Hallo Leute

Ich zitiere mal niemanden, weil das ungerecht wäre. Anderseits glaube ich, dass ein paar Threads für mich Anlass sind, mal ein grundsätzliches Statement abzugeben. Auch schreibe ich nicht über andere Architekturen oder Betriebssysteme, sondern nur vom PC mit Windows.

Virenscanner gibt es schon so lange, wie es Malware gibt und das dürfte schon viele Jahre her sein. Spätestens seit dem Tag, als es zwei dieser Tools auf dem Markt gab, wurde die Frage nach dem besseren Scanner gestellt. Sie hat nachweisbar bis zum heutigen Tag zu keinem schlüssigen Ergebnis geführt. Eine Diskussion in den Foren, lief zu 99,9% darauf hinaus, diesen oder jenen Scanner zu empfehlen.

Was hat es die Anwender bisher genutzt? Nichts, denn täglich beginnt das Rennen zwischen Hase und Igel erneut und immer wieder bekommt der Hase zugerufen: Jetze hats geklappt. Das Gegenteil ist also eingetreten, die Malware wird immer massiver, umfangreicher und gefährlicher. Die Aussagen und Feststellungen der Scanner dagegen immer fragwürdiger. Avira mit seinen (vorsätzlichen?) FPs dürfte eines der besten Beispiele sein.

Zu allem Überdruss kommt noch, das in einigen Foren sich oft über Tage hinziehende Deinstallationsaktionenen regelrecht zelebriert werden und man Kompetenz beweisen möchte. Völlig missachtend, das ein System unter den Bedingungen des DSL nach 20 Sekunden komplett kompromittiert ist und der vor dem Bildschirm und an den Tasten sitzende OP nur noch die Befugnis besitzt, den Netzschalter zu betätigen und nicht wissen kann, ob nicht mittlerweile seine persönlichen Daten zu seinem Schaden schon benutzt werden. Ein Garantieschein wird nicht mitgeliefert, aber der Anwender erhält den Eindruck, das die Leute und Software einfach Spitze sind.

Das Ergebnis dieser Aktion: Der kunde kauft die benutzte Software in der Vollversion. Eine bessere Werbung kann es nicht geben und den Nutzen hat nur der Hersteller und der Verkäufer einer im jeweiligen Thread genannten Software. Ihr habt euch für ihn kostenlos abgerackert. Dabei gibt es Alternativen die den meisten angewendeten Lösungen in allen Positionen haushoch überlegen sind.

Ich schreibe von einer Methode, die sich schon seit den ersten Viren bewährt hat: platt machen und neu installieren. Mit Hilfe einer geeigneten Software wird es möglich, das System so zu organisieren, das es mit durchschnittlicher Hardware innerhalb von 10 Minuten wieder sauber Online ist. Das ist keine Illusion sondern bei vielen Anwendern schon Praxis. Wenn man dann den zeitlichen Aufwand zur Suche und Eliminierung dagegen setzt, bedarf es keines weiteren Beweises.

Leider ist es so, das rd. 1,5 Mio kostenlosen Vollversionen von Paragon und Acronis, welche zum Erstellen eines Partitionsbackup brauchbar waren, in deutschen Restmülltonnen verschwunden sind. Solche Software ist aber keinesfalls eine Domäne der Profihersteller. Es gibt auch Freeware. Selbst in dieser Minute lässt sich mit ein klein wenig Intelligenz ein brauchbares, handhabbares und kostenloses Backupsystem aus dem Internet herunterladen und herstellen. Ich meine dabei BartPE mit DriveImage XML.

Was will ich zum Ausdruck bringen?
Unter dem Aspekt, das es keine unterschiedlich schwere Kompromittierung gibt (jede Diskussion darüber ist absolut schwachsinnig), sollte man bei Feststellung erster Anzeichen und Merkmale des Infektes der Neuinstallation den Vorzug geben. Scannern sollte der Platz als einer von mehreren Indikatoren zugewiesen werden. Zusätzlich muss dem Anwender ein Weg gewiesen werden, an dessem Ende sein überlegenes Lächeln über jeden zukünftigen Infekt steht. Nur so kann Malware wirksam bekämpft und die Angst genommen werden.

der hinterwäldler

Zitat:

Zitat von Hinterwäldler

Virenscanner gibt es schon so lange, wie es Malware gibt

Nein

Zitat:

Zitat von Hinterwäldler

und das dürfte schon viele Jahre her sein.

