Das deutsche Python-Forum

Ja, ich weiß ich hab wiedereinmal so eine Glanzleistung hinbekommen. Ich hab mir eine Art Fake-AV heruntergeladen, wie entfernt man das jetzt am besten? Vorher gab es nur 2 dateien die den zugriff verweigern, jetzt einige mehr, ich hab den Eintrag im Auto-Start Ordner gelöscht, das Programmverzeichnis und Registry eingträge (kann sein dass der Autostart eintrag hier noch existiert), was kann man jetzt noch machen?

Programm name: RegClean Pro
webseite: fix-all-dll.errors.com (oder so ähnlich)

Die Geschichte:
Ich suchen nach deiner dll für nmap, dann finde ich eine Seite auf englisch, ich lasse die mit Google übersetzen klicke auf den Link und lande auf der Seite, WoT zeigt grün an und ich lade die Datei herunter, dann jage ich die .exe durch den Virenscanner: OK, dann führe ich die Datei aus, wie die Installation abgeschlossen ist merke ich erst was ich da runtergeladen hab: innerhalb von 10 sek über 50 Fehler gefunden, dann schaue ich im Browser die URL an:
5(|-,3!ß3 google hat wie ein Proxy die URL verschleiert und dann zeigt WoT immer grün an,
ich kopiere die echte URL und dann: ROT.

Zum einen könntest du einfach einen richtigen Virenscanner zum entfernen nutzen, was ich an deiner Stelle durchaus bevorzugen würde oder du räumst halt alles per Hand auf. Manuell wirst du warscheinlich nie alles finden.
Was den Zugriff-Verweigert angeht, gibt es für Windows ein Tool namens "unlocker" dieses kann den Zugriff begrenzt erzwingen.

Ich habe einen Echten Viren Scanner! Ich meinte nur dass das prinzip das gleiche ist, dem User Angstmachen und zum Kauf bewegen. Aber das mit dem Programm gibt es nicht und bei CHIP kann es nur dateien Löschen.

oder ich schreibe ein Python Skript das jede Datei von gestern löscht.

@Py-Prog: Neuinstallieren ist die einzige sichere Option, die Dir noch bleibt. In Zukunft am besten vorher nachdenken und nicht einfach wahlfrei Programme aus dubiosen Quellen installieren. Wenn Du Programme wie nmap für Windows suchst, dann bitte auf der Seite des entsprechenden Projekts, die Du über Wikipedia herausbekommen kannst, wenn Du sie nicht weißt.

Neuinstallation und Nachdenken.

Dir hätte das gleiche Passieren können!!! Und nmap ist für windows es fehlt nur eine dll .

Py-Prog hat geschrieben:Dir hätte das gleiche Passieren können!!!

Mit dem auf den meisten System ausgeliefertem Modul `nachdenken` ist dies jedoch sehr unwahrscheinlich.

Py-Prog hat geschrieben:Und nmap ist für windows es fehlt nur eine dll .

lunar hat dir doch bereits Wikipedia genannt, benutze dazu die Funktionen `lesen` und `verstehen`

@Py-Prog
Wie das? Wenn man kein Windows(oder OS/2) nutzt, kann auch keine DLL fehlen

Nein, Spaß beseite, hast du denn nmap von der offiziellen Quelle gedownloaded und die Installationsbeschreibung gelesen?

Py-Prog hat geschrieben: oder ich schreibe ein Python Skript das jede Datei von gestern löscht.

Hui, das wäre aber ein dummer Virus, der das Datum seiner Installation nicht verschleiert und dazu nicht im RAM weiter existiert und sich ggf. auf die Platte zurückschreibt

@Py-Prog: Mir wäre das sicherlich nicht passiert, und ich glaube nicht, dass ich mich mit dieser Behauptung sonderlich weit aus dem Fenster lehne.

Neuinstallieren und das Backup einspielen.

Erstens ich hab WoT und zweitens hab ich die datei danach noch mit dem Virenscanner gescannt. Und ihr seit auch nicht Perfekt, wenn ihr das aber dennoch glaubt, braucht man vor euch keinen Respekt mehr zu haben.

Liffi hat geschrieben:Backup

Hab ich schon mal wo gehört,
brauch ich in den fall aber nicht weil ich eine C: und eine D: Partition hab, C: formatieren D: immer noch da.

Warum schlagt ihr eigentlich alle ein Neuinstallation vor ?
Ein simpler Virus sollte doch von jeden halbwegs guten Virenscanner erfasst und gelöscht werden können? - Auch im RAM, MBR oder anderen potentiellen Verstecken, theoretisch kann man einen Virus ja in jedem Speicher(z.B. in irgendeinen EEPROM) unterbringen, wenn der wirklich gut ist hilft noch nicht mal eine Neuinstallation des OS.

