Alles Formatieren? Oder nur eine Partition?

[SNOWMAN]

Hi,

ha mal ne Frage, und zwar:

Wenn ich auf einer meiner Partitionen einen Trojaner finde, reicht es dann, nur diese Partition zu formatieren, oder nur den Trojaner löschen und Windowspartition formatieren, oder alles formatieren?

danke

[Whatever]

Man könnte ja auch erstmal den Virenscanner anwerfen oder das Teil per Hand löschen

[BOT-IT]

Auf welcher Partition hast du denn den Trojaner denn gefunden, und vor allem wie?

Normalerweise sollte ein sachgerechtes entfernen ausreichen.

Kleiner Tip: normalerweise laden Trojaner im Betrieb einen Haufen andere Malware nach, also ist wahrscheinlich noch anderes Zeug drauf, wenn der Trojaner aktiviert wurde.

Nach der Entfernung natürlich das Loch, durch den er ins System gekommen ist schließen (Patches, Firewall, nicht mehr wie wild auf jedes MailAttachment doppelklicken)

[SNOWMAN]

also ich hab folgende Partitionen:

C:\ Programme

D:\ Datenablage

E:\ Windows

auf D:\ hab ich mit BitDefender nen trojaner gefunden, BitDefender hat ihn dann in die Quarantaine und die hab ich dann gelöscht.

Das er aktiviert wurde denk ich schon recht stark, da er in einer Install.exe gefunden wurde, welche ich auch ausgeführt hab, muss ja irgendwie ein Programm installieren

Die Datenquelle dieser Install.exe behauptet natürlich, das ich die Datei sauber bekommen habe, was ich damals eigentlich auch hab O_o

Also denk ich, als ich die install.exe damals ausgeführt habe, dass der trojaner da noch nicht drin war, denke ich (damals hatte ich die Trialversion von ZoneAlarm Pro up2date naütrlich).

Als weiter Frage:

Auf D:\ sind viele wichtige Daten, wenn ich nun doch besser die ganze Platte formatieren sollte, kann ich dann zB erst C:\ formatieren und dann alle wichtigen Daten von D: nach C: und dann erst D: formatieren, oder besteht da die gefahr, das ich troz Scan der Files nen Virus/Trojaner/Wurm/was uach immer mit schleife?

[Webbi1305]

hol dir einen ordentlichen virenscanner (z.B. stinger) zum virencheck

[BOT-IT]

Von welchem Programm war denn die Install.exe?

Die Daten zu verschieben und danach die leere Partition zu formatieren bringt gar nix, außer dass du den Virenträger von einer Partition in die andere geschoben hast. Lass alle Dateien, die mit einem Virus/Trojaner/Wurm infiziert sind und es sollte erst mal gut sein. Es gibt für alles brauchbare Removal Tools, so dass eine Formatierung des Systems nur Paranoian zu empfehlen ist

PS: Diese Removal Tools gibt es zum Beispiel bei MS oder Antivirenherstellern, nicht auf irgendwelchen zwielichtigen warez Seiten

[SNOWMAN]

Hmm... ja ok, klar, die infizierten Dateien werd ich natürlich nicht verschieben, jedoch sind wohl n paar mehr infiziert als ich womöglich sehe?

Ok, werd mal wegen diesem Stinger gucken und scannen.

[Whatever]

auf D:\ hab ich mit BitDefender nen trojaner gefunden, BitDefender hat ihn dann in die Quarantaine und die hab ich dann gelöscht.

Wunderbar, damit dürfte die Sache in 95% der Fälle gegessen sein.

Völlig unnötig zu formatieren.

Als weiter Frage:

Auf D:\ sind viele wichtige Daten, wenn ich nun doch besser die ganze Platte formatieren sollte, kann ich dann zB erst C:\ formatieren und dann alle wichtigen Daten von D: nach C: und dann erst D: formatieren, oder besteht da die gefahr, das ich troz Scan der Files nen Virus/Trojaner/Wurm/was uach immer mit schleife?

