Hallo Zusammen,
also, wie man sieht, läuft schon diese Diskussion auf Hochtouren !
Und wie in jeder Diskussion jeder Diskutierender (bin nicht frauenfeindlich gelaunt, sehe einfach noch keine Frau hier) hat zu gleichen Teilen recht und Unrecht.
Lassen wir uns mal schauen, wie läuft jetzt alles im Board ab.
Ein Newbie postet: Hilfe, ich habe Problem... blah, blah, blah.
Der erste Re-Post von Regular: Poste HJT-Log.
Was für mich als Nächstes logisch erscheint: ... und werte ihn selbst aus. Da siest du ganz genau, wie viele Ausrufe- und Fragezeichen du hast...
Aber - Fehlanzeige.
Nächster Posting: das ist mein Log, kannst du damit anfangen?
Dann geht die Aufklärungskampanie los: wie und wo bei Windows ist, womit unterscheidet sich IE vom WinExplorer etc.
Das Ganze dauert Stunden, nicht selten auch Tage.
Konnt ihr euch vorstellen, wie viele Recher sind innerhalb dieser Zeit von einem verseuchten Newbies PC infiziert werden könnten?
Das ist mit einer Kettenreaktion vergleichbar.
Und hier geht es bloß nicht um Firmen-Netzwerke, dort ist Netzwerkadmin (d.h. ein(e) Mann/Frau mit entsprechder Ausbildung) für Security zuständig, also die Argumente von Jürgen Schmidt schlagen hier, im TB, fehl.
Alternative? Ich sehe auch 2. Aber nur für diejenige, die schon mal SWH erfolgreich abgeschaltet haben und ein Paar Dienste zum Deaktivieren ohne Systemabsturz brachten, d.h. für Leute mit IT-Vorkenntnissen.
Alternative 1: von Knoppix-CD booten, vorhandenes AV aktualisieren (Fsecure, Fprot oder NAV(?)), Win-Systemlaufwerk und ggf. alle Laufwerke prüfen. So geht nämlich unser System-Admin vor.
Alternative 2: eine Extra -Windows-Partition anlegen, die nur in diesem fall benutzt wird, von der booten, AV/Spybot S&D/Adaware/laaaange Liste... aktualisieren, Hauptpartition säubern.
Die Beiden schaffen aber PC-Anfänger nicht.
Deswegen bleibe ich hier auf meiner Position: format c:\ ist die einzige Methode , die im TB empfohlen werden muss.

@Rene-gade
Dieser Aufassung unter diesen von Dir gebrachten Einschränkungen kann ich sogar zustimmen.
Aber in der Eingangsfrage von Lutz habe ich die Einschränkung auf DAUs am TB nicht gelesen. Hallo Herr Fielmann, es ist dringend!

Hi Shadow

Zitat:

Aber in der Eingangsfrage von Lutz habe ich die Einschränkung auf DAUs am TB nicht gelesen.

Wo hast du in meinem Beitrag diese Abkürzung gelesen? Wie wäre's mit Fielmann?

[QUOTE=Rene-gad]
Lassen wir uns mal schauen, wie läuft jetzt alles im Board ab.
Ein Newbie postet: Hilfe, ich habe Problem... blah, blah, blah.
Der erste Re-Post von Regular: Poste HJT-Log.
Was für mich als Nächstes logisch erscheint: ... und werte ihn selbst aus. Da siest du ganz genau, wie viele Ausrufe- und Fragezeichen du hast...
Aber - Fehlanzeige.
Nächster Posting: das ist mein Log, kannst du damit anfangen?
Dann geht die Aufklärungskampanie los: wie und wo bei Windows ist, womit unterscheidet sich IE vom WinExplorer etc.
Das Ganze dauert Stunden, nicht selten auch Tage.
Konnt ihr euch vorstellen, wie viele Recher sind innerhalb dieser Zeit von einem verseuchten Newbies PC infiziert werden könnten?
Das ist mit einer Kettenreaktion vergleichbar.

Rene-gad hat hier durchaus recht, manche Threads gehen weit über 50 postings hinaus und dauern mehrere Tage.
In dieser Zeit läßt sich einen "normalen" PC doch gut neu aufsetzen und einrichten.

