Zitat:

Man könnte natürlich knallhart sagen (...) durch Neuinstallation wieder ein vertrauenswürdiger Zustand hergestellt werden und dann entsprechende Änderungen vorgenommen werden sollten. Das würde wahrscheinlich den absoluten Sicherheitsanforderungen entsprechen...

Müssten wir nicht -wenn wir so knallhart sein wollten- sogar soweit gehen und sagen, nach Neuinstallation und Einspielung aller Patches, u. dgl. muss zwingend ein Image gemacht werden, welches bei jedem Start des Rechners als erstes (automatisch) zurückgeladen wird und dieses Image nur durch zukünftige Patches u. dgl. verändert werden darf?
Das wäre für mich dann die notwendige Konsequentz, in der Realität aber imho kaum machbar.

Dann will ich mal etwas weiter ausholen...

Ich geh von dem Grundsatz der Verhälnismäßigkeit aus. Sprich: Bereinigung wenn möglich - Neuinstallation wenn nötig
Kaum jemand wir Spaß daran haben, sein System neu aufzusetzen, dann sollte dies wenn sinnvoll auch vermieden werden.

Gut, jetzt kann man hergehen und sagen, eine Bereinigung ist nie sinnvoll oder vertrauenswürdig möglich. Dann braucht man auch nicht weiter zu diskutieren. Aber ich möchte es mir nicht so einfach machen. Auch dieses Thema hat imho mehr zu bieten als schwarz-weiß-denken. Unterstellt man zurecht Malware einen 'bösen' Zweck, so sehe ich hier durchaus auch Abstufungen in der Bedrohung.

Ohne jetzt eine der vielen im Web auffindbaren Definitionen von verschiedener Malware zu zitieren, sollte imho erster Ansatzpunkt sein zu wissen, was der Inifzierende (also derjenige, welcher die Malware in umlauf bringt) damit bezwecken will. Ohne dieses Wissen kann ich nicht unter Einhaltung der Verhältnismäßigkeit problemorientiert handeln.

Unstrittig dürften für uns alle sämtliche Trojaner mit Backdoorfunktionalität sein (Fälle eines bewusst installierten RAT klammere ich hierbei einmal bewusst aus). Hier muss der Betroffene davon ausgehen, dass ein mittelbarer oder sogar unmittelbarer (oftmals finanzieller) Schaden für den Betroffenen oder einen Dritten 'erreicht' werden soll.

Bei einem Backdoor-Trojaner unterschreibe ich die Notwendigkeit einer Neuinstallation qausi 'blind'.

Schwieriger wird es für mich -wie es auch MountainKing bereits schrieb- bei den Trojaner-Downloadern. Hier muss man zunächst feststellen (können), was dieser Downloader herunterzuladen versucht. Leider ist dies meiner Erfahrung nach gerade bei dieser Spezies nicht immer einfach herauszufinden, da die div. AV-Hersteller der Malware die unterschiedlichsten Namen und sogar 'Typbezeichnungen' zuordnen, auch wenn dieser Unsinn vielleicht irgendwann demnächst eine Ende haben wird.
Einige als Downloader identifizierte Dateien laden eher 'harmlosere' Malware (z.B. Hijacker) nach, während andere da richtig ans Eingemachte gehen. Bei letzterem oder bei Restzweifeln würde ich zu einer Neuinstallation tendieren.

Bei Spy- und Adware stufe ich eine weitere Gefährdung nach einer Bereinigung als eher gering ein. Schlimmer ist es hier schon, dass u. U. vertrauliche Informationen (Passwörter, Bankverbindung, Kreditkartennummern...) weitergereicht worden sein können. Dieser Umstand wird aber auch durch eine Neuinstallation des Systems nicht rückgängig gemacht. Insofern habe ich dadurch nicht viel gewonnen.

Unsere neuen Freunde, die Browser-Hijacker zielen auf etwas ganz anderes ab. Sie wollen uns weder belauschen noch bestehlen oder gar unser System zerstören. Ihr 'Sinn und Zweck' besteht darin, den betroffenen Anwender bestimmte Webseiten unterzujubeln, da sie (bzw. die Autoren) hierdurch Geld verdienen. Bei einem Browser-Hijacker ist in der Regel der Spuk vorbei, sobald ich diesen entfernt habe. Was zugegebener Maßen manchmal schwierig genug ist....

