Hi Liebe Kompetenzler und angagierte Helfer

Hab mal ne Frag: Meint ihr mit Hilfe dieser Seite kriegt man ntos.exe weg?
Was ist eure Meinung?

Ich bin immer noch der Ansicht, dass Malware mit Backdoor Funktion nicht einfach zu löschen ist, sondern ein Neuaufsetzen erfordert...

grüsse trojan-death

Zitat:

Zitat von trojan-death

Ich bin immer noch der Ansicht, dass Malware mit Backdoor Funktion nicht einfach zu löschen ist, sondern ein Neuaufsetzen erfordert...

Hallo

Das siehst Du meiner Meinung nach richtig, denn bei Backdoorbefall hat ein Angreifer die Möglichkeit, das System nach seinen Belangen umzubauen. Die ntos.exe wäre demnach dann nur Mittel zum Zweck, sie selber läßt sich zwar löschen, aber hinterher läßt sich mit keinem vertretbaren Aufwand überprüfen, ob nicht noch mehr am System umgebogen wurde.

Vergleiche diesen Artikel... (ganz unten Punkt 3.2.)

BIn ich froh gibts noch andere die das so sehen:aplaus:

natürlich geht das Entfernen mit dem Tut. Und normal reicht Passwörter ändern und gut ist, aber nur bei erfahrenen Usern, die sich normalerweise eh nicht infizieren lassen, die wegen einer Entfernung hier nicht fragen müssen und die selbst beurteilen können, ob ihr PC wieder "clean" ist.

Bei Usern, die ein geringes Wissen auf diesem Gebiet haben, ist Formatieren wohl eher der richtige Weg.

trojan-death, wie willst Du eigentlich prüfen, ob ein System "clean" ist?

wenn man es prüfen kann, kann man prüfen, ob ntos.exe vollständig weg ist, jetzt als Beispiel.

wenn man es nicht prüfen kann, sollte man dann nicht jede Woche formatieren, denn dann könnte ja auch was im System sein, was man nur noch nicht festgestellt hat?

no risk, no fun.

Hallo Heike,

Zitat:

Zitat von Heike

(...) aber nur bei erfahrenen Usern, die sich normalerweise eh nicht infizieren lassen, die wegen einer Entfernung hier nicht fragen müssen und die selbst beurteilen können, ob ihr PC wieder "clean" ist.

Woher können "erfahrene" User denn einschätzen, ob ihr PC nach einier Bereingung einer Hintertür wieder sauber ist? Wieso ist eine Einschätzung von denen nicht falsch?

Zitat:

Bei Usern, die ein geringes Wissen auf diesem Gebiet haben, ist Formatieren wohl eher der richtige Weg.

Wieso nur bei denen?

Zitat:

wenn man es nicht prüfen kann, sollte man dann nicht jede Woche formatieren, denn dann könnte ja auch was im System sein, was man nur noch nicht festgestellt hat?

Das hört sich fast nach einem Totschlagargument an.

Erstmal kann es so ein allgemeines Tut nicht geben, es gibt verschiedene Typen der ntos.exe. Bei einem der früheren Modelle (das ich auf einem Testsystem habe laufen lassen), wäre bereits beim ersten Punkt Schluss gewesen: Kein Fix mit HijackThis möglich. Auch mit regedit hätte man nichts erreicht, die Registryeinträge werden überwacht und bei Veränderung sofort wieder hergestellt.

Zitat:

Start - Ausführen - schreib rein: cmd

kopiere rein

del ntos.exe

# klicke Enter

Sicher auch im richtigen Verzeichnis zu sein? Und wo bitte klicke ich Enter? Abgesehen von rudimentären Copy&Paste-Funktionen ist die Konsole bei mir Tastatur-only.

Anfänger können damit nichts anfangen. Damit kann nur ein erfahrener Fachmensch was anfangen, der es dann aber nicht braucht, weil er auch so klar kommt. Und sich aller Wahrscheinlichkeit nach gar nicht erst den Stress gibt, weil er dasn System im Bruchteil der Zeit neu aufgesetzt hat und sich dann wenigstens sicher sein kann. Ich habe schon Backdoorinfekte gesehen, die genutzt wurden, auch in anderen Teilen des Systems Veränderungen vorzunehmen (nicht ntos.exe aber das ist zweitrangig). Nicht die Regel aber auch nicht unmöglich, und da sind die Möglichkeiten so vielfältig, dass kein Tool alles berücksichtigen kann.