Ja

Zitat:

Zitat von Hinterwäldler

Die Aussagen und Feststellungen der Scanner dagegen immer fragwürdiger. Avira mit seinen (vorsätzlichen?) FPs dürfte eines der besten Beispiele sein.

(kursiv durch mich, Begründung unten)
Du weißt von was du sprichst? Wie lange kennst du schon Avira/Antivir?
Abgesehen davon, dass ich dich doch bitten würde etwas allgemeinverständlicher zu schreiben, als zumindest die Abkürzung "FP" mindestens beim ersten mal mit false positve auszuschreiben, dann kann der Nichtfachmann wenigstens googlen oder in Wiki suchen (falls mal was richtiges drinnen steht). Wenn du glaubst Avira/Antivir würde aus Marketinggründen "jetzt" ( => immer fragwürdiger) gerne false positives haben, dann hast irgendetwas nicht kapiert. Antivir hat "schon" immer gerne false positives gehabt. Rein subjektiv behaupte ich mal, die Firmenphilosophie lautet, lieber 100x was falsches melden, als einmal was zu übersehen (wobei man darüber streiten kann, wie viel sie finden würden, würden sie nicht so streng suchen ). Belastet eher den Support und den Ruf.
Eine "False-Positiv"-Meldung bei einem AV-Scanner ist m.E. prinzipiell auch für DAUs absolut kein auch nur scheinbar gutes Anzeichen. Ein False-Positiv stört so gut wie immer, da hier sehr oft eben gewünschte Software ge- oder sogar zerstört wird. Anders ist dies bei Personal-Firewalls, da merkt ONU ja nicht, dass absolut harmloses als erfolgreich bekämpfter Angriff gemeldet wird.

Zitat:

Zitat von Hinterwäldler

Völlig missachtend, das ein System unter den Bedingungen des DSL nach 20 Sekunden komplett kompromittiert ist
...
Mit Hilfe einer geeigneten Software wird es möglich, das System so zu organisieren, das es mit durchschnittlicher Hardware innerhalb von 10 Minuten wieder sauber Online ist.

Verstehe ich dich richtig:
Du arbeitest wie folgt:
- du setzt ein System (natürlich offline) komplett auf.
- du machst ein Image
- du surfst 20 Sekunden bis das System komplett komprimitiert ist
- du spielst das Image innerhalb 10 Minuten wieder zurück
- du surfst wieder 20 Sekunden bis das System komplett komprimitiert ist
- du spielst das Image innerhalb 10 Minuten wieder zurück
usw.

Oder was wolltest du sagen?

Zitat:

Zitat von Hinterwäldler

Unter dem Aspekt, das es keine unterschiedlich schwere Kompromittierung gibt (jede Diskussion darüber ist absolut schwachsinnig),

Kommt darauf an, was du unter Kompromittierung verstehst. Subsumierst du auch "Petitessen" wie Adware (was meiner Meinung nach keine Kompromittierung im engeren Sinn bedeutet) dann darf man sehr wohl diskutieren (wobei man IMHO immer diskutieren darf ). Verstehst du unter Kompromittierung nur Zustände, bei denen tatsächlich die Kontrolle verloren wurde, muss man tatsächlich nicht darüber viel diskutieren (man darf aber, ohne schwachsinnig zu sein). Über das was folgt, wirst du in der Praxis aber sehr wohl diskutieren müssen.

Hallo Shadow

Zitat:

Zitat von Shadow

Du weißt von was du sprichst? Wie lange kennst du schon Avira/Antivir?

6 Jahre dürften es nun sein. Im 5. habe ich mich getrennt. Seit einem Jahr verlasse ich mich auf Brain.

Zitat:

allgemeinverständlicher zu schreiben, als zumindest die Abkürzung "FP"

Der Betrag war ja auch nicht für den ONU gedacht, sondern für die Regulars hier im Forum zum Nachdenken und als eine aus der Sackgasse führende Diskussionsgrundlage.

Zitat:

Wenn du glaubst Avira/Antivir würde aus Marketinggründen "jetzt" ( => immer fragwürdiger) gerne false positives haben, dann hast irgendetwas nicht kapiert. Antivir hat "schon" immer gerne false positives gehabt.

Das mag schon sein, aber in der letzten Zeit ist langsam ein Vorsatz zu erkennen. Ich erinnere dabei nur an Volker Pirks win32sec.exe (brauchst einen Link?) Das ist aber nur ein Beispiel!

Zusätzlich wäre noch dieser sehr fragwürdige degenerierte IÄ, der mit Regelmäßigkeit dem armen User vorgaukelt eine einfache Message zu sein und das horchen an den Ports. Mein Scanner macht das doch auch nicht und funktioniert trotzdem.