Auch dem klassischen Massmailer-Wurm ist in der Regel durch saubere Entfernung beizukommen, ohne dass ich das System neu aufsetze.

...to be continued...

Also bleibt für mich vorerst die Neuinstallation eines kompromitierten (urgs - ich liebe dieses Wort... ) Systems nicht das Mittel der allzeit richtigen Wahl.

Da will ich mich mal zitieren, quelle: http://www.trojaner-board.com/showthread.php?t=1540
"seltsame" Codes dazwischen, weil es noch aus dem alten Forum stammt.
Heise-Link (und auch meine Meinung) gilt immer noch

Zitat:

http://www.heise.de/security/artikel/47520

Mal für alle die zum Lesen, die nach jedem Schädlingsbefall immer ein System sofort neu aufsetzen wollen und für die, die auch nach zwei dutzend gefundener Schädlinge davon immer noch nichts wissen wollen.

Noch als Ereiterung zum Kommentar: Da in Unternehmen quasi "immer" Daten wieder von einem Backup zurückgespielt werden müssen, bzw. auf ein Server zugegriffen wird und es einfach unmöglich ist zu garantieren dass diese Daten 100% "rein" sind, ist ein überhastetes "plattmachen" ganz sicher kein Allheilmittel und auch nicht einmal in sich logisch.

schon damals hat Lutz "komprimittieren" geliebt

Zitat:

Zitat von Shadow

schon damals hat Lutz "komprimittieren" geliebt

Kennst Du diese innere Stimme die da ruft: Schreib es nicht - und wenn doch dann wenigstens falsch....

Oh - shit, jetzt werde ich selbst OFF...

Zitat:

Zitat von Lutz

Kennst Du diese innere Stimme die da ruft: Schreib es nicht - und wenn doch dann wenigstens falsch....

Mein Satz war keine Anspielung auf die Schreibweise, ich hatte es glatt überlesen!
<schleimmodus an> Bei deinen Beiträgen interessiert mich immer NUR der Inhalt<schleimmodus aus>
(nein, habe ich wirklich überlesen. Hallo Herr Fielmann ich bräuchte da ne neue Brille)

Zitat:

Ansonsten habe sowas bei einem Schulungsunternehmen installiert. Kleine Hardwaresteckkarte die automatisch mit einem Image arbeitet bzw. alle Änderungen woanders hin schreibt.
Ausgeschaltet, neu gestartet und der PC ist so wie vorher.

Das haben wir in unserem Schulungsraum auch. Ich hätte anstatt Realität besser Alltag geschrieben, also den 'ganz normalen' Rechner von Frau Y. und Herrn X meinend. Wer mit soetwas umgehen kann, ist meistens auch so in der Lage, sein System sauber zu halten.

Wird aber jetzt OT
Richtig, für den Alltag ist es eher nichts, obwohl...
Eigentlich schon! Zumindest in Unternehmen (oder haben die keinen Alltag?)
Mitarbeiter XY darf/soll sowieso nichts ändern und gespeichert wird alles auf dem Server.
Dass der "Verlauf" in Word, Browser & Co. nicht stimmt, ist nicht so schlimm.

Besser wie Virus oder Neuinstallation jedenfalls

Für Privatmenschens PC oder sonstige serverlose Kiste ist es aber nix

Zitat:

Zitat von Lutz

Bei einem Backdoor-Trojaner unterschreibe ich die Notwendigkeit einer Neuinstallation qausi 'blind'.

warum?
wenn du mit backdoor-trojaner einen fullfeatured rat wie subseven oder optixpro meinst, um mal die gegenwärtig immer noch am meisten genutzten trojaner zu nennen, dann gibt es keinen anlass für eine neuinstallation.
99% dieser tools werden über die üblichen reg-keys gestartet oder eben die system- bzw. win.ini.
diese einträge zu finden und zu löschen dürfte auch für einen unerfahrenen user keine schwierigkeit sein. ist das erstmal geschehen, dann ist schonmal sichergestellt, daß der server beim nächsten neustart nicht mit startet.
er liegt dann passiv auf der platte und kann ebenfalls leicht gefunden und gelöscht werden.