Hergott...wieso willst du formatieren??? Wenn dein Virenscanner sagt das da keine mehr ist, dann dürfte er vermutlich weg sein.

Schau nach ob irgendwlehce merkwürdigen Prozesse laufen und ob irgendwas seltsames in den Autostarteinträgen steht. Zur Sicherheit kannst du noch ein/zwei weitere Virenscanner drüber laufen lassen und wenn das alles nichts ergibt schenkt dir in Gottes Namen das formatieren.

Viren nisten sich in Dateien ein (ja, es gab mal Bootsektor-Viren, ich weiß), und wenn du die Dateien kopierst kopiert du logischerweise auch den Virus mit. Schon deswegen verstehe ich nicht, warum du unbedingt formatieren willst? Wenn du eine Ameise in der Küche findest, reißt du ja auch nicht den Fußboden raus (wohl gemerkt nachdem du die Ameise schon zertreten hast!).

Manchmal habe ich wirklich meine zweifel an der Fachlichen Kompetenz einiger User hier. Wenn ich mir überlege das die wohlmögliche für kritische Systeme verantwortlich sind...

[SNOWMAN]

*räusper*

mir ist sehrwohl klar, das es keinen sinn macht, infizierte dateien auf eine nadere partition zu vershcieben, die ursprungspartition zu formatieren und die Daten zurück zu schieben.

Ich bin davon ausgegangen dass das im allg. klar sein sollte und ich eben nur "saubere" Daten verschieb.

Aber wer garantiert mir, das ein, zwei oder zehn scanner auch wirklich den schrott finden?

Außerdem bin ich kein Hardwarespezialist und schon garnicht ein Malware-Experte, tut mir wirklich leid das ich kein Allwissender bin und Fragen hab und mich in bestimmten Themen nunmal nicht auskenne.

Aber egal, nichts für ungut, bleiben wir lieber mal beim thema, sonst kommt n mod und verteilt haue

[Whatever]

*räusper*

mir ist sehrwohl klar, das es keinen sinn macht, infizierte dateien auf eine nadere partition zu vershcieben, die ursprungspartition zu formatieren und die Daten zurück zu schieben.

Ich bin davon ausgegangen dass das im allg. klar sein sollte und ich eben nur "saubere" Daten verschieb.

Und die erkennst du woran, wenn du selbst mehreren Virenscannern nicht traust?

Aber wer garantiert mir, das ein, zwei oder zehn scanner auch wirklich den schrott finden?

Niemand.

Aber: Wer garantiert mir das hier nicht gerade eine Virus mein geschreibsel mitloggt? Niemand!

Aber ich gehe einfach davon aus das mein System sauber ist, da mein Virenscanner nichts findet und auch die Firewall am Proxy keine Aktivitäten aufzeigt die sowas vermuten lassen.

Das ganze ist eigentlich weniger eine technische Sache sondern eher eine theologische: Ist ein System nur Virenfrei, wenn die Virenfreiheit eindeutig bewiesen wurde (nur wie?!), oder ist es Virenfrei solange es nichts Virenbefallen ist? Das ist wie mit Gott. Beweisen das es ihn gibt, kann man nicht, aber es gibt auch keinen klaren Gegenbeweis.

Mach doch einfach folgendes: Häng ne Firewall zwischen dich und das Netz. Wenn ein Trojaner auf deinem System aktiv ist, wird er irgendwann nach draussen wollen und dann siehst du es.

[Thanks-and-Goodbye]

Einen theologischen Unterbereich haben wir hier nicht, mit Hardware hat das ganze hier nur am Rande zu tun, ihr seid deutlich besser drüben bei hades in der Security aufgehoben.

*Thread rüberschubs*

[volker81]

Lass Dir mal von HiJackthis eine Logfile erstellen und poste die mal hier. Wer weiß was in denen Autostarteinträgen noch alles zu finden ist.

