Virus in Quarantäne - und was jetzt?

B

Brummelchen

Gast
>> Das "Problem" wäre

Und das ist genau jene Naivität, die ich anprangere. Es ist bereits auf der Platte gelandet
und vom IE interpretiert worden - genau das ist der springende Punkt, den ich einfach nur
betonen möchte. Der nächste Punkt ist der, dass es eben nicht sofort "entsorgt" wurde.
Und niemand ausser dem Konstrukteur von diesem Ding weiss ganz genau, was letztlich
kompromitiert wird bzw schon wurde.

Die Frage, die eben draus resultiert: Kann sich der Betroffene dieses Risiko erlauben?

- Ursache unbekannt
- Auswirkungen unbekannt
- Hinterlassenschaften unbekannt

Die Auswirkungen müssen ja nicht mal sofort ersichtlich sein, wenn ihrendwas (was
sich zu Geld machen lässt) über den IE zurückgesendet wurde, muss das nicht
zwangsweise sofort (aus)genutzt werden. Das kann erst am nächsten Tag, nächste
Woche oder nächsten Monat passieren. Jemand loggt sich (weils grad passt - Ebay)
bei Ebay mit den Daten des Betroffenen ein, kauft irgendwas teures/viel und zahlt
aber nicht. Rate mal, wer den Schaden hat? Es wäre nicht das erste Mal bei Ebay.

Du hast leicht reden, du bist ja auch nicht betroffen.
 
B

brom

Gast
Nein, du hast das "Problem" immer noch nicht erkannt. Also noch mal gaaaaanz langsam:

Was ist passiert? Der IE hat ein File in den Cache geladen. Die Heuristik (ich unterstelle einfach mal, dass dir bekannt ist, was das ist, falls nicht hilft Wikipedia) von Avira hält dieses File für eventuell gefährlich: "HEUR/HTML.Maleware". Da wäre schon mal anzusetzen gewesen.

Aber hier kommt es darauf letztendlich gar nicht an: Wäre es Malware, die sich selbst ausführt, dann wäre sie bestimmt nicht in /temporary internet files/content/IE5/. :ROFLMAO:

Außerdem hat gleich der On-Access-Virenwächter geklingelt und das pöhse Monster in den Quarantäne-Ordner verschoben.

Das war alles. A storm in a tea cup.

Der Rest deines letzten Beiträges erschöpft sich in Worthülsen. Aber egal. Mir geht es um etwas anderes, nicht um deine laienhafte Einschätzung dieses "Problems". Ich möchte bei solchen Beiträgen zu etwas mehr Sorgfalt raten. Es wäre hier besser gewesen, gleich nach den Fakten zu fragen, die sich dann ja auch herausstellten. Anschließend hätte man raten können, das Ding aus der (wahrscheinlichst unnötigen) Quarantäne zu löschen und zur Sicherheit anschließend das ruhende System zu scannen. Das alles in verständliche Worte gepackt wäre besser gewesen als diese Ansammlung mehr oder weniger geistfreier Sprüche.

Das alles wäre mir ja noch egal gewesen (ich lese auch die Beiträge zu "Firewalls" still und vergnügt), wenn da nicht dieser Hinweis auf das Kompetenz-Team gewesen wäre. Das hat mich immerhin ne Tastatur gekostet... :D

edit
So, für mich ist hier EOD. IMO geht es nicht noch verständlicher.
 
B

Brummelchen

Gast
Vorweg - das mit dem Kompetenzteam solltest du nicht so weit weg weisen,
aber das wird nicht nicht tangieren - word.
Wäre es Malware, die sich selbst ausführt, dann wäre sie bestimmt nicht in /temporary internet files/content/IE5/.
Und genau da irrst du - der IE hat es heruntergeladen - und wohl ausgeführt.
Das ist ja der Haken an der Sache - der IE interpretiert das und entscheidet
(bei den meisten) Usern nach Inhalt. Selbst wenn es erkannt wurde, könnte das
eben schon zu spät gewesen sein. Mir ist es auch eher wurscht, wie du die Sache
beurteilst - es ist genau jener Nachteil, den alle Browser haben, die einen mehr,
die anderen weniger - leider beim IE mehr. Daher würde ich das Problem nicht
verharmlosen so wie du es abtust.

