So, gestern habe ich noch mal einen Rundumschlag gemacht. Wie immer: XP in VirtualBox unter Linux.

Von einer Liste befallener Seiten mal nacheinander 10 Links angeklickt. Damit hatte ich in kurzer Zeit vermutlich dass, was viele "unbedarfte" User im Laufe der Zeit angesammelt haben, bevor sie sich hier melden.

Und dann ging die Bereinigung los:

- Kaspersky Rettungs CD: Was gefunden und beseitigt
- Dann Windows gestartet
- MBAM Quickscan: Was gefunden und beseitigt
- MBAM Fullscan: Was gefunden und beseitigt
- Emisoft Antimalware: Was gefunden und beseitigt
- Super Antispyware: Was gefunden und beseitigt
- ESET Onlinescanner: Was gefunden und beseitigt

Also findet jedes Tool immer noch Restbestände. Und wenn ich jetzt noch 10 Tage warten und weitere Updates der Signaturen kommen, würden bestimmt alle Tools noch was bringen. So einer Gurke kann man doch nicht vertrauen.

Parallel dazu habe ich noch mal das Chip Forum verfolgt. Dort wird in jedem Thread eine Neuinstallation vorgeschlagen, was auch wohl sinnvoller ist.

Nach meinen bisherigen Erfahrungen (beschäftige mich aufgrund von Nachfragen im Privatsektor seit 2 Monaten mit dem Thema) bringt die Bereinigung doch keine 100% Sicherheit und sollte daher nicht empfohlen werden.

Also kann es doch nur noch heißen:

- Von anderem Rechner aus alle Kennworte ändern
- Rechner mit Linux Live CD starten, Daten sichern auf CD/DVD/USB-Platte
- Rechner komplett formatieren und neu installieren
- Updaten/Absichern nach euren Vorschlägen
- Daten zurückspielen

Alle anderen Ansätze sind meiner Meinung nach sinnbefreit. Niemand kann doch sicherstellen, dass die Rechner wirklich zu 100 % bereinigt sind. Ihr schreibt das ja auch selbst in einigen Threads. Aber der normale Anwender kann das nicht beurteilen. Und wenn am Ende gesagt wird "du bist clean", dann glaubt er das auch. Das dicke Ende kommt bestimmt.

Unbelehrbare wird es immer geben, sieht man auch in fast jedem Linuxforum auf der anderen Seite, wenn Pappnasen ohne jegliche Kenntnisse meinen, sie müssten unbedingt einen eigenen Server haben und letztlich damit die ganze Malwareverteilung erst möglich machen.

Auf jeden Fall waren die gewonnenen Erfahrungen zum Teil interessant und zum anderen Teil ist es auch erschreckend, wenn man allein an der Anzahl der Threads in diesem Forum und auch unter botfrei sieht, wieviel Leute davon betroffen sind.

Gut, dass Linux am Desktop keine Verbreitung hat. Dadurch besteht seitens der Malware Autoren kein Interesse und man surft doch recht entspannt.

Zitat:

Zitat von stefanbecker

bringt die Bereinigung doch keine 100% Sicherheit

Das ist doch absolut altbekannt.
Jede Bereinigung hat ein Restrisiko, kein System kann danach, und konnte noch nie, als so "sicher unbefallen" gelten, wie ein ideal sauber und sicher komplett neu aufgesetztes System gelten, sondern immer maximal nur als ein System gelten, bei dem Antimalwareprogramme keine Probleme mehr anzeigen.

Zielt eigentlich deine Erkenntnis auf jede Malware oder differenzierst du da?

Zitat:

Zitat von stefanbecker

und sollte daher nicht empfohlen werden.

Je nach Befall darf man durchaus unterscheiden:
- Empfehlung vs. Nutzerwunsch
Ein Nutzerwunsch weicht erfahrungsgemäß davon ab, ein Nutzer wird erfahrungsgemäß sich sehr oft nicht an die Empfehlungen halten und es ist mitunter sinnvoller ein System hinreichend sauber erscheinen zu lassen (keine Funde mehr), als gar nichts zu machen. Wiederum erfahrungsgemäß nutzen die wenigsten sowieso diese Erfahrung wirklich. Nach kürzester Zeit ist ein "Neusystem" maximal genauso sicher sauber, wie ein System bei dem kein AV-Programm was findet.