Wenn das in den meisten Foren eben doch gefixt wird, dann weil sich die Foren zur Hure der User machen und alles tun, was die wollen. Der Kunde ist König, allerdings sollte dann auch eine königliche Gage kommen. Und den Forumshelfern droht ja auch keine Gefahr, ihre Computer berührt das ja nicht, ihnen kann es also egal sein, ob der User gewillt ist ein Restrisiko zu behalten. Das ist so wie mit der meisten Technik: Meistens geht es gut und ab und wann eben mal schief. Sehr verbreitet das zu akzeptieren obwohl man in diesem Bereich Sicherheit haben könnte, was in vielen anderen nicht möglich ist.

root24, eine ähnliche Diskussion wurde hier schon mehrfach geführt, vielleicht stöberst Du mal.

Erkläre mir doch bitte einmal genauer, was Du unter Hintertür verstehst.

Zitat:

Das hört sich fast nach einem Totschlagargument an.

das gebe ich mal unbenutzt zurück. Der "Vorwurf" "Totschlagargument" soll doch nicht aussagen, dass Du keine Gegenargumente hast, oder?

Zitat:

Zitat von Heike

root24, eine ähnliche Diskussion wurde hier schon mehrfach geführt, vielleicht stöberst Du mal.

Du meinst wohl diesen Strang?

Zitat:

Erkläre mir doch bitte einmal genauer, was Du unter Hintertür verstehst.

Ist jetzt nicht Dein Ernst oder?

Zitat:

das gebe ich mal unbenutzt zurück. Der "Vorwurf" "Totschlagargument" soll doch nicht aussagen, dass Du keine Gegenargumente hast, oder?

Totschlagargument deswegen, weil Du mit Deiner Aussage den Eindruck erwecken willst, daß jedes System verseucht könnte, man es aber nur noch nicht entdeckt hat. Worauf willst Du hinaus?

Klar kann man mit Backdoors verseuchte Systeme bereinigen, nur wie will denn auch der Profi mit Sicherheit feststellen, daß keine Systemdatei manipuliert wurde?

Zitat:

Zitat von root24

Klar kann man mit Backdoors verseuchte Systeme bereinigen, nur wie will denn auch der Profi mit Sicherheit feststellen, daß keine Systemdatei manipuliert wurde?

Das ist für mich das schlagende Argument.
Wenn ein System mit nem Backdoor infiziert ist/war kannst du vlt. die Datei löschen und registry Einträge killen, aber wie schon root24 gesagt hat, wie soll man bitte wissen was schon alles manipuliert ist? Oftmals wird die Datei die als erstes eingeschleust wird, um Zugriff zu bekommen vom "Hacker" selbst wieder gelöscht. Die ist nicht unbedingt nötig um den Zugriff weiterhin zu bekommen...
Weiter kann in dieser Zeit ein Rootkit installiert worden sein der alles komplett verschleiert.
Es ist einfach so das bei einer Backdoor Infizierung alles manipuliert sein kann und sauber scheint.

Doch, dass mit der Hintertür ist mein Ernst. so vermeidet man nämlich Mißverständnisse.

Zitat:

Totschlagargument deswegen, weil Du mit Deiner Aussage den Eindruck erwecken willst, daß jedes System verseucht könnte, man es aber nur noch nicht entdeckt hat.

ist es denn nicht auch so? Ich kann es jedenfalls für meinen PC nicht zu 100% ausschließen infiziert zu sein. Kannst Du es für Deinen PC ausschließen?
Wenn ja, weshalb bist Du Dir zu 100% sicher? Und weiter: genauso würdest Du dann wissen, ob alle ntos.exe Folgen beseitigt sind.

Wenn nein: also doch lieber mal regelmäßig formatieren, um etwas mehr Sicherheit zu erreichen?

Nein, die Diskussion, die ich in Erinnerung habe, ist schon wesentlich älter.

PS: bei Infizierung denke ich in meinem Fall jetzt nicht an "normale" Dinge, wie sie hier massenhaft behandelt werden, sowas wäre kein Thema für mich.