In Sachen Firewall gäbe es schon das einer oder andere Zugeständnis, wobei das
eher Fall anhängig sein dürfte, sowas zu beurteilen. Aber das Thema wird woanders
durchgekaut. Und wenn es dich belustigt - lAchen ist gesund.
 

bigi60

kennt sich schon aus
Oh mein Gott, was habe ich da bloß angezettelt?!
Leider weiß ich als nicht bewanderte Anwenderung noch immer nicht, was ich mit dem Ding jetzt machen soll? Die meisten Begriffe und Ausführungen sind für mich böhmische Wälder. Es gibt halt auch User die sich nur sehr begrenzt auskennen und ihre Probleme nicht mit Fachbegriffen, sondern nur auf einfache Art schildern können. Manchmal hängt das auch mit dem Alter (63) zusammen.
Ich frag jetzt halt nochmal auf meine einfache Art,soll ich das Ding aus der Quarantäne löschen? Einfach abwarten, ob es was angerichtet hat? Bei E-Bay mein Passwort ändern? Die Festplatte formatieren und alles neu installieren?
Bitte um Entschuldigung, dass ich mit meiner Frage so was angezettelt habe.
Trotzdem allen ein schönes Wochenende. Für eine einfache Antwort (auch für Dumme - und was den PC angeht zähle ich mich durchaus dazu) wäre ich Euch dankbar.
LG Bigi
 
B

brom

Gast
Du hast nichts angezettelt. :)

Meiner Meinung nach musst du nicht alles neu machen, das Brummelchen sieht das anders. Im Kern geht es darum:

Stell dir mal vor, auf deinem Tisch liegt eine geladene Pistole. Wenn niemand die Pistole in die Hand nimmt, entsichert und abdrückt, na ja, dann liegt sie eben da und tut nichts. So meiner Meinung nach auch hier: Dein Browser hat eine vielleicht (!) gefährliche Datei in den Cache geladen. Das kann immer wieder mal vorkommen und dadurch wird sie nicht ohne weiteres ausgelöst.

Außerdem hast du ja sofort diese Datei in Quarantäne geschickt.

Hinzu kommt, dass dein Avira gar keinen Virus gefunden hat. Nur die sogenannte "Heuristik" hat angeschlagen. Das heißt, Avira hat eine Datei gefunden, die bestimmte Merkmale aufweist, die auch Viren eventuell haben könnten. Gerade Avira ist da etwas zu sehr nervös.

Das ist alles nichts besonders dramatisches. Lösche die Datei aus Quarantäne, lösche in deinem Browser die sog. "temporären Dateien" (ich sitze gerade vor einem Linux-Rechner und bin zu faul, Windows anzuwerfen. Wenn du nicht weißt, wie das geht, einfach noch mal fragen) und mache meinetwegen zur Beruhigung noch einen System-Scan mit Avira.

Brummelchen sieht das alles etwas anders, er konnte mich jedoch nicht wirklich überzeugen. Falls du noch unsicher bist, frage vielleicht noch woanders nach. Das ist immer noch weniger Mühe, als meiner Meinung nach völlig unnötig alles neu zu machen.

edit
Du kannst natürlich auch die Datei z.B. hier
Jotti's Viren Scanner
oder
VirusTotal - Kostenloser online Viren- und Malwarescanner
hochladen und dort scannen lassen. Wenn du das nicht hinbekommst, einfach fragen. Diese Scanner geben dann ein Ergebnis aus, aus dem wir abschätzen können, ob die Datei wirklich gefährlich ist.
 
Zuletzt bearbeitet:

bigi60

kennt sich schon aus
Danke Brom, das war auch für mich als Laie verständlich. Nur ich finde den Ordner "Lokale Einstellungen/Temporary Internet Files nicht. Suche in "Dokumente und Einstellungen", wie in der Quelle angegeben, aber wie gesagt, den Ordner finde ich nicht.
Könntest Du mir nochmal weiter helfen?
LG Bigi
 

metalandertaler

treuer Stammgast
Hi Bigi.

Um den Ornder anzuzeigen kannst Du im Explorer in der Adresszeile dies angeben: C:/Dokumente und Einstellungen/Brigitte/Lokale Einstellungen/Temporary Internet Files/

Der Ordner wird Dir dann angezeigt.

Besten Grusz,
 
B

brom

Gast
So, ich muss mich jetzt ausklinken. Wenn diese Geschichte erledigt ist, wäre vielleicht noch zu überlegen, es mal mit einem anderen Browser zu versuchen. Der Firefox hat sich ja inzwischen rumgesprochen, aber auch Opera hat gerade unter Windows zu recht viele Freunde.
 
