Zunächst einmal ist das TB eines der wenigen großen Boards, welches momentan zu : "In dubio contra reo" rät.
In den großen englisch-sprachigen wird alles bereinigt; aber weiter im Text.
Natürlich ist es paranoid jede "kleine" Infektion mit Tabula Rasa zu begegnen.
Was heißt z.B.schon Downloader? Da kann alles mögliche kommen, aber nicht immer unbedingt ein versteckter Kontrollmechanismus, welcher auch erstmal installiert werden muß. Die bösen Jungs lassen sich sowieso lieber über Lücken im OS oder über Trojaner installieren (sehr pauschalisiert). In beiden Fällen ist der User Schuld.

Und eine Systembereinigung ist erforderlich bei Kompromittierung. Aber nicht alles was infiziert ist, ist kompromittiert.

Solange es sicher erscheint, dass kein Dritter die Hand im Spiel hatte kann man bereinigen. Sieht natürlich anders aus, wenn z.B. ein XP-User kein SP2 auf dem Rechner hatte. Da ist nur noch zur Neuinstallation anzuraten, da von grundauf versaut.

Cronos, da stimm ich Dir zu!
Allerdings ist es mir schön häufiger aufgefallen, dass ein auf dem ersten Blick "harmlos befallenes" System garnicht so einfach zu bereinigen ist und der Aufwand (auch zeitlich gesehen) recht hoch ist. Da könnte man dann schon eher an ein Neuaufsetzen denken.

Nochmal was zu diesem Thema:
Machen wir uns da nichts vor: In erster Linie geht es doch darum, jegliche Infektion zu vermeiden, dafür trifft man sämtliche Maßnahmen, man surft z.B. nicht mit Root-Rechten, verbannt sämtliche unsichere Software wie den IE oder Outlook, beendet unnötige Dienste etc. pp. Und falls doch bei soviel Vorsichtigkeit doch was Schädliches installiert wurde, hat man ja immer sein aktuelles Backup in der Hand
Ich behaupte damit: Eine Bereinigung ist nicht mehr als eine Notlösung!
Es gibt zwar viele Fälle, in denen eine solche zum (außer Backdoorbefall) Erfolg führt, aber
1. kann man nie mit Sicherheit behaupten, dass man _alles_ Schädliche entfernt und v.a. dessen daraus resultierenden Änderungen am System rückgängig machen konnte,
2. ist eine solche Bereinigung nicht gerade mal in fünf Minuten erledigt,
3. müssen Backups sowieso regelmäßig angefertigt werden, gegen den "Schädling" W32/hdd.crash ist m. W. noch kein Kraut gewachsen.

Allerdings muss man nat. sagen, dass der ONU sich um Thema Backups kaum Gedanken macht. Und das ist das Ding, denn hier liegt der Hase im Pfeffer. Man bzw. der ONU versucht sich bis an die Zähne zu "bewaffnen" mit allen möglichen "Security-Tools", sei es ein Virenscanner, eine Personal-Firewall oder eine Anti-Spam-Software. Nur leider wurde das Blickfeld auf die "unangenehmen" Softwarelösungen wie Norton Ghost, Acronis und Co. kaum ein Auge drauf geworfen.
Wenn sich das in Zukunft ändert, wird es auch kein Problem mehr sein, sein System neu aufzusetzen (von Image).

Das eigentliche Grundproblem bleibt aber nach wie vor bestehen, nämlich der User. Ob er durch eine Formatierung sein Fehlverhalten erkennt, mag zwar in der ersten Zeit nach dem Neuaufsetzen möglich sein. Spätestens nach einigen Wochen wird er sich aber trotzalledem wieder an ein Forum wenden und um Hilfestellung bitten. Dies gilt bei einer Formatierung genauso wie bei einer Systembereinigung...

