Virus auf Recoverypartition?

Allgemeine Fragen zu Windows
BUTTON_POST_REPLY [phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable
Nemisis
Neuling
BeiträgeCOLON 42
RegistriertCOLON Donnerstag 13. Januar 2011, 21:49
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Virus auf Recoverypartition?

Beitrag von Nemisis » Dienstag 1. März 2011, 21:17

[mod an]
Aus einem Beitrag entstand die Diskussion, ob auf einer Recoverypartiton sich ein Virus einnisten kann. Bitte hier weiterschreiben!
Beste Grüße Dennis
[mod aus]

-----------------------------------------
Wenn er das Image benutzt,was auf dem bereits kompromittierten System ist, kann es durch aus sein , das sein Image ebenfalls befallen ist. Daher sollte er über ein externes CD/DVD Laufwerk mit einem sauberen Image oder einer separaten Betriebssystem CD/DVD booten und auch NUR von dieser installieren.

Benutzeravatar
tron2014
Neuling
BeiträgeCOLON 17
RegistriertCOLON Freitag 25. Februar 2011, 00:26
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von tron2014 » Mittwoch 2. März 2011, 05:22

Ist unwarscheinlich bis unmöglich, daß der Virus sich auf die Recoverypartition eingenistet hat, kannst also bedenkenlos die Recoveryfunktion nutzen. ;)

Zu Antivir möcht ich mich gar nicht erst äußern. Sagen wir, ich habe meine Erfahrungen damit gemacht und diese hat mich viel Nerven und Zeit gekostet, meiner Frau und "i love you" sei Dank. :evil: Seitdem, inzwischen fast 12 Jahre (ja, damals gab es Avira auch schon), fahre ich glücklich und wieder sorgenfrei mit Norton. Alle Bösewichter sind seitdem Geschichte; so kann auch meine Frau den Rechner (fast) bedenkenlos und ich die GANZE Vielfalt (auch die schwarz/weißen Bereiche) des World Wide Webs nutzen.

Solltest Du nur 1GB an RAM haben, solltest Du allerdings auf die Internet Security verzichten und nur den Antivirus von Norton nehmen, ab 2GB Ram ist es nicht so tragisch.

LG Alex
Clevo X7200
Clevo W860CU
Asus EEE 1015pn

CLEVO, der King unter den Hi-Endnotebooks! Nie wieder Alienware (Dell)!

Nemisis
Neuling
BeiträgeCOLON 42
RegistriertCOLON Donnerstag 13. Januar 2011, 21:49
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von Nemisis » Mittwoch 2. März 2011, 13:44

tron2014 hat geschriebenCOLONIst unwarscheinlich bis unmöglich, daß der Virus sich auf die Recoverypartition eingenistet hat, kannst also bedenkenlos die Recoveryfunktion nutzen. ;)

LG Alex
Damit wäre ich sehr vorsichtig *G* Die Partition ist lediglich unter Window als "versteckt " via FLAG eingerichtet,das heißt aber noch lange nicht, das "Software "...in dem Falle der Virus, nicht beim booten auf diese Partition zugreifen kann. Hier greifen auch nicht die Benutzerechte des Systems da dies noch lange vor dem eigentlichen Windows BOOT passiert.
Viren können somit sehr wohl auf eine Recover Partition zugreifen ( allerdings nicht jeder ).
Nicht umsonst sollst du ja auch dein Recover Image via ca. 15 GB großen Datenträger separat sichern !!

Benutzeravatar
tron2014
Neuling
BeiträgeCOLON 17
RegistriertCOLON Freitag 25. Februar 2011, 00:26
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von tron2014 » Mittwoch 2. März 2011, 16:00

Möglich ist alles, aber wie gesagt Praxis und Theorie sind zwei Paar Stiefel. Vertrau nem alten PC-Guru wie mir. ;)
Clevo X7200
Clevo W860CU
Asus EEE 1015pn

CLEVO, der King unter den Hi-Endnotebooks! Nie wieder Alienware (Dell)!

