Neuinstallation
 

Würde mir wünschen, dass in manchen Fällen insbesondere bei nachgewiesenen Malwarebefall dem User vermehrt zu einer Neuinstallation geraten wird um ein 100% sicheres System herzustellen. Ansonsten bin ich sehr zufrieden in diesem Forum.

Was verstehst Du denn darunter?

Na ja, einen per Frst Log oder einem Scanner nachgewiesenen Malwarebefall, keinen Adware das muss man auseinanderhalten.
Bei einem Malwarebefall ist eine Bereinigung meiner Meinung nach sinnlos da ja man niemals feststellen kann welche Systemeinstellungen die Malware bereits verändert hat, das ist schlichtweg unmöglich.
Außerdem sind auch die Scanner egal welcher sehr unzuverlässig selbst wenn der Scanner nichts findet heißt das noch lange nicht, dass nichts da ist oder war.
Und auch bei Adware ist manchmal eine Neuinstallation die bessere Lösung z.B. wenn die Bereinigung Tagelang dauert.
Dies alles kann man sich leicht ersparen wenn man nach einer Neuinstallation ein Image anfertigt, das kann man dann innerhalb von 20 Minuten wieder daraufspielen und man hat sofort ein sicheres System wieder.

Ja, Deiner Meinung nach. Um mal Schrauber zu zitieren, wir sind ein Malware Removal Forum und da wird bereinigt. Unter bestimmten Voraussetzungen (Fileinfector etc.) lassen wir auch neuinstallieren. Desweiteren stimmt das nicht ganz was du sagst. Malware ist heute sehr gut analysiert. Bei ZeroAccess z.B. weiß man sehr genau was er macht.

Also Danke für Deine Einschätzung. Aber ich denke die Mehrheit der User ist sehr zufrieden mit uns und will nicht wegen jedem Sperrbildschirm neu installieren.

Meine Meinung dazu.

P.S.

Wirklich? Kann da kein FUD-Schädling laufen? ;) Wenn das Image gleich nach der Installation gemacht wurde, dann fehlen doch die ganzen Daten, Updates, Programme usw. Wenn es später gemacht wurde, weißt Du nie ob es sauber ist weil:

Das ist ja mal ein guter Anfang.:)
Das ist ja nur ein Wunsch, die Malware wird ja jeden Tag neu programmiert und durch alle gängigen Scanner und auch bei Virustotal gejagt und hochgeladen, und erst wenn keiner mehr anschlägt wird sie freigegeben und Definitionen dafür gibt es oft erst nach Stunden das heißt in dieser Zeit ist man Schutzlos, die AV-Scanner hinken immer hinterher, es sei denn man sichert sein System anderwertig ab, meiner Meinung nach kann man auch auf einen AV-Scanner verzichten.
Und woher willst du wissen ob ZeroAccess keine andere Malware nachgeladen hat.

Das mag ja sein, dass sich die Malware mit Tricks den Definitionsdatenbanken der AVP entzieht. Malware braucht aber Startpunkte. Und die kann man überwachen. Wir sehen in unseren Logs auch Malware die der Virenscanner nicht sieht. Dann verteilen wir die Samples und sie werden in die Datenbanken aufgenommen. Ich habe Deine Auffassung zur Kenntnis genommen, das ändert aber nichts daran dass wir hier Bereinigen. :)

Nein, ich installiere Windows plus Servicepack wenn es nicht schon darauf ist + alle Windows-Updates + plus alle Programme die auf einer Cd/Dvd darauf sind.
Dann mache ich das Image auf einen Usb-Stick der natürlich auch formatiert ist darauf.
Und bei einem Malwarebefall stecke ich den stick nur bei der BootCd an das heisst Windows läuft nicht in dieser Zeit, so habe ich ein 100% sicheres System wieder.

Natürlich muss man dann auch alle anderen Programme downloaden und auch alle weiteren Updates machen, aber durch das Image erspare ich mir ungefähr sechs Stunden.

Ich unterstelle jetzt mal dem Malwareteam ganz genau zu wissen, wann eine Neuinstallation anzuraten ist und wann eine Bereinigung noch sinnvoll ist.
Zudem wird bei der Bereinigung dem User vor Augen geführt was er zb deinstallieren muss und was die Ursache ist. Zudem ist es auch ein Lerneffekt, denn nicht selten sind Downloads aus dubiosen Quellen die Ursache. Viele halten sich dann von diesen Quellen fern bzw schauen genauer hin.
Ein Backup von einem nackten Win ist immer eine coole Sache.
Das spart viel Zeit und Nerven bei einem nicht mehr zu rettendem Win.

