Virus gefunden… Was nun?

    Hallo Community,



    Mein Malware Remover hat wohl 2 infizierte Datei gefunden. Er versucht sie auch zu „reparieren“, schafft das aber nicht ganz (Nachrichten kommen immer wieder)…


    Die Benachrichtigungen lauten:

    Code
    „[Malware Remover] Repaired infected Filie or Folder. Name: \temp\config\autorun.sh“
„[Malware Remover] Repaired infected Filie or Folder. Name: \temp\config\K01….sh“

    1. wie kann ich auf den \temp Ordner zugreifen, um die Dateien manuell zu löschen?

    2. kann ich die Dateien löschen ohne das System zu schädigen?



    Wie immer danke ich euch schon mal im Voraus für die Mithilfe!


    LG,

    Tyron

    Zitat von Tyron4tw

    Er versucht sie auch zu „reparieren“, schafft das aber nicht ganz (Nachrichten kommen immer wieder)…

    Da würde ich mir zuerst Gedanken machen, wo das "Einfallstor" war, bzw. noch immer IST (!).


    Denke der MR schafft es schon diese Datei zu löschen, aber da sind wohl genügend andere infizierte Dateien am Laufen, die sie flugs wieder neu erstellen !!!


    Such die Lücke im System (NAS nach außen offen, erreichbar?) und schließe die zuerst.

    Such mal hier nach dem Begriff "derek-be-gone", mit dem solltest du mehr säubern können, bzw. sollte das Script auch schon in einer neueren Version vorhanden sein …

    Das NAS und die Daten sind kompromittiert. Genau genommen gibt es nur noch das NAS komplett neu Aufzusetzen inkl. Firmware Recovery, neu einzurichten und die Daten von einem saubern Backup zurück zu spielen. Diese Problem wurde schon in unzähligen Themen erörtert. Einfach mal die Suchfunktion verwenden.

    Aber wie RedDiabolo schon schreibt wäre es wichtig zu wissen wo das Einfallstor ist. Ansonsten ist das NAS gleich wieder befallen. Meine Meinung dazu: ein NAS gehört nicht ungeschützt offen ins Internet.

    Bei mir ist alles, von dem ich weiß, geschlossen. Allerdings weiß ich nicht, ob irgend eine App oder vor installiertes Programm den Zugriff von außen standardmäßig zulässt.

    Zum Thema neu aufsetzen: das habe ich vor kurzem eh machen müssen, weil ich einen „Pool Error“ hatte & damit keinerlei Zugriff mehr auf die NAS… vielleicht lag es sogar an dieser Infektion?!


    Also was sollte ich am besten tun? Alles löschen und vom Back-up neu aufspielen? Wie genau lösche/formatiere ich die Platten so, dass sie auch sicher sauber sind?

    Als erstes solltest du es mal mit der Eingabe folgenden Befehls auf der Konsole (SSH per putty) versuchen:

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Um welches NAS und Fireware Version handelt es sich eigentlich?

    Installiert Apps und verwendete Dienste? Music Station?

    Von irgendwo muss die Schadsoftware ja gekommen sein?

    Zitat von dr_mike

    Eingabe folgenden Befehls auf der Konsole (SSH per putty) versuchen:

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Danke, den hatte ich im Sinn, aber den Link nicht mehr gefunden ...

    War jetzt eine ganze Weile im Urlaub, und möchte mich dem Problem weiter widmen…


    Ich habe nur 2 Anfängerfragen:

    1. wie öffne ich die Konsole? ^^

    2. dieses „cleanme“ braucht wahrscheinlich RW-Freigabe für die zu scannen den Ordner, oder?

    (Im mom habe ich die Freigabe der Ordner komplett deaktiviert)

    Zitat von Tyron4tw

    Also, wie kriege ich die Platten garantiert sauber?

    Garantiert funktioniert nur:

    - Festplatten ganz und komplett löschen

    - NAS komplett neu aufsetzen inklusive Recovery des Flash/DOM

    - Daten und Einstellungen von einem sauberen Medium wiederherstellen

    Bei allem anderen weiß man nie 100% ob sich nicht noch irgendwo noch ein Resten eingenistet hat. Ist jedoch mit viel Arbeit verbunden und nicht immer notwendig. Da aber nicht bekannt ist um welche Schadsoftware es sich handelt ist auch schwierig zu sagen welche Massnahmen optimal sind.

    Genau die Methode habe ich befürchtet… ^^

    Aber sicher ist sicher! Ich muss nur das passende Kabel besorgen.

    Am PC dann einfach formatieren, right? Oder muss ich noch was speziell beachten?


    Danke schon mal für deine Hilfe!

    Du rufst am PC (unter Windows) die Datenträgerverwaltung auf. Dort ist jeder Datenträger im unteren Bereich des Fensters in einer Zeile gelistet. Achte darauf, dass du die richtige Zeile für die zusätzlich angeschlossene Festplatte auswählst. Die Partionen der Festplatte sind in der Zeile grafisch als Blöcke dargestellt. Lösche alle Blöcke bis der ganze Bereich des Datenträgers als "nicht zugeordnet" ausgewiesen wird. Wenn das abgeschlossen ist, kannst du die FP wieder ins NAS einbauen.


    Warnung: Erwischt du beim Löschen Partitionen von einem anderen Datenträger, z.B. die Festplatte deines PCs droht dir Datenverlust! Konzentration und Vorsicht sollten an erster Stelle stehen. Bei Unsicherheiten lieber noch eine Screenshot hier ins Forum posten und fragen, ob du den richtige Datenträger auswählen würdest.

    Als MBR/GPT neu initialisieren sollte auch reichen, dabei wird die Partionstabelle neu angelegt.

    habe leider ein ähnliches Problem, malware kann nicht mehr entfernt werden.

    nun traue ich mir die ganze dom recovery wie vom qnap Support angeraten nicht selber zu...

    wo kann ich das denn machen lassen?

    habt ihr da ein paar tipps oder seriöse firmen die sowas anbieten?

    eine Sicherung habe ich, allerdings auf einer platte inerhalb des NAS. Könnte diese auch infiziert sein?

    danke für eure tipps !