Nur, die meiste User die hier um Rat fragen, wollen mit aller Gewalt ihr "System säubern". Sie haben mehr Angst ihr System neu aufsetzen("da kenn ich mich nicht aus"), als stundenlang mit unbekannte programme zu probieren etwas zu reinigen was nicht zu reinigen ist.
Links werden kaum angeschaut statt gelesen.
Ups, OT?

chaosman

Zitat:

Zitat von Shadow

Aber in der Eingangsfrage von Lutz habe ich die Einschränkung auf DAUs am TB nicht gelesen.

Ich habe zwar ursprünglich schon eher in Richtung (...urgs... nein DAU schreibe ich jetzt nicht auch noch) Anfänger gedacht, aber bei meinen zitierten Damen und Herren X und Y habe ich gleichwohl auch an Rechner in einer beruflichen Umgebung gedacht...
Sprich ich möchte es aus der Sicht des Schadroutine der jeweiligen Malware betrachtet wissen und nicht vom Un(Vermögen) des Betroffenen abhängig machen.

Nachtrag:
Es geht mir hierbei im Moment allerdings nicht so sehr um die -durchaus berechtigte- Frage, mit welchen Mitteln ich in solchen Fällen Vorsorge zu treffen versuche. Dies wäre imho ein Punkt für mindestens eine weitere Diskussion...

Zitat:

Zitat von Lutz

Bei einem Backdoor-Trojaner unterschreibe ich die Notwendigkeit einer Neuinstallation qausi 'blind'.

warum?
wenn du mit backdoor-trojaner einen fullfeatured rat wie subseven oder optixpro meinst, um mal die gegenwärtig immer noch am meisten genutzten trojaner zu nennen, dann gibt es keinen anlass für eine neuinstallation.
99% dieser tools werden über die üblichen reg-keys gestartet oder eben die system- bzw. win.ini.
diese einträge zu finden und zu löschen dürfte auch für einen unerfahrenen user keine schwierigkeit sein. ist das erstmal geschehen, dann ist schonmal sichergestellt, daß der server beim nächsten neustart nicht mit startet.
er liegt dann passiv auf der platte und kann ebenfalls leicht gefunden und gelöscht werden.

Zitat:

Bei Spy- und Adware stufe ich eine weitere Gefährdung nach einer Bereinigung als eher gering ein. Schlimmer ist es hier schon, dass u. U. vertrauliche Informationen (Passwörter, Bankverbindung, Kreditkartennummern...) weitergereicht worden sein können. Dieser Umstand wird aber auch durch eine Neuinstallation des Systems nicht rückgängig gemacht. Insofern habe ich dadurch nicht viel gewonnen.

richtig...das gleiche gilt für trojaner...

Zitat:

Auch dem klassischen Massmailer-Wurm ist in der Regel durch saubere Entfernung beizukommen, ohne dass ich das System neu aufsetze.

...to be continued...

Also bleibt für mich vorerst die Neuinstallation eines kompromitierten (urgs - ich liebe dieses Wort... ) Systems nicht das Mittel der allzeit richtigen Wahl.

würde ich nur dann empfehlen, wenn der rechner von mehreren, nicht eindeutig identifizierbaren schädlingen befallen wurde.
eine Neuinstallation ist also eigentlich die notbremse für einen ausnahmefall.alles andere kann mit wenig zeitaufwand und minimalen kenntnissen wieder bereinigt werden...

Bolivar di Griz, einfach geil!
LG, Hmm, Wusel

Es geht in dem Zusammenhang in erster Linie um diverse Rbot-Varianten und auch gar nicht mal um diese selbst, also eindeutig identifizierte Schädlinge, sondern vielmehr um die Tatsache, dass die Möglichkeit bestand, dass das System über diese mit weiteren, besser versteckten und nicht ohne größeren Aufwand zu entdeckenden Schädligen infiziert wurde.

Wer sich längere Zeit damit beschäftigt hat, völlig unbedarfteren Usern bei solchen Problemen zu helfen, wird auch ganz sicher nicht die Begriffe "minimale Kenntnisse" und "geringer Zeitaufwand" in einem Satz verwenden. In solchen Fällen dauert eine Bereinigung tatsächlich nicht selten länger als eine Neuinstallation an Zeit kosten würde, weil jedes kleinste Detail nachgefragt, dann die Häfte vergessen oder zwischendurch einfach auf eigene Faust etwas gelöscht wird und ähnliche Dinge.