Zitat:

Zitat von stefanbecker

Also kann es doch nur noch heißen:
...
Linux Live CD

fordere mich nicht heraus. So eine Schreibe tut meinem Auge weh.

Zitat:

Zitat von stefanbecker

- Updaten/Absichern nach euren Vorschlägen
- Daten zurückspielen

davor sollten aber diese Daten intensivst überprüft werden.

Zitat:

Zitat von stefanbecker

Alle anderen Ansätze sind meiner Meinung nach sinnbefreit.

Wenn du den Faktor Mensch und im hier nicht unterstützen Umfeld "gewerbliche Nutzung" den Faktor Wirtschaftlichkeit und Kosten-Nutzen-Rechnung nicht berücksichtigst (wobei bei einem gewerblich genutzten Einzel-PC ein Neuaufsetzen oft bis auch wirtschaftlicher ist).
Und ich vermisse eine einen klaren Hinweis auf welchen Befalltyp du dich beziehst.

Und noch ein kleiner Hinweis: Jeden Kunden weise darauf hin - egal bei welchen Befall! -, dass eine Bereinigung immer nur ein "es werden keine Anzeichen mehr erkannt" sein kann und nur eine Neuinstallation ein (temporäres, kurzfristiges - dies sage ich den Kunden teilweise eher nicht) "sicheres" System erzeugen kann.
Was meinst du wie viele Neukunden ich dadurch generiere? Null - die gehen nämlich zum nächsten der behauptet, dass es dann sauber wäre.
Ich mache die Einschränkung vorher trotzdem immer.

Was meinst du wie viele Bestandskunden trotzdem einen Bereinigungsversuch vorziehen? Geschätzte 95+ % - außer die veranschlagten Kosten geben den Ausschlag.

Hallo,

Zitat:

Und dann ging die Bereinigung los:

- Kaspersky Rettungs CD: Was gefunden und beseitigt
- Dann Windows gestartet
- MBAM Quickscan: Was gefunden und beseitigt
- MBAM Fullscan: Was gefunden und beseitigt
- Emisoft Antimalware: Was gefunden und beseitigt
- Super Antispyware: Was gefunden und beseitigt
- ESET Onlinescanner: Was gefunden und beseitigt

Mit sowas kannste ja auch nicht alles bereinigen. Da brauchste OTL und Combofix und evtl. andere Analysetools.

Zitat:

So einer Gurke kann man doch nicht vertrauen.

Richtig - man kann kein Analysetool zu 100% vertrauen.

Zitat:

Parallel dazu habe ich noch mal das Chip Forum verfolgt. Dort wird in jedem Thread eine Neuinstallation vorgeschlagen, was auch wohl sinnvoller ist.

LOL - Jetzt wirds ja wirklich lustig. Chip ist der größte ****** ! Die empfehlen bei aller Art von Malware neuaufsetzen. Wenn Du Dich mehr in das Thema eingelesen hast, dann solltest Du wissen wann man Neuaufsetzen oder bereinigen sollte ...

Zitat:

Bereinigung doch keine 100% Sicherheit

Darauf weisen auch die Experten hin...

Mit clean meint man , wenn alle Logs sauber sind, dann ist es auch sehr wahrscheinlich, dass man sauber ist!

Und mit Chip herzukommen ist wirklich und bei jedem Thread Neuaufsetzen zu empfehlen ist und solche Foren sind

LG

Ihr könnt gerne eure Meinung vertreten.

Mir hat das Testen der letzten Tage vollkommen zur Erkenntnis gereicht, keine Virensuche mehr zu starten. Spart Zeit und bringt 100 % Sicherheit.

Wenn ich alleine an die Zeit denke, die hier mancher Thread braucht: in der Zeit kann ich dir 100 Rechner neu installieren und absichern. Nichts gegen Euch, ich finde so ein Forum und Hilfsbereitschaft hier schon sehr gut. Und bei der derzeitigen Anzahl von Neuinfektionen kann so was lange dauern, ist schon klar.

Aber selbst in den eigenen Threads habt Ihr doch Widersprüche: Der eine empfiehlt bei Rootkits Neuinstallation, in anderen Fällen wird bis zum Ende bereinigt.

Sicherlich sind meine Erfahrungen nicht das neueste aus der Weltraumforschung, nur war es eben interessant, das mal alles selbst auszuprobieren.

Und ganz ehrlich: Die meisten Leute aus meinem Bekanntenkreis wären mit der Anweisung "OTL auf den Desktop speichern und Logfiles hier posten" überfordert.

