sasser & co

Dieses Thema im Forum "Sicherheit" wurde erstellt von Maspel, 24. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Maspel

    Maspel Byte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    26
    Hallo,
    ich möchte auf einmal 4 fragen stellen, die mit

    sasser und andere würmer zu tun haben.
    Es ist ein bisschen viel, aber diese einfache fragen

    beschäftigen nicht nur meine person sondern auch

    andere normale users.

    1) ich habe gelesen, es wäre ratsam die

    systemwiederherstellung zu aktivieren, bevor man

    manuell sasser entfernt.
    Danach nach der entfernung die

    systemwiederherstellung wieder aktivieren.
    Warum sollte man so vorgehen?
    (Es geht lediglich um wissen; selbstverstänglich

    wäre es vielleicht praktischer z. b. stinger zu

    verwenden).

    2) Ist es erforderlich sasser im abgesicherten

    modus zu entfernen oder geht es auch im normalen

    modus?
    Eigentlich habe ich eine dritte person geholfen,

    sasser im normalen modus zu entfernen:
    a) unter "prozesse" avserve.exe ( oder andere

    varianten) deaktiviert,
    b) entfernung in C:\win.log...up.exe,
    c) entfernung in C:\Windows\avserve.exe,
    d) entfernung in der Registry unter
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wind

    ows\CurrentVersion\Run
    den eintrag "avserve.exe".
    Erzielt man also auch im normalen modus daselbe

    ergebnis, oder?

    3) Warum mit einem anti-virus programm mit

    aktuellen definizionen bekommt man die meldung

    dass sasser auf dem computer ist, aber wird der

    wurm nicht von dem antivirus entfernt?
    Weil vielleicht das prozess aktiv ist? Und wenn das

    prozess deaktiviert wird, kann man mit einem

    antivirus den wurm entfernen?

    4) Kann man "Stinger" mit neuen definitionen

    updaten, oder muss man jedes mal das kleine

    programm herunterladen?


    Ich bedanke mich im voraus und wünsche mir, eine

    antwort zu erhalten.
    Die normale user wie ich, die nicht von fach sind,

    benötigen auch solche erklärungen, um die sache

    besser zu verstehen.

    Grüße
    Maspel
     
  2. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Maspel

    Gern geschehen ;)
     
  3. Maspel

    Maspel Byte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    26
    das hast du recht.
    Ich habe vorher die links übersehen, jetzt aber habe die seiten besucht.

    Danke dir

    mfg
    Maspel
     
  4. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ Maspel

    Ich bemerke das du die von mir genannten Links nicht durchgelesen oder nicht verstanden hast. ;)

    http://www.heise.de/security/artikel/39543
    http://www.computerviren-info.de/Gefunden.html
    http://www.bsi.de/av/texte/wiederher.htm
     
  5. Fehlerchen

    Fehlerchen Kbyte

    Registriert seit:
    30. Dezember 2002
    Beiträge:
    483
    ... höre einfach auf die Vorredner und setze das System neu auf ...

    --Fehlerchen--
     
  6. Maspel

    Maspel Byte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    26
    Danke für die Antworten.

    Eigentlich ist mir etwas nicht ganz klar:

    Du schreibst:

    zu1:
    Die Systemwiederherstellung sollte bei einen befallenen System immer deaktiviert werden. Das heißt wenn du das nächste Mal die Systemwiederherstellung benutzen würdest, wird Sasser und Co. wiederhergestellt und somit wieder aktiv.

    "ich habe gedacht, die Systemwiederherstellung sichert nur die Registry, win.ini und boot.ini.
    Aus diesem Grund, wenn ich einen alten Punkt vor dem Befall zurückspiele sollte kein Problem sein.
    Ausserdem verstehe ich nicht wie z.b. avserve.exe in C:\Windows wieder vorhanden sein kann, wenn ich einen alten Wiederherstellungspunkt zurückspiele."

    Zu 2 schreibst du:
    Nur im abgesicherten Modus entfernen, weil Windows nur die absolut notwendigsten Treiber lädt und der Virus meist nicht aktiv werden kann.

    "frage: wenn ich zuvor unter Prozesse avserve.exe deaktiviere und in Run den eintrag lösche, wurde nicht in normalen modus auch klappen?"


    Nochmal vielen dank und grüße
    Maspel
     
  7. Gast

    Gast Guest

  8. Gast

    Gast Guest

    kurz und bündig: erspar Dir all dieses Entfernen und formatiere dein System und setze es wieder neu auf, alles rumgedoktore kannste Dir schenken und ist vergeudete Zeit.
     
  9. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo,

    zu1:
    Die Systemwiederherstellung sollte bei einen befallenen System immer deaktiviert werden. Das heißt wenn du das nächste Mal die Systemwiederherstellung benutzen würdest, wird Sasser und Co. wiederhergestellt und somit wieder aktiv.

    Zu 2:
    Nur im abgesicherten Modus entfernen, weil Windows nur die absolut notwendigsten Treiber lädt und der Virus meist nicht aktiv werden kann.

    Zu 3: Ein Virenscanner kann meistens auch nicht mit aktuellen Signaturen bei einen befallenen System sicher säubern. Zudem könnte der Virenscanner durch die Schadsoftware abgestellt werden.

    Zu 4:
    Diese Entfernungstool wie Stinger.exe und SSRCLEAN.exe müssen immer wieder runtergeladen werden, den sie besitzen meines Wissens keine Update Funktion.

    Fazit:
    Wenn ein System kompromittiert wurde, gibt es nur eine sichere Lösung und das ist das Neuaufsetzen des Systems, da es nicht mehr vertrauenswürdig ist.

    http://oschad.de/wiki/index.php/Kompromittierung
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen