Guten Tag,

ich habe ein Problem auf dem Rechner meiner Mutter, auf den ich wegen der großen Entfernung nur über VNC Zugriff habe. Ich selbst habe einen Mac und kenne mich mit Windows nur eingeschränkt aus.

Meine Mutter hat Windows XP.
Seit etwa zwei Wochen kann Sie das Internet kaum noch benutzen, da sich innerhalb kurzer Zeit immer wieder Browserfenster öffnen, mit dubiosen Werbeinhalten, Casinoseite, alberen Preisrätsel etc.
Das passiert sowohl beim IE als auch beim Firefox, den ich versuchsweise installiert habe. Allerdings scheint es so, als würde das Problem nur in einem Benutzerkonto auftreten.

Im Augenblick lasse ich ein frish installiertes Antivir laufen und es wurden schon 6 Trojaner gefunden. Bisher hatte ich kein Antivirenprogramm drauf, da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.

HJT habe ich auch schon laufen lassen. Es wurde nichts böses entdeckt.
Lediglich die IE Version wurde als "zu alt" erkannt.

Welche Maßnahmen könnt Ihr mir empfehlen.
Um eine Neusintallation möchte ich möglichst herumkommen, da ich ich meiner Mutter mit relativ viel Aufwand eine Arbeitsumgebung hergestellt habe, die sie unbedingt braucht. Außerdem geht das aus der Ferne natürlich nicht.

Danke im Voraus und Gruß
maceis

Oh...die Bereinigung wird sehr schwierig, da du das alles auch noch über VNC machen musst. Oder hast du physischen Zugriff auf die Kiste?
Poste erstmal die genauen Namen und Fundorte der Schädlinge, sowie auch das HJT-Logfile der Kiste.

Zitat:

da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.

Das ist absolut nicht ausreichend. Damit ist nur ein Bruchteil abgedeckt, abgesehen davon, dass der Virenschutz des Providers auch nicht alle Malware erkennt.

Vielen Dank schon mal.

Hier zunächst mal einen Auszug aus dem Report von Antivir:

Code: Alles auswählenAufklappen

ATTFilter

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\gretel\Anwendungsdaten\__c005C21C.dat
      [FUND]      Ist das Trojanische Pferd TR/Spy.530728
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7a4a.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Anwendungsdaten\__c0068228.dat
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7a4e.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\laf1.exe
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f7b06.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\lhiglfla.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Haxdoor.HB
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47627b1b.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\xxx.jpg
      [FUND]      Ist das Trojanische Pferd TR/DNSChanger.EF.357
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47717b34.qua' verschoben!
C:\Dokumente und Einstellungen\martin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive1213.jar-37b2127f-3637fe51.zip
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ByteEver.B.4
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7b67.qua' verschoben!
C:\temp\d0r1t1s.exe
      [FUND]      Enthält Erkennungsmuster des IRC-Virus IRC/Flood.DZ.DR
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b7dd2.qua' verschoben!
C:\WINDOWS\system32\d0r1t1s.exe
      [FUND]      Enthält Erkennungsmuster des IRC-Virus IRC/Flood.DZ.DR
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b7f10.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5GJMF85\217.82.175[1].gif
      [FUND]      Ist das Trojanische Pferd TR/Proxy.Bobax.C.3
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47307fd9.qua' verschoben!
C:\WINDOWS\system32\f0r0r\dirote.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IrcBot.757248
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\DefaultIcon]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\Shell\open\command]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\DEFAULTICON]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\SHELL\OPEN\COMMAND]:<@>=sz:dirote.exe
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b80f6.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 25. September 2007  23:46
Benötigte Zeit: 35:21 min

Der Suchlauf wurde vollständig durchgeführt.

   2318 Verzeichnisse wurden überprüft
 106537 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 106527 Dateien ohne Befall
   1260 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
         

Kann man hier schon was konkretes sehen/interpretieren?

Den Rest liefere ich nach.
Direkten Zugriff habe ich nur, wenn ich mal wieder hinfahre (sind rund 350km)

Jo. Das system ist astrein kompromittiert:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\f0r0r\dirote.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IrcBot.757248
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\DefaultIcon]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\Shell\open\command]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\DEFAULTICON]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\SHELL\OPEN\COMMAND]:<@>=sz:dirote.exe
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b80f6.qua' verschoben!
         

Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.

