unerwünschte seiten!! ..und ich hätte gedacht firefox wäre sicherer!
 

hi!

seit einiger zeit öffnen sich, wenn ich mich beim eingeben von internetaddressen vertippe, zweifelhafte dating-seiten..
ich hab mich im internet (auch bei trojaner-board) kundig gemacht.. anscheinend is das ein häufigeres problem
ich hab auch schon sehr vieles versucht:

ad-aware
spybot

die haben auch was gefunden, und behoben.. das problem jedoch das gleiche..

von freunden hab ich mir sagen lassen dass so was mit firefox nicht passiert
zu deren überaschung is auch mit firefox das prob das gleiche

mit hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:30:20, on 18.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\VTTimer.exe
H:\WINDOWS\System32\VTtrayp.exe
H:\Programme\HP\hpcoretech\hpcmpmgr.exe
H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\WINDOWS\System32\PuXpMan.exe
H:\Programme\T-DSL SpeedManager\SpeedMgr.exe
H:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
H:\Programme\ICQLite\ICQLite.exe
H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
H:\Programme\Winamp\winampa.exe
H:\WINDOWS\System32\ctfmon.exe
H:\Programme\Messenger\msmsgs.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\T-DSL SpeedManager\tsmsvc.exe
H:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
H:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
H:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
H:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
H:\Programme\eMule\eMule.exe
H:\Programme\Winamp\winamp.exe
H:\WINDOWS\System32\taskmgr.exe
H:\DOKUME~1\NIKLAS\EIGENE~1\MIST\WINZIP\winzip32.exe
H:\Dokumente und Einstellungen\Niklas\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [HP Component Manager] "H:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mspwr] H:\WINDOWS\System32\PuXpMan.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] "H:\WINDOWS\System32\PUXPTWKS.EXE" /TWEAK
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "H:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [ICQ Lite] "H:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [dmzzq.exe] H:\WINDOWS\System32\dmzzq.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://H:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{82967E9B-52EB-4E3A-8AB0-570F8BDBD38E}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O20 - Winlogon Notify: WRNotifier - H:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sniff Managmnet Service - Unknown owner - H:\WINDOWS\system32\csrv.exe (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - H:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - H:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows System Tray - Unknown owner - H:\WINDOWS\systay.exe (file missing)

ich hab auch schon anwendungen mit "bösen buben " im internet verglichen.. nix gefunden ):
schön langsam fällt mir nix mehr ein

bitte helft mir!

danke schon mal

gruß emil

Hallo Emil,

bevor Du jetzt den FireFox verteufelst, wieso fehlt SP2 und alle anschließenden Updates bei Dir?

Logfile of HijackThis v1.99.1
Scan saved at 14:30:20, on 18.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du hast eine Umleitung in die Ukraine. Weiter habe ich garnicht mehr nachgeschaut.
Mach die Kiste platt und setze neu auf->am besten nach der Anleitung
Klick


Gruß cad

hallo cad!

gibt es keine andere möglichkeit?

gruß niklas

Hallo Niklas,

meiner Meinung nach Nein

SP2 + alle nachfolgenden Updates sind Pflicht.

SP2 Download
updates

Wichtig

Deine erste Internetverbindung sollte Dich auf diese Seite führen -> Microsoft Windows Update


Tut mir leid, eine andere Möglichkeit sehe ich nicht.

Gruß cad

Hi

Lade die Dateien
H:\WINDOWS\System32\dmzzq.exe
h:\windows\system32\spacklsp.dll

mal bei Virustotal rauf und schau was dort rauskommt.

Wenn böse, dann weg damit und such dir einen LSP Winsock Fix. (das kann man auch manuell machen, aber das ist ein bischen mehr zum Erklären).


Setze die Einstellungen mal zurück (also ändere die Werte auf bekannte Werte, nimm irgendeinen Nameserver).

HKLM\System\CCS\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{82967E9B-52EB-4E3A-8AB0-570F8BDBD38E}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112


Dann installier dir SP2 und die Patches drauf und lass mal einen akt. Virenscanner drüber laufen.

Ich würde da mal den Kaspersky empfehlen, aber das ist durchaus auch Geschmackssache.

Dann poste wieder was Sache ist

lg

mOIn auch

@Njall da gibt es nix mehr zu Bereinigen, das System ist ungepflegt und veraltet,
außerdem es sind/waren im System min. 2 Backdoors unterwegs und hier am Bord bereinigt soviel ich weiß, niemand Backdoors, weil es nicht sicher ist,
also hat cad völlig recht -->Neuaufsetzen.

MFG

Hi

Aus praktischer Erfahrung bin ich eher ein Mensch der das Auto nicht verschrottet nur weil der Auspuff ein Loch hat.
So als Analogie.

Es ist generell unter Windows NIE sicher und es gibt genug unbekannte Exploits und Viren die von keinem Scanner gefunden werden und gegen die die ganzen guten Tipps nicht nützen.

Wenn man nicht die Zeit hat Stunden oder Tage mit neuaufsetzen zu verbringen denke ich doch das man mit einem guten Virenscanner den Rechner bereinigen kann. (und mit ein bischen Handarbeit in der Registry).

Es kann mir auch gerne jemand den Schädling schicken, dann kann ich dir genau sagen was er macht (wenn er gefunden wird) und das kann man auch wieder fixen.


Just my two cents.

