|
Hallo Zusammen, also, wie man sieht, läuft schon diese Diskussion auf Hochtouren ;) ! Und wie in jeder Diskussion jeder Diskutierender (bin nicht frauenfeindlich gelaunt, sehe einfach noch keine Frau hier) hat zu gleichen Teilen recht und Unrecht. Lassen wir uns mal schauen, wie läuft jetzt alles im Board ab. Ein Newbie postet: Hilfe, ich habe Problem... blah, blah, blah. Der erste Re-Post von Regular: Poste HJT-Log. Was für mich als Nächstes logisch erscheint: ... und werte ihn selbst aus. Da siest du ganz genau, wie viele Ausrufe- und Fragezeichen du hast... Aber - Fehlanzeige. Nächster Posting: das ist mein Log, kannst du damit anfangen? Dann geht die Aufklärungskampanie los: wie und wo bei Windows ist, womit unterscheidet sich IE vom WinExplorer etc. Das Ganze dauert Stunden, nicht selten auch Tage. Konnt ihr euch vorstellen, wie viele Recher sind innerhalb dieser Zeit von einem verseuchten Newbies PC infiziert werden könnten? Das ist mit einer Kettenreaktion vergleichbar. Und hier geht es bloß nicht um Firmen-Netzwerke, dort ist Netzwerkadmin (d.h. ein(e) Mann/Frau mit entsprechder Ausbildung) für Security zuständig, also die Argumente von Jürgen Schmidt schlagen hier, im TB, fehl. Alternative? Ich sehe auch 2. Aber nur für diejenige, die schon mal SWH erfolgreich abgeschaltet haben und ein Paar Dienste zum Deaktivieren ohne Systemabsturz brachten, d.h. für Leute mit IT-Vorkenntnissen. Alternative 1: von Knoppix-CD booten, vorhandenes AV aktualisieren (Fsecure, Fprot oder NAV(?)), Win-Systemlaufwerk und ggf. alle Laufwerke prüfen. So geht nämlich unser System-Admin vor. Alternative 2: eine Extra -Windows-Partition anlegen, die nur in diesem fall benutzt wird, von der booten, AV/Spybot S&D/Adaware/laaaange Liste... aktualisieren, Hauptpartition säubern. Die Beiden schaffen aber PC-Anfänger nicht. Deswegen bleibe ich hier auf meiner Position: format c:\ ist die einzige Methode , die im TB empfohlen werden muss. |
@Rene-gade Dieser Aufassung unter diesen von Dir gebrachten Einschränkungen kann ich sogar zustimmen. Aber in der Eingangsfrage von Lutz habe ich die Einschränkung auf DAUs am TB nicht gelesen. http://www.trojaner-board.com/images/smilies/frown.gif Hallo Herr Fielmann, es ist dringend! http://www.trojaner-board.com/images/smilies/wink.gif |
Hi Shadow Zitat:
|
[QUOTE=Rene-gad] Lassen wir uns mal schauen, wie läuft jetzt alles im Board ab. Ein Newbie postet: Hilfe, ich habe Problem... blah, blah, blah. Der erste Re-Post von Regular: Poste HJT-Log. Was für mich als Nächstes logisch erscheint: ... und werte ihn selbst aus. Da siest du ganz genau, wie viele Ausrufe- und Fragezeichen du hast... Aber - Fehlanzeige. Nächster Posting: das ist mein Log, kannst du damit anfangen? Dann geht die Aufklärungskampanie los: wie und wo bei Windows ist, womit unterscheidet sich IE vom WinExplorer etc. Das Ganze dauert Stunden, nicht selten auch Tage. Konnt ihr euch vorstellen, wie viele Recher sind innerhalb dieser Zeit von einem verseuchten Newbies PC infiziert werden könnten? Das ist mit einer Kettenreaktion vergleichbar. Rene-gad hat hier durchaus recht, manche Threads gehen weit über 50 postings hinaus und dauern mehrere Tage. In dieser Zeit läßt sich einen "normalen" PC doch gut neu aufsetzen und einrichten. :D Nur, die meiste User die hier um Rat fragen, wollen mit aller Gewalt ihr "System säubern". Sie haben mehr Angst ihr System neu aufsetzen("da kenn ich mich nicht aus"), als stundenlang mit unbekannte programme zu probieren etwas zu reinigen was nicht zu reinigen ist. Links werden kaum angeschaut statt gelesen. Ups, OT? :D chaosman |