Zitat:

Bei Spy- und Adware stufe ich eine weitere Gefährdung nach einer Bereinigung als eher gering ein. Schlimmer ist es hier schon, dass u. U. vertrauliche Informationen (Passwörter, Bankverbindung, Kreditkartennummern...) weitergereicht worden sein können. Dieser Umstand wird aber auch durch eine Neuinstallation des Systems nicht rückgängig gemacht. Insofern habe ich dadurch nicht viel gewonnen.

richtig...das gleiche gilt für trojaner...

Zitat:

Auch dem klassischen Massmailer-Wurm ist in der Regel durch saubere Entfernung beizukommen, ohne dass ich das System neu aufsetze.

...to be continued...

Also bleibt für mich vorerst die Neuinstallation eines kompromitierten (urgs - ich liebe dieses Wort... ) Systems nicht das Mittel der allzeit richtigen Wahl.

würde ich nur dann empfehlen, wenn der rechner von mehreren, nicht eindeutig identifizierbaren schädlingen befallen wurde.
eine Neuinstallation ist also eigentlich die notbremse für einen ausnahmefall.alles andere kann mit wenig zeitaufwand und minimalen kenntnissen wieder bereinigt werden...

Bolivar di Griz, einfach geil!
LG, Hmm, Wusel

Es geht in dem Zusammenhang in erster Linie um diverse Rbot-Varianten und auch gar nicht mal um diese selbst, also eindeutig identifizierte Schädlinge, sondern vielmehr um die Tatsache, dass die Möglichkeit bestand, dass das System über diese mit weiteren, besser versteckten und nicht ohne größeren Aufwand zu entdeckenden Schädligen infiziert wurde.

Wer sich längere Zeit damit beschäftigt hat, völlig unbedarfteren Usern bei solchen Problemen zu helfen, wird auch ganz sicher nicht die Begriffe "minimale Kenntnisse" und "geringer Zeitaufwand" in einem Satz verwenden. In solchen Fällen dauert eine Bereinigung tatsächlich nicht selten länger als eine Neuinstallation an Zeit kosten würde, weil jedes kleinste Detail nachgefragt, dann die Häfte vergessen oder zwischendurch einfach auf eigene Faust etwas gelöscht wird und ähnliche Dinge.

Zitat:

Zitat von MountainKing

Es geht in dem Zusammenhang in erster Linie um diverse Rbot-Varianten und auch gar nicht mal um diese selbst...

ok...aber dann haben wir keine grundsatzdiskussion mehr, sondern beschäftigen uns mit einem sonderfall...

Zitat:

... sondern vielmehr um die Tatsache, dass die Möglichkeit bestand, dass das System über diese mit weiteren, besser versteckten und nicht ohne größeren Aufwand zu entdeckenden Schädligen infiziert wurde.

mit ausnahme von hijackern, ist diese möglichkeit immer gegeben, egal ob virus ,wurm oder backdoor...einen nachträglichen download könnten sie alle 3 durchführen...

Zitat:

Wer sich längere Zeit damit beschäftigt hat, völlig unbedarfteren Usern bei solchen Problemen zu helfen, wird auch ganz sicher nicht die Begriffe "minimale Kenntnisse" und "geringer Zeitaufwand" in einem Satz verwenden. In solchen Fällen dauert eine Bereinigung tatsächlich nicht selten länger als eine Neuinstallation an Zeit kosten würde, weil jedes kleinste Detail nachgefragt, dann die Häfte vergessen oder zwischendurch einfach auf eigene Faust etwas gelöscht wird und ähnliche Dinge.

da wirst du sicher nicht ganz unrecht haben...

DAU war von mir wertfrei im Sinne von Benutzer ohne Kenntnis und Verständnis gemeint. Ist dies auch noch mit einer gewissen Lernresistenz gepaart, ist zwar für den "Helfer" eine Neuinstallation sicher das beste Mittel, allerdings - da lernresistent - meist nur von kurzem Erfolg.

Bringt man einem Nutzer ohne Kenntnis aber mit Verständnis, Lernwilligkeit und Lernfähigkeit den steinigen Weg der Suche und (eventuell sogar vergeblichen) Reinigung bei, so hat dieser Nutzer (und seine Umwelt) sehr viel davon.

