1. #1
    Avatar von Jokuu
    Registriert seit
    08.03.2014
    Beiträge
    263
    Thanked 108 Times in 74 Posts

    Standard Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Titel sagt schon alles: Wenn ein PC mit einem Virus infiziert ist, kann man ihn mit einem Wiederherstellungspunkt in der Systemwiederherstellung zuverlässig entfernen?
    Meine Tochter neulich im Zoo in der Arktisabteilung: "Guck mal Papi, da sind Linuxe!"

  2. #2
    Avatar von campkudd
    Registriert seit
    14.04.2013
    Beiträge
    269
    Thanked 50 Times in 47 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Kommt ganz drauf an wie du wiederherstellst und mit welchem Programm. Hier gibt es ja zwei Arten.

    Wichtig vorab!!! Das Backup bzw. die Wiederherstellung dürfen nicht infiziert sein. Bitte vorher Prüfen ggf. Virenscanner nutzen.
    Es kommt vor, dass das Backup eine neue Version erstellt die dann auch infiziert ist. Aber zurück zum eigentlichen Thema die Wiederherstellung.

    Weg 1: Wiederherstellung ohne Neuinstallation:
    Hier "bügelst" du dein Backup bzw. deine Sicherheitskopie/Wiederherstellung über dein Vorhandenes System.
    Das bringt im Normalfall bei Viren Null Wirkung, da das eigentliche System wo meistens auch der Virus sitzt nicht geändert wird.
    Ich empfehle daher Weg 2.

    Weg 2: Wiederherstellung mit Neuinstallation.
    Hierbei ist die Grundlage ein frisches System. Du installierst also dein neues System Windows/Mac/Linux und stellst nach der Installation die Daten wieder her bzw. Spielst dein Backup ein.
    Hier hat der Virus keine Chance wenn dein Backup "sauber" ist.

  3. #3
    Avatar von Jokuu
    Registriert seit
    08.03.2014
    Beiträge
    263
    Thanked 108 Times in 74 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Das der Virus im Wiederherstellungspunkt ist kann ich komplett ausschließen. Der Kunde hat Anfang der Woche einen verseuchten Mailanhang mit einer .exe Datei geöffnet. Der neuste Wiederherstellungspunkt ist von letzter Woche Mittwoch (Windows Updates). Somit kann ich zu 100% ausschließen, dass der Virus dort schon vorhanden war.
    Meine bedenken sind, dass sich der Virus wie ihr schon gesagt habt in die Daten des Kunden eingenistet hat. Oder sogar in den Wiederherstellungspunkt, da ich nicht weiß ob das möglich ist. Grundsätzlich müsste das aber wohl gehen, da die Wiederherstellungspunkte ja auf dem verseuchten System liegen.
    Leider kann ich die Daten nicht prüfen da der Virus nicht erkannt wird. Die Daten des Kunden bestehen nur aus Bürodokumenten (Excel und Word). Ich denke dass ich sicherheitshalber neu installieren werde. Kann ich die Daten bedenkenlos sichern oder ist eine Verseuchung wahrscheinlich durch Makros oder ähnliches?
    Meine Tochter neulich im Zoo in der Arktisabteilung: "Guck mal Papi, da sind Linuxe!"

  4. #4

    Registriert seit
    05.04.2013
    Beiträge
    25
    Thanked 10 Times in 6 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Also einfach neu aufsetzen heißt noch lange nicht, dass der Virus dann weg ist. Aktuelle Würmer haben genug Verbreitungswege um sich auf ner anderen Platte, USB Stick oder im Netzwerk breit zu machen bzw. über Autorun. Zudem verstecken sie sich ganz gut und schalten sich ab wenn ein bekannter Scanner läuft.
    Primär das Ding erst einmal identifizieren und beim Namen nennen, dann kann man meist auch mehr sagen was wirklich angebracht ist und ggf. formatieren. Wenn es ein gut dokumentiertes Exemplar ist sieht man ja wo und wie und was da so auf dem Rechner bereinigt werden muss.

    Insofern bringt die Systemwiederherstellung nicht unbedingt etwas, da der Wurm ja noch auf anderen Teilen des Rechners sein kann und beim nächsten Lesezugriff sich wieder aktivieren könnte. Deswegen gibt es auch dazu keine 100% Aussage ob es sinnvoll ist oder nicht - kommt uf den Virus an

    Würde auf jeden Fall noch weitere Viren-/Malwarescanner benutzen. Empfehlenswert ist sicherlich Malwarebytes (hat von 6 Programmen als einzigstes angeschlagen bei einem Wurm auf dem Rechner meiner Mitbewohnerin). Spybot S&D ist gut und ein Bootfähiger Virenscanner wie es sie auch kostenlos von Avira & Co als Download gibt ist empfehlenswert. Letztere haben den Vorteil, dass jeglicher Wurm den Scanner nicht unter Windows aushebeln kann. Aber auf aktuelle Definitionen achten !