Zitat:
Sprich ich möchte es aus der Sicht des Schadroutine der jeweiligen Malware betrachtet wissen und nicht vom Un(Vermögen) des Betroffenen abhängig machen. Nachtrag: Es geht mir hierbei im Moment allerdings nicht so sehr um die -durchaus berechtigte- Frage, mit welchen Mitteln ich in solchen Fällen Vorsorge zu treffen versuche. Dies wäre imho ein Punkt für mindestens eine weitere Diskussion... |
Zitat:
wenn du mit backdoor-trojaner einen fullfeatured rat wie subseven oder optixpro meinst, um mal die gegenwärtig immer noch am meisten genutzten trojaner zu nennen, dann gibt es keinen anlass für eine neuinstallation. 99% dieser tools werden über die üblichen reg-keys gestartet oder eben die system- bzw. win.ini. diese einträge zu finden und zu löschen dürfte auch für einen unerfahrenen user keine schwierigkeit sein. ist das erstmal geschehen, dann ist schonmal sichergestellt, daß der server beim nächsten neustart nicht mit startet. er liegt dann passiv auf der platte und kann ebenfalls leicht gefunden und gelöscht werden. Zitat:
Zitat:
eine neuinstallation ist also eigentlich die notbremse für einen ausnahmefall.alles andere kann mit wenig zeitaufwand und minimalen kenntnissen wieder bereinigt werden... |
Bolivar di Griz, einfach geil! LG, Hmm, Wusel :daumenhoc |
Es geht in dem Zusammenhang in erster Linie um diverse Rbot-Varianten und auch gar nicht mal um diese selbst, also eindeutig identifizierte Schädlinge, sondern vielmehr um die Tatsache, dass die Möglichkeit bestand, dass das System über diese mit weiteren, besser versteckten und nicht ohne größeren Aufwand zu entdeckenden Schädligen infiziert wurde. Wer sich längere Zeit damit beschäftigt hat, völlig unbedarfteren Usern bei solchen Problemen zu helfen, wird auch ganz sicher nicht die Begriffe "minimale Kenntnisse" und "geringer Zeitaufwand" in einem Satz verwenden. In solchen Fällen dauert eine Bereinigung tatsächlich nicht selten länger als eine Neuinstallation an Zeit kosten würde, weil jedes kleinste Detail nachgefragt, dann die Häfte vergessen oder zwischendurch einfach auf eigene Faust etwas gelöscht wird und ähnliche Dinge. |
Zitat:
Zitat:
Zitat:
|
DAU war von mir wertfrei im Sinne von Benutzer ohne Kenntnis und Verständnis gemeint. Ist dies auch noch mit einer gewissen Lernresistenz gepaart, ist zwar für den "Helfer" eine Neuinstallation sicher das beste Mittel, allerdings - da lernresistent - meist nur von kurzem Erfolg. Bringt man einem Nutzer ohne Kenntnis aber mit Verständnis, Lernwilligkeit und Lernfähigkeit den steinigen Weg der Suche und (eventuell sogar vergeblichen) Reinigung bei, so hat dieser Nutzer (und seine Umwelt) sehr viel davon. Unter minimale Kenntnisse würde ich übrigens auch die Fähigkeit einordnet zwischen einem Trojaner und einem RAT/Backdoor unterscheiden zu können. (Selbstverständlich kann ein Backdoor-Programm als Trojaner ankommen, nur ist nicht jeder Trojaner gleich ein Backdoor-Programm) |