Und für Rechner anderer Leute hätte ich keine Lust, hier einen Thread aufzumachen und über mehrere Tage Laufzeit eine Bereinigung zu versuchen.

Dann lieber die Neuinstallation mit allen Updates und aktuellen Versionen. Außerdem den Leuten noch den Secunia PSI mit auf den Weg geben und dann hoffen, erst mal Ruhe zu haben

PS: Chip denkt übrigens von der Bereinigung so wie ihr über Chip. Scheint also Liebe auf Gegenseitigkeit zu sein. Von der Zeitung halte ich auch nicht viel. Liegt aber wohl hauptsächlich daran, dass ich nicht zur Zielgruppe gehöre.

Hi Stefan

zuerst einmal: niemand von den Helfern hier hat jemals behauptet, dass er einen PC mit 100%iger Sicherheit bereinigen kann. Dazu steht in unseren Eingangspost immer folgender Hinweis:

Zitat:

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Wenn sich der User dann trotz dieses Hinweises für eine Bereinigung entscheidet. trägt er das Risiko, auf das er ausdrücklich hingewiesen worden ist, selber, auch wenn wir immer versuchen, eine Bereinigung so erfolgreich wie möglich zu gestalten.

Zu den Scannern, die du benutzt hast: Es waren alles reine Malware/Spyware-Scanner, keine Spezialtools, wie wir sie verwenden, angepasst an die jeweilige Infektion (ein Beispiel: Angenommen, du hast dir ein Rootkit auf die Platte eingeladen, was einen Backdoor zur Party mitbringt und die Aktivitäten dieses Backdoors verbirgt (kann auch ein TDL oder sonstige Downloader sein), werden deine "normalen" Scanner nur das finden, was das Rootkit nicht verbirgt. Im Hintergrund hält der verborgene Backdoor/Downloader aber die Fete am Laufen, indem es immer neue Gäste einlädt. Demenstsprechend finden deine Scanner immer wieder neue Schädlinge.). Wir benutzen aber im Gegensatz zu dir der Infektion angepasste Scanner, haben also eine ganz andere Effizienz als du (auch wenn wir, wie schon erwähnt, niemals 100%ige Sicherheit gewährleisten können).
Außerdem wissen wir ja nicht, was deine Scanner so gefunden haben (du hast es uns ja nicht mitgeteilt). Besonders ESET und Emsisoft neigen zu Fehlalrmen bzw. dem Aufzeigen von Dateien, die nicht als klassische Malware zu bezeichnen sind (z.B. Setups, die eine Toolbar mitbringen, Softonic-Zeug usw.). Superantispyware hat auch eine hohe FalsePositive-Quote, außerdem zeigt es auch Cookies an, was die Anzahl der Funde exorbitant in die Höhe treiben und einen User wie dich dazu veranlassen kann, panisch zu reagieren, obwohl von Cookies eigentlich keine Gefahr ausgeht (aber SUPERAntiSpyware trägt ja nicht umsonst diesen Namen). Und dass der MBAM-Fullscan auf einem infizierten PC mehr findet als der Quickscan, dürfte auch dir einleuchtend erscheinen.

Nun zum Chip-Forum. Man mag da geteilter Meinung sein, aber nach meiner Auffassung schleichen in diesem Forum viel zu viele hysterische User herum, die bei jedem kleinen Problemchen direkt "Neuinstallation" proklamieren (egal ob Malware oder nur ein Problem mit der Firefox-Suchleiste). Diese User haben keine Ahnung von der Materie, fühlen sich aber bei jedem Thema befähigt und geradezu genötigt, eine Neuinstallation als unabwendbar hinzustellen. Ob dies im Sinne der Entwickler ist, ist meines Erachtens nach allerdings sehr fragwürdig. Meiner Meinung nach leidet die Qualität dieses Forums unter diesen Usern bzw. hat schon lange einen fast irreparablen Schaden davongetragen. Nicht dass ich hier falsch verstanden werde: Das ist meine persönliche Meinung (abgesehen davon: die Website Chip.de gehört zu meinen Lieblingsseiten im Internet, das Chip-Forum meide ich). Auf diesem Board hier werden aber ausgebildete und damit fähigere User eingesetzt, um Hilfe zu leisten. Die Qualitätseinbußen durch solch hysterisch User wie im Chip.de-Forum waren einer der Gründe, warum hier die Beschränkung eingeführt wurde, dass nur befähigte User hier helfen dürfen (das war nicht immer so, aber man hat aus den vergangenen Zeiten gemernt!). Die Pappnasen, die du für Linuxforen ansprichst, gibt es in jedem Forum der Welt (auch im Chip-Forum). Du wirst sie auch hier finden, allerdings dürfen sie hier ihre Hysterie nicht ausleben.