Ja, da hast Du recht. Es kommt nat. auf jeden Fall auch auf die richtige Einstellung des Users an. Und auf die Grundabsicherung des Systems.
So wie von mir geschildert wird es wohl der Idealfall sein. Die Mehrzahl der ONUs will eben einfach nur den PC benutzen und sich nicht um lästige Sachen wie Backups etc. kümmern. Dann wird eben nur irgendein "Rundum-Sorglos-Paket" installiert und schon ist alles in Butter

Zitat:

Zitat von cosinus

... verbannt sämtliche unsichere Software wie den IE oder Outlook,

ach, so unsicher ist Outlook in der Version 2003 auch nicht mehr (bzw. recht gut einstellbar) und Outlook IST einfach immer noch deutlich komfortabler und besser nutzbar als Thunderbird und in Unternehmensnetzen teilweise einfach ein Muss. Allerdings vermisse ich hier deutlich als negatives Programm Outlook Express. Dies lässt sich wirklich komplett und mehr als ebenbürdig durch Thunderbird ersetzen.
Habe einigen Kunden ungefragt beim wechsel von WinDOS auf NT5.x einfach OutlookExpress durch Thunderbird ersetzt und die haben es garnicht bemerkt. "Schaut halt anders aus", aber das tut NT5 auch.

Outlook Express ist 100 %ig ersetzbar - und sollte auch 100 %ig ersetzt werden
Der Internet Explorer ist leider nicht 100 %ig ersetzbar, Windows/Office-Update verlangen da nach und leider immer noch einige Websites (insbesondere auch Unternehmens-Extra- und Intranets. Das Intranet sollte ja definitiv keine Gefährdung darstellen, aber es erzwingt eventuell den IE und einem "tumben" (i.S.v. IT-fernen) Sachbearbeiter dies klar machen ...).
Outlook ist im privaten Umfeld IMHO einfach unnötig und somit ersetzbar, im Unternehmenseinsatz aber nicht nur wegen Exchange oder BCM nicht so einfach ersetzbar (Lotus Notes wäre wohl eine Alternative, soll aber auch so seine Hämmer haben). OL hat einfach auch noch eine deutlich höhere Usability als die meisten Konkurrenten.

Zitat:

Zitat von Shadow

ach, so unsicher ist Outlook in der Version 2003 auch nicht... Allerdings vermisse ich hier deutlich als negatives Programm Outlook Express.

MSO gilt schon seit Langem (ich denke, ab MSO 2000), als ein gutes Mail (nicht nur)-Programm. IMHO hat cosinus in seinem Posting einfach das Wort "Express" vergessen .

Zitat:

Zitat von Rene-gad

... einfach das Wort "Express" vergessen .

glaubst du?

Ein großer Vorteil der Version 2003 (gegenüber Vorgängern) ist, dass man das Nachladen von Bildern in (-) HTML-Mails verhindern kann und standardmäßig verhindert hat. Sowas ist AFAIK auch in OL2002 noch nicht möglich (aber im Thunderbird).
Auch der konfigurierbare (statische) Junk-Mailfilter unterscheidets von den Vorgängerversionen, aber nicht viel von Thunderbird (ist AFAIK aber "lernfähig")

Ok, mag sein, dass das "richtige" Outlook in den neuen Versionen nicht mehr so unsicher ist, sofern richtig konfigutiert etc. pp. Abgesehen davon hängt ja bekanntlich auch viel vom Verhalten des Nutzers ab. Der ONU kann ein noch so sicheres Mailprogramm verwenden, wenn er selber einen Mailwurm-Anhang öffnet. Viele können auf Outlook auch garnicht verzichten, z.B. wegen der Terminkalenderfunktion, die z.B. mit Mozilla Sunbird nicht wirklich realisierbar sind m.W.

Es gibt kein "richtiges" und "falsches" Outlook.
Aber es gibt Outlook und Outlook Express, letzteres hat mit Outlook so gut wie nichts zu tun, außer ähnlichem Namen (so wie bei Java und Java-Script), dem selben Konzern als Hersteller (aber andere Abteilung) und dass beide Programme (auch) E-Mail-Programme sind.

