|
Systembereinigung oder gleich formatieren? - Eine Grundsatzdiskussion... In vielen Threads, diskutieren 'wir' über das Pro und Contra zum Thema Systembereinigung oder gleich formatieren. Wir sollten das imho aus den Hilferuf-Threads herauslösen und -wenn auch schon mehrfach in der Vergangenheit versucht- an konzentrierter Stelle diskutieren - und zwar hier. ;) Alle Diskutanten sind herzlichst 'eingeladen', sich an dieser Stelle zum Thema zu äußern und werden gleichzeitig gebeten, dass nicht mehr über mehrere Threads verteilt zu machen. Gleichzeitig bitte ich alle, hier auch ON-TOPIC zu bleiben und keine allgemeinen Hilferufe (oder vgl.) in diesem Thread abzusetzen. In gespannter Erwartung ob 'wir' die notwendige Diskussionsdisziplin hinbekommen, habe ich den Thread (zumindest vorübergehend) am Anfang des Boards festgepinnt und rufe aus: Los geht's... ;) |
Hallo Lutz, es gibt auch diese Seite: http://faq.underflow.de/ es gibt auch diese NG:news.microsoft.public.de.security.heimanwender Wir können auch in dem Thread posten, was aber die Tatsache nicht ändern kann: ein kompromittiertes System muss neu aufgesetzt werden. |
Danke Lutz. :) Ausgehend von der letzten Diskussion würde ich die Frage in den Raum stellen, ob es Sinn macht, verschiedene Grade der Infektion bzw. der Kompromittierung eines Rechners zu unterscheiden. Man könnte natürlich knallhart sagen, wird irgendwo eine Infektion (egal welche) festgestellt, heisst das, dass nicht alle Sicherheitsrichtlinien adäquat umgesetzt wurden, daher durch Neuinstallation wieder ein vertrauenswürdiger Zustand hergestellt werden und dann entsprechende Änderungen vorgenommen werden sollten. Das würde wahrscheinlich den absoluten Sicherheitsanforderungen entsprechen, scheint mir aber doch für die Praxis etwas zu starr zu sein. Ich wäre schon dafür, bestimmte Abstufungen anhand der identifizierten Schädlinge vorzunehmen, wobei man ja sowieso immer im Auge behalten muss, dass man, solange man nicht direkt davor sitzt, prinzipbedingt keinen absolut vollständigen Überblick des fremden Rechners hat. Ich denke mal, am wenigsten wird strittig sein, dass man bei einem identifizierten Backdoor eine Neuinstallation ohne Kompromiss empfiehlt. Auf der anderen Seite scheinen mir beispielsweise Adware/Hijacker auch noch mit "normalen" Mitteln reparabel zu sein. Die letzte Diskussion entzündete sich ja an den Trojaner-Downloadern und das wäre für mich dann tatsächlich ein Grenzfall, zu dem ich weitere Meinungen gerne hören würde. |
Hallo Rene-gad, ich kenne 'natürlich' die von Dir genannten Seiten. Aber was spricht dagegen, dass die Leute hier auch darüber diskutieren. Und wenn - dann bitte an konzentrierter Stelle. Das war die Intention meines Posts. Zitat:
|
Lutz, das war eine gute Idee, verschiedene Meinungen an "einen Tisch" zu bringen! Ich bin der Ansicht, bereinigen ja, es sei denn, es finden sich Hinweise auf Backdoors. Oftmals ist es aufwendig, mitzuhelfen, ein System wieder hinzubekommen; wenn man das nicht möchte oder kann (als Helfender), dann soll man aus dem thread draußen bleiben oder sich durch andere Hilfe holen. Kompromittiert oder nicht - das ist ja oft die Frage; und was es wirklich bedeutet, kann man ja herausfinden - durchaus auch außerhalb des boards. Die Leute, die an verschiedenen Unis arbeiten und sich damit beschäftigen, geben durchaus sinnvolle Hilfestellungen. Wenn es so wäre, daß man gleich jedes System neu aufsetzen müßte, dann wäre unter anderem die wertvolle Arbeit (Suchen und Finden, Ausprobieren und Umsetzen von Tools etc.) z.B. cidre´s, MK´s oder auch Deine, um nur ein paar zu nennen, vergebens. Außerdem ist ja auch nicht jeder User gleich bereit, wegen eines BHO´s sein System neu aufzusetzen. Ich für meinen Teil mache in diesem Sinne weiter und freu´ mich, immer wenn ich Zeit habe, auf das board. cacatoa |
Diese Frage ist gar nicht so einfach zu beantworten, wie es scheint. :crazy: Für die Formatierung (sprich Neuaufsetzen) des Systems spricht, dass es die einmalige Gelgenheit ist "tabula rasa" zu machen und alle (auch versteckten Schädlinge) los zu werden. Sie macht natürliche nur Sinn, wenn bei einer Neuaufsetzung des Systems auch die Regeln für ein sicheres System konsequent umgesetzt werden, sonst geht der ganze Spass wieder vorn vorne los. Das heisst, vor dieser Aktion muss eine Phase der gründlichen Information zum Thema Computersicherheit liegen und eine Erforschung der Ursachen der bisherigen Infektion(en) stattfinden. Gegen die Formatierung spricht der immense Zeitaufwand, den eine Neuinstallation eines Computersystems einschliesslich der Einrichtung aller Programme mit sich bringt. Hier muss man eher in Tagen als in Stunden rechnen. Ich würde es deswegen immer erst mit einer (intensiven) Systembereinigung probieren, wohl wissend, dass damit evtl. nicht alle Schädlinge entfernt werden. Die Systembereinigung sollte aber nicht nur mit einem Programm durchgeführt werden, sondern sie sollte auch eine gründlichen Überprüfung des Systems durch ein anderes Programm nach sich ziehen. Diese Überprüfung sollte am besten im abgesicherten Zustand von Windows erfolgen. Die Systemwiederherstellung sollte vorher deaktiviert werden. Ist ein Neuaufsetzen des Systems unvermeidlich, so empfiehlt es sich, zu verschiedenen Zeitpunkten der Installationsphase Systemchecks vorzunehmen und dann Images der Systempartition zu erstellen. Damit kann man später auf einem definierten, sicheren, Zustand wieder aufsetzen. Das spart für die nächste Neuinstallation eine Menge Zeit. |
Zitat:
Das wäre für mich dann die notwendige Konsequentz, in der Realität aber imho kaum machbar. |