Zitat:

Anders ist dies bei Personal-Firewalls, da merkt ONU ja nicht, dass absolut harmloses als erfolgreich bekämpfter Angriff gemeldet wird.

Jaja, einverstanden. Leider beginnen aber mit diesen so genannten Internet-Securitys die Konturen zu verschwimmen. Es gibt immer seltener eine klare Abgrenzung, anderseits habe ich die Brauchbarkeit und einen Nutzen der Scanner nicht bestritten.

Zitat:

Verstehe ich dich richtig:
Du arbeitest wie folgt:
- du setzt ein System (natürlich offline) komplett auf.
[...]
- du spielst das Image innerhalb 10 Minuten wieder zurück
usw.

Das scheint mir ein Gerücht zu sein. Da muss ich noch mal lesen, was ich geschrieben habe... Hmm... Der Zusammenhang ist bei mir ein anderer oder ich habe mich undeutlich ausgedrückt?

Zitat:

Verstehst du unter Kompromittierung nur Zustände, bei denen tatsächlich die Kontrolle verloren wurde, muss man tatsächlich nicht darüber viel diskutieren (man darf aber, ohne schwachsinnig zu sein). Über das was folgt, wirst du in der Praxis aber sehr wohl diskutieren müssen.

Woher will der ONU nach dem berühmten "Klick auf Buntes" und anschließendem Rödeln der HD wissen, welchen Grad der Kompromittierung sein System erreicht hat? Das würde sogar mir und dir sicher auch schwer fallen, eine objektive Aussage zu treffen.

Im Allgemeinen ist es doch so, das der ONU erstmal davon überzeugt ist, das es bei dem seltsamen Zucken und Bewegen seines Systems sich um eine Unart von Herrn BG handelt. Viel später kommen die Verdachtsmomente und er versucht mit allem ihm zur Verfügung stehenden Mitteln dem Problem auf den Grund zu gehen. Nichts ahnend, das es doch eh schon zu spät ist.

Mal anders angefangen: Als im Herbst des vergangenen Jahres das holländische BotNet "eliminiert" wurde, sprachen die Ermittler von 1,5 Mio Bots, von denen zu jedem beliebigen Zeitpunkt mindestens 100.000 verfügbar waren. Das ist nicht aus der Luft gegriffen. Anfang Juni diesen Jahres fanden die Ddos-Angriffe auf die Server der schwedischen Regierung und Polizei statt und die Dingser gingen in die Knie. Es war von 120.000 beteiligten Bots die Rede.

Diese Anzahl war zu diesem Zeitpunkt verfügbar. Glaubst du ernstlich, die OPs wussten etwas von einem Infekt? Wieviel Systeme müssen also gekapert sein, um zu einem beliebigen Zeitpunkt eine solche Aktion starten zu können? Brauchst du den Calc?

Woran und wie erkennt man nun die Schwere einer Kompromittierung, ohne ins schleudern zu kommen? Was sagt uns in HijackThis ein Verweis auf eine fehlende unbekannte .dll, welche in irgend einem Zusammenhang mal eine Verbindung zum Internet gesucht hat? Bewerten wir ihn immer richtig?

Es ist spät geworden, ich melde mich wieder.

der hinterwäldler

Zitat:

Verstehst du unter Kompromittierung nur Zustände, bei denen tatsächlich die Kontrolle verloren wurde,...

War zwar nicht deutlich durch ein Fragezeichen als Frage gekennzeichnet, aber jetzt schon:
Verstehst du unter Kompromittierung nur Zustände, bei denen tatsächlich die Kontrolle verloren wurde?

Wenn's zappelt und rappelt ohne Benutzerzutun und dies auf Malware zurückzuführen ist, dann gehe ich mal von Kompromitierung aus, bis mir das Gegenteil hinreichend wahrscheinlich bewiesen ist.
Meine Frage zielt aber auf Systeme, die nicht sichtlich geschädigt sind, aber bei denen eine Anti-Malware-Software Malware findet.
Findet sie (relativ) harmloses wie Tracking-Cookies oder reine Adware, ist dies dann für dich schon Komprimitierung die ein Neuaufsetzen erforderlich macht?
Wenn Nein, ab wann?
Wenn ja, du glaubst doch nicht im Ernst dass irgendein Auftraggeber/Arbeitgeber der etwas genauer Bescheid weiß, dich dafür zahlen würde, solange der betroffene PC nicht im höchstsensiblem Bereich steht. Aber dann wäre er (der Bereich und der PC) von vornherein falsch abgesichert und du gefeuert.
Zu Avira/Antivir:

Zitat:

6 Jahre dürften es nun sein. Im 5. habe ich mich getrennt.

Welche Version wenn ich fragen darf (ich darf fragen! Aber du musst nicht antworten).
Was hat dich nach fünf Jahren zur Trennung veranlasst und warum bist du auf Brain umgestiegen und nicht auf andere AV-Software?
Bzgl: "Volker Pirks win32sec.exe"
Der Herr heißt Volker Birk. Ob hier mit Absicht was "erkannt" wurde, will ich nicht behaupten, richtig tatsächlich das ein Tool dieser Art tatsächlich sehr böses (ein Teil eines bösen "Programmpaketes) sein kann und das AV-Programme sehr gerne Tools mit denen man auch "böses" machen kann, einfach als Malware kennzeichen. (Deshalb haben meine Service-USB-Sticks alle einen einen Hardwareschreibschutzschalter ) Geschieht diese Malwareerkennung auf Grund einer heuristsichen Prüfung, ist dies aber wohl nicht immer ganz trivial zu umgehen.

Zitat:

degenerierte IÄ

IÄ

Zitat:

Mein Scanner macht das doch auch nicht und funktioniert trotzdem.

Was nun? Brain oder oder wer?

Zitat:

Leider beginnen aber mit diesen so genannten Internet-Securitys die Konturen zu verschwimmen. Es gibt immer seltener eine klare Abgrenzung, ...

Ja, aber nicht nur mit den Internet-Security-Packerl, sondern auch schon davor. Auch "reine" AV-Programme bieten u.U. mehr wie AV-Scann an. Macht es gerade für Anfänger selten leichter. Kann ich es nicht bedienen, schalte ich das nervige Ding halt. Und schon ist der AV-Scanner von den Top-3 nichts mehr wert. (in Anspielung auch auf diesen Thread => Kaspersky vs Norton ).

Hallo Hinterwäldler

Zitat:

Zitat von Hinterwäldler

Der Betrag war ja auch nicht für den ONU gedacht, sondern für die Regulars hier im Forum zum Nachdenken und als eine aus der Sackgasse führende Diskussionsgrundlage.

Nanü?! Ich habe deinen Beitrag genau anders gelesen, nämlich dass er sich so gut wie ausschließlich an die ONU richtet. Was sollen die Regulars damit anfangen . Ihnen ist die Diskussion bekannt, und dein Beitrag - verzeih - fügt ihr nichts Neues hinzu.

Bleibt also nur die Lesart, dass dir die Bereinigungsversuche im Board im Allgemeinen zu weit gehen - einzelne Regulars möchtest du nicht nennen. Das sehe ich anders. Die Hilfeleistenden haben in diesem Forum die größeren Probleme damit, den ONU überhaupt zum Neuaufsetzen zu bewegen, und verglichen mit anderen Boards, ist dieses Board mehr als zurückhaltend was Bereinigungen anbelangt.

Ich möchte nicht näher darauf eingehen, wann, wie und warum ein Neuaufsetzen sinnvoll ist; hierzu haben - gerade eben Shadow und - viele andere bereits ausführlich etwas gesagt. Deiner strengen Philosophie kann ich auch aus einem anderen Grund nicht folgen: Ein gutes Support-Forum sucht nach angemessenen Lösungen und dazu gehört auch, dass der TO das Gefühl hat, man habe sich mit seinem Problem auseinandergesetzt. Der blinde Verweis aufs Plattmachen hilft da nicht weiter (mal ganz abgesehen davon, dass er auch nicht sachgerecht ist). Es besteht dann die Gefahr, dass sogar mehr verseuchte Kisten weiterhin am Netz hängen, und das nur deshalb, weil die wichtige Überzeugungsarbeit ausblieb. Zu dieser Überzeugungsarbeit gehört im wesentlichen auch, die Differenzierung bei Malwarebefall nicht aus den Augen zu verlieren. Überspitzt formuliert: Wen du bei cookies zum Neuaufsetzen überreden willst, der wird deinem Rat auch bei Backdoorbefall nicht folgen.

Daneben rückt die inflationäre Lust am Neuaufsetzen das Problem in ein schiefes Licht. Neuaufsetzen und Backups sind ultima ratio und sollten es bleiben. Die Möglichkeit, ohne großen Aufwand ein Image zurückzuspielen, suspendiert nicht vom sinnvollen Umgang mit dem PC. Die Gefahr besteht aber, wenn Acronis die Rolle der AVP übernimmt.

My two cents, schönes WE