B

Brummelchen

Gast
>> Außerdem hast du ja sofort diese Datei in Quarantäne geschickt.

Wie oft denn noch - hat sie eben nicht.
Die Folgen hatte ich hier bereits aufgezeichnet:
https://www.supernature-forum.de/869117-post21.html

>> er konnte mich jedoch nicht wirklich überzeugen

Mag nicht nur an mir liegen, sondern auch am fehlenden oder verweigerten
Verständnis zur Thematik und Technik nebst Auswirkungen selbst.

@bigi - der Dreh und Angelpunkt an deinem Anliegen ist der, dass du es nicht sofort
in die Quarantäne gesteckt hast, sondern auf "anzeigen" bzw "anschauen". Das sollte
nochmal ausgeleuchtet werden, was das letztlich ist. Hier war Avira nur kurz im
Einsatz, jedoch arbeitet hier noch ein manueller Scanner, der sich etwas anders verhält.
denn in meinem Kopf spukt dann so eine Vision herum, dass der Virus in Einzelteile auf meinem PC verstreut ist und irgendwann mutiert
Das wäre der nächste wichtige Punkt - davon ausgegangen, dass die Malware nicht
sofort in Quarantäne gesteckt wurde, muss man vom schlechtesten Fall ausgehen:
- es wurden wichtige Daten ohne dein Einverständnis ausgelesen und versendet
- es wurden weitere Dateien ohne dein Wissen nachgeladen und ins System geschleust

Passwörter ändern wurde schon genannt, der nächste Schritt wäre eben ein neu
aufgesetztes System, weil eben unbekannt ist, was noch alles kompromitiert wurde.

Allerdings sind das nur Empfehlungen - was du davon letztlich selbst durchführst
und welches Risiko du dir leisten kannst, kannst nur du festlegen bzw bestimmen.

Tatsache ist und bleibt, dass der IE sehr anfällig für gewisse Angriffe ist und die
Erfahrung immer wieder zeigt, dass es auch mehrheitlich zu Schaden kommt.

Was ich selbst (und auch andere) für gefährlich halte, ist die Verharmlosung wie brom
sie kommuniziert. Das darf nicht unkommentiert bleiben.

Auf der anderen Seite steht die Alltagstauglichkeit des User selbst noch da, wie sicher
ist jener mit seinem System selbst. Die angefragten Daten sind für dich ausgeblendet,
aber erreichbar. Dazu müsstest du (unter Windows XP) im Explorer im Menü >Extras
> Ordneroptionen > Ansicht > [_] Geschützte Systemdateien anzeigen deaktivieren
und evtl [x] Inhalte von Systemordnern anzeigen aktivieren.
Ob dir dann gefällt, was du angezeigt bekommst, ist ein anderes Thema.
(unter Vista > Systemsteuerung > Ordneroptionen)

Die Empfehlung wurde ausgesprochen - alles andere bleibt dir überlassen. Machs gut.

PS brom - schade, dass du dich jetzt um die Verantwortung drückst, die du
oben so offen gepredigt hast. Aus der Nummer kommst du jetzt leider nicht
mehr ohne weiteres raus.
 
B

brom

Gast
@ Brummelchen
PS brom - schade, dass du dich jetzt um die Verantwortung drückst, die du oben so offen gepredigt hast. Aus der Nummer kommst du jetzt leider nicht mehr ohne weiteres raus.
Was soll denn das schon wieder? Ich habe nun mal auch noch ein reales Leben und sitze nicht den ganzen Tag vor dem PC. :rolleyes:

Deine Ausführungen bieten mal wieder die sattsam bekannten Allgemeinplätze. außerdem ignorierst du beharrlich, dass die Heuristik (!) gemeckert hat. Da liegt es doch nahe, zuerst mal das angemeckerte File zu überprüfen, bevor man von Neuaufsetzen und den Schwächen des IE faselt.

Ich möchte dir nicht zu nahe treten, aber langsam habe ich den Eindruck, dass es dir nur um Rechthaberei und nicht um diesen doch sehr banalen Fall hier geht.

So, auch jetzt "drücke" ich mich nicht, sondern gehe mit meiner Freundin zum Italiener. :D
 

oxfort

Geht bald.
Ich möchte dir nicht zu nahe treten, aber langsam habe ich den Eindruck, dass es dir nur um Rechthaberei und nicht um diesen doch sehr banalen Fall hier geht.