Abschließend bleibt mir zu sagen, dass jeder User hier kostenfreie (!) Hilfe bekommt. Jeder User hier wird auf die Risiken hingewiesen und sollte sich derer bewusst sein. Somit liegt das Risiko, diesen kostenfreien Dienst hier anzunehmen, in seinen eigenen Händen und nicht in unserer Verantwortung als Helfende. Jeder hat aber auch die Möglichkeit den kostenpflichtigen (und damit nicht unbedingt besseren) Vor-Ort-Pc-Service in Anspruch zu nehmen (der in einigen Fällen dann auch einfach zur Neuinstallation greift, dafür aber ein möglicherweise hohes Honorar verlangt ).

Ich weiß nicht, warum es dir in den Sinn kommt, die Hilfe ehrenamtlicher (!) User hier zu kritisieren und damit zu kompromittieren. Wenn du diese Hilfe als nicht sicher empfindest hindert dich niemand daran, den PC-Laden vor Ort zu konsultieren. niemand zwingt dich hier zu irgendetwas. Aber wenn andere User das Risiko eingehen möchten, um sich Arbeit und möglicherweise viel Geld zu ersparen, solltest du das akzeptieren und solche User nicht weiter verunsichern, als sie es durch die ungewohnte Situation sowieso schon sind.

Verstehe mich nicht falsch, ich weis eure Hilfsbereitschaft schon zu würdigen.

Ich arbeite ja selbst in mehreren Foren im Linux und VM-Bereich mit.

Ich habe mich hier beim Lesen einiger Threads selbst über manche Leute sozusagen mitgeärgert, wenn Support in Echtzeit zum Nulltarif verlangt wird.

Nur komme ich eben am Ende zu einem anderen Schluss als eure Vorgehensweise. Ist meine Meinung, ihr könnt gerne eure haben.

Sicher habt ihr auch mehr Erfahrung mit der Bereinigung als ich.

Aber wie ich sagte: Die teilweise schon lange Zeit für eine Bereinigung wäre echt nicht mein Ding. Zu aufwändig, das nebenbei nach Feierabend zu machen.

Zitat:

Zitat von Gary12345

Chip ist der größte ****** !

ich wollte es diesmal nicht schreiben, sonst heißt es wieder, Shadow der auf Bild äh Chip immer so abfährt.

Zitat:

Zitat von stefanbecker

und bringt 100 % Sicherheit.

Nein, sicherlich in der Praxis nicht. Schau dir doch an, wie Nutzer ihr System neu aufsetzen. Manche glauben sogar noch, sie würden es analog unserer Anleitung machen - und dann wars doch nur eine Zweit- oder Überinstallation o.ä.

Zitat:

Zitat von stefanbecker

Wenn ich alleine an die Zeit denke, die hier mancher Thread braucht

Das ja.
Siehe aber auch oben mein Beitrag.

Zitat:

Zitat von stefanbecker

Aber selbst in den eigenen Threads habt Ihr doch Widersprüche: Der eine empfiehlt bei Rootkits Neuinstallation, in anderen Fällen wird bis zum Ende bereinigt.

Na und? Hier ist keien Diktatur, hier wird für abweichende eigene Meinung keiner in den GUlAg geschickt.

Zitat:

Zitat von stefanbecker

Und ganz ehrlich: Die meisten Leute aus meinem Bekanntenkreis wären mit der Anweisung "OTL auf den Desktop speichern und Logfiles hier posten" überfordert.

Ganz ehrlich, die sind mit sauber Neuinstallieren und sauber Absichern auch überfordert.

Zitat:

Zitat von stefanbecker

Außerdem den Leuten noch den Secunia PSI mit auf den Weg geben

der ideale Weg um sie dumm zu halten, damit lernen sie nie ein System ordentlich selber zu warten.
Dies mag fallweise der bessere Weg sein.

Zitat:

Zitat von stefanbecker

Chip denkt übrigens von der Bereinigung so wie ihr über Chip.

