nicht misstrausch wird. Dazu fügt er ein Stück Code ein, wo er auf eine andere versteckte Exe weiterspringt.

    Diesen Weiterspringcode kann man erkennen! Er ist ja immer gleich, bis auf den Dateinamen, wohin gesprungen wird. Es werden Virenscanner verkauft, die auf so Code überprüfen.

    Und dann geschah es!
    Retroviren, die schalten einfach das Virenschutzprogramm ab.
    Polymorphe Viren, die schreiben jedesmal leicht anderen Code.
    Stealth-Viren, die hauen einen Treiber unters Betriebssystem, der sie selber versteckt.

    Insbesondere die polymorphe Viren sind eine Pest, was die Virenerkennung angeht. Der Kumpel kann ja, wenn er schlau ist, voll komplett anderen Assemblercode mit de, gleichen Zweck bauen jedesmal. Das Virenschutzprogramm kann kaum alle Kombinationen speichern. Auch kaum alle finden. Muss sich auf Heuristiken verlassen. Supi schlaue Leute von den Virenschutzfirmen stellen Regeln auf, woran man diesen Virus im Exe-Code höchst wahrscheinlich meistens erkennt. Und sie sind unglaublich gut darin, keine false negatives zu machen und kaum false positives.

    Naja, so mancher Scanner hat mich schon schlimm geärgert, nur weil ich mal GetAsyncKeystate oder so in einer eigenen Anwendung einbauen wollte. Gut, als Entwickler kann ich es auf meinem Rechner ausmachen. Aber in Kleinserie das an die Kunden zu bringen, schon ärgerlich. Das sind dann die "Heuristiken", die man beim Virenscanner einschalten kann. Wer GetAsyncKeystate benutzt, ist ein Keylogger oder steht auf der Whitelist.

    Im Zuge, konkrete Viren zu erkennen, die aber jedesmal in der exe doch anders aussehen, müssen die Virenerkenner leider Kompromisse eingehen. Egal, wie sie ihren Assemblercode jedesmal umschreiben, sie werden doch bestimmte kritische Win-API-Funktionen aufrufen, bestimmte Registry-Keys ändern, bestimmte Thread-Flags abfragen, damit kriegt man sie, und erkennt sie automatisiert als Virus, naja, recht gut halt. Der andere Virus benutzt aber auch diese Techniken alle, um zum Beispiel Admin-Rechte zu kriegen, aber setzt als Keimling sich wo ganz anders ab. Supi supi supi, daß beide erkannt werden als Virus, weil sie sich so schäbig die Admin-Rechte ergaunern.
    Nu kann aber nicht noch verlangt werden, dass der Virenscanner die konkreten Viren immer unterscheiden kann. Das zu verlangen, würde dazu führen, dass viel weniger Viren überhaupt erkannt werden würden.

    Also Du hast stets damit zu leben, daß positives korrkete positives sind, aber nicht genau erkannt werden kann, welcher Virus das genau war. Dazu schreiben die Virenscannerseiten doch genau, was der Virus macht, den sie unter Verdacht haben.

    Bei der einen Anleitung wird z.b. gesagt, das der Virus einen svghost.exe Eintrag im Pfad xy der Registre anlegt und bei der anderen Anleitung wird gesagt, das der Virus einen Eintrag mit Namen XTray.exe irgendwo in der Registry anlegt.

    Daran erkennst Du, welcher genau es ist.

    Aber aus Erfahrung sage ich mal, die Seiten sagen 30%, was wirklich passierte. Die finden nur die alten und die Großen. Ich hatte im letzten Jahr etliche Verwandte und Freunde mit dem "Bundestrojaner"-Virus. Der Benutzer bekam einen Login-Screen, wo er 100€ oder so zahlen musst, um seinen Rechner wiederzubekommen. Einer davon wurde vorher von Avira gemeldet, Avira und der Virus zankten sich kurz, dann war Avira aus. Anfange benutze ich noch Offline-Virenscanner. Kein einziger der Viren entsprach genau dem, den der Virenscanner gemeldte hatte.

    Später machte ich nur noch mit einer Boot-CD den Zugriff auf den Taskmanager auf und löschte ein paar dubiose Autostart-Dinge aus der Registry. Wenn nach dem Reboot der Taskmanager wieder geht, ist der Virus (zwar noch irgendwo auf der Platte) inaktiv.

    0
  • S

    Ich frage mich allerdings, was das ganze Tohuwabohu mit Viren eigentlich soll.

    Ich hatte in den letzten 4-5 Jahren (anders gesagt, seit ich einen eigenen PC habe) nie einen Virus. Wie bekommt man die Dinger eigentlich? Ich höre öfters von Leuten, die auch Windows wieder neu aufspielen müssen, weil der Virus ihnen den PC zerschossen hat (Bluescreen und so), dabei passiert mir so etwas buchstäblich nie.

    0
  • ?

    Sone schrieb:

    Ich frage mich allerdings, was das ganze Tohuwabohu mit Viren eigentlich soll.