Auch meine Meinung dazu.

Ganz genau die Logs sind auch so ziemlich die einzigen sicheren Anhaltspunkte.
Ok, belassen wir es einfach dabei.:)

Ein Wort:

Schwachsinn.

Die Ursachenforschung ist ja auch notwendig ich habe ja auch nichts anderes behauptet, man sollte den User auf die Ursache aufmerksam machen dann aber zu einer Neuinstallation raten.
Aber lassen wir es mal wirklich gut sein.:)

Diesen Schmarn kannste bei Chip und Co posten, bei den ganzen "Mega-Experten" rennste damit offene Türen ein.

Ich sage mal...... wenn der PC bereinigt wurde und dem User vorgeschlagen wird, das Win jetzt neu zu installieren, würden es nur 5% befolgen.
Wenn jemand wie du ein Backup zur Hand hat, dudelt er es auch zurück und würde sich hier im Forum nicht anmelden.

Eigentlich wollte ich ja nicht, aber es juckt:

Ich wusste gar nicht dass Du Reverse Engineering kannst. Erleuchte mich mal mit Fakten zu dieser absurden Aussage.

Ich habe mich eigentlich mit deeprybka geeinigt es dabei zu belassen, aber dir fällt dazu nichts anderes als "Schmarn" ein, und dabei habe ich nur mit Argumenten und Tatsachen gearbeitet......
Und außerdem war es ja nur ein Wunsch von mir, ich habe ja wirklich nicht erwartet das dem sofort nachgegeben wird...:D

ich hab ja jetzt oben noch was gepostet. Ich bin tierisch auf die Tatsachen gespannt ;)
Ich hol mir derweil als schon mal Popcorn für den Krimi den ich gleich zu lesen bekomme.

Achso, eins noch:
Wenn Du noch niemals ein Malware Sample reversed hast, würde ich die Diskussion gar nicht erst anfangen.

Ich habe ja nicht von mir gesprochen lese dir den Satz noch einmal durch und sage mir dann ob du in der Lage bist festzustellen welche Systemeinstellungen das Virus verändert.

Was soll ich den mit einer Virenfarm anfangen ich hatte in 18 Jahren noch keinen Virus...

Ich? Ja
Unsere Tools? Ja
Warum? Weil hinter dieser Community viel mehr steckt als nur irgend nen Kiddie, welches nen Scanner zusammen schiesst.

Und Du, als Normaluser, siehst davon 5%, und zwar die Leute die die Öffentlichkeitsarbeit übernehmen, das Bereinigen der User.

Es gibt in jedem Forum interne Bereiche, die anerkannten Foren arbeiten zusammen.
Mal abgesehen von den Foren, die Du so gar nicht findest wenn Du danach suchen würdest.
Zusammenarbeit mit MS und AV Herstellern, den besten Analysten der Szene.
Warum sind wohl 90% der internationalen Mitglieder der Community MS MVP?

Ist ja schon gut ich glaube jetzt an den Weihnachtsmann....:)
Belassen wir es wirklich mal dabei.

Und das ist genau die Art die ich hasse. Irgend ein Halbwissen raus hauen, und wenns drum geht es zu beweisen, nix. Nada. Und wenn Du dann ne klare Ausage bekommst mit Fakten (und ich hab mich noch nit mal warm gemacht mit Fakten) kommt dann wieder nur so ein Scheiss bei rum.

Ich versteh das nit. Ich versteh das auhc bei den ganzen Möchtegern-Experten an den dafür bekannten Foren nicht.

ICh persönlich handhabe das so:
Wenn ich keine Ahnung von der Materie habe, halte ich die Klappe. Ich geh ja auch nit zu nem Koch und erklär dem wie man kocht, wenn ich selbst keinen Plan hab. Aber bei Malware und Malware Removal, hey, da haben wir alleine in Deutschland abertausende von Spitzenexperten........


könnte ich kotzen.

https://www.youtube.com/watch?x-yt-t...=85114404#t=70

Nicht ärgern Schraubi, sogar sempervideo ist unserer Meinung...:rofl:

mal abgesehen von der Tatsache dass es neben Adware nix mehr gibt. Ausser Ransomware. Hauptsache schnelle Kohle.