  5. The Following User Says Thank You to KoalaFresser For This Useful Post:

    Jokuu (20.09.2014)

  6. #5

    Registriert seit
    05.04.2013
    Beiträge
    91
    Thanked 33 Times in 24 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Ich hatte was Vergleichbares schon, und es funktionierte nicht mit der Systemwiederherstellung. Der Virus hatte sich auf einem Teil des Rechners eingenistet, der von der Wiederherstellung offenbar nicht berührt wurde. Bei mir half dann final nur, das System neu aufzusetzen.
    Falls Du den Virus mit einem Virenscanner zumindest erkennen kannst und angezeigt bekommst, kannst Du probieren, ob das nach einer Systemwiederherstellung immer nich der Fall ist. Bei mir wurde er hinterher nach wie vor erkannt. Wenn das nicht so ist, könnte es geklappt haben, aber eine Garantie ist es natürlich auch nicht.

  7. The Following User Says Thank You to cassiopeia For This Useful Post:

    Jokuu (20.09.2014)

  8. #6
    Avatar von Darkfield
    Registriert seit
    24.04.2013
    Beiträge
    3.046
    Thanked 1.779 Times in 1.268 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Zitat Zitat von Jokuu Beitrag anzeigen
    mit einem Wiederherstellungspunkt in der Systemwiederherstellung zuverlässig entfernen?
    Ein Wiederherstellungspunkt entfernt NICHT ggf. infizierte Programm-Dateien von Anwendungssoftware,
    sondern stellt nur die System- und Konfigurationsdateien eines früheren Zustands wieder her.

    Manchmal klappt das Entfernen mit entsprechenden Tools,
    andere Viren lassen sich nur rückstandsfrei entfernen in dem man die betroffene(n) Partition(en) löscht und Formatiert - ggf. das System neu installiert.
    Wer die Freiheit aufgibt um Sicherheit zu gewinnen, der wird am Ende beides verlieren. (Benjamin Franklin)
    Die zwei häufigsten Elemente im Universum sind Wasserstoff und Blödheit. (Yonathan Simcha Bamberger)
    Wer schweigt, stimmt nicht immer zu. Er hat nur manchmal keine Lust mit Idioten zu diskutieren. (Albert Einstein)
    Der Weg zur Hölle ist mit guten Vorsätzen gepflastert. (Dante)
    Es gibt Besserwisser, die niemals begreifen, dass man recht haben und ein Idiot sein kann. (Martin Kessel)
    Doofheit ist keine Entschuldigung.

  9. The Following User Says Thank You to Darkfield For This Useful Post:

    Jokuu (20.09.2014)

  10. #7

    Registriert seit
    19.11.2011
    Beiträge
    2.128
    Thanked 1.936 Times in 1.180 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Man spricht i.d.R von Trojanern. Viren haben in der Informatik eine andere Definition.
    Ich würde generell von Systemwiederherstellung bei Trojanerinfektion abraten.

    Man kann einen Trojaner aber manuell auch in den meisten Fällen restlos entfernen.

    Wenn man weiß, wo sich der Trojaner einnisten kann, dann kann man es auch selbst hinbekommen

    Falls Du ein paar Tricks haben möchtest, sag mir bescheid

  11. #8
    Avatar von Sky.NET
    Registriert seit
    26.11.2011
    Beiträge
    2.462
    Thanked 2.717 Times in 1.286 Posts
    Blog Entries
    7

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Sobald ein System von irgendetwas infiziert ist, gilt es als kompromittiert.

    Da du von 'Kunde' redest, gehe ich davon aus, dass der Computer nicht nur zum spielen oder ähnlichen Nonsense genutzt wird, sondern auch für geschäftliche Zwecke, hier gilt obiger Satz doppelt.
    Ist ein System infiziert, sind erst gar keine Bereinigungsaktionen in Betracht zu ziehen ausser folgende beiden:

    1. Es wurde bei Neuaufsetzung des Systems ein Vollbackup (Klon) der Festplatte gezogen, dieses kann verwendet werden, um die ursprüngliche Umgebung wiederherzustellen
    2. Trifft 1. nicht zu gibt es keine andere Möglichkeit, als sein System vollständig neu aufzusetzen.