Dann will ich mal etwas weiter ausholen... Ich geh von dem Grundsatz der Verhälnismäßigkeit aus. Sprich: Bereinigung wenn möglich - Neuinstallation wenn nötig Kaum jemand wir Spaß daran haben, sein System neu aufzusetzen, dann sollte dies wenn sinnvoll auch vermieden werden. Gut, jetzt kann man hergehen und sagen, eine Bereinigung ist nie sinnvoll oder vertrauenswürdig möglich. Dann braucht man auch nicht weiter zu diskutieren. Aber ich möchte es mir nicht so einfach machen. Auch dieses Thema hat imho mehr zu bieten als schwarz-weiß-denken. Unterstellt man zurecht Malware einen 'bösen' Zweck, so sehe ich hier durchaus auch Abstufungen in der Bedrohung. Ohne jetzt eine der vielen im Web auffindbaren Definitionen von verschiedener Malware zu zitieren, sollte imho erster Ansatzpunkt sein zu wissen, was der Inifzierende (also derjenige, welcher die Malware in umlauf bringt) damit bezwecken will. Ohne dieses Wissen kann ich nicht unter Einhaltung der Verhältnismäßigkeit problemorientiert handeln. Unstrittig dürften für uns alle sämtliche Trojaner mit Backdoorfunktionalität sein (Fälle eines bewusst installierten RAT klammere ich hierbei einmal bewusst aus). Hier muss der Betroffene davon ausgehen, dass ein mittelbarer oder sogar unmittelbarer (oftmals finanzieller) Schaden für den Betroffenen oder einen Dritten 'erreicht' werden soll. Bei einem Backdoor-Trojaner unterschreibe ich die Notwendigkeit einer Neuinstallation qausi 'blind'. Schwieriger wird es für mich -wie es auch MountainKing bereits schrieb- bei den Trojaner-Downloadern. Hier muss man zunächst feststellen (können), was dieser Downloader herunterzuladen versucht. Leider ist dies meiner Erfahrung nach gerade bei dieser Spezies nicht immer einfach herauszufinden, da die div. AV-Hersteller der Malware die unterschiedlichsten Namen und sogar 'Typbezeichnungen' zuordnen, auch wenn dieser Unsinn vielleicht irgendwann demnächst eine Ende haben wird. Einige als Downloader identifizierte Dateien laden eher 'harmlosere' Malware (z.B. Hijacker) nach, während andere da richtig ans Eingemachte gehen. Bei letzterem oder bei Restzweifeln würde ich zu einer Neuinstallation tendieren. Bei Spy- und Adware stufe ich eine weitere Gefährdung nach einer Bereinigung als eher gering ein. Schlimmer ist es hier schon, dass u. U. vertrauliche Informationen (Passwörter, Bankverbindung, Kreditkartennummern...) weitergereicht worden sein können. Dieser Umstand wird aber auch durch eine Neuinstallation des Systems nicht rückgängig gemacht. Insofern habe ich dadurch nicht viel gewonnen. Unsere neuen Freunde, die Browser-Hijacker zielen auf etwas ganz anderes ab. Sie wollen uns weder belauschen noch bestehlen oder gar unser System zerstören. Ihr 'Sinn und Zweck' besteht darin, den betroffenen Anwender bestimmte Webseiten unterzujubeln, da sie (bzw. die Autoren) hierdurch Geld verdienen. Bei einem Browser-Hijacker ist in der Regel der Spuk vorbei, sobald ich diesen entfernt habe. Was zugegebener Maßen manchmal schwierig genug ist.... ;) Auch dem klassischen Massmailer-Wurm ist in der Regel durch saubere Entfernung beizukommen, ohne dass ich das System neu aufsetze. ...to be continued... Also bleibt für mich vorerst die Neuinstallation eines kompromitierten (urgs - ich liebe dieses Wort... ;) ) Systems nicht das Mittel der allzeit richtigen Wahl. |
Da will ich mich mal zitieren, quelle: http://www.trojaner-board.com/showthread.php?t=1540 "seltsame" Codes dazwischen, weil es noch aus dem alten Forum stammt. Heise-Link (und auch meine Meinung) gilt immer noch Zitat:
|
Zitat:
Wobei ich Images für sehr wichtig halte. Ich würde jedem empfehlen in regelmäßige Abständen Images anzulegen, jedoch Vielen machen es aus bequemheid(?) nicht. chaosman |
Zitat:
Oh - shit, jetzt werde ich selbst OFF... |
Zitat:
Richtig, Chaosman hat es gesagt, schon das AV-Update verändert ja das Image. Ansonsten habe sowas bei einem Schulungsunternehmen installiert. Kleine Hardwaresteckkarte die automatisch mit einem Image arbeitet bzw. alle Änderungen woanders hin schreibt. Ausgeschaltet, neu gestartet und der PC ist so wie vorher. Da kann DAU (mit Heidi Dumm) machen was er will! Das System ist nachher wieder so wie vorher http://www.trojaner-board.com/images...es/biggrin.gif Nachteil: für ein AV-Update müsste der Admin mal die Funktion aussetzen und/oder Windows XP SP2 mosert halt immer wegen alter oder fehlender AV-Programme/versionen. |
Zitat:
<schleimmodus an> Bei deinen Beiträgen interessiert mich immer NUR der Inhalt<schleimmodus aus> (nein, habe ich wirklich überlesen. Hallo Herr Fielmann ich bräuchte da ne neue Brille) |
Zitat:
|
Wird aber jetzt OT Richtig, für den Alltag ist es eher nichts, obwohl... Eigentlich schon! Zumindest in Unternehmen (oder haben die keinen Alltag?) Mitarbeiter XY darf/soll sowieso nichts ändern und gespeichert wird alles auf dem Server. Dass der "Verlauf" in Word, Browser & Co. nicht stimmt, ist nicht so schlimm. Besser wie Virus oder Neuinstallation jedenfalls http://www.trojaner-board.com/images/smilies/smile.gif Für Privatmenschens PC oder sonstige serverlose Kiste ist es aber nix |
Hallo Zusammen, also, wie man sieht, läuft schon diese Diskussion auf Hochtouren ;) ! Und wie in jeder Diskussion jeder Diskutierender (bin nicht frauenfeindlich gelaunt, sehe einfach noch keine Frau hier) hat zu gleichen Teilen recht und Unrecht. Lassen wir uns mal schauen, wie läuft jetzt alles im Board ab. Ein Newbie postet: Hilfe, ich habe Problem... blah, blah, blah. Der erste Re-Post von Regular: Poste HJT-Log. Was für mich als Nächstes logisch erscheint: ... und werte ihn selbst aus. Da siest du ganz genau, wie viele Ausrufe- und Fragezeichen du hast... Aber - Fehlanzeige. Nächster Posting: das ist mein Log, kannst du damit anfangen? Dann geht die Aufklärungskampanie los: wie und wo bei Windows ist, womit unterscheidet sich IE vom WinExplorer etc. Das Ganze dauert Stunden, nicht selten auch Tage. Konnt ihr euch vorstellen, wie viele Recher sind innerhalb dieser Zeit von einem verseuchten Newbies PC infiziert werden könnten? Das ist mit einer Kettenreaktion vergleichbar. Und hier geht es bloß nicht um Firmen-Netzwerke, dort ist Netzwerkadmin (d.h. ein(e) Mann/Frau mit entsprechder Ausbildung) für Security zuständig, also die Argumente von Jürgen Schmidt schlagen hier, im TB, fehl. Alternative? Ich sehe auch 2. Aber nur für diejenige, die schon mal SWH erfolgreich abgeschaltet haben und ein Paar Dienste zum Deaktivieren ohne Systemabsturz brachten, d.h. für Leute mit IT-Vorkenntnissen. Alternative 1: von Knoppix-CD booten, vorhandenes AV aktualisieren (Fsecure, Fprot oder NAV(?)), Win-Systemlaufwerk und ggf. alle Laufwerke prüfen. So geht nämlich unser System-Admin vor. Alternative 2: eine Extra -Windows-Partition anlegen, die nur in diesem fall benutzt wird, von der booten, AV/Spybot S&D/Adaware/laaaange Liste... aktualisieren, Hauptpartition säubern. Die Beiden schaffen aber PC-Anfänger nicht. Deswegen bleibe ich hier auf meiner Position: format c:\ ist die einzige Methode , die im TB empfohlen werden muss. |
@Rene-gade Dieser Aufassung unter diesen von Dir gebrachten Einschränkungen kann ich sogar zustimmen. Aber in der Eingangsfrage von Lutz habe ich die Einschränkung auf DAUs am TB nicht gelesen. http://www.trojaner-board.com/images/smilies/frown.gif Hallo Herr Fielmann, es ist dringend! http://www.trojaner-board.com/images/smilies/wink.gif |
Hi Shadow Zitat:
|
[QUOTE=Rene-gad] Lassen wir uns mal schauen, wie läuft jetzt alles im Board ab. Ein Newbie postet: Hilfe, ich habe Problem... blah, blah, blah. Der erste Re-Post von Regular: Poste HJT-Log. Was für mich als Nächstes logisch erscheint: ... und werte ihn selbst aus. Da siest du ganz genau, wie viele Ausrufe- und Fragezeichen du hast... Aber - Fehlanzeige. Nächster Posting: das ist mein Log, kannst du damit anfangen? Dann geht die Aufklärungskampanie los: wie und wo bei Windows ist, womit unterscheidet sich IE vom WinExplorer etc. Das Ganze dauert Stunden, nicht selten auch Tage. Konnt ihr euch vorstellen, wie viele Recher sind innerhalb dieser Zeit von einem verseuchten Newbies PC infiziert werden könnten? Das ist mit einer Kettenreaktion vergleichbar. Rene-gad hat hier durchaus recht, manche Threads gehen weit über 50 postings hinaus und dauern mehrere Tage. In dieser Zeit läßt sich einen "normalen" PC doch gut neu aufsetzen und einrichten. :D Nur, die meiste User die hier um Rat fragen, wollen mit aller Gewalt ihr "System säubern". Sie haben mehr Angst ihr System neu aufsetzen("da kenn ich mich nicht aus"), als stundenlang mit unbekannte programme zu probieren etwas zu reinigen was nicht zu reinigen ist. Links werden kaum angeschaut statt gelesen. Ups, OT? :D chaosman |
Zitat:
Sprich ich möchte es aus der Sicht des Schadroutine der jeweiligen Malware betrachtet wissen und nicht vom Un(Vermögen) des Betroffenen abhängig machen. Nachtrag: Es geht mir hierbei im Moment allerdings nicht so sehr um die -durchaus berechtigte- Frage, mit welchen Mitteln ich in solchen Fällen Vorsorge zu treffen versuche. Dies wäre imho ein Punkt für mindestens eine weitere Diskussion... |
Zitat:
wenn du mit backdoor-trojaner einen fullfeatured rat wie subseven oder optixpro meinst, um mal die gegenwärtig immer noch am meisten genutzten trojaner zu nennen, dann gibt es keinen anlass für eine neuinstallation. 99% dieser tools werden über die üblichen reg-keys gestartet oder eben die system- bzw. win.ini. diese einträge zu finden und zu löschen dürfte auch für einen unerfahrenen user keine schwierigkeit sein. ist das erstmal geschehen, dann ist schonmal sichergestellt, daß der server beim nächsten neustart nicht mit startet. er liegt dann passiv auf der platte und kann ebenfalls leicht gefunden und gelöscht werden. Zitat:
Zitat:
eine neuinstallation ist also eigentlich die notbremse für einen ausnahmefall.alles andere kann mit wenig zeitaufwand und minimalen kenntnissen wieder bereinigt werden... |
Bolivar di Griz, einfach geil! LG, Hmm, Wusel :daumenhoc |
Es geht in dem Zusammenhang in erster Linie um diverse Rbot-Varianten und auch gar nicht mal um diese selbst, also eindeutig identifizierte Schädlinge, sondern vielmehr um die Tatsache, dass die Möglichkeit bestand, dass das System über diese mit weiteren, besser versteckten und nicht ohne größeren Aufwand zu entdeckenden Schädligen infiziert wurde. Wer sich längere Zeit damit beschäftigt hat, völlig unbedarfteren Usern bei solchen Problemen zu helfen, wird auch ganz sicher nicht die Begriffe "minimale Kenntnisse" und "geringer Zeitaufwand" in einem Satz verwenden. In solchen Fällen dauert eine Bereinigung tatsächlich nicht selten länger als eine Neuinstallation an Zeit kosten würde, weil jedes kleinste Detail nachgefragt, dann die Häfte vergessen oder zwischendurch einfach auf eigene Faust etwas gelöscht wird und ähnliche Dinge. |
Zitat:
Zitat:
Zitat:
|
DAU war von mir wertfrei im Sinne von Benutzer ohne Kenntnis und Verständnis gemeint. Ist dies auch noch mit einer gewissen Lernresistenz gepaart, ist zwar für den "Helfer" eine Neuinstallation sicher das beste Mittel, allerdings - da lernresistent - meist nur von kurzem Erfolg. Bringt man einem Nutzer ohne Kenntnis aber mit Verständnis, Lernwilligkeit und Lernfähigkeit den steinigen Weg der Suche und (eventuell sogar vergeblichen) Reinigung bei, so hat dieser Nutzer (und seine Umwelt) sehr viel davon. Unter minimale Kenntnisse würde ich übrigens auch die Fähigkeit einordnet zwischen einem Trojaner und einem RAT/Backdoor unterscheiden zu können. (Selbstverständlich kann ein Backdoor-Programm als Trojaner ankommen, nur ist nicht jeder Trojaner gleich ein Backdoor-Programm) |
"ok...aber dann haben wir keine grundsatzdiskussion mehr, sondern beschäftigen uns mit einem sonderfall..." Kein Sonderfall, sondern in unserem Zusammenhang die Regel, wenn es um Backdoors geht, Ich habe hier zumindest noch keinen mit Subseven infizierten Rechner gesehen. "mit ausnahme von hijackern, ist diese möglichkeit immer gegeben, egal ob virus ,wurm oder backdoor...einen nachträglichen download könnten sie alle 3 durchführen..." Das stimmt so pauschal kaum. Nicht jeder Virus oder Wurm besitzt von Haus aus eine entsprechende Funktion. Worum es geht, sind die Trojaner/Backdoors, die als Dienst laufen und Fremden direkten Zugriff auf mein System inklusive Möglichkeiten nahezu unbegrenzter Manipulation geben. In diesem Fall zu versuchen, diese Manipulationen zu entdecken oder auszuschließen, ist für Laien oder über Internet-Beratung einfach ein viel zu großer Aufwand, da ist eine Neuinstallation das einzig Vertretbare. Kombinieren wir doch einfach mal zwei aktuell anzutreffende Schädlinge: der User installiert sich eine Rbot-Variante, ein Angreifer installiert darüber Aluroot nach. In HJT taucht nur Rbot auf, wird daraufhin gelöscht und der Rechner ist scheinbar sauber. Dieses Szenario ist aber nicht einfach bei jedem Schädling exakt genauso möglich. |
Zitat:
Zitat:
Auch wenn selbstverständlich nicht jede Malware überhaupt erkannt wird. Jedes AV-Programm hat seine Lücken. |
Zitat:
Wobei ich die Worte Zitat:
Ich lass mich aber auch vom Gegenteil überzeugen. Dafür diskutiert man ja. ;) Zitat:
|
Zitat:
Lutz, könntest Du sie vielleicht etwas näher erklären? :) Gehen wir mal davon aus, jemand ist in der Lage, einen oder mehrere Trojaner vollständig zu entfernen. Dann haben wir einen grundsätzlich sauberen Rechner, auf dem aber bedingt durch den Trojaner einige Fehlfunktionen sein könnten, aus welchem Grund auch immer, weil einzelne Dateien gelöscht worden sind, verschoben worden sind, was auch immer. Diese möglichen Fehler wären zwar ärgerlich, aber ja nicht im eigentlichen Sinn gefährlich, wenn der Trojaner weg ist. Sollten Fehler auftreten, kann man dann bei Bedarf immer noch an eine Neuinstallation denken. Unter diesem Gesichtspunkt verstehe ich Deine eher grundsätzliche Aussage nicht. |