Wenn ich Dir hier widersprechen darf?;)

Brummelchens Aussagen passen halt, zumindest für mich! Wenn ein User mit solch einem "Problem" kommt, ist erst einmal die Boardsuche gefragt. Es gibt wirklich schon viele Themen hier.

Wenn ein User ankommt und möchte Hilfe haben, ist Brummel bestimmt einer der Letzen, der keine Hilfe anbietet. :schleim :ROFLMAO:
Ich würde aber auch JEDEM unbedarften User anraten, wenn er sein System oder auch nur wenig, was PC betrifft kennt, raten das System "platt" zu machen.
Das ist auch ein Lerneffekt, das sich jeder mit seinem System übt und auseinandersetzt.;)
 
B

Brummelchen

Gast
@brom - dein Privatleben ist hier uninteressant - da würde auch jeglicher Vergleich sinnfrei sein.

Die Antwort auf deine Frage - "So, ich muss mich jetzt ausklinken. " liest sich so, als wenn
das eben dein letztes Statement hier im Thema gewesen wäre - nicht mehr - nicht weniger.
Du kannst diesen Eindruck korrigieren.

Systemprüfung ohne Kraftakt:
http://www.avira.de/de/support/support_downloads.html
"Avira AntiVir Rescue System" (CD-Symbol) herunterladen, ISO auf CD brennen
(Image brennen), damit booten und schauen, was passiert.
Es gibt noch andere Rescue-CDs, allerdings sind die nicht tagesaktuell.
Plan B lautet immer noch "plattmachen " ;)
 
B

brom

Gast
Irgendwie dreht sich die Diskussion im Kreis. Ich versuche daher mal einen Abschluss:

Wir sind uns einig, dass ein _kompromittiertes_ System neu aufzusetzen ist.

Brummelchen meint, darüber hinaus sei auch immer dann neu aufzusetzen, wenn mal ein verdächtige Datei im Browser-Cache landet, die der Heuristik verdächtig vorkommt. Darum geht es hier:
HEUR/HTML.Maleware

Ich meine, das sei Aktionismus. Heuristik ist Fuzzy-Logik und entsprechend unscharf. Da sollte erstmal verifiziert werden, was denn überhaupt los ist. Gerade Avira hat gerne mal false positives. Dafür kann man die Datei bei Virustotal oder Jotti hochladen und mal gucken, was die anderen Scanner zu der Datei sagen. Anschließend steht eine Entscheidung nach den konkreten Umständen an.

Außerdem haben wir, ähmm, Meinungsverschiedenheiten über das Auslösen eines Virus im Browser-Cache. :D Aber das brauchen wir in diesem Thread nicht ausdiskutieren.

Schließlich bin ich der Meinung, dass man sich mit derartigen Problemen sorgfältiger als hier auseinandersetzen sollte. Hier wurde schon gleich "plattmachen" geraten, _bevor_ überhaupt klar war, was denn überhaupt los ist. Dieser Reflex erinnert ein wenig an den Pawlow'schen Hund.

Ach ja, der Link ausgerechnet auf Avira ist nicht sehr glücklich. Die TO hat ja Avira installiert. Für einen Scan von CD würde ich dann ein AV-Programm mit einer anderen Engine nehmen.
 
B

Brummelchen

Gast
Die Avira CD ist halt die aktuellste - vor allem CD - unabhängig von einem
möglicherweise kompromitiertem System.
Weitere CDs: https://www.supernature-forum.de/862244-post2.html
Neben Avira ist noch die von DrWeb aktuell:
ftp://ftp.drweb.com/pub/drweb/livecd/

Was man hätte fragen können, hatte ich bereits erwähnt:
https://www.supernature-forum.de/868658-post3.html

Und roots war der erste, der die Radikalkur gefordert hatte.
https://www.supernature-forum.de/si...-in-quarantaene-und-was-jetzt.html#post868692

Wobei ich das auch nur unterstützen kann, weil:
https://www.supernature-forum.de/si...n-quarantaene-und-was-jetzt-2.html#post869065

Dieses Restrisiko wär mir einfach zu hoch.
 
