Kann man einen Virus mit der Systemwiederherstellung entfernen?

[Jokuu]

Titel sagt schon alles: Wenn ein PC mit einem Virus infiziert ist, kann man ihn mit einem Wiederherstellungspunkt in der Systemwiederherstellung zuverlässig entfernen?

[campkudd]

Kommt ganz drauf an wie du wiederherstellst und mit welchem Programm. Hier gibt es ja zwei Arten.

Wichtig vorab!!! Das Backup bzw. die Wiederherstellung dürfen nicht infiziert sein. Bitte vorher Prüfen ggf. Virenscanner nutzen.
Es kommt vor, dass das Backup eine neue Version erstellt die dann auch infiziert ist. Aber zurück zum eigentlichen Thema die Wiederherstellung.

Weg 1: Wiederherstellung ohne Neuinstallation:
Hier "bügelst" du dein Backup bzw. deine Sicherheitskopie/Wiederherstellung über dein Vorhandenes System.
Das bringt im Normalfall bei Viren Null Wirkung, da das eigentliche System wo meistens auch der Virus sitzt nicht geändert wird.
Ich empfehle daher Weg 2.

Weg 2: Wiederherstellung mit Neuinstallation.
Hierbei ist die Grundlage ein frisches System. Du installierst also dein neues System Windows/Mac/Linux und stellst nach der Installation die Daten wieder her bzw. Spielst dein Backup ein.
Hier hat der Virus keine Chance wenn dein Backup "sauber" ist.

[Jokuu]

Das der Virus im Wiederherstellungspunkt ist kann ich komplett ausschließen. Der Kunde hat Anfang der Woche einen verseuchten Mailanhang mit einer .exe Datei geöffnet. Der neuste Wiederherstellungspunkt ist von letzter Woche Mittwoch (Windows Updates). Somit kann ich zu 100% ausschließen, dass der Virus dort schon vorhanden war.
Meine bedenken sind, dass sich der Virus wie ihr schon gesagt habt in die Daten des Kunden eingenistet hat. Oder sogar in den Wiederherstellungspunkt, da ich nicht weiß ob das möglich ist. Grundsätzlich müsste das aber wohl gehen, da die Wiederherstellungspunkte ja auf dem verseuchten System liegen.
Leider kann ich die Daten nicht prüfen da der Virus nicht erkannt wird. Die Daten des Kunden bestehen nur aus Bürodokumenten (Excel und Word). Ich denke dass ich sicherheitshalber neu installieren werde. Kann ich die Daten bedenkenlos sichern oder ist eine Verseuchung wahrscheinlich durch Makros oder ähnliches?

[KoalaFresser]

Also einfach neu aufsetzen heißt noch lange nicht, dass der Virus dann weg ist. Aktuelle Würmer haben genug Verbreitungswege um sich auf ner anderen Platte, USB Stick oder im Netzwerk breit zu machen bzw. über Autorun. Zudem verstecken sie sich ganz gut und schalten sich ab wenn ein bekannter Scanner läuft.
Primär das Ding erst einmal identifizieren und beim Namen nennen, dann kann man meist auch mehr sagen was wirklich angebracht ist und ggf. formatieren. Wenn es ein gut dokumentiertes Exemplar ist sieht man ja wo und wie und was da so auf dem Rechner bereinigt werden muss.

Insofern bringt die Systemwiederherstellung nicht unbedingt etwas, da der Wurm ja noch auf anderen Teilen des Rechners sein kann und beim nächsten Lesezugriff sich wieder aktivieren könnte. Deswegen gibt es auch dazu keine 100% Aussage ob es sinnvoll ist oder nicht - kommt uf den Virus an

Würde auf jeden Fall noch weitere Viren-/Malwarescanner benutzen. Empfehlenswert ist sicherlich Malwarebytes (hat von 6 Programmen als einzigstes angeschlagen bei einem Wurm auf dem Rechner meiner Mitbewohnerin). Spybot S&D ist gut und ein Bootfähiger Virenscanner wie es sie auch kostenlos von Avira & Co als Download gibt ist empfehlenswert. Letztere haben den Vorteil, dass jeglicher Wurm den Scanner nicht unter Windows aushebeln kann. Aber auf aktuelle Definitionen achten !