Nemisis
Neuling
BeiträgeCOLON 42
RegistriertCOLON Donnerstag 13. Januar 2011, 21:49
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von Nemisis » Donnerstag 3. März 2011, 12:53

das war keine reine Theorie ;-)

ich hab das in der Praxis schon erlebt,daher ja auch meine Aussage .

Aber wie auch bei allen anderen Themen,gibt es immer verschiedene Meinungen zu einem Thema.

Da ich es wie bereits erwähnt , life erlebt habe,vertrete ich eben diesen Standpunkt *G*

Benutzeravatar
Sedge
Premium User
BeiträgeCOLON 833
RegistriertCOLON Sonntag 22. März 2009, 12:45
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von Sedge » Donnerstag 3. März 2011, 16:38

Vertrauen ist gut, Kontrolle ist besser:

Ich glaub dem, der mir schlüssig und nachvollziehbar begründet, warum etwas sein kann (oder auch nicht).
/ Asus EeePC 1000H / 2 GB / Win 7 Ultimate / Ubuntu 10.04 /
/ Intel Core i5-760 / HD 5770 / 4 GB / Win 7 Professional /
/ Samsung Nexus S / Android 2.3.4 /

Dropbox - 2 GB + 250 MB *extra* für dich und mich!

Benutzeravatar
tron2014
Neuling
BeiträgeCOLON 17
RegistriertCOLON Freitag 25. Februar 2011, 00:26
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von tron2014 » Samstag 5. März 2011, 00:52

Gut aufgepasst:

1. Die Recoverypartition beim !!!1000h!!! ist, wie auch bei !!!allen anderen EEEs!!! (im Gegensatz zu updatefähigen Recoverys), unter Windows unsichtbar und zudem noch vor Schreibzugriffen geschützt. Es gibt zwar Spezialsoftware um auf diese zuzugreifen (auch unter Win möglich, sofern man tief genug in das System eingreift) nur schafft das kein popeliger Virus oder Trojaner nach heutigem Stand der Dinge UND

2. werden MBR-Viren heutzutage von allen Antivirenprogrammen (auch Freewarelösungen wie Antivir, Avast) zuverlässig erkannt und entfernt.

Beide Punkte sind hier in diesem Fall gegeben. Alle anderen Aussagen und Hörensagen-Auskünfte sind FALSCH und gehören somit ins Reich der PC-Märchen. Das ist fakt.

Hoffe hiermit alle Zweifel aus dem Weg geräumt zu haben.

LG Alex
Clevo X7200
Clevo W860CU
Asus EEE 1015pn

CLEVO, der King unter den Hi-Endnotebooks! Nie wieder Alienware (Dell)!

Nemisis
Neuling
BeiträgeCOLON 42
RegistriertCOLON Donnerstag 13. Januar 2011, 21:49
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Virus auf eeePC 1000H

Beitrag von Nemisis » Montag 7. März 2011, 12:39

tron2014 hat geschriebenCOLONGut aufgepasst:

1. Die Recoverypartition beim !!!1000h!!! ist, wie auch bei !!!allen anderen EEEs!!! (im Gegensatz zu updatefähigen Recoverys), unter Windows unsichtbar und zudem noch vor Schreibzugriffen geschützt. Es gibt zwar Spezialsoftware um auf diese zuzugreifen (auch unter Win möglich, sofern man tief genug in das System eingreift) nur schafft das kein popeliger Virus oder Trojaner nach heutigem Stand der Dinge UND

2. werden MBR-Viren heutzutage von allen Antivirenprogrammen (auch Freewarelösungen wie Antivir, Avast) zuverlässig erkannt und entfernt.

Beide Punkte sind hier in diesem Fall gegeben. Alle anderen Aussagen und Hörensagen-Auskünfte sind FALSCH und gehören somit ins Reich der PC-Märchen. Das ist fakt.

Hoffe hiermit alle Zweifel aus dem Weg geräumt zu haben.

LG Alex
@ Alex

somit unterstellst du mir also das meine Aussage
Nemisis hat geschriebenCOLONich hab das in der Praxis schon erlebt,daher ja auch meine Aussage .
ein Lüge ist ??