So, jetzt mal meinen Senf Wann macht man ein System platt. Sicher nicht by Hijackern oder Konsorten. Ein System ist meiner Meinung platt zu machen, wenn schwerwiegend in dieses eingebrochen worden ist, bzw. alleine nur die Möglichkeit besteht, Ich gehe davon aus, dass alle Leute, die hier ihr leid klagen, Internet besitzen. Ausgehend von Hijackthis gehen wir ja das Problem an. Eigentlich halt ich es so- mir diesen erst anzusehen, als Hilfe und zu Vereinfachung die automatische Auswertung herbeizuziehen Sollte der Log einigermassen gut aussehen, oder keinen Escan fordern plädiere ich zumeist auf ein Update von Windows.Und denke am entferntesten an ein plattmachen des ganzen "Dem Jung kann geholfen werden" Dann sollen se noch mal nen neuen Log posten. Wenn escan schlimmeres zutage trägt...kann man was dazu sagen Ich find die Frage, ob man ein OS plattmachen soll gar nicht so wild, da die Leute, die hier unter anderem schwere Probleme mit ihrem PC haben, sowieso besser mit nem neu aufgesetztem OS dran wären.Wemm sie dann noch Cidres Tipp dabei befolgen.Um so besser Gruss Cronos P.S: Finde es nicht gut , wenn man Leute auf die automatische Auswertung hinweist. Die machen sich evtl. eher mehr kaputt, als dass se reparieren |
Zitat:
Du schließt bei Deiner Meinung produktiv genutze Computer(anlagen) ein oder aus? Zitat:
Zitat:
So ein "Bemuttern" bringt auf Dauern nichts! Außer dass Du "schlau bleibst" und der Unwissende weiterhin unwissend. http://www.trojaner-board.com/images...es/biggrin.gif |
Hallo Heike, Zitat:
Ich will gerne versuchen, dies etwas näher zu erläutern, allerdings dauert das noch ein bisschen. Ich hab im Moment nicht so viel Zeit, wie am Wochenanfang... |
Hallo Zusammen. @cronos Zitat:
Schon ab einem Hijacker man kann von einem "undichten" System reden, denn Computer ist nicht mehr zu steuern. Ist es ein "schwerwiegendes" Problem, wenn du rechts abbigen möchtest und Blinker aktiviet hast, dabei aber blinkt der linke Blinker? In der 30-Zone könnte es mit Bagatelschaden ausgehen, auf der Autobahn kann auch tödlich sein. Zitat:
|
Wollte da auch noch was einwerfen! Kann dem was Rene-gad geschrieben hat nur zustimmen! Seid doch mal ehrlich;gehen wir davon aus,EUCH hier würde ein Hijacker befallen,was würdet Ihr machen?! Ich für meinen Fall;falls das mal passieren sollte,würde ich mein System platt machen! Sicherlich ist das hier alles ein zwiespaltiges Schwert,zuerst wollen wir ja dem User helfen,dass er zumindestens für eine gewisse Zeit weiterarbeiten kann! Ist das richtig? Bin der Meinung,dass es bei einem gewissen Befall nicht O.K. ist Schauen wir uns mal die Trojan Downloader an,...wer kann denn ganz genau sagen,was die alles nachziehen?!Keiner! Man kann das auch ganz gut an sophos.de nachvollziehen,wenn tagtäglich über einen Trojaner der Art ein Update gemacht wird,wer das mal beobachtet hat,wird feststellen,dass dies die letzte Zeit oft der Fall war! Ich merke eben gerade selbst,man lernt nie aus. Gruss und schönes WE werd mal ne Zeit inaktiv sein! |
Zitat:
Es könnte, rein theoretisch, ja etwas auf Deinem PC gewesen und benutzt worden sein, was aber schon wieder deinstalliert ist? Es soll ja auch Dinge geben, die man nicht bemerkt haben könnte? Viele Grüße, Heike :teufel3: |
Zitat:
Malware jeder Art kann ich aber nicht vertrauen. Ich würde in dem unwahrscheinlichen Fall einer Infektion neu installieren bzw. ein Image drüberbügeln. Und zwar deswegen, weil mir die Fähigkeit fehlt, ein Schadprogramm auf seine Fähigkeiten zu untersuchen. Kann man so etwas dem ONU, der hier tagtäglich mit zumeist trivialen Problemen aufschlägt, vermitteln? Da hab ich meine Zweifel, denn die meisten scheitern offensichtlich schon bei weitaus geringeren Problemen, z.B. der Frage, wo sie Updates für ihr Windows bekommen. Gruß :daumenhoc Yopie |
Zitat:
zitat Herr Kautz Zitat:
wer einen schädling auf seinem system entdeckt hat, hat das in aller regel mit einem AV scanner gemacht, der das teil dann löscht und/oder in quarantäne nimmt. nachdem das passiert ist kann man davonausgehen, daß der rechner wieder clean ist. wer einen echten trojaner auf dem rechner hatte, ist gut damit beraten die zugangsdaten für seine accounts zu ändern und in zukunft besser aufzupassen. mir ist wirklich rätselhaft welche manipulation eventuell duchgeführt sein könnte die eine neuinstallation rechtfertigt. zur kontrolle des rechner stehen uns verschiedene tools zur verfügung. ich nenn jetzt mal die, die bei mir im einsatz sind: Bitdefender free Ewido free Antivir free Adaware HjT Spybot S&D Tcpview Processexplorer Firewall...immer wieder mal ne andere. gegenwärtig: zonealarm security suite wenn mir diese tools für die sicherheit das ok geben, muss ich ihnen vertrauen. alles andere ist blödsinn und nur mit paranoia zu begründen. das gilt auch für erfahrene user. eine neuinstallation ist meiner meinung nach so gut wie nie nötig. und der neuling, der nicht in der lage ist start--> cmd --> regedit auszuführen, ist mit einer neuinstallation ganz sicher auch überfordert... |
@Bolivar di Griz Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Abgesehen davon dass es immer noch gut wäre, wenn man die Fähigkeit besäße einen Trojaner (ist eine Aussage NUR über die Verbreitungsart) von einem RAT/Backdoor-Programm (ist eine Aussage über mögliche Schädigungsart) zu unterscheiden... Wenn Rene-gade nur die Computer von ONU (Otto-Normal-User) und deren "Reinigung" via Trojanerboard im Auge hat, kann man im eventuell zustimmen, fürs "echte Leben" mit PCs und ganzen Netzwerken in Produktivumgebung ist seine These absolut unbrauchbar, aber wohl auch nicht gedacht. @Bolivar di Griz: Wenn ein OnAccess(!)-Virenscanner den Schädling sofort schon beim Befallversuch erkennt ist, deine Ansicht m.E. vollkommen richtig, auch in "gröbster ONU-Umgebung". Wenn hingegegen irgendwann ein OnDemand-AV-Scanner einmal ein paar dutzend Backdoors & Co. entdeckt, die erkennbar schon monatelang auf dem Computer waren und ONU auch von seltsamen Computeraktivitäten seit vielen Wochen weiß, dann wäre eine Neuinstallation durchaus überlegenswert. Allerdings halte ich das Argument der unbemerkten Manipulation von Dateien via RAT schon eher im Glaskugelmilieu angesiedelt. Eine "routinemäßige" Manipulation/Veränderung/Hinzufügung von Dateien ist im Allgemeinen auch dem AV-Programm bekannt welches das RAT entdeckt hat bzw. auf der Website des AV-Herstellers vermerkt. Allerdings (hier greifen Yopies Zweifel) dürften ONUs hierhin selten vordringen. Die einzig echte Gefahr sähe ich in legalen (also nicht durch ein AV-Scanner erkennbar) und individuellen Manipulationen via RAT, aber dies dürfte wohl höchst selten vorkommen. Vielleicht wenn jemand einen ONU (Nachbar, Schulfreund, Nebenbuhler, Ex...) persönlich ärgern will oder auf sicherheitsrelevanten Computern, wo sich der Aufwand einer individuelle Manipulation auch lohnen könnte. Und meine Anforderungen an einen sicherheitsrelevanten Rechner inkl. Bedienungpersonen wären aber auch durchaus etwas höher. |