Die Kiste muss neu aufgesetzt werden, da führt nichts dran vorbei. Um den Schaden gering wie möglich zu halten, sollte sie auch nicht mehr ins Internet bzw. interne LAN => Kabel ziehen, physikalische Trennung. Jedenfalls solange bis sie neu aufgesetzt und abgesichert ist.

Auch wenn das jetzt feststeht, das HJT-Logfile würde mich schn interessieren.

Zitat:

[...]und wohl schon Teil eines Botnetzes

ACK
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Die Edith: Quelle vergessen

Zitat:

Zitat von BataAlexander

ACK
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Wusst' ich's doch!

Vielen Dank für Eure Antworten.
Ein HJT Log kann ich derzeit nicht liefern, weil mir gerade das VNC hängengeblieben ist. Das passiert manchmal. Meine Mutter kann ich um diese Zeit auch nicht mehr anrufen, um den Rechner neu zu starten.

Aber mal 'ne Verständnisfrage.

Zitat:

Zitat von cosinus

...
Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.
...

Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.


Was mich auch noch interessieren würde.
Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Zitat:

Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.

Das bedeutet nur, dass sich über VNC wohl kein Unbefugter so einfach reinhacken kann geschweige den Traffic (dank verschlüsselung) mitsniffen kann. Ändert aber nichts an der Kompromittierung, der Router wird evtl. andere Zugriffe blocken, oder aber auch nicht?
Und wenn nicht, spamt die Kiste dennoch in die Welt. Abgesehen davon, dass nun die Kiste vollends nicht mehr vertrauenswürdig ist, jede auf ihr verarbeitete Datei (zumindest ausführbar) kann irgendwas mitschleppen.
Mit diesem Zustand tust du deiner Mutti nichts Gutes...

Zitat:

Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall.
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.

Zitat:

Zitat von cosinus

...
Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall.
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.

Das versteh' ich schon. Ich frage nur, weil mir aufgefallen war, dass nachdem ich Antivir durchlaufen lassen hatte und bevor sich VNC verabschiedet hatte, zumindest keine Browserfenster mehr aufgegangen waren.

Dass das System nicht mehr vertrauenswürdig ist, ist mir bewusst.
Allerdings kann ich den Rechner frühestens in vier Wochen neu installieren und an's Netz muss er in dieser Zeit auch.

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

Zitat:

Ob der tatsächlich soviel spammt, kann man wohl nur durch längere Beobachtung des Netzwerkverkehrs feststellen. Im Augenblick (innerhalb der letzten dreiviertel Stunde) geht jedenfalls nichts raus.

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen. Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.

Zitat:

und an's Netz muss er in dieser Zeit auch.

Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Zitat:

Zitat von cosinus

Ihr habt da rüber absolut keine Kontrolle mehr was raus geht - es muss nicht nur Spam sein. Ihr tut euch damit keinen Gefallen, mit diesem System in diesem Zustand online zu gehen.
...

Das ist mir grundsätzlich bewusst. Allerdings kann ich das im Augenblick leider nicht ändern - so Leid mir das selbst tut.
Vielleicht lass ich mal ganztags einen Netzwerksniffer mitlaufen. Das Problem dabei ist natürlich die Menge der Daten ;(.

Zitat:

Zitat von cosinus

...
Eure Zugangsdaten etc. konnten schon ausgespäht worden sein.
...

Guter Hinweis. Um die Internet Zugangsdaten mach ich mir eigentlich weniger Sorgen, da die nur auf dem Router liegen und den halte ich (zumindest im Augenblick) noch für sicher. Ist 'ne Fritzbox mit einer modifizierten Firmware (ein Linux System). Aber die Emailzugangsdaten sollte ich wohl ändern.

Zitat:

Zitat von cosinus

...
Was genau wird denn online benötigt? Notfalls tut es ein Knoppix um zu surfen und zu mailen, aber das kompromittierte Windows solltet ihr nicht mehr ins Internet lassen.

Ich stimme Dir grundsätzlich zu. Allerdings ist meine Mutter (67) da chancenlos. Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

Zitat:

Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

So Leid es mir tut, aber da bewegt sie sich nicht mehr im privaten Bereich. Für alles andere wird auch ein Techniker herbestellt (Klempner, Maler etc.) - warum keinen PC-Notdienst?

einfach das verseuchte System wissend weiterlaufen zu lassen ist absolut verantwortungslos...