Das ist ja wohl nicht dein Ernst oder ?!

zu deine Aussage Nr. 1:

Wer lesen kann, ist klar imVorteil ! Was habe ich wohl in meinem Absatz geschrieben ? !!

Zitat:
Nemisis hat geschriebenCOLONDie Partition ist lediglich unter Window als "versteckt " via FLAG eingerichtet,das heißt aber noch lange nicht, das "Software "...in dem Falle der Virus, nicht beim booten auf diese Partition zugreifen kann. Hier greifen auch nicht die Benutzerechte des Systems da dies noch lange vor dem eigentlichen Windows BOOT passiert.
Aslo nichts via "unter Windows ist.. "

Zu deinem Punkt 2.

Es ist richtig das Viren zu 99% im MBR erkannt werden ABER, und das ist nichts NEUES !!...

..Ist eine Datei mit einem Virus oder Schadsoftware infiziert, kann man diese zwar desinfizieren ( allerdings nicht jede Datei zu 100% ) aber weiß noch lange nicht WO die Schadsoftware noch Überbleibsel hinterlassen hat die leider nicht vom Scanner erkannt wird. Der Scanner reagiert immer auf die Signatur seines Hauptfiles ,nicht auf alle erweiterten Hinterbleibsel die er für seinen Zweck inrgendwo hinterlassen hat !
Daher soll man bei einem Systembefall IMMER das System neu aufsetzen und eine Systemdatei nicht "NUR" desinfizieren lassen.

schlicht mal desinfizieren lassen kannst du bei Bildern ,Mp3's, zum Teil bei Videos oder Dokumenten machen aber bitte schön nicht an Systemdateien !

...und ein als beim scannen erkanntes kompromittiertes Image mal eben zu desinfizieren und dann dieses für das aufsetzen eines neuen Systems zu verwenden wäre ja wohl mehr als dämlich !

Also hör auf hier deine UNWAHRHEITEN zu verbreiten und die dann auch noch als maßgebende Weißheit hinzustellen.

Nemisis
Neuling
BeiträgeCOLON 42
RegistriertCOLON Donnerstag 13. Januar 2011, 21:49
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf eeePC 1000H

Beitrag von Nemisis » Dienstag 8. März 2011, 16:47

ok , mal wieder runter kommen.

Der Punkt war das ich eine Situation angesprochen habe die für mich real nachweisbar war. Darauf muss ich mir nicht Antworten wie:
tron2014 hat geschriebenCOLONAlle anderen Aussagen und Hörensagen-Auskünfte sind FALSCH und gehören somit ins Reich der PC-Märchen. Das ist fakt.
..geben lassen. Denn damit stellt er meine Aussage explizit als Unwahr dar. Hätte er mit "aus meiner Erfahrung.. "; "War mir noch nicht bekannt .." ; oder ähnlich argumentiert, wäre das ein ganz anderes Thema gewesen. Der TON macht immer die Musik.

So genug des OT ..zurück zum Thema:

Um es noch einmal ausführlich zu schildern.
Die Situation war folgende:
Ein Bekannter von mir hatte sich über eine Mail einen Trojaner eingefangen. Da er die Signaturen seiner Virensoftware dummerweise manuell updatet, waren die zum Zeitpunkt des Befalls nicht aktuell und somit wurde die Datei erst drei Tage nach Systemeingang als " Gefährlich " gemeldet.
Bei einem Systemscann ( Vom Werk aus waren Partition C:\ ; D:\ E:\ und die versteckte Recover angelegt )wurden die einbezogenen Laufwerke C; D; und E gescannt. Der Trojaner wurde auf der Daten Partition D: in einer Datei gefunden und hatte aber bereits Systemdateien auf C:\verändert die ebenfalls eine andere Signatur aufwiesen als das Original. Die Virensoftware konnte gerade die Systemdateien nicht desinfizieren und schlug daher "löschen " vor. Da selbst eine Anti-Virensoftware " einen Ast nicht absägen kann auf dem sie sitzt", konnte die Datei während der Verwendung unter Windows nicht gelöscht werden. Ein separater Boot mit einer Linux Life CD mit Virensoftware und aktueller Sig. konnte die Datei zwar löschen allerdings gab es dann Probleme beim Systemstart.
Somit war nur noch ein Recover Start möglich.
Wie auch bei unseren Modellen konnte der Recover Modus beim booten aktiviert werden und man konnte ebenso wählen zwischen Nur System oder der gesamten HD. Da keine relevanten Daten noch auf dem System waren entschieden wir uns für die gesamte HD.
Nach einiger Zeit war der Vorgang fertig und das System stand uns wieder zur Verfügung. Um zu überprüfen ob alles wieder in Ordnung war, deinstallierte er zuerst die vom Hersteller mit gegebene Anti Virensoftware und installierte darauf die von ihm gekaufte Vollversion ( aktuelle Version von der Herstellerseite geladen) seines Produktes.
Die Software scannte keine 20 Minuten als sofort eine Viren Meldung mit dem gleichen Virus angegeben wurde. Diesmal jedoch in Verbindung mit einer ganz anderen Datei. Diesmal wurden gleich befallene Systemdateien genannt die sich wiederum nicht desinfizieren ließen sondern nur löschen( auch wieder nur von der Life CD).
daraufhin haben wir die C; D; und E: Partition selber mit "gparted" formatiert und haben dann die Recover von der versteckten Partition ebenfalls einspielen lassen. ......Ergebnis nach der Fertigstellung und einem erneuten Scann.... WIEDER BEFALLEN.

Somit war das Problem eindeutig ...die Recoverpartition war kompromittiert.

Auf die Frage ob er keine Datenträger über den Wizard angelegt hatte, bekam ich zum Glück diese mit "Ja" beantwortet.

Wir haben dann die gesamte HD mit "gparted" formatiert (diesmal komplett und nicht nur die einzelnen publik Partitionen) und haben dann den Recover Vorgang beim booten über die 5 DVD's gestartet. Dieser dauerte zwar wesentlich länger aber nach dem der Vorgang fertig war, verlief auch der Komplett Scann mit seiner Anti-Virensoftware ohne jegliche Meldung .

Somit ist für mich eindeutig klar das es sehr wohl möglich ist über Schadsoftware die Recoverpartition zu kompromittieren.
Sicherlich wird das nicht jeder Virus in Angriff nehmen aber wie ich es eben geschildert habe bzw. selber erlebt.... ist es für mich nicht von der Hand zu weisen.
Ich denke mal auch aus diesem Wahrscheinlichkeit’s Grund raten die Hersteller einem die Datenträger zum sichern der Recover Software anzulegen .Wenn darauf alles so safe wäre, wozu werden dem Käufer dann die Wizard's zu dieser meist sogar penetrant wirkenden "sichern Sie ..." Meldung auf’s Auge gedrückt ?
Klar spielen ebenso Hardware Defekte dafür eine Rolle aber die sind doch bei weiten geringer als Softwareprobleme.

Benutzeravatar
tron2014
Neuling
BeiträgeCOLON 17
RegistriertCOLON Freitag 25. Februar 2011, 00:26
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Re: Virus auf Recoverypartition?

Beitrag von tron2014 » Mittwoch 16. März 2011, 05:14

Ok, nachdem Du wieder etwas runtergekommen bist und ich nunmehr auch Zeit finde, hierauf zu Antworten: (P.S: Im übrigen ging es nicht allgemein um das Thema "Virus auf Recoverypartition möglich oder nicht, sondern explizit um die Recovery der EEE´s)

1. Um was für einen Rechner handelte es sich dabei? Kann mir nicht vorstellen, daß wir von einem Asus EEE reden? Würden zumind. einige deiner Punkte nicht zutreffen, sollte es so sein. Daher auch meine Aussage, Bei einem "1000h und andere EEE-PCs praktisch bis heute UNMÖGLICH". Die Recovery eines EEEs ist eine nicht updatebare Recovery, im Gegensatz zu vielen anderen Rechnern/Notebooks und auch nicht über ein mitgeliefertes Tool sicherbar (über Fremdsoftware ja, aber dazu würde man EBEN DIESE SICHERHEITSMERKMALE aushebeln und den Weg JEDER SCHADSOFTWARE öffnen). Früher lieferte Asus den EEEs noch seperate Scheiben mit, heutzutage (leider) gibt es nur noch die Recovery auf der Festplatte. That´s it.