Zitat:
Zitat:
|
Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Zitat:
das ist haarspalterei... Zitat:
Zitat:
und ob kontrolle oder überwachung ist wieder haarspalterei Zitat:
und du willst doch sicher nicht wieder das leidige, bis zum erbrechen durch durchgekaute, thema firewall: ja/nein zur sprache bringen? oder doch? :( Zitat:
Zitat:
gut, alle newbies aufgepasst der einsatz von Avscannern und allen anderen tools die der sicherheit dienen, ist zwar eine nette beschäftigung, aber tatsächlich bringt das gar nichts ! diese dinger werden nur progarmmiert um euch die kohle aus der tasche zu ziehen. warum geht ihr für das geld nicht lieber lecker essen? es ist ebenfalls völlig sinnlos im internet nach rat zu fragen... wozu? das allabendliche neuaufsetzen des rechners sollte endlich kultiviert werden. denn das -und nur das- verschafft endgültige sicherheit ! und wer gar einen hijacker auf seinem rechner findet, der sollte auch einen wohnortwechsel in erwägung ziehen, denn gegen hijacker ist nun mal kein kraut gewachsen...nicht wahr, herr kautz ? |
Scheiß Reduzierung auf nur eine Zitatebene, ist mir jetzt zu viel Arbeit Zitat:
Zitat:
Zitat:
|
Wenn ein ONU es nicht schafft, sein system sauber zu halten wird er es auch nicht nach einer neuinstallation besser machen. Wenn er nicht neuinstalliert, ist auch die möglichkeit da, das er fehler macht, allerdings sind dann mehr risikofaktoren vorhanden. also sehe ich das ganze so: nur bereinigung = fehlergefahr & systemdateiersetzungsgefahr durch trojaner neuinstallation = nur fehlergefahr die aber die systemdateiersetzungsgefahr durch trojaner wiederherstellt, was aber nur bedingt möglich ist bedeutet für mich also, das es egal ist, was man rät; am ende sind wir ja wieder am ausgangspunkt angelangt. das einzige wäre, wenn der user sich mit seinem system ausführlich befassen würde. denn nur dann wäre eine neuinstallation wirklich sinnvoll. |
HILFE ! :confused: |
@Bolivar di Griz Zitat:
Zitat:
Zitat:
2. Heuristik ist nur Heuristik, also keine 100%-Sicherheit bei der Definition. Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Es wäre schön, wenn du bevor eine Antwort schreibst, doch meinen Link lesen würdest. |
Moin erstmal, bin neu hier. Find diese Side ja so sau geil, ey chris durch deinen Forum eintrag den ich ueber google gefunden hab, bin ich erst auf diese side gekommen, danke nochmal. Naja aber nun zum Thema, kennt jemand about:blank diese abge*'#+#+ Starthomepage? Bitte brauch hilfe... :heulen: |
Egal, ich beschreib erstmal mein Vorhaben............ALSO.... ich hab jetzt sphjfix downgeloadet. Danach wollt ich cw-shredder benutzen..... bringst das? Hilfe! |
wohl kaum. da die vermutung nahe liegt, das ein startpage trojaner vorhanden ist. außerdem ist dieser thread nicht für hilfe da, also poste dein problem in einen eigenen thread. |
@Computer-Toelpel kannst du bitte aufhören diesen Thread "zuzumüllen"? |
k.......thread also.........?!?!?! Auf editieren oder was? |
Zitat:
Zitat:
...und können wir uns darauf einigen, daß es 100%ge sicherheit nicht gibt? Zitat:
ich weiß, daß mein rechner sauber ist, mit glauben hat das gar nichts zu tun.. Zitat:
Zitat:
die 3 von mir verwendeten scanner vertragen sich sehr gut miteinander. wenn ich jetzt noch kaspersky und/oder mcaffe dazu nehmen würde, ändert sich das auch nicht... Zitat:
Zitat:
du hast dir das essen abgewöhnt, und formatierst jeden abend deinen rechner? Zitat:
was ist mit den modem-nutzern? wenn sie deinen rat annehmen, formatiere sie neu und verbringen die nächsten 14 tage damit, alle verfügbaren patches wieder downzuloaden und zu installieren...und nach ein paar stunden surfen können sie gerade wir von vorn anfangen Zitat:
und 2. wurscht. beides hat auf meinem rechner nichts zu suchen... du verlierst dich immer mehr in haarspaltereien und philosophischen betrachtungen. kein wunder... dein standpunkt ist auf dauer unhaltbar... |
@Bolivar di Griz: Du nutzt also mehrere OnAccess-Scanner gleichzeitig? OnAccess? Bist Du sicher? Welche beiden? |
zur überwachung des ramspeichers verwende ich nur noch Ewido, nach meinen erfahrungen ist das ausreichend. Ewido in kombination mit Kaspersky wäre aber kein problem. wurde in der praxis getestet und für gut befunden. nicht von mir, aber das spielt ja keine rolle... |
Zitat:
Zitat:
Ich weiß zwar nicht ob es jetzt noch gilt aber früher hat's mit ewido so funktioniert, allerdings bot ewido da noch keinen Virenschutz, tut es dies heute? Ging wenn ich mich recht erinnere mit quasi jedem AV-Programm. => http://www.ewido.net/de/compatibility/ Auf jeden Fall, trägt ewido zur Verdummung bei, denn sie setzen anscheinend Trojaner mit Backdoor gleich, wird aber bald wohl so üblich sein. Genauso wie die meisten DAUs Internet und WWW nicht trennen können. |
ja, ich weiss wovon ich so spreche ! ich nutze niemals 2 scanner zur gleichen zeit, sondern lass sie nacheinander mein system scannen. der unterschied zwischen einer backdoor und einem trojaner ist im kontext dieses threads völlig unerheblich. es ist auch egal ob wir vom internet oder dem www sprechen. das ist nur für fachleute von interesse. ein user der zum internet bewohner wird und sich ne homepage bastelt, wird früher oder später mit allen begriffen vertraut gemacht, also selber bald sowas wie ein fachmann. jaja, ich weiss, das dauert ne weile... btw: ich hatte schon ne email adresse als vom www noch nicht die rede war... |
@Bolivar di Griz Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Außerdem: wenn ein A-Modem-Betreiber eine Seuche an PC gebracht hat, könnte er auch darum kümmern, wie er die wieder weg bekommt und seinen PC absichert. Zitat:
|
Zitat:
und mir willst du das absprechen? hehe schlaf gut :D Zitat:
und jetzt ist für mich EOD. ich hab gelernt, daß manche diskussionen fruchtlos bleiben. das hier ist so eine... |
@Bolivar di Griz Zitat:
Zitat:
Zitat:
Zitat:
|
Ich versuch noch mal an folgender Stelle einzusetzen, da ich noch eine Antwort schuldig bin. Manchmal hat man nicht die Zeit für Dinge, die einem gerade wichtig sind. Und diese Diskussion ist mir wichtig! Zitat:
Nun, wie bereits gesagt, sehe ich es als durchaus machbar an, auch einen Backdoor-Trojaner selbst restlos zu entfernen. Aber -und das hast Du selbst auch gesagt- es können Fehlfunktionen auftreten/aufgetreten sein. Diese Fehlfunktionen können imho erst viel später auftreten - sei es 'nur' weil ein selten benutztes Programm bzw. ein selten genutzter Programmteil 'beschädigt' wurde, oder weil diese Fehlfunktionen nicht offensichtlich sind. Als -zugegebenermaßen evtl. recht theorethisches- Beispiel: Es wurde eine Formel in einem Tabellenkalkulationsprogramm verändert/manipuliert und es fällt erst wesentlich später auf. Im 'günstigensten Fall' kann sich der Betroffene nicht mehr erklären, warum dieser 'Fehler' auftritt, im weitaus ungünstigeren Fall entsteht hierdurch ein wirtschaftlicher Verlust. Wie -irgendwann eingangs schon mal erwähnt- gehe ich in dieser Diskussion nicht nur von einem Heimanwender aus. Ich hoffe, dieses Beispiel erläutert ein wenig, wohin ich gedanklich will, wenn ich für mich sage, in so einem Fall ist es für mich nicht mehr verhältnismäßig, 'nur' den Backdoor-Trojaner zu entfernen?!? **** Irgendwo weiter vorne war das Beispiel des defekten Blinkers (rechts abbiegen - Blinker blinkt links) zu lesen. Nun bin ich der Ansicht, dass Vergleiche nahezu immer hinken, aber ich versuche mal einen Gegenvergleich: Wenn ich nun feststelle, dass der Blinker nicht mehr seiner ursprünglichen Aufgabe entsprechend funktioniert, was mache ich dann? Ich tausche das defekte Teil (evtl. das Relais - ich hab kaum Ahnung von Autos -zum tanken reichts grad noch... ;) ) aus, aber nicht die komplette Elektronik. Dies würde ich doch erst dann machen, wenn durch den Defekt des Relais die gesamte Elektronik Schaden genommen hat bzw. ich nicht durch entsprechende Untersuchungen feststellen konnte, das Folgeschäden an der Elektronik zu befürchten sind. Wie gesagt, das Ganze klingt ziemlich konstruiert, aber so ist das wohl mit hinkenden Vergleichen... |
@ Rene-gad, weißt du eigentlich mit wem du es da zu tun hast (Bolivar di Griz), dass ist einer, der aus einer Generation stammt, wo mach noch jedes bit mit Vornamen kannte und dich ganz einfach mal in den Sack steckt, wenn er das möchte. LG, Charlie |
Zitat:
Du meinst er stammt noch aus der 4-Bit Generation? http://www.trojaner-board.com/images...es/biggrin.gif |
@ Bolivar di Griz "was denn für 'ne manipulation? nenn doch mal ein beispiel..." Manipulation von Systemdateien, von Sicherheitsprogrammen, von Starteinträgen? Das sind die Bereiche, wo sich bei mir die Gefährlichkeit der verschiedenen Schädlinge durchaus untescheidet und woraus sich dann entsprechend differierende Konsequenzen ergeben. Ich glaube, dass deine Sichtweise sehr der von charlie1 gleicht und mit ihm hatte ich entsprechende Diskussionen auch schon. Niemand bezweifelt, dass jemand mit genügend Know-how seinen Rechner auch ohne Neuinstallation von jeder Infektion säubern kann und das vielleicht sogar noch in einem vernüftigen Aufwand-Nutzen-Verhältnis. Das ist alles sehr schön, hilft uns aber bei den Fällen, mit denen wir hier in der Mehrzahl zu tun haben genau NULL. Wir sitzen nicht vor dem Rechner, müssen uns auf indirekte Informationen verlassen, nicht selten von Nutzern, die noch ein Original-OS haben, das noch keinen Patch gesehen hat, die wesentliche Grundbegriffe gar nicht kennen und deren Surfgewohnheiten unglaublich fahrlässig sind. Ich bestreite schlicht, dass es einfacher, schneller, sicherer und effizienter wäre, diesen Nutzern zu erklären, wie sie nicht nur die erkannten Backdoors entfernen, sondern auch noch ausschließen sollen, dass sie noch weitere, evtl. versteckte auf dem Rechner haben oder sie tagelang mit zig Tools scannen zu lassen, als sie zu einem klaren Schnitt aufzufordern, so weit es geht sicherzustellen, dass sie wenigstens grundlegende Dinge von Anfang an umsetzen und darauf zu hoffen, dass sie sich weiter damit beschäftigen. Für mich klingt das immer ein bißchen nach dem Motto "Neuinstallation ist für Schwächlinge, ICH kriege das auch ohne hin"...das glaube ich sogar, aber es ist für unsere Situation und Fragestellung hier IMO nicht wirklich zielführend oder praktikabel. |
Zitat:
Und allgemein gesehen muß man immer eine Kosten-Nutzen-Abwägung führen. Wenn Ihr immer nur ONU/DAU als Focus habt, dann müsst Ihr dies auch laut sagen. In einem echten Netzwerk, kann es leider sogar sinnvoll sein temporär mit einer aktiven Malware zu leben (natürlich in Abwägung mit dem wahrscheinlich-maximalen Schaden) bis sie bekämpft werden kann. Eine komplette Neuinstallation eines Netzwerkes (alle Server, alle Arbeitsstationen, alle Änderungen seit dem letzten als "wahrscheinlich sicher" eingestuften Backup) ist höchst selten sinnvoll. Und dies gilt nicht nur für Netze ab ein paar zigtausend Nutzern, sondern auch schon für kleine Netze und im Endeffekt auch für Einzel-PCs die wirklich genutzt werden. Eine Kiste mit nur Windows, Word und ein paar Spiele, weitere sinnlose Bithaufen wie Messenger, P2P-Müll etc. kann man natürlich jederzeit plattmachen http://www.trojaner-board.com/images/smilies/wink.gif Also erst Zielgruppe definieren, dann kann man auch vernünftig diskutieren (und nach Bolivar di Griz' EOD muß kein Charlie-aus-der-Schachtel sekundieren) |
@charlie1 Zitat:
Außerdem: Seine Behauptung, dass 2 AV-Programme mehr Sicherheit garantieren, klingt für mich einfach laienhaft. Noch dazu: ich kenne keinen Profi, der an seinem PC ZA betreibt. |
Statt dass Du vor Ehrfurcht erzitterst und in den Staub fällst ...http://www.trojaner-board.com/images...es/biggrin.gif |
Zitat:
|
Zitat:
Ich weiss nicht so recht, was dein Problem ist, denn ich habe ja explizit eine Unterscheidung der "Zielgruppen" vorgenommen, wie auch eine differierende Aufwand-Nutzen-Analyse. Nirgendwo habe ich einer panikartigen Neuinstallation ohne Abwägen des Einzelfalles und der Umstände das Wort geredet und wenn mir argumentative Parallelen auffallen, kann ich die auch benennen. |
Eigentlich war allerhöchstens der erste Satz von mir dort oben als Antwort auf Dich gemeint und auch nicht unbedingt als Widerspruch, mehr zur Erklärung. Gut, hätte einen Absatz reinhauen sollen. Und der letzte Halbsatz (der in der Klammer) war absolut und 100% NICHT an Dich gerichtet. http://www.trojaner-board.com/images...es/biggrin.gif |
Ok. :) Ups, das war zu kurz zum Posten...das müsste reichen. |
Zitat:
1. wo habe ich durch den einsatz von 2 AVscannern mehr sicherheit GARANTIERT ? bitte zitieren.. 2. habe ich zu keinem zeitpunkt behauptet ein profi zusein ! ein profi unterscheidet sich vom amateur dadurch, daß er für seine tätigkeit bezahlt wird. das trifft auf mich nicht zu. da ich jetzt einfach mal voraus setze, daß es sich bei dir genauso verhält ( alles andere würde mich wundern) habe wir schonmal eins gemeinsam. wir sind laien...du auch und ok...da du dir das stereotype firewall gequassel nicht verkneifen kannst ( insbesondere zum zonealarm...hehe, mein gott :lach: passt sehr gut zu dir) mach ich nochmal darauf aufmerksam, daß ich immer wieder mal ne andere installiere, und keineswegs auf zonealarm fixiert bin. weisst du warum ich das mache? ich verhalte mich so, weil ich mich gern auf meine eigenen erfahrungen stütze, und es ganz einfach ablehne, das nachzuquasseln was andere mir vorkauen. die ganze debatte firewall war geprägt von diesem typus mensch. und jetzt ist wirklich schluss für mich. deine dusseligen bemerkungen zu meiner person haben mich zu diesem beitrag provoziert... |
Es wird mir stets ein Rätsel bleiben, wie man sich bei einem Sachthema dermaßen in die Haare geraten kann. Beherrscht euch doch bitte einmal. Beide! Ich werde in Kürze auch noch etwas zum Thema selbst beitragen. Cobra |
Im Prinzip ist die Sache ganz einfach. Einen Hijacker oder dummen Wurm wird niemand durch ein Neuaufsetzen kurieren wollen. Ganz einfach deshalb, weil das Schadenspotential¹ klar definiert ist. Ganz anders sieht das mit rbot/agobot/phatbot aus. Diese Schadprogramme gestatten prinzipiell eine weitreichende Manipulation des befallenen Systems, ganz so, wie es auch rootkits unter Unix tun.² Im Prinzip (das dies selten geschieht, spielt keine Rolle) kann z.B. ein ProcessExplorer mit Backdoor untergeschoben werden, der dem System grünes Licht gibt, aber undetectable ist und fröhlich eine Leitung frei halt. Oder schlimmeres. Auch wenn ich noch so gründlich suche, und mich für ach so kompetent halte: niemand kann es mir garantieren, daß mir der Cracker nicht doch voraus ist. Wer anderer Meinung ist, ist entweder Gott, leicht überheblich ;), oder betreibt professionelle Malwareanalyse und hat damit alle Zeit der Welt. Es hilft hier auch nicht, über Wahrscheinlichkeiten zu argumentieren. Natürlich ist es beliebig unwahrscheinlich, daß mein Cracker-Gegenüber wirklich so "gut" ist, oder Interesse an meinem Rechner hätte, wäre er so gut. Alles Firlefanz, denn ausschließen kann man das nicht. Schließlich kommt noch der zeitliche Aufwand ins Spiel. Ein Image, sofern vorhanden, ist schnell eingespielt. Selbst eine Neuinstallation ist ein vergleichsweise geringer Aufwand, vergleicht man sie mit einer kompletten Analyse des Betriebssystems (wozu die wenigsten von uns im Stande sein werden). Ich würde in so einem Fall jedenfalls immer neuinstallieren. Das ist (a) der einzige Weg, um sicher zu sein, daß das System wieder auf dem ursprünglichen und sauberen Stand ist, und kostet (b) am wenigsten Zeit. Beispiele für allzu optimistische Systemadministratoren kenne ich übrigens zur Genüge. Wie den, der ein rootkit hatte, es entfernte und sich großartig fühlte, bis die User sich beschwerten, daß ihre quotas immer kleiner werden. Jaja. ;D Cobra ¹: das man durch Informationen von Kaspersky und Konsorten erfährt. ²: man lese die Links auf www.chkrootkit.org |
@Cobra, Danke! :daumenhoc Manchmal wünsche ich mir Deine 'Gabe' der kurzen und klaren Worte...! ;) |
@Bolivar di Griz Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Wenn hier noch eine Antwort in diesem Stil erfolgt, ist der Thread dicht. Ich hatte darum gebeten... Ist es denn so toll, auf einem anderen User einzuhacken? Cobra |
@ Cobra Full Ack! Aus meiner Sicht: Zunächst einmal halte ich es für sinnvoll, mit den von uns gegebenen Möglichkeiten bzw. Hilfe Tools wie z.B. HiJackThis, eScan AntiVirus usw., dass vermeintlich kompromittierte System zu analysieren. Einem plumpen Verweis auf ein Neuaufsetzen des Systems oder auf eine eventuelle Bereinigung, Threads mit zusammengestellte Link Listen diverser AV Hersteller und deren Removal Tools wie in anderen Boards zusehen ist, halte ich keineswegs für das non plus ultra. Es schadet dem TO, Board und den Helfenden. Nach der Analyse dürfte in den meisten Fällen die Schadroutine der aktiven Malware klar sein und somit die weitere Vorgehensweise dem TO, hinsichtlich der Gefahren, dargelegt werden. Die Hilfe sollte so aussehen: Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung (daraus resultieren zwei Möglichkeiten)-> A)Symptome bekämpfen -> Ursache beseitigen oder B) Neuaufsetzen des Systems Wann sollte formatiert werden? Imho bei Trojaner/Würmer mit Backdoor Funktionalität, also immer dann wenn (rein theoretischer Natur) Zugriff durch Dritte ermöglicht wird! Wann sollte nicht unbedingt formatiert werden bzw. das System bereinigt werden? Bei Spyware, Adware oder Foistware, da dies aus meiner Sicht nicht verhältnismäsig ist. Dabei ist zu beachten, dass die Grenzen der einzelnen Malware Arten immer mehr verwischen und manchmal, wie im Falle der Trojaner Downloader Small oder Agent, die Schadroutinen nicht immer klar definiert sind. Letztlich ist es immer noch besser weil sicherer, dass nicht vertrauenswürdige System einmal zuviel Neuaufsetzen zu lassen, als mit diesem wirklich ein wirtschaftlicher und persönlicher Schaden entstehen zu lassen. Ob das kompromittierte System manchmal besser bereinigt worden wäre, als meine Empfehlung des Neuaufsetzens, ist reine Spekulation und daran werde ich mich nicht beteiligen, denn im Vordergrund steht die Sicherheit und die dementsprechende Aufklärung des Themenerstellers dem gegenüber ich Verantwortung trage wenn ich auf dessen Thread antworte. Wichtige Links hierzu: Empfehlung Oliver Schad http://oschad.de/wiki/index.php/Kompromittierung Empfehlungen von Microsoft: http://www.microsoft.com/technet/com...mt/sm0504.mspx http://www.microsoft.com/germany/ms/...?siteid=600230 Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört: http://www.microsoft.com/technet/arc.../10imlaws.mspx Empfehlungen des CERT (engl.): http://www.cert.org/security-improve...ices/p051.html ,,Users' Security Handbook``/ RFC 2504 (engl.): ftp://ftp.rfc-editor.org/in-notes/rfc2504.txt Warum Kompromittierungen nicht unvermeidbar sind: http://www.mathematik.uni-marburg.de...ompromise.html Microsoft Windows Intruder Detection Checklist http://cert.uni-stuttgart.de/os/ms/w...-detection.php |
hi cobra... weil du es bist :lach: Zitat:
und jetzt lies doch ma bitte was der Herr Kautz dazu geschrieben hat... Zitat:
Zitat:
aber ich habe etwas erfahrung. und die reicht aus um mit den alltäglichen problemen im internet umgehen zu können. das bedeutet: für detectable malware habe ich meine wächter- und kontrollprogramme die sofort alarmschlagen. ebenfalls kann ich meistens beurteilen welcher prozess laufen darf/soll , und welcher nicht. fazit: charakteristisch für die undetectable malware ist nun mal, daß sie nicht erkannt wird...kannst dich drehen wie du willst, der Ar... bleibt hinten :lach: ein wirklich versierter cracker/hacker der in der lage ist ein system so zu manipulieren, daß er dauerhaften zugriff dazu erlangt, wird auf jedenfall undetectables verwenden, und sich so verhalten, daß man ihn nicht bemerkt. wer also durch seinen AVscanner gewarnt wird, kann davon ausgehen, daß er es eben nicht mit einem solchen ass zutun hat, und muss auch nicht befürchten, daß sein system vollständig verbogen wurde. ich bleibe dabei, eine neuinstallation ist nur in ausnahmefällen angesagt. sollte ich mal einen schädling auf meinen rechner entdecken, und ich kann ihn entfernen, werde ich mich nachwievor pudelwohl fühlen... ach und noch was: wer sagt dir eigentlich, daß du nicht schon lange "undetectable" penetriert, auspioniert, observiert, aromatisiert und klimatisiert wirst...ausschliessen kann man das nicht. deine worte :lach: in diesem sinne, wünsche ich dir noch einen schönen abend :) |
Zitat:
Genau,ist eben meine persönliche Meinung,die kannst du mir auch nicht nehmen! ICH würde mein System(falls es mal befallen sein sollte),neu aufsetzen,was ich hier aber empfehle usw ist eine ganz andere Sache! Damit ist jetzt gut für mich hier ;) Zitat:
Und nu is gut :) |
@Cobra Zitat:
|
Zitat:
Zitat:
Ich versuche das, wie meine Möglichkeiten mir es gestatten, einzuschränken. Mit dem Ergebnis muß ich leben, wie jeder andere auch. Cobra |
Zitat:
Ich vertraue hier, wie ich schon sagte, auf die Profis. Das diese auch nicht unfehlbar sind: ja, wem sagst Du das? Cobra |
@Cobra Zitat:
Für mich kann hier EOD sein. |
Für ONU dürfte es das beste sein, Computern fernzubleiben. Ok, mit diesem Statement dürfte ich immer alleine bleiben. :D Cobra |
@ Bolivar di Griz Der Punkt ist doch, dass auch undetectable malware auf irgendeine Art und Weise auf das System gekommen sein muss. Und die Wahrscheinlichkeit dafür ist eben sehr viel höher, wenn aktive Schädlinge mit Backdoorfunktionen irgendwann entdeckt werden, weil sie die beste Voraussetzung dafür bieten, einen Rechner entsprechend zu präparieren, ich definitiv weiss, dass sich diese Möglichkeit geboten hat und ich eben mit schwerer zu entdeckender malware rechnen muss und zum Entdecken erselben erhöhter Aufwand nötig ist. |
Zitat:
Allerdings haben die meisten hier wohl mal als ONU angefangen http://www.trojaner-board.com/images/smilies/wink.gif |
Dann hatten sie es schwer und haben es trotzdem weit gebracht. Wie Du. :D Man sieht, das *kann* funktionieren! :D Cob |
Es geht nur hin und her und hin und her. Eine einheitliche "Regelung" werden wir hier nicht finden, sondern nur Positionen klarstellen, was auch gut ist. Und Cidre´s Beitrag war einfach wieder der Beste! :daumenhoc |
CADET chaosman |
Hallo Leute, Aus der Erfahrung von heute kann ich nur sagen, dass ich den Beitrag von Cidre ebenfalls unterstütze. Erst die Analyse ( wenn man jemand findet der es kann ) und wirklich zuletzt das System ( Format C - ist das bitter ! ) neu aufsetzen. Wie soll man den bei dem üblichen Halbwissen herausbekommen, was man als User vorher getrost sichern kann ( sollte natürlich möglichst regelmäßig geschehen - bedeutet aber bei den heutigen Datenmengen mindesten DVD Brenner ) ? Aber es hängt wohl immer von der speziellen Situation ab ! Dazu ein Zitat von Francis Picabia : Unser Kopf ist rund, damit das Denken die richtung wechseln kann Ciao - Dieter |
Also, um das Sauerkraut noch mal aufzuwärmen, denn dann schmeckt es wirklich besser! Es gibt drei mir bekannte Gründe es zumachen, dass OS, neu aufzusetzen. 1. Ich habe Zeit, das OS funzt zwar noch, aber Leichen haben sich halt angesammelt, also, Frühjahrsputz. 2. Neues MB oder ähnlich, also neue Hardware, 3. Oder, man hat sich so viel Müll, der nicht einmal schädlich sein muss, draufgeladen, dass eine Beseitigung, dass Zeit/Nutzen- Verhältnis, einfach nicht gerechtfertigt. So, nun wo ich es nicht tun würde: - bei Ratbefall, der bekannt ist, denn das bekommt man immer weg! - Bei einem richtigen professionellen Angriff, den aber hier die Benutzer, am wenigsten ausgesetzt sein dürften, denn so ein Angreifer, ist Profi, also sammelt die Patronenhülsen auf und vernichtet sie, da kann man formatieren wie man will, die Sache ist einfach mal schon gelaufen. Ich hatte mal hier on Board, eine Person, bei, der es so war, also, die Kundendateien wurden gezogen, danach alles beseitigt, sie hat auf anraten von hier formatiert und alles war im Eimer, leider konnte ich nicht nach X fahren, denn so was kann man nicht aus der Ferne machen. - Fazit, nicht immer ist der „RAT“ gut, „ Dein Rechner ist total verseucht, trenne den sofort vom Netz, dass ist ja eine Virenschleuder und formatiere sofort“, dass auch noch mit Nachdruck, geschrieben. LG, Charlie |
@ charlie Für die 1-10 Poster ist ein RAT sicherlich nicht unproblematisch. |
Da hast du auch wieder recht, aber die können meist auch nicht vernünftig formatieren und das OS neu aufsetzten und sind mit ihrer frisch verkeimten Möhre, nach einer Woche wieder hier. Liebe Grüße, Charlie |
Zitat:
Sollte dennoch jemand die bebilderte Anleitung (siehe Signatur) nicht verstehen, dann gute Nacht... Zitat:
|
@Cidre Zitat:
|
Zitat:
|
Zitat:
|
Hmm, „Iron“, ist das nicht der Mensch, der von allen Boards fliegt, der auch bei A.H. war, da die Oberfläche gemacht hat, oder machen sollte? LG, Charlie |
Zitat:
Aber nu wieder Back to Topic. |
Entschuldigung, noch mal OT, aber diese Nummer, die ich wirklich noch nicht kannte, übertrifft „HerrnKautz“ um Längen. Zitat: Zitat von IRONAchtung!Sobald sie diesen PC mit dem Internet verbinden, stellen Sie mit jeder nachfolgenden Aktion (ausgenommen dem Herunterfahren des Rechners) eine Gefahr für das Internet und jeden anderen an das Internet angeschlossenen Rechner dar.Sie werden für Fehlverhalten jeder Art ungeachtet des Alters der zuletzt am Rechner aktiven Person nach den Gesetzen der Bundesrepublik Deutschland zur Verantwortung gezogen.SURFEN gefährdet das Internet! Ich rolle mich weg! LG, Charlie Nachtrag; Iron ist unter uns, wie auch beim RK, sowie RB, oder wo auch sonst noch Allem |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board