ich hab ja jetzt oben noch was gepostet. Ich bin tierisch auf die Tatsachen gespannt ;)
Ich hol mir derweil als schon mal Popcorn für den Krimi den ich gleich zu lesen bekomme.

Achso, eins noch:
Wenn Du noch niemals ein Malware Sample reversed hast, würde ich die Diskussion gar nicht erst anfangen.

Ich habe ja nicht von mir gesprochen lese dir den Satz noch einmal durch und sage mir dann ob du in der Lage bist festzustellen welche Systemeinstellungen das Virus verändert.

Was soll ich den mit einer Virenfarm anfangen ich hatte in 18 Jahren noch keinen Virus...

Ich? Ja
Unsere Tools? Ja
Warum? Weil hinter dieser Community viel mehr steckt als nur irgend nen Kiddie, welches nen Scanner zusammen schiesst.

Und Du, als Normaluser, siehst davon 5%, und zwar die Leute die die Öffentlichkeitsarbeit übernehmen, das Bereinigen der User.

Es gibt in jedem Forum interne Bereiche, die anerkannten Foren arbeiten zusammen.
Mal abgesehen von den Foren, die Du so gar nicht findest wenn Du danach suchen würdest.
Zusammenarbeit mit MS und AV Herstellern, den besten Analysten der Szene.
Warum sind wohl 90% der internationalen Mitglieder der Community MS MVP?

Ist ja schon gut ich glaube jetzt an den Weihnachtsmann....:)
Belassen wir es wirklich mal dabei.

Und das ist genau die Art die ich hasse. Irgend ein Halbwissen raus hauen, und wenns drum geht es zu beweisen, nix. Nada. Und wenn Du dann ne klare Ausage bekommst mit Fakten (und ich hab mich noch nit mal warm gemacht mit Fakten) kommt dann wieder nur so ein Scheiss bei rum.

Ich versteh das nit. Ich versteh das auhc bei den ganzen Möchtegern-Experten an den dafür bekannten Foren nicht.

ICh persönlich handhabe das so:
Wenn ich keine Ahnung von der Materie habe, halte ich die Klappe. Ich geh ja auch nit zu nem Koch und erklär dem wie man kocht, wenn ich selbst keinen Plan hab. Aber bei Malware und Malware Removal, hey, da haben wir alleine in Deutschland abertausende von Spitzenexperten........


könnte ich kotzen.

https://www.youtube.com/watch?x-yt-t...=85114404#t=70

Nicht ärgern Schraubi, sogar sempervideo ist unserer Meinung...:rofl:

mal abgesehen von der Tatsache dass es neben Adware nix mehr gibt. Ausser Ransomware. Hauptsache schnelle Kohle.

Eines noch, man kann ja dein können ja ganz einfach auf die Probe stellen:
Ich mache ein Image von meinem PC, hole mir dann Malware auf meinen PC, dann bereinigst du und nach der Bereinigung bin ich ja in der Lage mittels des Image das ich vor dem Malwarebefall erstellt habe zu vergleichen.

Sollte es gleich sein so gebe ich dir in allen Punkten recht und fresse obendrein einen Besen samt dem Stiehl...

challenge accepted.

@Kronos60

Willst das anhand der MD5 Summe prüfen oder was? :rofl:

Im Übrigen machen wir sowas in der Ausbildung auch, nennt sich Live Play Log...:pfeiff:

Und nen Tipp. Dein Image btingt nüscht. Du musst schon nen Snapshot machen, vorher, nach Befall, nach Bereinigung. Oder besser gleich reg schotten und progmon. Dann sind wir aber schon bei dynamic malware analysis ;).

Und wie deeprybka schon sagt, keiner meiner Trainees hier graduiert die Ausbildung ohne genau das gemacht zu haben. Und ich baue mit Sicherheit schärfere Livelogs als Du.
Wenn meine VM vor dem 100ten Post wieder normal bootet (nur bootet, nicht bereinigt), ist der Trainee schon echt gut.

Und die Trainees dürfen auch keinerlei Removal Tools nutzen, alles von Hand.

Also wenn Du spielen willst musst Du schon bissl mehr auspacken also sowas.

Ich bin derweil im Baumarkt, und kaufe den größten Besen den ich finden kann :blabla:

Aber genau die Reaktion beweist folgende These von mir:

Wie man das prüfen kann da habe ich ein bisschen zu hoch gegriffen, ich weiß nur das man es prüfen kann wen ein Image bzw. in diesem Fall zwei Image vorliegen, also technisch ist es sicher möglich.

Mit MD5 Summen kann man nur Dateien aber kein ganzes Image prüfen soviel ich weiß.

geht nicht mit Images, oder geht schon, aber viel zu ungenau. Ich will ja keinen Bonus ;).

Snapshot, Regshot, progmon, autoruns, damit du auch siehst welche Tempfiles bei Infektion gedumpt und hinterher von dem Dropper wieder entfernt werden ;)

Mit Image meinte ich eigentlich einen Snapshot es sind alle Partitionen die gesamte Festplatte samt Registry etc darauf.

Wenn du mit dem Besen etwas anfangen kannst warum nicht.:)

So? Komisch Microsoft gibt bei ISOs doch immer checksummen (SHA-1 hash value) an oder?
Zudem reicht doch schon ein Byte Änderung und Du hast ne andere MD5....Ist auch völlig irrelevant, denn eine Malwaredatei ohne Startpunkt ist inaktiv. Und wir bereinigen aktive Malware.