[hades]

Im Privatbereich mag es vielleicht funktionieren, ein befallenes System nur zu saeubern und dann mit diesem System weiterzuarbeiten.

Aber als Unternehmen hast Du gegenueber Deinem Kunden ein grosses Problem, wenn sich ein einmal befallenes System nach Deiner Saeuberungsaktion wieder als Virenschleuder erweist.

Du stehst gegenueber Deinem Kunden in der Bringschuld. Du musst beweisen koennen, dass das System virenfrei an den Kunden zurueckgegeben wurde. Und das kannst Du nur, wenn Du vom Original-Installationsdatentraeger frisch installierst.

Denn ein Virenscanner ist nur so gut wie seine Erkennungsmechanismen und es gibt Wege, auch tagesaktuelle Virenscanner zu umgehen und keinen Virenalarm auszuloesen.

[volker81]

Wo ist den das Problem die aktuellsten Updates auf den Rechner zu spielen, irgendnen Virenscanner draufzumachen und Ad-Aware drüber laufen zu lassen? Damit bekommst Du schon 95% aller Viren!

[m3rry]

Ich habe die Meisten Antworten hier nur überflogen, glaube aber das dies noch nicht zur Sprache gebracht wurde:

Wenn BitDefender den Trojaner identifiziert und gelöscht hat, wirst du im Logfile den Namen des Trojaners finden.

Dann kannst du dir bei den großen Virenscanner Herstellern dazu eine genaue Information einholen, erstens wie das Befallsrisiko einzustufen ist, sprich was macht der Trojaner, zweitens welche Dateien er anlegt und zuletzt wie man ihn sicher vom System entfernt.

Schau doch einfach mal mit dem Namen des Trojaners im Gepack hier rein:

infosite mcafee

[SNOWMAN]

es war ein "trojan.small.?" args... den buchstaben hab ich tollerweiße vergessen -.-

aber ichweiß, das ich in google und auf ne anti-viren-hersteller seite nichts zu genau diesen gefunden hab, dafür ein paar andere version des trojan.small

ach... mein System ist schowieder so elendig langsam...

ich glaub, ich mach n low-level-format und fang an, mein system noch besser zu schützen.

[Whatever]

Klar, Lowlevel formatierung...geile Idee.

Huch, da krabbelt eine Ameise durch meine Küche, dann werd ich mal die Stadt mir einem Termonuklearen Sprengsatz reinigen

Aber mach was du willst, is ja nicht meine Zeit die du verschwendest.

[Georg_K]

Moin,

@Whatever,ich finde du solltest deine Worte mal ein wenig zügeln. Ich denke nicht das Snowman oder sonst irgend jemand dir Rechenschaft schuldig ist,und dementsprechend hast du auch nicht das Recht dich hier drüber zu bepieseln.

2. Ich kann ihn durchaus verstehen,wenn er das System neu aufsetzen möchte, je nach dem was mit de PC gemacht wird würde ich dies auch tun.

Wir sind alle alt genug,um zu wissen,dass wir hier nicht im Kindergarten sind, dieses Wissen sollte dann auch eingesetzt werden.

@Snowman...

Guck dir wirklich genau an was für ein Trojaner das war,wenn er wirklich ein ganz "kleiner/harmloser" war,dann lass dein System wie es ist,versuch es nur ein wenig zu entmüllen.

Wenn es wirklich ein dicker Trojaner gewesen sein sollte.Einfach formatieren sollte auch reichen.Habe noch nie gehört,dass nach einer normalen Formatierung ein Trojaner aus dem "Jenseits" zurück gekehrt ist, um Rache an dem Benutzer,der in formatiert hat zu nehmen .

So far...

Gruß Georg

[Whatever]

Moin,

@Whatever,ich finde du solltest deine Worte mal ein wenig zügeln. Ich denke nicht das Snowman oder sonst irgend jemand dir Rechenschaft schuldig ist,und dementsprechend hast du auch nicht das Recht dich hier drüber zu bepieseln.