Chip kann denken? Wer bezahlt, wer schaltet dafür Anzeigen?

Zitat:

Zitat von stefanbecker

Von der Zeitung

Zeitschrift

Zitat:

Zitat von stefanbecker

Liegt aber wohl hauptsächlich daran, dass ich nicht zur Zielgruppe gehöre.

Die wäre

Du hast meine zweimalige Frage nach "eine einen klaren Hinweis auf welchen Befalltyp du dich beziehst" wohl geflissentlich nicht beantwortet.

Mit Malware meinte ich natürlich nicht Photoshop oder Paint.Net, sondern eher die aktuellen BKA-Trojaner und Fake AVs wie z. B. dieser Live Platinum Security "Antivirus".

In einem Fall hatte ich halt einen Fake AV inkl. Zero Access Rootkit. Mit Kaspersky Live CD und anschließend MBAM hatte ich das "bereinigt". Und zwar in der Form, dass keine Meldungen mehr kamen. Trauen würde ich dem Braten selbst aber nicht.

Das man bei einer blöden Toolbar wie Ask oder Mystart nicht direkt den Hammer rausholen muss, ist mir auch klar. Aber bei zuvor genanntem Zeugs traue ich keinem Scanner, auch nicht den von euch angewendeten.

Ausnahme wäre eventuell OTL-PE, weil da ja das Windows nicht selbst aktiv ist und damit das Rootkit nichts verstecken kann.

Ich habe auch nichts dokumentiert, einfach wild drauf los "installiert" mit Anhängen von SPAM-Mail und MDL-Links, einfach mal um einen persönlichen Eindruck zu erhalten. Um nicht mehr und nicht weniger ging es mir.

Und genau wie ihr untereinander abweichende Meinungen habt, kann ich eben auch eine andere haben als eure.

Sei jedem gegönnt, wir wollen ja auch nicht die gegenseitigen Leistungen und Erfahrungen abwerten, sondern nur Erfahrungen austauschen.

Und zur letzten Frage: Ich arbeite beruflich als Softwareentwickler und in der Freizeit mit Linux bzw. selbst zusammengebauten PCs. Damit gehöre ich eindeutig nicht zur Chip-Zielgruppe

Hallo,

Zitat:

Mit Kaspersky Live CD und anschließend MBAM hatte ich das "bereinigt". Und zwar in der Form, dass keine Meldungen mehr kamen. Trauen würde ich dem Braten selbst aber nicht.

LOL - das kann man nicht bereinigen nennen

Bei einer solchen Infektion müssen alle Scanner benutzt werden im Gegensatz zu anderen Infektionen oder der befallene PC muss neuaufgesetzt werden.

Zitat:

ich wollte es diesmal nicht schreiben, sonst heißt es wieder, Shadow der auf Bild äh Chip immer so abfährt.

Ich sage nur meine Meinugn welcher ********************** Chip ist.
LG

Zitat:

Zitat von Gary12345

LOL - das kann man nicht bereinigen nennen

Ich habe ja auch "bereinigt" geschrieben. Die Bedeutung von " sollte klar sein.

Ich würde hierbei nichts und niemandem trauen, solange Windows aktiv gestartet ist, sind doch alle Untersuchungsergebnisse für den Mülleimer.

Wenn Du während der Bereinigung den Rechner von Netz nimmst kann der Backdoor nix besonderes machen

Und wer macht das? Du musst doch schon immer ins Netz, um die neuesten Tools zu holen. Ist halt nicht jeder "so gut bestückt"

PS: Meine natürlich die Anzahl der PCs

Für 5 Minuten die Tools zu holen machst jetzt auch nix mehr aus

Stefan Becker:
Ich beziehe mich mal auf den Beitrag in linuxforen in dem du nach Tipps zur Bereinigung einer Windows Kiste fragtest :

Dort hattest du geschrieben dass dir das Neuaufsetzen der "verwurmten" Kiste deines Bekannten zu viel Arbeit sei und dass du dich deswegen mit den diversen Scannern beschäftigt hattest...

Hast du deine Meinung geändert ? Würdest du mittlerweile auch in so einem Fall gleich neu aufsetzen -weil es weniger Arbeit wäre - ?

Ja, würde ich.

Weil ich nach den Versuchen dieser Vorgehensweise 0 Vertrauen entgegenbringe. Man lernt ja dazu.