Zitat:

Zitat von MountainKing

Es geht in dem Zusammenhang in erster Linie um diverse Rbot-Varianten und auch gar nicht mal um diese selbst...

ok...aber dann haben wir keine grundsatzdiskussion mehr, sondern beschäftigen uns mit einem sonderfall...

Zitat:

... sondern vielmehr um die Tatsache, dass die Möglichkeit bestand, dass das System über diese mit weiteren, besser versteckten und nicht ohne größeren Aufwand zu entdeckenden Schädligen infiziert wurde.

mit ausnahme von hijackern, ist diese möglichkeit immer gegeben, egal ob virus ,wurm oder backdoor...einen nachträglichen download könnten sie alle 3 durchführen...

Zitat:

Wer sich längere Zeit damit beschäftigt hat, völlig unbedarfteren Usern bei solchen Problemen zu helfen, wird auch ganz sicher nicht die Begriffe "minimale Kenntnisse" und "geringer Zeitaufwand" in einem Satz verwenden. In solchen Fällen dauert eine Bereinigung tatsächlich nicht selten länger als eine Neuinstallation an Zeit kosten würde, weil jedes kleinste Detail nachgefragt, dann die Häfte vergessen oder zwischendurch einfach auf eigene Faust etwas gelöscht wird und ähnliche Dinge.

da wirst du sicher nicht ganz unrecht haben...

DAU war von mir wertfrei im Sinne von Benutzer ohne Kenntnis und Verständnis gemeint. Ist dies auch noch mit einer gewissen Lernresistenz gepaart, ist zwar für den "Helfer" eine Neuinstallation sicher das beste Mittel, allerdings - da lernresistent - meist nur von kurzem Erfolg.

Bringt man einem Nutzer ohne Kenntnis aber mit Verständnis, Lernwilligkeit und Lernfähigkeit den steinigen Weg der Suche und (eventuell sogar vergeblichen) Reinigung bei, so hat dieser Nutzer (und seine Umwelt) sehr viel davon.

Unter minimale Kenntnisse würde ich übrigens auch die Fähigkeit einordnet zwischen einem Trojaner und einem RAT/Backdoor unterscheiden zu können.
(Selbstverständlich kann ein Backdoor-Programm als Trojaner ankommen, nur ist nicht jeder Trojaner gleich ein Backdoor-Programm)

"ok...aber dann haben wir keine grundsatzdiskussion mehr, sondern beschäftigen uns mit einem sonderfall..."

Kein Sonderfall, sondern in unserem Zusammenhang die Regel, wenn es um Backdoors geht, Ich habe hier zumindest noch keinen mit Subseven infizierten Rechner gesehen.


"mit ausnahme von hijackern, ist diese möglichkeit immer gegeben, egal ob virus ,wurm oder backdoor...einen nachträglichen download könnten sie alle 3 durchführen..."

Das stimmt so pauschal kaum. Nicht jeder Virus oder Wurm besitzt von Haus aus eine entsprechende Funktion. Worum es geht, sind die Trojaner/Backdoors, die als Dienst laufen und Fremden direkten Zugriff auf mein System inklusive Möglichkeiten nahezu unbegrenzter Manipulation geben. In diesem Fall zu versuchen, diese Manipulationen zu entdecken oder auszuschließen, ist für Laien oder über Internet-Beratung einfach ein viel zu großer Aufwand, da ist eine Neuinstallation das einzig Vertretbare.

Kombinieren wir doch einfach mal zwei aktuell anzutreffende Schädlinge: der User installiert sich eine Rbot-Variante, ein Angreifer installiert darüber Aluroot nach. In HJT taucht nur Rbot auf, wird daraufhin gelöscht und der Rechner ist scheinbar sauber. Dieses Szenario ist aber nicht einfach bei jedem Schädling exakt genauso möglich.

Zitat:

Zitat von MountainKing

"mit ausnahme von hijackern, ist diese möglichkeit immer gegeben, egal ob virus ,wurm oder backdoor...einen nachträglichen download könnten sie alle 3 durchführen..."

Das stimmt so pauschal kaum.

Ich glaube er hat die theoretische Möglichkeit gemeint, dass ein Wurm, Virus oder Trojaner eine "Nachlademöglichkeit" haben könnte!