"ok...aber dann haben wir keine grundsatzdiskussion mehr, sondern beschäftigen uns mit einem sonderfall..." Kein Sonderfall, sondern in unserem Zusammenhang die Regel, wenn es um Backdoors geht, Ich habe hier zumindest noch keinen mit Subseven infizierten Rechner gesehen. "mit ausnahme von hijackern, ist diese möglichkeit immer gegeben, egal ob virus ,wurm oder backdoor...einen nachträglichen download könnten sie alle 3 durchführen..." Das stimmt so pauschal kaum. Nicht jeder Virus oder Wurm besitzt von Haus aus eine entsprechende Funktion. Worum es geht, sind die Trojaner/Backdoors, die als Dienst laufen und Fremden direkten Zugriff auf mein System inklusive Möglichkeiten nahezu unbegrenzter Manipulation geben. In diesem Fall zu versuchen, diese Manipulationen zu entdecken oder auszuschließen, ist für Laien oder über Internet-Beratung einfach ein viel zu großer Aufwand, da ist eine Neuinstallation das einzig Vertretbare. Kombinieren wir doch einfach mal zwei aktuell anzutreffende Schädlinge: der User installiert sich eine Rbot-Variante, ein Angreifer installiert darüber Aluroot nach. In HJT taucht nur Rbot auf, wird daraufhin gelöscht und der Rechner ist scheinbar sauber. Dieses Szenario ist aber nicht einfach bei jedem Schädling exakt genauso möglich. |
Zitat:
Zitat:
Auch wenn selbstverständlich nicht jede Malware überhaupt erkannt wird. Jedes AV-Programm hat seine Lücken. |
Zitat:
Wobei ich die Worte Zitat:
Ich lass mich aber auch vom Gegenteil überzeugen. Dafür diskutiert man ja. ;) Zitat:
|
Zitat:
Lutz, könntest Du sie vielleicht etwas näher erklären? :) Gehen wir mal davon aus, jemand ist in der Lage, einen oder mehrere Trojaner vollständig zu entfernen. Dann haben wir einen grundsätzlich sauberen Rechner, auf dem aber bedingt durch den Trojaner einige Fehlfunktionen sein könnten, aus welchem Grund auch immer, weil einzelne Dateien gelöscht worden sind, verschoben worden sind, was auch immer. Diese möglichen Fehler wären zwar ärgerlich, aber ja nicht im eigentlichen Sinn gefährlich, wenn der Trojaner weg ist. Sollten Fehler auftreten, kann man dann bei Bedarf immer noch an eine Neuinstallation denken. Unter diesem Gesichtspunkt verstehe ich Deine eher grundsätzliche Aussage nicht. |
So, jetzt mal meinen Senf Wann macht man ein System platt. Sicher nicht by Hijackern oder Konsorten. Ein System ist meiner Meinung platt zu machen, wenn schwerwiegend in dieses eingebrochen worden ist, bzw. alleine nur die Möglichkeit besteht, Ich gehe davon aus, dass alle Leute, die hier ihr leid klagen, Internet besitzen. Ausgehend von Hijackthis gehen wir ja das Problem an. Eigentlich halt ich es so- mir diesen erst anzusehen, als Hilfe und zu Vereinfachung die automatische Auswertung herbeizuziehen Sollte der Log einigermassen gut aussehen, oder keinen Escan fordern plädiere ich zumeist auf ein Update von Windows.Und denke am entferntesten an ein plattmachen des ganzen "Dem Jung kann geholfen werden" Dann sollen se noch mal nen neuen Log posten. Wenn escan schlimmeres zutage trägt...kann man was dazu sagen Ich find die Frage, ob man ein OS plattmachen soll gar nicht so wild, da die Leute, die hier unter anderem schwere Probleme mit ihrem PC haben, sowieso besser mit nem neu aufgesetztem OS dran wären.Wemm sie dann noch Cidres Tipp dabei befolgen.Um so besser Gruss Cronos P.S: Finde es nicht gut , wenn man Leute auf die automatische Auswertung hinweist. Die machen sich evtl. eher mehr kaputt, als dass se reparieren |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:30 Uhr. |
Copyright ©2000-2025, Trojaner-Board