Hier das versprochene HJT Log (nach Virenscanner):

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 22:04:35, on 27.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\xxxxx\Desktop\hijackthis_199-1\HijackThis.exe

N1 - Netscape 4: user_pref("browser.startup.homepage", ""); (d:\xxxxx\netscape_daten\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190836917421
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xyz.dom
O17 - HKLM\Software\..\Telephony: DomainName = xyz.dom
O17 - HKLM\System\CCS\Services\Tcpip\..\{7AC56DC4-AFD3-4EEE-84A7-DD3A0DC93BDB}: NameServer = 192.168.102.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xyz.dom
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xyz.dom
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)
         

Fällt da jemandem noch etwas bedenkliches auf?
Ich lass' jetzt nachts auch nocmal den Virenscanner durchlaufen.
Bisher ist jedenfalls nichts auffälliges mehr erkennbar, auch kein "seltsamer" Netzwerkverkehr.

Führe ein Java Update durch! Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Die Version Deines Acrobat Reader ist veraltet, aktualisiere Deine Version hier.

Das Hauptproblem ist aber: HJT listet derartige Einträge nicht. Ein IRC Bot schreibt sich zwar i.d.R. in den Autostart, allerdings kann der (AB)User mit der Dauer der Infektion das Wirtssytem beliebig modifizieren.

Zitat:

AntiVir PersonalEdition Classic

Hat auf einem gewerblich genutzen System nichts zu suchen, genau wie weitere Kommentare zu dem Zustand des Systems.
Unsere Meinung darüber hast DU gelesen, der Rest liegt bei Dir.
Auch wenn ich dazu keine Befugnis habe, würde ich hier ein EOD für angebracht halten.

Eins noch:

Zitat:

Meine Mutter hat ein kleines Gästehaus und muss die gesamte Buchungsabwicklung, Angebote, Freimeldungen etc. Online erledigen.

Wie würde es denn Deine Mutter finden, wenn jemand andere Ihre Buchhaltung, sprich Kontoführung übernimmt? Schon mal an diese Konsequenzen gedacht?
Da ist es billiger einen Techniker vor Ort zu konsultieren!:aplaus:

Vielen Dank erstmal für Deine Hinweise.

Ich möchte hier aber mal etwas klarstellen, dass anscheinend von mir missverständlich ausgedrückt wurde.

Es handelt sich nicht um eine gewerbliche Geschichte oder etwas ähnliches sondern um einen Kleinstbetrieb der privaten Zimmervermietung. Um genau zu sein sind es drei Gästezimmer, die saisonal vermietet werden.
Eine Buchhaltung wird auf dem Rechner ebensowenig durchgeführt wie eine Kontoführung. Mit "Buchungsabwicklung" war lediglich die Bestellung und Bestätigung von Zimmern per Email gemeint.

Ich verstehe natürlich die geäußerten Bedenken, bin aber andererseits der Ansicht, dass man die Kirche auch im Dorf lassen muss.
Die Einschaltung eines Technikers scheitert schon allein daran, dass es in unserem Kaff und der Umgebung so jemanden gar nicht gibt.
Der zweite Punkt ist der, dass ein Techniker zwar das System neu aufsetzten könnte, aber wohl kaum den Zustand wieder herstellen könnte, den meine Mutter benötigt, damit sie wie gewohnt arbeiten kann. Bei meiner Mutter ist es schon ein Problem, wenn eine Ordnericon nicht an der Stelle auf dem Schreibtisch liegt, wo es schon immer war - den Rest könnt Ihr Euch denken.

#########

Jetzt aber mal noch 'ne technische Frage:

Angenommen der Rechner wurde tatsächlich modifiziert. AntiVir hat alle erkannten Viren/Trojaner etc. entfernt. Der Rechner hängt nicht direkt im Internet, sondern hinter einem Router, an dem außer Port 22 TCP und Port 1149 UDP und die für VoIP erforderlichen Ports von außen zu sind. UPnP auf dem Router ist aus, Portweiterleitungen gibt es keine. Der Rechner ist jetzt 24h lang gelaufen, ohne dass verdächtige Netzwerkaktivitäten (Richtung Internet) festgestellt werden konnten.

Worin besteht denn jetzt konkret die Bedrohung?
Wie genau könnte eine unerkannte böse Software jetzt noch Schaden anrichten?
Und nachdem es bekanntlich eine absolute Sicherheit ohnehin nicht gibt, würde mich auch eine Abschätzung der Wahrscheinlichkeit interessieren?