Unter minimale Kenntnisse würde ich übrigens auch die Fähigkeit einordnet zwischen einem Trojaner und einem RAT/Backdoor unterscheiden zu können.
(Selbstverständlich kann ein Backdoor-Programm als Trojaner ankommen, nur ist nicht jeder Trojaner gleich ein Backdoor-Programm)

Zitat:

Zitat von Bolivar di Griz

warum?
wenn du mit backdoor-trojaner einen fullfeatured rat wie subseven oder optixpro meinst, um mal die gegenwärtig immer noch am meisten genutzten trojaner zu nennen, dann gibt es keinen anlass für eine neuinstallation.
99% dieser tools werden über die üblichen reg-keys gestartet oder eben die system- bzw. win.ini.

Gut, die 'gängigen Backdoors' selbst herauszufinden ist vielleicht noch möglich.
Wobei ich die Worte

Zitat:

einen unerfahrenen user keine schwierigkeit

aus meiner allgemeinen Erfahrung nicht unterschreiben würde. Aber selbst, wenn es gelingt, diese zu entfernen, halte ich es nicht mehr für verhältnismäßig, zu erforschen, was die 'Gegenseite' in der Zwischenzeit alles manipuliert hat. Gut, aus 'Spaß an der Sache' könnte man sich daranbegeben, wenn genügend Zeit vorhanden ist, aber verhältnismäßig finde ich das dann nicht mehr.

Ich lass mich aber auch vom Gegenteil überzeugen. Dafür diskutiert man ja.

Zitat:

eine Neuinstallation ist also eigentlich die notbremse für einen ausnahmefall.

Mein reden....

Zitat:

Aber selbst, wenn es gelingt, diese zu entfernen, halte ich es nicht mehr für verhältnismäßig, zu erforschen, was die 'Gegenseite' in der Zwischenzeit alles manipuliert hat.

Diese Aussage wird ja so oder so ähnlich immer wieder gemacht.
Lutz, könntest Du sie vielleicht etwas näher erklären?

Gehen wir mal davon aus, jemand ist in der Lage, einen oder mehrere Trojaner vollständig zu entfernen.
Dann haben wir einen grundsätzlich sauberen Rechner, auf dem aber bedingt durch den Trojaner einige Fehlfunktionen sein könnten, aus welchem Grund auch immer, weil einzelne Dateien gelöscht worden sind, verschoben worden sind, was auch immer.
Diese möglichen Fehler wären zwar ärgerlich, aber ja nicht im eigentlichen Sinn gefährlich, wenn der Trojaner weg ist. Sollten Fehler auftreten, kann man dann bei Bedarf immer noch an eine Neuinstallation denken.
Unter diesem Gesichtspunkt verstehe ich Deine eher grundsätzliche Aussage nicht.

So, jetzt mal meinen Senf

Wann macht man ein System platt.
Sicher nicht by Hijackern oder Konsorten.

Ein System ist meiner Meinung platt zu machen, wenn schwerwiegend in dieses eingebrochen worden ist, bzw. alleine nur die Möglichkeit besteht,
Ich gehe davon aus, dass alle Leute, die hier ihr leid klagen, Internet besitzen.

Ausgehend von HijackThis gehen wir ja das Problem an.
Eigentlich halt ich es so- mir diesen erst anzusehen, als Hilfe und zu Vereinfachung die automatische Auswertung herbeizuziehen
Sollte der Log einigermassen gut aussehen, oder keinen Escan fordern plädiere ich zumeist auf ein Update von Windows.Und denke am entferntesten an ein plattmachen des ganzen
"Dem Jung kann geholfen werden"
Dann sollen se noch mal nen neuen Log posten.
Wenn escan schlimmeres zutage trägt...kann man was dazu sagen



Ich find die Frage, ob man ein OS plattmachen soll gar nicht so wild, da die Leute, die hier unter anderem schwere Probleme mit ihrem PC haben, sowieso besser mit nem neu aufgesetztem OS dran wären.Wemm sie dann noch Cidres Tipp dabei befolgen.Um so besser

Gruss


Cronos

P.S: Finde es nicht gut , wenn man Leute auf die automatische Auswertung hinweist. Die machen sich evtl. eher mehr kaputt, als dass se reparieren