Ich hab mal bei dem Angerufen wo ich die Datenretten hab lassen. Der hat gesagt es gibt einen Haufen solcher Programme die sind keine Viren werden auch nicht gefunden, aber sie sind extrem schwer zu entfernen.

@Xynon1: Nur eine Neuinstallation garantiert, dass das Schadprogramm rückstandslos entfernt ist. Moderne Schädlinge sind keine einfachen Viren mehr, sondern komplexe, selbstmodifizierende Rootkits, die kaum ein Virenscanner zuverlässig und restlos erkennen kann.

Wie man im RAM einen Virus permanent verbergen kann, musst Du ncohmal erläutern

Xynon1 hat geschrieben:Warum schlagt ihr eigentlich alle ein Neuinstallation vor ?

Dauert vielleicht eine halbe Stunde + Backup einspielen und ist die sicherste und wahrscheinlich auch einfachste Lösung.

@lunar
Das habe ich nicht behauptet* - hattest du letztens nicht erst jemandem Vorgeworfen die Posts ordentlich zu lesen? - egal.

Ich sagte das Viren theoretisch sich in jedem Speicher aufhalten können. Bei flüchtigem Speicher hält dieser Zustand natürlich nur solange wie auch Spannung anliegt. Aber ein EEPROM - wie z.B. die meisten BIOSe sind elektronisch beschreibbar, also könnte er sich dort einnisten. Da wäre also nicht nur OS-Neuinstallation fällig. Ich bin jetzt kein Hardware-Spezialist, aber es gibt sicher auch noch andere beschreibbare nicht-flüchtige Speicher im Computer, oder? Jeder davon müsste gelöscht werden.
Tatsache ist doch aber das es kaum Viren gibt, die tatsächlich so clever sind und eine Neuinstallation nicht unbedingt in Frage kommen muss.

Und wenn man schon neuinstalliert sollte man zumindest die Festplatte einmal low-level formatieren, da bei der normalen Formation ja die Daten darauf erhalten beliben und nur die Partitionstabelle gelöscht wird, aber das wisst ihr ja sicher.

@DasIch
und dies kann je nach Fesplattegröße ewtas länger dauern als nur eine Stunde.


*Aber ich glaube auf dem SED-Chip der RAMs konnten sich auch Viren aufhalten.

@lunar: haha, ja, bin auch schon gespannt auf die ersten Fake-AVs die es für Linux gibt. Bitte mit anständigen Paketen für Debian/Ubuntu/Arch und EBuilds für Gentoo. Bisher muss man sich ja leider mit Wine behelfen und selbst dann ist nicht sichergestellt, dass sie gut funktionieren.

Xynon1 hat geschrieben:Und wenn man schon neuinstalliert sollte man zumindest die Festplatte einmal low-level formatieren, da bei der normalen Formation ja die Daten darauf erhalten beliben und nur die Partitionstabelle gelöscht wird, aber das wisst ihr ja sicher.

Öhm. Das was du low-level Formattierung nennst heißt nicht so denn low-level Formattierung ist was ganz anderes. Was du meinst ist eher vollständige Formattierung, zumindest nennt Windows das so bei FAT und NTFS. Die e2fsprogs können sowas gar nicht erst (gut, man könnte sagen delayed allocation, aber das sind nun feinheiten). Wie auch immer, auch das ist nicht notwendig. Eine einfache "Schnellformatierung" reicht. Viren sind auf der Platte ja nur ein Problem wenn sie lesbar sind. Wenn sie als Datenmüss auf der Festplatte ungelöscht rumliegen ist das ja auch ziemlich egal.

Öhm, ja aber (wieder) theoretisch könnte ein Schadprogramm bestimmte Indizies der befallenen Sektoren auf der Festplatte in irgendeinem Speicher unterbringen, so das sie als reine Positionen auf der Festplatte zu bestimmen sind. Diese könnten danach wieder Nutzbar gemacht werden und die Positionsdaten würden von keinem Virenscanner als Gefahr eingestuft werden, da sie mit der eigentlichen Schadsoftware nichts zutun haben. So könnte man Daten auslagern falls nicht das komplette Programm in einen der kleineren Speicher passt.
^
---- Ist natürlich völliger Blödsinn, solche Viren gibt/gab es noch nicht, aber man kann ja nie Wissen, wenn man sowieso schon alles neuinstallieren muss (und ich hoffe, ich habe nicht irgendjemand auf eine dumme Idee gebracht)

Kleine Ergenzung, falls das mit den EEPROMs zu abenteuerlich klingt, bei peripheren Geräten klappt das auf jedenfall z.B. beim Drucker, Scanner oder Switches gab es das alles schon.