Deswegen ja "richtiges" Outlook, also das ohne "Express", aber das alles mit einem

Nochmal was zu diesem Thema:
Es kommt immer wieder vor, dass Hilfesuchende ihre Logfiles posten und die Helper dann den TO bitten z.B. diese und jene Datei auswerten zu lassen. Häufig passiert es, dass diese Datei sich nicht auswerten lässt, da der aktive Schädling den Zugriff auf "sich selbst" untersagt. Nicht selten ist es auch im abgesicherten Modus so.
Man könnte dem TO raten, er solle sich eine Notfall-CD wie Knoppix, BartPE oder so besorgen, damit er die beanstandete Datei auf einen ext. Datenträger kopieren kann, um ihn dann woanders auswerten zu lassen. Aber wenn man an den Aufwand denkt, denn viele TO sind (mit Verlaub gesagt) gerademal in der Lage den Anweisungen zu folgen, wie ein HJT-Log erstellt und gepostet wird.
Ist da der Aufwand wert, wirklich JEDE im Log gefundene Malware genau zu erkennen, um dann zu sagen, dass er eh neu aufsetzen muss?
Ich sage nein. Sobald eine verdächtige Datei im HJT-Log gefunden wird, die nicht auf einfachem Wege ausgewertet werden kann, sollte das System nach Anleitung neu aufgesetzt werden. Man verbringt Stunden vlllt. sogar Tage damit den Schädling überhaupt zu identifizieren (aus der Ferne), aber das einfachste und sicherste ist das Neuaufsetzen.

Hallo.

Ich muss diesen Thread nochmals ausbuddeln um mir mal Luft zu machen!
Da ich in den letzten Tagen nur stiller Mitleser war, ist mir einiges hier im Board aufgefallen.

Und zwar das sowohl neue User als auch "alte Hasen" mit dem Wort -> NEUINSTALLATION die Beiträge bombadieren.

Vor allem bei so gravierenden Infizierungen wie Swizoor.A, Trojan Vundo/Virtumonde, diversen Codec-Packs, Trojan-Clicker etc.

Ohne hier diesen Diskussions-Thread wieder zu entflammen, bitte ich darum wirklich nur dann zu posten wenn:

a) eine Kompromittierung eindeutig und durch Einzelauswertungen bewiesen wird

b) wenn es nicht doch eine Möglichkeit gibt, natürlich im Rahmen der Fähigkeiten des TO, eine Systembereinigung durchzuführen

c) wenn man es dem TO zumindest freistellt ob Neuinstallation oder Bereinigung (mit Hinweise auf die Systemsicherheit!

Es wird vielen Usern hier im Board die Kapitulation des Systems erzwungen, und ich finde nicht das dies der Weg und die Ideologie des Forums Trojaner-Board.de sein soll/muss.

Sicherheit geht vor, aber ganz ehrlich, dann bräuchten wir nur eine "Goldene Regel"

Zitat:

Probleme mit Virus/Wurm/Trojaner/Malware jeglicher Art??!!

Hier gehts weiter für dich --> http://www.trojaner-board.de/12154-a...sicherung.html

m.M.

Ach ja, ich sag's seit Jahren 1.) und 2.)

Man muss/müsste halt auch in diesem Fall das schwabbelige Zeug hinter den Augenhöhlen nutzen.

Zitat:

Zitat von Shadow

Ach ja, ich sag's seit Jahren 1.) und 2.)

Dazu möchte ich nochmal einen Link rausholen welchen ich gerade von Mobius zu diesem Thema geschickt bekam:

http://www.nickles.de/static_cache/538246676.html


Vor allem diese Passage fand ich sehr ermutigend und motivierend:

Zitat:

naja, das is wohl das einfachste aber nicht das was meine daten erhalten lässt.
Löscht man die sache "richtig" dann ist das system auch wieder flott.

Ich habe jetzt seit jahren das gleiche system drauf und das erste mal nen virus oder sowas.


Auf jeden fall wurde mir auf www.Trojaner-Board.de geholfen, ohne das system neu aufzusetzen.

Es ist auch bisschen schlampig von euch, einfach Tips zu geben ohne logdatei oder sonstiges
alleine aufgrund meiner erläuterung. Auf dem trojanerboard bekommt man links zu scannern, die
ich vorher noch nie gehört hatte. Die logdatei von HijackThis werten sie auch gleich aus, einfach
klasse. Zusätzlich haben die leute dort einfach ahnung und schreiben net einfach irgenwas, das helfen "könnte"....

Sowas will ich hören...und lesen, alles andere schadet nur "unserem" Forenruf