2. Es können sich auch Viren im Arbeitsspeicher (RAM) einnisten, diese sind aber nicht mehr vorhanden, nachdem der Rechner für einige Sek. vom Netz, Strom genommen wurde. BZW. siehe auch Punkt 5. -> LÖSUNG: keine nicht vertrauenswürdige Antivirensoftware, Problem gelöst.

3. Nachdem wir schon so explizit in die Materie gehen möchten, um welche Art von Trojaner (Typbezeichnung) ging es? Dann kann ich auch näheres zu dem Fall sagen. Zudem, welche Antivirensoftware war dabei aktiv, bzw. unter Windows installiert. Wurden auf dem Rechner evtl. andere Betriebssysteme betrieben, welche nicht zur Windowsreihe gehören?

4. UND dann wären wir nochmal bei der Praxis; kennst Du nur einen einzigen Virus/Trojaner, welcher nach Partitions(Laufwerks)-IDs scannt, statt nach Laufwerksbuchstaben? ;) Nur einen bitte. UND noch ein wenig schwieriger, EINEN, der nicht vom Virenscanner (such Dir einen aus) erkannt wird?? Glaube nicht. -> "Somit kann auch wirklich jeder Virus vor dem Windowsstart sich in die Festplatte einnisten, ... wenn er denn so weit käme. Scherz beiseite."

5. Zudem, ich geb Dir recht, wer lesen kann, ist klar im Vorteil. Dieser Virus, welcher sich im Ram versteckt, bzw. versucht sich in den MBR einzunisten, hat keine Chance. Du liegst hier nochmals falsch, es sind nicht 99% es sind 100,00% bei einer ordentliche Software (wie da wäre z.B. Norton). Und fang jetzt bitte nicht wieder mit irgendwelcher Freewarescheiße ala Avira Antivirus Free an, welche nur 99 oder gar 98% erkennt, ich rede von Software, welche jedem, der täglich das Internet nutzt, den entsprechenden Schutz bietet. Nur gibts die halt nicht gratis. Somit wäre das ganze Problem schon vom Tisch, aber auch hier wiederhole ich mich nochmals, siehe Urthema.

Ich wollte Dich nicht als Lügner hinstellen, nur ist dies praktisch (100%, bis dato) und theoretisch nahezu unmöglich, die Recovery eines EEE´s zu infizieren. Egal ob Virus, Trojaner, ect. Sofern man gewisse Sicherheitsmerkmale nicht mit aller Gewalt versucht auszuhebeln UND einen vernünftigen Virenscanner nutzt. Und dies müßt Ihr tun bzw. erledigt keine Schadsoftware für Euch.

Liebe Grüße

Alex

P.S.: Mich würde mal interessieren, wie alt Du bist und vor allem, inwieweit dein PC-Wissen reicht? Soll keine Beleidigung sein, aber ich wüßte gerne mit wem ich hier jedesmal meine Aussagen, welches auf standfestes Theoriewissen (Studium Informatik, zahlreiche Lehrgänge) und hart erarbeitete Praxis (12 Jahre hauptberuflich in der Softwareentwicklung, privat seitdem ich 8 Jahre alt bin, auch da gab es schon Viren, naja, in sehr einfacher Form ;) ) basiert, ausdiskutieren muß?
Clevo X7200
Clevo W860CU
Asus EEE 1015pn

CLEVO, der King unter den Hi-Endnotebooks! Nie wieder Alienware (Dell)!

BUTTON_POST_REPLY
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable
[phpBB Debug] PHP Warning: in file [ROOT]/vendor/twig/twig/lib/Twig/Extension/Core.php on line 1266: count(): Parameter must be an array or an object that implements Countable

Zurück zu

Wer ist online?

Mitglieder in diesem Forum: 1 und 0 Gäste