Eines noch, man kann ja dein können ja ganz einfach auf die Probe stellen:
Ich mache ein Image von meinem PC, hole mir dann Malware auf meinen PC, dann bereinigst du und nach der Bereinigung bin ich ja in der Lage mittels des Image das ich vor dem Malwarebefall erstellt habe zu vergleichen.

Sollte es gleich sein so gebe ich dir in allen Punkten recht und fresse obendrein einen Besen samt dem Stiehl...

challenge accepted.

@Kronos60

Willst das anhand der MD5 Summe prüfen oder was? :rofl:

Im Übrigen machen wir sowas in der Ausbildung auch, nennt sich Live Play Log...:pfeiff:

Und nen Tipp. Dein Image btingt nüscht. Du musst schon nen Snapshot machen, vorher, nach Befall, nach Bereinigung. Oder besser gleich reg schotten und progmon. Dann sind wir aber schon bei dynamic malware analysis ;).

Und wie deeprybka schon sagt, keiner meiner Trainees hier graduiert die Ausbildung ohne genau das gemacht zu haben. Und ich baue mit Sicherheit schärfere Livelogs als Du.
Wenn meine VM vor dem 100ten Post wieder normal bootet (nur bootet, nicht bereinigt), ist der Trainee schon echt gut.

Und die Trainees dürfen auch keinerlei Removal Tools nutzen, alles von Hand.

Also wenn Du spielen willst musst Du schon bissl mehr auspacken also sowas.

Ich bin derweil im Baumarkt, und kaufe den größten Besen den ich finden kann :blabla:

Aber genau die Reaktion beweist folgende These von mir:

Wie man das prüfen kann da habe ich ein bisschen zu hoch gegriffen, ich weiß nur das man es prüfen kann wen ein Image bzw. in diesem Fall zwei Image vorliegen, also technisch ist es sicher möglich.

Mit MD5 Summen kann man nur Dateien aber kein ganzes Image prüfen soviel ich weiß.

geht nicht mit Images, oder geht schon, aber viel zu ungenau. Ich will ja keinen Bonus ;).

Snapshot, Regshot, progmon, autoruns, damit du auch siehst welche Tempfiles bei Infektion gedumpt und hinterher von dem Dropper wieder entfernt werden ;)

Mit Image meinte ich eigentlich einen Snapshot es sind alle Partitionen die gesamte Festplatte samt Registry etc darauf.

Wenn du mit dem Besen etwas anfangen kannst warum nicht.:)

So? Komisch Microsoft gibt bei ISOs doch immer checksummen (SHA-1 hash value) an oder?
Zudem reicht doch schon ein Byte Änderung und Du hast ne andere MD5....Ist auch völlig irrelevant, denn eine Malwaredatei ohne Startpunkt ist inaktiv. Und wir bereinigen aktive Malware.

Es geht nicht um eine Iso sondern um ein Image von einer kompletten Festplatte mit Clonezilla z.B. kann man so etwas erstellen.

oder ich fülle ne Bestandsdatei mit Nullen bis ich die gleiche MD5 erreiche.

Ich kann dir 2TB an samples besorgen Kronos. Ich hab auch Zugang zu VT, also ich kann die Samples downloaden.

Sag einfach an was Du brauchst. Du kommst ja aktuell durch Absicht nur an Adware und Kram, und ich hoffe ja dass Du mich damit nit langweilen willst ;)

Was willste mit nem Image der ganzen Platte/mehrerer Partitionen?

Um Malware mal grob runter zu brechen. DU hast immer folgendes:

Ne Datei
Nen Reg-Eintrag

Killst Du den Reg Eintrag, äätsch, Malware kaputt, lose Datei die paar KB Speicher belegt, das wars.

Killst Du nur die Datei, äääätsch, Malware kaputt. Ok, je nachdem welcher Reg EIntrag haste nen no-booter oder sonst irgendwas, aber keine aktive Malware.

As said, erst mitreden wenn man auch wirklich Ahnung hat. Ansonsten wirds schnell lächerlich.

@schrauber

Um das wirklich durch zuspielen bräuchtest du ja Zugang zu meinem PC und den gebe ich wirklich niemandem.

Außerdem fehlen zumindest mir die technischen Möglichkeit diese zwei Image miteinander im nachhinein zu vergleichen.