Schön für dich, vielleicht findest du ja noch ein Mittel gegen Krebs.

Und natürlich habe ich das Recht dazu. Das kannst du sogar nachlesen GG Artikel 5, Absatz 1.

Stellen wir mal die Tatsachen fest:

Er kommt in ein öffentlich zugängliches Forum und jammert über einen gelöschten Trojaner. Dann kommt er auf die großartig witzlose Idee ein Lowlevel formatierung zu machen, damit der böse, böse Virus nieee wieder kommt. Und dann kommt der Martin daher und tut die Meinung kund, dass das seiner Meinung nach großer Schwachsinn ist.

Oh ja, böser Martin, wie kann er nur eine eigene Meinung habe?! :eek:

2. Ich kann ihn durchaus verstehen,wenn er das System neu aufsetzen möchte, je nach dem was mit de PC gemacht wird würde ich dies auch tun

Es ist übrigens sein Privatrechner...

---------

Ich glaube in den Köpfen der meisten Spukt beim Thema Virus eine Vorstellung gemäß einiger Hollywood-Autoren rum: Mächtige, von Genies programmierte Softwarestücke, die sich raffiniert jedem versuch sie zu entfernen wiedersetzen und sich nur durch noch klügere Genies entfernen lassen.

99% der kursirenden Viren sind schlecht programmierte Frickelsoftware, die schon über den ersten Stein stolpern. Und das ist gut für die Antivirenhersteller.

[volker81]

Hast Du Dir meine Beiträge auf der vorigen Seite durchgelesen?

HiJackthis?

Updates?

Scanner?

Ad-Aware?

[hades]

Koennten wir die persoenlichen Angriffe bleiben lassen?

Danke

[s!mplY]

ach... mein System ist schowieder so elendig langsam...

ich glaub, ich mach n low-level-format und fang an, mein system noch besser zu schützen.

Mal was ganz anderes: Muss es denn unbedingt an nem Virus/Trojaner, etc. liegen, daß Deine Kiste so ablahmt? Wenn ich es nicht übersehen, habe, dann hast Du bis jetzt noch keine genaueren Angaben gemacht, wie OS, WIE Du Dir den Trojaner eingefangen hast (install.exe, ja, aber welche? Gewollt oder nicht?)

Haste evtl. WinME, nen P2 mit 32 MB RAM?! <--- übertrieben, sorry, aber PC Prob muss nicht unbedingt an EINEM (gefundenen) Trojaner liegen

Ausserdem möchte ich Dich auch nochmal an Volker81 erinnern:

"HiJackthis?

Updates?

Scanner?

Ad-Aware?"

Und folgendes ist jetzt nicht böse oder persönlich gemeint:

ICH habe den Eindruck, als ob Du nicht unbedingt so versiert in dieser Sache bist, was auch vollkommen ok ist; weiterhin habe ich so den Eindruck, daß Du Dir ne ComputerBILD o.ä. holst und alles glaubst, dann hört man paar schöne Worte wie "Lowlevel-Formatierung", etc. und muss das irgendwie einbringen...

Was ich damit sagen will ist einfach: KEINER sollte (und die meisten tuen es auch nicht) irgendwem einen Vorwurf machen, daß man sich nicht auskennt auf einem Gebiet, dafür ist das Forum ja IMHO da, um zu helfen und geholfen zu bekommen, ABER man sollte dann auch die Ratschläge der Leute beherzigen und Vorschlägen evtl. folgen, damit einem weitergeholfen werden kann. Wenn Du ja eh schon weisst, was Du machen willst und mit so "Fremdwörtern für Angeber" wie "Lowlevel-Formatierung" um Dich wirfst, dann frag ich mich, warum Du hier Hilfe erwartest, wenn Du eh nicht drauf eingehst?! Den Leuten, die Dir helfen wollen, ist es egal, ob Du keinerlei Ahnung hast und so, aber Dir und den Usern ist nicht geholfen, wenn Du versuchst klug daherzukommen und am End weiss keiner wo genau das Prob ist

P.S. Sorry für den laaaangen Post und wie gesagt, weder böse noch persönlich gemeint!