[cassiopeia]

Ich hatte was Vergleichbares schon, und es funktionierte nicht mit der Systemwiederherstellung. Der Virus hatte sich auf einem Teil des Rechners eingenistet, der von der Wiederherstellung offenbar nicht berührt wurde. Bei mir half dann final nur, das System neu aufzusetzen.
Falls Du den Virus mit einem Virenscanner zumindest erkennen kannst und angezeigt bekommst, kannst Du probieren, ob das nach einer Systemwiederherstellung immer nich der Fall ist. Bei mir wurde er hinterher nach wie vor erkannt. Wenn das nicht so ist, könnte es geklappt haben, aber eine Garantie ist es natürlich auch nicht.

[Darkfield]

mit einem Wiederherstellungspunkt in der Systemwiederherstellung zuverlässig entfernen?

Ein Wiederherstellungspunkt entfernt NICHT ggf. infizierte Programm-Dateien von Anwendungssoftware,
sondern stellt nur die System- und Konfigurationsdateien eines früheren Zustands wieder her.

Manchmal klappt das Entfernen mit entsprechenden Tools,
andere Viren lassen sich nur rückstandsfrei entfernen in dem man die betroffene(n) Partition(en) löscht und Formatiert - ggf. das System neu installiert.

[!lkay]

Man spricht i.d.R von Trojanern. Viren haben in der Informatik eine andere Definition.
Ich würde generell von Systemwiederherstellung bei Trojanerinfektion abraten.

Man kann einen Trojaner aber manuell auch in den meisten Fällen restlos entfernen.

Wenn man weiß, wo sich der Trojaner einnisten kann, dann kann man es auch selbst hinbekommen

Falls Du ein paar Tricks haben möchtest, sag mir bescheid

[Sky.NET]

Sobald ein System von irgendetwas infiziert ist, gilt es als kompromittiert.

Da du von 'Kunde' redest, gehe ich davon aus, dass der Computer nicht nur zum spielen oder ähnlichen Nonsense genutzt wird, sondern auch für geschäftliche Zwecke, hier gilt obiger Satz doppelt.
Ist ein System infiziert, sind erst gar keine Bereinigungsaktionen in Betracht zu ziehen ausser folgende beiden:

1. Es wurde bei Neuaufsetzung des Systems ein Vollbackup (Klon) der Festplatte gezogen, dieses kann verwendet werden, um die ursprüngliche Umgebung wiederherzustellen
2. Trifft 1. nicht zu gibt es keine andere Möglichkeit, als sein System vollständig neu aufzusetzen.

Die Sicherung von Dateien, welche selbstständig ausführbar sind, oder eine Scriptengine eines übergeordneten Propgramms nutzen können(PDF, Excel, Word), ist zu unterlassen, viele Trojaner hängen sich an jegliche z.B. exe-dateien hinten dran, sogar an Installationsroutinen.
Das gesamte System und ebenfalls alle daran angeschlossenen R/W-Laufwerke und Netzlaufwerke sind als kompromittiert anzusehen, auch hier müssen alle Daten ausser Mediendateien entweder aus einer vertrauenswürdigen Vollsicherung wieder hergestellt oder gelöscht werden (dies trifft ebenso auf PDF und Word-Dateien zu, da diese Dateien ebenfalls in der Lage sein könnten, einen Exploit in M$-Office oder Adobe Reader auszunutzen).

Alles Andere ist als Fahrlässig zu betrachten.

Hier wird klar, wieso ein Linux einem Windows vorzuziehen ist, wenn man seine Brain.exe nicht richtig benutzt (welcher Voll-DAU macht bitte heute noch exe-anhänge aus E-Mails auf????)...

Folgender Youtuber hat da eine gute Kombi-Lösung gefunden:

[wejusycu]

Ich finde diese Wiederherstellungspunkte von Windows bisschen lächerlich. Die nutzt eh kein Mensch und es gibt genug Programme (u.a. auch Freeware) womit man sein PC sichern kann, jedoch wird der Virus dann mit gesichert

Was ich dir empfehlen würde, das kleine Programm HijackThis runterzuladen und anschließend die Logfile auf der Seite zu posten, evtl. findest du den Virus und kannst es direkt dort löschen
HijackThis Logfileauswertung

[Sky.NET]

Würde ich von abraten, diese Seite zu benutzen denn:

Die Datenbank der Online-Analyse wird nicht mehr gepflegt.

Das Tool selbst ist auch dann nur nützlich, wenn man Jemanden mit viel Ahnung hat der da drüber schaut, und hat mit dem Wiederherstellen eines nicht kompromittierten Zustandes eines Systems nichts zu tun.