    Ich hatte in den letzten 4-5 Jahren (anders gesagt, seit ich einen eigenen PC habe) nie einen Virus. Wie bekommt man die Dinger eigentlich? Ich höre öfters von Leuten, die auch Windows wieder neu aufspielen müssen, weil der Virus ihnen den PC zerschossen hat (Bluescreen und so), dabei passiert mir so etwas buchstäblich nie.

    Das geht heutzutage ganz einfach. Es reicht im Internet zu surfen, oder z.B. sich ein Video auf youtube anzugucken. Die Viren verbreiten sich über Sicherheitslücken im Brower oder Flash-Player. Und wer guckt schon jeden Tag, ob es da ein Update gibt?

    Wenn du keine Viren hast surfst du entweder immer nur auf den gleichen, vertrauenswürdigen Seiten und recherschierst nie etwas im Netz. Oder du hast es noch nicht gemerkt, dass du viren hast ;-). Ein guter Virus tötet seinen Wirt nicht.

    0
  • S

    Ein guter Virus tötet seinen Wirt nicht.

    Das ist mir durchaus klar. Aber Keylogger und Spione werden vom Antivirenprogramm aufgespürt... in den meisten Fällen.

    Und wer guckt schon jeden Tag, ob es da ein Update gibt?

    Chrome macht silent updates. Dazu gehört auch sein (Pepper-based) Flash Player. Das heißt, Exploits dürften wohl weniger eine Ursache bei mir sein.

    Dazu downloade ich nie unbekannte PEs von nicht vertrauenswürdigen Seiten. Nur halbwegs bekannte Softwares von ihren Websites (oder von Chip).

    Wenn du keine Viren hast surfst du entweder immer nur auf den gleichen, vertrauenswürdigen Seiten und recherschierst nie etwas im Netz.

    Ich bin auch schon oft auf nicht vertrauenswürdigen Seiten gewesen.

    Das sind dann die "Heuristiken", die man beim Virenscanner einschalten kann. Wer GetAsyncKeystate benutzt, ist ein Keylogger oder steht auf der Whitelist.

    Jup, genauso war es bei mir auch.

    0
  • V

    Sone schrieb:

    Ich hatte in den letzten 4-5 Jahren (anders gesagt, seit ich einen eigenen PC habe) nie einen Virus. Wie bekommt man die Dinger eigentlich?

    Am Wichtigsten: Benutze ein Win-XP bei dem das automatische Update abgeschaltet ist, weil mam es ohne Seiriennummer geklauft hat oder weil man Angst vor dem Bundestrojaner hat.
    Auch sehr gut: Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.
    Und zuguterletzt: Öffne jede wichtige Mail, die vergessene Rechnung, die Mahnung, die Abmahnung, die Virenschutzwarnung, alles halt.

    An die Sicherheitslückenhypothese vom Inselbewohner glaube ich hingegen nicht. Sonst müßte es mich regelmäßig erwichen, tut es aber nicht. Kein Virenscanner installiert. Ja, ist mir klar, er behauptet jetzt, ich hätte Viren. Da gehts aber ins Esoterische.

    0
  • S

    Öffne jede wichtige Mail, die vergessene Rechnung, die Mahnung, die Abmahnung, die Virenschutzwarnung, alles halt.

    Bei mir kommt sowas praktisch wöchentlich vor. (Damit beziehe ich mich auf die Spam-Mails)

    Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.

    Das ist tatsächlich der Punkt, an dem ich mich outen muss. Allerdings habe ich Comodo installiert, daher relativiert sich das.

    0
  • V

    Sone schrieb:

    Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.

    Das ist tatsächlich der Punkt, an dem ich mich outen muss. Allerdings habe ich Comodo installiert, daher relativiert sich das.

    Das verhindert aber nur, daß Deine Viren/Würmer/Trojaner andere Rechner anstecken, oder?

    0
  • S

    volkard schrieb:

    Sone schrieb:

    Lege keinen eingeschränkten Benutzer für die Tägliche Arbeit an, sondern mache alles als Admin.

    Das ist tatsächlich der Punkt, an dem ich mich outen muss. Allerdings habe ich Comodo installiert, daher relativiert sich das.

    Das verhindert aber nur, daß Deine Viren/Würmer/Trojaner andere Rechner anstecken, oder?

    Moment mal, wenn Comodo einen Virus bemerkt, dann tut er das doch sicher, bevor dieser signifikanten Schaden anrichten kann?

    Auf Linux habe ich kein Antiviren-Programm, bin aber auch immer als normaler User angemeldet (in der Wheels-Gruppe)...

    0
  • V

    Sone schrieb:

    Moment mal, wenn Comodo einen Virus bemerkt, dann tut er das doch sicher, bevor dieser signifikanten Schaden anrichten kann?

    Stimmt. Hatte irgendwie in erinnerung, comodo sei nur eine Firewall.
    Ist aber ein echter Virenschutzt.
    http://www.av-test.org/tests/privatanwender/windows-8/janfeb-2013/

    0
Anmelden zum Antworten