[Jaraz]

Moin,

bevor ihr hier rumzickt und/oder jemanden als Computerbild Leser beleidigt könnten ihr wenigstens darauf hinweisen warum eine Low-Level-Formatierung unnötig ist.

Low-Level-Formatierung – die physikalische Einteilung eines Speichermediums in Spuren und Sektoren durch die Hardware (Controller).

Eine Low-Level-Formatierung macht also nur Sinn, wenn du physikalisch defekte Sektoren auf deiner Platte hast und diese "ausblenden" willst.

Kann man im privat Bereich machen, wenn es nur ein paar Sektoren sind.

Wer sowas mit Festplatten mit Geschäftsdaten macht, spart bei den heutigen Platten Preisen imho am falschen Ende, da defekte Sektoren meistens einen Grund haben und im Laufe der Zeit dann immer mehr dazu kommen.

Eine Platte die hier rumzickt wird ausgetauscht und eingeschickt und nicht Low-Level-Formatiert. Bei bis zu 3-5 Jahren Grantie auch nicht wirklich das Problem.

Gruß Jaraz

[SNOWMAN]

Der PC ist Windows XP Home SP2 und geupdatet

AdAware bringt nur ein paar wenige TrackerCookies

Scan mach ich wenn ich daheim und zeit hab

Genauso HijackThis

... wenn ich daheim bin und zeit hab ... das wird vorraussichtlich am SA sein.

[SNOWMAN]

Na, Glück, kam beim Arzt gleich dran und ging recht schnell, somit hab ich jetzt noch n paar Minuten Zeit bevor ich pennen geh...

HijackThis durchgejagt, hat laut dem OnlineAnalyser nix gefunden

Logfile of HijackThis v1.99.1

Scan saved at 22:36:49, on 09.02.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

E:\WINDOWS\System32\smss.exe

E:\WINDOWS\system32\winlogon.exe

E:\WINDOWS\system32\services.exe

E:\WINDOWS\system32\lsass.exe

E:\WINDOWS\system32\svchost.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\Explorer.EXE

E:\WINDOWS\system32\spoolsv.exe

E:\WINDOWS\system32\RUNDLL32.EXE

E:\WINDOWS\CTHELPER.EXE

E:\WINDOWS\Dit.exe

C:\Programms\ZoneAlarm\zlclient.exe

E:\WINDOWS\System32\nvsvc32.exe

E:\WINDOWS\System32\svchost.exe

E:\WINDOWS\system32\ZoneLabs\vsmon.exe

E:\WINDOWS\system32\MsPMSPSv.exe

E:\WINDOWS\system32\ZoneLabs\isafe.exe

C:\PROGRA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Programms\Winamp\winamp.exe

C:\Programms\ICQLite\ICQLite.exe

C:\Programms\Mozilla Firefox\firefox.exe

D:\Apps\Stinger\stng260.exe

E:\Dokumente und Einstellungen\S.N.O.W.M.A.N.-X\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programms\Adobe Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [Dit] Dit.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programms\ZoneAlarm\zlclient.exe

O4 - HKCU\..\RunOnce: [iCQ Lite] C:\Programms\ICQLite\ICQLite.exe -trayboot

O4 - Startup: Adobe Gamma.lnk = E:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programms\Adobe Reader\Reader\reader_sl.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programms\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programms\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programms\ICQLite\ICQLite.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135770720406

O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0F1D8B-4E2C-4D68-AA9D-D75B7B55F90A}: NameServer = 62.27.27.62 195.247.247.195

O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - E:\WINDOWS\system32\ZoneLabs\isafe.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe

Stinger fand nichts

Ad-Aware fand:

32 MRU Lists (wayne)

3 WhenU (stinkende adware laut googlefunde)

(alle von adaware entfernt)