Zitat:

Zitat von MountainKing

Kombinieren wir doch einfach mal zwei aktuell anzutreffende Schädlinge: der User installiert sich eine Rbot-Variante, ein Angreifer installiert darüber Aluroot nach. In HJT taucht nur Rbot auf, wird daraufhin gelöscht und der Rechner ist scheinbar sauber. Dieses Szenario ist aber nicht einfach bei jedem Schädling exakt genauso möglich.

Naja, wer versucht eine ernsthafte Malware (nur) mit HJT zu entfernen, ist selber schuld.
Auch wenn selbstverständlich nicht jede Malware überhaupt erkannt wird.
Jedes AV-Programm hat seine Lücken.

Zitat:

Zitat von Bolivar di Griz

warum?
wenn du mit backdoor-trojaner einen fullfeatured rat wie subseven oder optixpro meinst, um mal die gegenwärtig immer noch am meisten genutzten trojaner zu nennen, dann gibt es keinen anlass für eine neuinstallation.
99% dieser tools werden über die üblichen reg-keys gestartet oder eben die system- bzw. win.ini.

Gut, die 'gängigen Backdoors' selbst herauszufinden ist vielleicht noch möglich.
Wobei ich die Worte

Zitat:

einen unerfahrenen user keine schwierigkeit

aus meiner allgemeinen Erfahrung nicht unterschreiben würde. Aber selbst, wenn es gelingt, diese zu entfernen, halte ich es nicht mehr für verhältnismäßig, zu erforschen, was die 'Gegenseite' in der Zwischenzeit alles manipuliert hat. Gut, aus 'Spaß an der Sache' könnte man sich daranbegeben, wenn genügend Zeit vorhanden ist, aber verhältnismäßig finde ich das dann nicht mehr.

Ich lass mich aber auch vom Gegenteil überzeugen. Dafür diskutiert man ja.

Zitat:

eine Neuinstallation ist also eigentlich die notbremse für einen ausnahmefall.

Mein reden....

Zitat:

Aber selbst, wenn es gelingt, diese zu entfernen, halte ich es nicht mehr für verhältnismäßig, zu erforschen, was die 'Gegenseite' in der Zwischenzeit alles manipuliert hat.

Diese Aussage wird ja so oder so ähnlich immer wieder gemacht.
Lutz, könntest Du sie vielleicht etwas näher erklären?

Gehen wir mal davon aus, jemand ist in der Lage, einen oder mehrere Trojaner vollständig zu entfernen.
Dann haben wir einen grundsätzlich sauberen Rechner, auf dem aber bedingt durch den Trojaner einige Fehlfunktionen sein könnten, aus welchem Grund auch immer, weil einzelne Dateien gelöscht worden sind, verschoben worden sind, was auch immer.
Diese möglichen Fehler wären zwar ärgerlich, aber ja nicht im eigentlichen Sinn gefährlich, wenn der Trojaner weg ist. Sollten Fehler auftreten, kann man dann bei Bedarf immer noch an eine Neuinstallation denken.
Unter diesem Gesichtspunkt verstehe ich Deine eher grundsätzliche Aussage nicht.

So, jetzt mal meinen Senf

Wann macht man ein System platt.
Sicher nicht by Hijackern oder Konsorten.

Ein System ist meiner Meinung platt zu machen, wenn schwerwiegend in dieses eingebrochen worden ist, bzw. alleine nur die Möglichkeit besteht,
Ich gehe davon aus, dass alle Leute, die hier ihr leid klagen, Internet besitzen.

Ausgehend von HijackThis gehen wir ja das Problem an.
Eigentlich halt ich es so- mir diesen erst anzusehen, als Hilfe und zu Vereinfachung die automatische Auswertung herbeizuziehen
Sollte der Log einigermassen gut aussehen, oder keinen Escan fordern plädiere ich zumeist auf ein Update von Windows.Und denke am entferntesten an ein plattmachen des ganzen
"Dem Jung kann geholfen werden"
Dann sollen se noch mal nen neuen Log posten.
Wenn escan schlimmeres zutage trägt...kann man was dazu sagen



Ich find die Frage, ob man ein OS plattmachen soll gar nicht so wild, da die Leute, die hier unter anderem schwere Probleme mit ihrem PC haben, sowieso besser mit nem neu aufgesetztem OS dran wären.Wemm sie dann noch Cidres Tipp dabei befolgen.Um so besser

Gruss


Cronos

P.S: Finde es nicht gut , wenn man Leute auf die automatische Auswertung hinweist. Die machen sich evtl. eher mehr kaputt, als dass se reparieren