Zitat:

Zitat von Heike

Wenn nein: also doch lieber mal regelmäßig formatieren, um etwas mehr Sicherheit zu erreichen?

Wenn du die Zeit und Lust dazu hast... :aplaus:
Bei den einen Infizierungen ist man sich eben sicherer das sich nicht mehr allzu viel auf einem System herumtreibt.
Bei Backdoor Infizierungen ist aber so ein hohes Restrisiko, dass ein Neuaufsetzen die beste Lösung ist.
Diese Typen die Malware insbesonder solche mit Backdoor Funktionen programmieren sind nicht so dämlich und geben sich durch beseitigen einer Datei geschlagen.

Zitat:

Zitat von Heike

Doch, dass mit der Hintertür ist mein Ernst. so vermeidet man nämlich Mißverständnisse.

Ich weiß ja nicht was DU darunter verstehst, aber ich verstehe unter einer Hintertür eine Komponente, die es einem oder mehreren Angreifern ermöglicht, auf ein Opfer-System unter der Umgehung der existierenden Absicherungsmaßnahmen trotzdem unbemerkt Vollzugriff zu gewähren.

Zitat:

ist es denn nicht auch so? Ich kann es jedenfalls für meinen PC nicht zu 100% ausschließen infiziert zu sein. Kannst Du es für Deinen PC ausschließen?

Klar kann niemand Befall bei sich ausschließen. Im Gegensatz zu den Millionen von verseuchten Windows-PCs da draußen, ist auf meinem absolut kein Anzeichen für Malware. Und ich weiß was ich auf meinem System tue. In regelmäßigen Abständen fertige ich Systemimages an, um die bei Bedarf zurückzuspielen, was bisher aber nur deswegen vorkam, weil ich umfangreichere Software testen wollte, die ich im Nachhinein komplett ohne Dateileichen los werden wollte.

Zitat:

Wenn nein: also doch lieber mal regelmäßig formatieren, um etwas mehr Sicherheit zu erreichen?

Das Formatieren ist hyperfluid, ich nutze Systemimages wie schon erwähnt.

Kann es sein, daß Du gezielt versuchst, den Unterschied zwischen
eines eindeutig infizierten PCs und dem eines PCs, bei dem weder Auffälligkeiten noch Malware festgestellt wurde, zu verwischen?

Halli hallo.

Ich störe mich grade ein kleines bischen am Thread Titel.
Denn ihr redet über "die"? ntos.exe.. Da gibt es ein paar mehr von..
Unter anderem zum Beispiel den gpcode. Und der besitzt 0,0 Backdoorfunktion.

Wenn wir ganz allgemein über Backdoor Infizierungen sprechen habe ich da einen ganz klare Meinung:

Mit seinem eigenem Rechner kann man machen was man will aber helfe ich jemand Anderem so habe ich eine Verantwortung zu tragen. Und zwar eine verdammt hohe. Evtl. sogar in Höhe des Betrages der sich auf dem PayPal, oder Girokonto des TOs befindet. Mal ganz zu schweigen von seinen sensiblen Daten.

Wenn man sich mal in die Lage eines Angreifers versetzt: Der weiss doch, dass die ntos mitlerweile von jedem guten Helfer gefunden wird. Da würde ich mir schleunigst eine andere Hintertür einbauen evtl. sogar die Erste wieder selbst entfernen, bzw. vom AntiVirus-Prog. des Opfers oder einem Helfer entfernen/fixen lassen damit sich dieser in Sicherheit wiegt..

my2cents

[EDIT] Alle die Skype benutzen bitte sofort den Rechner formatieren! http://www.heise.de/security/Spekula...meldung/113281

my3cent

Zitat:

Zitat von undoreal

Halli hallo.

Ich störe mich grade ein kleines bischen am Thread Titel.
Denn ihr redet über "die"? ntos.exe.. Da gibt es ein paar mehr von..
Unteranderem zum Beispiel den gpcode. Und der besitzt 0,0 Backdoorfunktion.