B

brom

Gast
Dieses Restrisiko wär mir einfach zu hoch.
Jo. Das ist dann eben dein Anspruch und auch noch eine Frage, womit man sich gerne die Zeit vertreiben möchte. Ich möchte mich nicht wiederholen, aber es wäre doch wohl Unsinn, ohne Rückfrage jedesmal neu aufzusetzen, nur weil die Heuristik etwas aus dem Browser-Cache zu melden hat.

Ich erinnere mich noch an einen anderen Fall in einem anderen Forum. Da meldete ein User ganz aufgeregt, Civilization sei virenverseucht. Das habe ihm der Avira-Scan gemeldet. Es stellte sich heraus, dass die Heuristik verschiedene Files von Civilization für verdächtig hielt... Nach deiner Logik müsste man neu aufsetzen, das Spiel nicht mehr installieren und die DVD verbrennen. Das Restrisiko wäre ja zu hoch...

Und roots war der erste, der die Radikalkur gefordert hatte.
Es ist völlig egal, wer zuerst "plattmachen" gerufen hat. Du hast dich jedenfalls sehr lautstark dafür eingesetzt.

Die Avira CD ist halt die aktuellste - vor allem CD - unabhängig von einem möglicherweise kompromitiertem System.
Es gibt noch mehr AV-Programme, die von CD laufen. Die Aktualität ist eine Sekundärtugend, die den Nachteil der identischen Engine nicht wettmacht. Aber das ist eh egal, da die TO mit deinem Hinweis wahrscheinlich ohnehin nichts anfangen kann. Wenn sie überhaupt noch mitliest.

edit
Habe gerade noch mal über den Thread gesehen und bekomme den Eindruck, dass dir Virustotal und Jotti nicht geläufig sind. Ich mag mich täuschen, aber darauf gehst du nicht ein. Gerade für derartige Fälle wie hier sind diese Angebote ein Segen.
 
Zuletzt bearbeitet:
B

Brummelchen

Gast
Ich hätte diese beiden und 5 weitere schon nennen können - nur bringt das nichts,
wenn die Datei in der Quarantäne liegt. Dort liest sie nämlich schon entschärft.
Man müsste sie schon wiederherstellen, wobei der Erfolg fraglich wäre.
Und dann müsste bigi sie auch noch finden bzw Zugriff erlangen, was ja auch noch
nicht möglich ist anscheinend.

Restrisiko - ich könnte es mir nicht erlauben, dass sich jemand mit meinen Ebay-Daten
einloggt und Schmuh macht. Es kann weg sein, muss aber nicht.

Und nochmal - bigi hat die Datei beim ersten mal nicht in die Quarantäne gesteckt.
Sonst wäre ja der Affentanz völlig unnötig.

Was Civ bzw ähnlcihe angeht hatte ich ja auch geschrieben, dass der Code möglicherweise
gleich ist, nur eben andere Ziele verfolgt. Meine Tools liefen auch eine ganze Weile
mit einer bestimmten Datei, bis die Signaturen es erkannten, weil es eben auch für
schädliche Anwendungen nutzbar ist. Darauf hin habe ich das geändert bzw nutze
was anderes stattdessen. Das gilt auch für Laufzeitpacker - das geht ne ganze
Weile gut, dann mitmal - peng.
Es gibt Dinge, die kann man sich als Unbedarfter User nun mal nicht vorstellen, bis
sie eintreffen. Man darf sie nur nicht ignorieren, weil es bislang gut war.
Gut, man könnte die Nutzer sensibilisieren. Nur wenn es eben eingetroffen ist, gibt
es derzeit kaum gute Patente, um sich ohne großen Aufwand zu behelfen.
AV-Software ist in der Richtung auch nur ein Scanner bzw Finder für mich, mit
Entfernen (vor allem erfolgreich) haben die wenigsten Erfolg - ausser die komplette
Datei in den virtuellen Müll zu kicken. Auch die endlosen Tools für eine "Bereinigung"
sind durch die Bank weg nutzlos - die setzen das Betriebssystem in den heillosen
Ursprungszustand, wie sie es richtig meinen - und richten dabei noch mehr Schaden an.
Man muss aber für sowas offen und bereit sein - also Image zum Ausprobieren etc.

Auch wenn Dialoge wie die hier endlos scheinen - irgendwo dazwischen liegt die Wahrheit.
 
B

brom

Gast
Jo. Lassen wir es mal gut sein. Ich möchte dich wirklich nicht länger vorführen. Das wäre gemein. :)
 
Oben