    Die Sicherung von Dateien, welche selbstständig ausführbar sind, oder eine Scriptengine eines übergeordneten Propgramms nutzen können(PDF, Excel, Word), ist zu unterlassen, viele Trojaner hängen sich an jegliche z.B. exe-dateien hinten dran, sogar an Installationsroutinen.
    Das gesamte System und ebenfalls alle daran angeschlossenen R/W-Laufwerke und Netzlaufwerke sind als kompromittiert anzusehen, auch hier müssen alle Daten ausser Mediendateien entweder aus einer vertrauenswürdigen Vollsicherung wieder hergestellt oder gelöscht werden (dies trifft ebenso auf PDF und Word-Dateien zu, da diese Dateien ebenfalls in der Lage sein könnten, einen Exploit in M$-Office oder Adobe Reader auszunutzen).

    Alles Andere ist als Fahrlässig zu betrachten.

    Hier wird klar, wieso ein Linux einem Windows vorzuziehen ist, wenn man seine Brain.exe nicht richtig benutzt (welcher Voll-DAU macht bitte heute noch exe-anhänge aus E-Mails auf????)...

    Folgender Youtuber hat da eine gute Kombi-Lösung gefunden:
    Java:
    Spoiler:

    Lustige Quotes:
    Spoiler:
    Zitat Zitat von Hydra Beitrag anzeigen
    Hier (in Deutschland) kann man keine andere tolle Aktivitäten machen, als zu chillen, shoppen, saufen und Partys feiern xD Ich habe nichts gegen ab und zu mal saufen und Partys feiern, aber das ist doch nicht wirklich das wahre Leben o_o
    Wieso das Internet für die meisten Leute gefährlich ist:
    Zitat Zitat von Silent Beitrag anzeigen
    Ich weiß ja nicht was der Sinn dahinter steckt es heißt immer "security reasons".

  12. The Following 2 Users Say Thank You to Sky.NET For This Useful Post:

    Darkfield (20.09.2014), Jokuu (20.09.2014)

  13. #9

    Registriert seit
    10.05.2013
    Beiträge
    63
    Thanked 9 Times in 7 Posts

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Ich finde diese Wiederherstellungspunkte von Windows bisschen lächerlich. Die nutzt eh kein Mensch und es gibt genug Programme (u.a. auch Freeware) womit man sein PC sichern kann, jedoch wird der Virus dann mit gesichert

    Was ich dir empfehlen würde, das kleine Programm HijackThis runterzuladen und anschließend die Logfile auf der Seite zu posten, evtl. findest du den Virus und kannst es direkt dort löschen
    HijackThis Logfileauswertung

  14. #10
    Avatar von Sky.NET
    Registriert seit
    26.11.2011
    Beiträge
    2.462
    Thanked 2.717 Times in 1.286 Posts
    Blog Entries
    7

    Standard AW: Kann man einen Virus mit der Systemwiederherstellung entfernen?

    Würde ich von abraten, diese Seite zu benutzen denn:
    Die Datenbank der Online-Analyse wird nicht mehr gepflegt.
    Das Tool selbst ist auch dann nur nützlich, wenn man Jemanden mit viel Ahnung hat der da drüber schaut, und hat mit dem Wiederherstellen eines nicht kompromittierten Zustandes eines Systems nichts zu tun.
    Java:
    Spoiler:

    Lustige Quotes:
    Spoiler:
    Zitat Zitat von Hydra Beitrag anzeigen
    Hier (in Deutschland) kann man keine andere tolle Aktivitäten machen, als zu chillen, shoppen, saufen und Partys feiern xD Ich habe nichts gegen ab und zu mal saufen und Partys feiern, aber das ist doch nicht wirklich das wahre Leben o_o
    Wieso das Internet für die meisten Leute gefährlich ist:
    Zitat Zitat von Silent Beitrag anzeigen
    Ich weiß ja nicht was der Sinn dahinter steckt es heißt immer "security reasons".

Ähnliche Themen

  1. Wie kann ich von so einem Bild den Hintergrund entfernen?
    Von x BoooM x im Forum Angebot & Nachfrage
    Antworten: 10
    Letzter Beitrag: 10.03.2013, 19:00
  2. Antworten: 2
    Letzter Beitrag: 21.06.2012, 16:43
  3. Kann man einen LAPTOP Orten?
    Von JumP-StyLe im Forum Security
    Antworten: 13
    Letzter Beitrag: 22.12.2011, 00:15
Diese Seite nutzt Cookies, um das Nutzererlebnis zu verbessern. Klicken Sie hier, um das Cookie-Tracking zu deaktivieren.