Eigentlich meinte ich schon eher allgemeine Malware mit Backdoor Funktion:aplaus:

Zitat:

Zitat von undoreal

Mit seinem eigenem Rechner kann man machen was man will aber helfe ich jemand Anderem so habe ich eine Verantwortung zu tragen. Und zwar eine verdammt hohe. Evtl. sogar in Höhe des Betrages der sich auf dem PayPal, oder Girokonto des TOs befindet. Mal ganz zu schweigen von seinen sensiblen Daten.

Wenn man sich mal in die Lage eines Angreifers versetzt: Der weiss doch, dass die ntos mitlerweile von jedem guten Helfer gefunden wird. Da würde ich mir schleunigst eine andere Hintertür einbauen evtl. sogar die Erste wieder selbst entfernen, bzw. vom AntiVirus-Prog. des Opfers oder einem Helfer entfernen/fixen lassen damit sich dieser in Sicherheit wiegt..

my2cents

Stimme ich dir absolut zu

@root24,

also meinen wir mit Hintertür dasselbe. Ich hatte vermutet, Du meinst was super Geheimes. Ein 2. Server, der grundsätzlich genauso funktioniert wie der 1., ist ebenso leicht/schwer (je nach Wisssensstand des Users) zu entdecken/entfernen wie der 1..

Zitat:

Kann es sein, daß Du gezielt versuchst, den Unterschied zwischen eines eindeutig infizierten PCs und dem eines PCs, bei dem weder Auffälligkeiten noch Malware festgestellt wurde, zu verwischen?

Für mich besteht grundsätzlich bei jedem PC das Risiko, infiziert zu sein. Ich nutze einen ähnlichen Weg wie Du, zusätzlich benutze ich noch einen PC nur zum Testen, ohne persönliche Daten und ohne Passwörter, der könnte ruhig mal infiziert sein, was solls. nachdem ich weiß, was ich wissen wollte wird er resettet und gut ist. Du mußt auch immer im Hinterkopf haben: Ziel ist es, eine Infektion unbemerkt zu lassen, und je nach Wissensstand des Users und Verhalten des Remote-Admin kann dies sehr lange "gut" gehen. Gesetzt den "schlechtesten" Fall: "unwissender" User und "erfahrener" Remote-Admin, ist da vielleicht doch Formatieren in gewissen Zeitabständen das Mittel der Wahl? Oder hier alles 2 Wochen um eine Überprüfung der Logs nachfragen?

@undoreal,

Zitat:

aber helfe ich jemand Anderem so habe ich eine Verantwortung zu tragen. Und zwar eine verdammt hohe. Evtl. sogar in Höhe des Betrages der sich auf dem PayPal, oder Girokonto des TOs befindet. Mal ganz zu schweigen von seinen sensiblen Daten

richtig, aber auch verkehrt.
1) Paypal, ok, nur ist Paypal sehr bemüht, in solchen Fällen dem Opfer das Geld wiederzubeschaffen.
2) Girokonto: ohne gültige TAN geht da gar nichts, aber es soll Opfer geben, die die TANs auf dem PC gespeichert haben, sie tragen m. E. durch so ein Verhalten eine erhebliche Mitschuld. Ohne TAN kann man allenfalls mal die Kontostände checken, was aber ja keinen finanziellen Verlust für das Opfer zur Folge hat.
3) sensible Daten: naja, wenn einer bemerkt infiziert zu sein, sollte er gleichzeitig davon ausgehen, dass seine Daten Dritten bereits bekannt sind. Ein Ändern der Passwörter kann weitern Schaden verhindern, aber den bereits geschehenen nicht rückgängig machen.

Zitat:

Wenn man sich mal in die Lage eines Angreifers versetzt:......

Er weiß was anderes: jeder Server ist zu entdecken, eher würde er den Server entfernen, weil er hat, was er haben wollte.
Also eher die Passwörter in gewissen Zeitabständen ändern, weil so eine "kurzzeitige" Infektion vielleicht unbemerkt geblieben ist?

Formatieren nach Befall oder nicht?
bei "Warez"-Usern ohne Wissen hat es vielleicht eine gewisse erzieherische Wirkung, was auch nicht zu verachten ist.

Mir ist es letztlich egal, ob Opfer formatieren oder nicht, viele werden hier ja doch zu Dauergästen, und bei denen ist eh "Hopfen und Malz" verloren.