Ich schlage wirklich vor wir belassen es dabei, und den Besen braucht niemand zu kaufen und auch niemand aufzuessen.:)

Habe ich schon erklärt ein vorher - nachher Vergleich.
So einfach? Und was ist mit den veränderten Systemeinstellungen wie stellst du die fest? Und was ist mit der Malware die sich in den MBR schreibt? Und....und...und....

http://www.meme-generator.de/media/created/07n1pn.jpg



Spass beiseite:
ICh brauch keinen Zugang, nur Logs. Tools für den Snapshot stelle ich bereit, inklusive Unterweisung. Wer A sagt, muss auch B sagen. Und wer ohne Fakten gegen Malware Removal hetzt hat verschissen ;)

Logfiles. Die Tools sind nicht nur dafür da weil die GUI so schnieke aussieht ;)

Wie hast du nur auf die schnelle ein so schönes Bild von mir gefunden das hefte ich immer meinem Lebenslauf bei?
Mir ist es aber auch gelungen ein Bild von dir aufzunehmen:
http://d1.stern.de/bilder/stern_5/di...twidth_489.jpg
Aber ernsthaft:
Nachdem ich niemandem Zugang zu meinem PC gebe müssen wir hier wirklich abbrechen sagen wir untentschieden.:)

Ich brauch keinen Zugang, nur Logfiles. Ich kann Dir auch gerne eine meiner 12 VMs bereitstellen per VPN.

Haha ja klar. Würd ich auch vorschlagen wenn ich mangels Fakten derbe am abloosen bin :daumenhoc

Logfiles stelle ich auch nicht online nicht weil ich irgendetwas zu verbergen hätte einfach aus prinzip.
Ok, das ist deine Meinung ich habe eine andere, aber lassen wir es mal gut sein.

wenn Du deine Meinung mal mit Fakten belegen würdest, würde ich sie ja auch akzeptieren. Aber das hier hat ungefähr den gleichen Flair als wenn ich sage:

Das Wasser läuft den Berg hoch!

Beweise? habe ich keine
Fakten? nö
Ahnung? nö

is aber trotzdem so, meine Meinung. fertig.......

Kronos kennst Du das?

Home - UNITE Against Malware

Alles Deppen? Alle keine Ahnung? Das haben wir Schrauber zu verdanken, dass wir das einzige deutsche Forum sind!

@schrauber
Ok wenn es dir so wichtig ist, ja du hast gewonnen........

Nee, nicht nur mir. Wir alle zusammen haben das erreicht :)

Das ganze erinnert mich an die ganzen daämlchen Diskussionen die ich in anderen Foren schonmal hatte. Mal ganz ehrlich, ist doch völlig egal was sicherer ist. Wenn der Hilfesuchende das oder jenes will und wir ihn entsprechend dabei helfen ist das legitim. Bei bestimmten Infektionen empfehlen wir eine Neuinstallation, bei ganz schlimmen wird die Bereinigung sogar abgebrochen und die Neuinstallation "angeordnet".

Aber dieses Gerede man müsse bei "jedem PUP" die Platte formatieren ist einfach nur peinlich.

naja, aber ein gutes hatte der Thread ja. Mein Postcount ist wieder am explodieren :blabla:

Das habe ich ja gar nicht gesagt, ich habe in diesem Thread ja auch Lob geäußert gleich beim ersten Posting, es wird ja auch sehr vieles richtig gemacht das überwiegt auf jedenfall.
Es wird ja auch manchmal zur Neuinstallation geraten aber meiner Meinung nach zu selten das ist ja auch der einzige Kritikpunkt den ich habe.

Ja, das ist das wichtigste :applaus:

Oh, hab ja auch wieder +1 :D

134.000 ich kooooommmme!!! :taenzer::taenzer:

Das hat ja niemand behauptet, dass man bei jedem "PUP" die Platte formatieren soll, das wäre ja unsinnig. Es war nur von einem erwiesenen Malwarebefall die Rede.

2,5 Jahre laut Rechnung von deeprybka, und dein Platz 1 is Geschichte mein Freund ;):sword2:

Und auch Dein ZA ist kein Grund zum Neuinstallieren...Man weiß sehr genau was er macht. Auch über die Varianten hinweg. Und eine Rootkitwarnung poste ich bei dem auch nicht mehr...:blabla:

Step-by-Step Reverse Engineering Malware: ZeroAccess / Max++ / Smiscer Crimeware Rootkit - InfoSec Institute

Das werdern wir ja sehen mein lieber Freund! :applaus:

:sword2::sword2::sword2::sword2::sword2:

2,099 Jahre um exakt zu sein...:lach:

bäm, und wieder 2 neue threads mehr. und wenn ich wollte, ich hätte derzeit noch 41 threads in der pipe die auf Antwort warten :aufsmaul::uglyhammer:

Ich komm auf aktuell 2,13 Jahre also ca. 777 Tage wenn wir vom aktuellen Stand ausgehen (cosinus-schrauber-Tages Differenz 75 Postings)

Ich schaff es unter 2 :D

Sehr schön, mach du doch die ganze Arbeit :applaus: :blabla: :lach:

Ich sitz in meinem Sessel und finde es gut :lach:

Wenn du weiter so sinnlos spamst ja :D

Haha, nun geht das wieder los. :)

Ich rechne auf Monatsbasis. :zunge:

So oder so, er wird Dich überholen. :blabla:
Ich weiß zwar nicht ob das was bringt, aber er hat es sich verdient. Ich weiß nur nicht wie er das so alles schafft. Ich meine er hat Freundin und Kinder....und diese vielen Postings, dazu noch BC usw. :wtf:

ich hab ja den Postcount in der Taverne nit umsonst abdrehen lassen :p

Er heißt halt nicht ohne Grund 'The Machine' :daumenhoc

Oder GuRu hat ihn unter Drogen gesetzt :D

Aber mal so unter uns: in 2 Jahren spielt Windows keine Rolle mehr und Linux hat den Desktop überall erobert! :lach: :Boogie:

meinste echt? glaub ich ja nit dran irgendwie.

Naja, wäre schon schade wenn wir nix mehr zu tun hätten....Wenn sich nur noch Cryptowall-Opfer melden... :rolleyes:

Naja, gibt ja auch schon genug Linux-Malware. Das Meiste zwar nur zum ddosen, aber es kommt.

Kein Apple-Fanboy sondern Linux-Fanboy ;)

Man...das war ein Spaß...irgendwelche Heinis verbreiten ja ständig das Jahr des Linux-Durchbruchs. Mir ist es eher recht wenn Linux ein "Randgruppensystem" bleibt. Im serverbereich kann ich mir aber kaum was besseres als Debian, Red Hat oder CentOS vorstellen :party:

Und nur fürs Protokoll:

Nimm wie deeprybka die Monatsanzahl. Beim Tagescount zählt die Taverne dazu, aber nicht bei Monats-, Jahres- und Gesamtzahlen :blabla:

Ob nun 2,099 oder 2,13....kommt doch auf das selbe hinaus :wtf:

Was in der Zukunft passiert weiß keiner. Sind doch eh nur errechnete "Fantasie" Werte die auf aktuellen Daten basieren. Reine Prognose.

Ahh...ich glaube der Schraubi ist nicht ausgelastet. Wenn er uns als Aushilfskellner noch mit den Azubis beschäftigt, dann nimmt er noch mehr Threads. :D Und allein die Proxy-Adware wird uns noch länger beschäftigen... ;)

die Proxy Adware geht mir gehörig auf die Nüsse :D
aber ja, bin tooootal gelangweilt vor lauter Freizeit :D

Du bist doch so "kaputt" ....:D

Lass doch die DEFAULT-Dinger...der IE geht doch...Aber gell, WinR Aio hilft bei den anderen? ;)

IE geht garnicht :twak:

Beim DEFAULT Proxy schon....

Also wenn du es so wortgenau auslegen willst: gehen kann kein Browser, kein Browser hat Beine :zunge:

Wenn ich meinen Mozilla oder sonstBrowser so konfiguriere, dass er KEINEN Proxy nutzt, kann im IE sonstwas eingestellt sein.

Danke für die tolle Diskussion.
Obwohl sie eher einseitig konstruktiv geführt wurde.
Jetzt haben wir alle das Popkorn von schrauber aufgefuttert und gehen ins Bett.

Was, schon vorbei??? :heulen:

Ich brauch doch noch so viele Postings :rofl:

welche Seite war konstruktiv? :D

Wir. Hab schon nachgefragt... ;)

Ja, ich wollte ja ur das Gespräch wieder anwärmen, um noch paar Posts rauszuziehen :D

Welche Seite konstruktiv war, ist doch klar.
Wenn du das Gespräch wieder anwärmen willst, reserviere ich mir doch gleich mal einen Logen-Platz. Diesmal bring ich das Popcorn mit und für jeden eine Cola im Riesenbecher.
Let´s go. Vorhang auf.

Aha interessant, man könnte ja fast daraus schließen einen PC nach einem erwiesenen Malwarebefall neuaufzusetzen ist destruktiv.....:applaus::D:)

Ja, unter bestimmten Vorraussetzungen ganz klar JA.

ah, langsam verstehst du es ;)

Google mal destruktiv und lese dir deinen Post nochmal durch.

Du machst du mich neugierig, welche wären das bitte? Und was ist so schlimm daran einen 100% sicheren PC zu erhalten?
Und noch einmal wenn man ein Image hat dann dauert das ganze nicht länger als eine Stunde im Vergleich dazu manche Bereinigungsversuche dauern Tage da hätte man ja schon 3 mal neuaufsetzen können.

warum dauern die Tage? ;)
weil es online is, ich muss zeit haben, der User muss Zeit haben. Sitze ich vor der Kiste bin ich schneller als jedes Backup Programm im Zurückspielen des Backups.

Keine Lust zu googeln, sage gleich worauf du dich beziehst.

Wenn du diesen besagten 100% sicheren PC irgendwo siehst, verkauf mir den. Egal zu welchem Preis. Damit lässt sich viel viel Geld machen.
Richtig----> der User ist doch selbst dazu in der Lage zu entscheiden, ob er bereinigen lässt oder neu installiert. Zudem hat fast keiner ein vernünftiges aktuelles Backup in der Schublade liegen.

Zum Bespiel dieser Thread hier:
http://www.trojaner-board.de/163346-...-dll-html.html

Abgesehen davon das am nächsten Tag weitergemacht wurde hat es zig Stunden gedauert und wenn ich will finde ich noch zig andere.

Also schneller als jedes Image (20 Min) zieht nicht....

Sitze ich vor der Kiste, bin ich schneller ;)

Wie soll das gehen? Frst Logfiles erstellen und hochladen dann noch Malwarbytes und vielleicht noch den Eset Onlinescanner unter Umständen noch den Adwarecleaner etc.....

Es gibt auch User die arbeiten und erst nach der Arbeit weitere Anweisungen ausführen können. Daher geht das bereinigen über mehrere Tage.

@kronos60
Natürlich wäre es bei dir jetzt keine Frage, was nun besser ist.
Du hast VORHER schon drüber nachgedacht für den Fall der Fälle.
Backup das aktuell ist, liegt bei dir in der Schublade.
Zudem hast du ein besseres Gefühl, da der PC wieder so ist, wie vor dem Befall.

Wenn ich vor der Kiste sitze benutze ich all diese Programme nicht, nur FRST und den AdwCleaner ;)

Jeden Rechner den ich per Teamviewer mach mach ich mit den beiden Programmen. Hier ist es was andres, weil:

a) ich den User nicht unnötig mit manuellem Mist stressen will, die meisten haben eh genug Stress durch die Panik des Befalls

b) ich nicht nur einen thread habe, sondern 200 gleichzeitig.

Natürlich das muss man ja auch.
Bei einem Malwarebefall nützt einem ein aktuelles Image gar nichts, man muss das Image nehmen das man sich direkt nach der Neuinstallation angefertigt hat.
Natürlich muss man dann Windows und alle Programme aktualisieren, trotzdem spart man sich durch ein Image sehr viel Zeit.
Nicht nur ein Gefühl sondern ich weiß es ganz bestimmt.

Was ist denn das für eine Logik? :wtf:
Wenn ich täglich oder einmal die Woche nen Backup mache spiele ich das zurück, und erspare mir 400 WIndows Updates.
me too, ohne Image ;)

Hier stimme ich dir zu.

Doch doch ich meine aktuelles Backup.
Natürlich nicht eins von gestern.
Ich meine damit zb wenn du das Win7 installiert hast und nach 4 Jahren das rausholst und zurückdudelst, hast du noch das SP1 zu installieren, da gehen schon paar Stunden ins Land.
Hast du ein aktuelles wo du schon das SP1 mit drauf hast und die hunderte Updates von Win, bist du schneller.

Edit: ups, schrauber war schneller

Ich muss das erste nehmen damit ich weiß das es zu 100% Malwarefrei ist und 400 Windows-Updates sind es sicherlich nicht vielleicht 50. Und das spart sehr viel Zeit.
Das sicher nicht, warum habe ich in diesem Thread schon begründet.

Man sollte zumindest eines vor dem Malwarebefall nehmen, und Servicepack1 ist ja auch wie die anderen Windows-Updates und auch alle Programme die auf cd/dvd vorhanden sind bereits auch auf dem ersten Image mit drauf das ist ein wesentlicher Zeitgewinn.