Und das Virenscanner runterladen, installieren, aktualisieren, durchlaufen lassen und anschließend die Pfuscharbeit in der Registry soll keine Stunden in Anspruch nehmen. :eek:
Zumal der TO jetzt wahrscheinlich Kapersky installieren würde und sich damit schon mal ne Menge Stress einhandeln würde, weil Antivir und Kapersky sich bekriegen.

Um auf deine Analogie zurückzugreifen:
Hier ist nicht nur ein Loch im Auspuff, der Junge hat auch noch im Motor rumgeschraubt und man weiß nicht wo.
(und bis du rausgefunden hast wo der in 2 Monaten alles rumgeschraubt hat, hat der TO schon 100 Mal neuaufgesetzt. )

lg myrtille

Hi

Ok .. ich denke wir beenden das, es ist scheinbar wirklich Geschmacksache was man macht, ich brauche für Kaspersky mit relevantem Scan und Registry 30 Min .. aber das liegt vielleicht auch an meiner beruflichen Tätigkeit .

Das man den Antivir Guard vorher deaktivieren muss ist klar, aber ok ..

Sorry .. no offense meant :heilig:

Greets ..

mOIn

das hast du sooo schön gesagt:aplaus:
und trifft ziemlich genau, das was ich sagen wollte
MFG

Das trifft hier definitiv nicht zu, die Kiste war/ist ungepatcht und kompromittiert. Das ist wesentlich mehr als "nur ein Loch im Auspuff".
Was man mit (ungepatchten) kompromittierten Systemen machen, steht in diesem MS-Technet-Artikel geschrieben. Alles andere als neu aufsetzen ist fahrlässig!
Eine Bereinigung ist nicht völlig unmöglich, aber bei Backdoorbefall ist die einfachste und beste Methode das Neuaufsetzen.
Es gibt keine 100%ige Sicherheit, aber man kann das Risiko gering halten. Unbekannte Exploits hin oder her, man benutzt nur Software, die aus einer vertrauenswürdigen Quelle stammt. Gesurft wird mit eingeschränkten Rechten. Man legt regelmäßig Backups/Systemimages an nicht nur um nach Schädlingsbefall schnell wieder ein sauberes System zu bekommen, sondern auch für den Fall eines Plattendefekts. IMHO ist es kein Argument, das Bereinigen damit zu begründen, dass Windows nicht sicher genug sei. Klingt für mich eher als eine Ausrede, weil man das System nicht gepfegt und Backups angelegt hat.
Auf einem kompromittierten System hat ein Virenscanner kaum eine Chance! Hinzu kommen die prinzipbedingten Schwächer von VS! Kennst Du schon in diesem Zusammenhang diese nette Anekdote?
Wie genau willst Du denn das anstellen? :D

Hi

Natürlich sollte man Backups machen und die ganzen anderen netten Dinge, die kenne ich seit 10 Jahren und es hält sich nach wie vor kein Schwein dran ;)
Man sollte eigentlich ein Image haben vom akt. System, dann kann ich das in sehr kurzer Zeit restaurieren.

Nat. sollte man sein System pflegen, aber man kann def. die Systeme sehr sehr oft fixen ohne sie platt zu machen, aber das ist scheinbar hier durchaus ideologisch belegt.

Das VS generell Schwachstellen haben ist mir bekannt, natürlich, das ist seit den 50er Jahren eigentlich bewiesen.

Wie ich das reversieren wil ??

Solange es nicht überschreibend war (und nicht mal das ist ein Problem) kann man durch die Analyse des Schadcodes sehr gut herausfinden was der macht und eben genau das reversieren.

(Nur alles weitere geht in Sachen die ich nicht öffentlich erläutern werde).

Add Annektote:

Zitat: "Ausnahmen bilden Dateien, die keinesfalls ausführbaren Code enthalten,"

siehe WMF Exploit, siehe JPEG Exploit, siehe Windows Media Files DRM Exploit, siehe PDF Exploit etc. so viel zu Thema "Gute Tipps ohne Virenscanner".

Der beste Schutz gegen Viren ist es keine Verbindung nach aussen zu haben ;)




Lg

Tja schön blöd, v.a. wenn die Festplatte stirbt. Aber ist ja kein Problem, lieber gibt man einige Tausend Euro für die die Datenrestaurierung defekter HDDs aus als lästige regelmäßige Backups anzufertigen. :nixda:
Muss man nicht, man kann auch "von Hand" neu aufsetzen, aber ein Image erleichtert und beschleunigt die Sache doch erheblich.
Klar kann man Systeme fixen, Du kannst Ad- und Spyware entfernen, aber bei Rootkits/Backdoors sieht die Sache anders aus. Wer wirklich darauf aus ist, einen rootkitfreien Rechner zu haben, setzt in jedem Falle neu auf, alles andere ist Schmu, da man nie die Sicherheit hat, wirklich alles schädliche entfernt zu haben.
50iger Jahre?? :D

Nur wie viel Zeit willst Du dafür opfern? Willst Du wochenlang den Schädling analysieren? :confused:

Hi

Ja 50er Jahre ;) das waren die theoretischen Anfänge.

Wirklich in die Praxis umgesetzt wurde das dann in den 80er Jahren.

Man braucht nicht Wochen für einen Schädling zur Analyse ;)

Lg

Nein, kannst du nicht. Der Schadcode gibt dir keinen Aufschluß darüber, was über die ungewollt geöffnete Verbindung läuft. Hör bitte auf, die TO in falscher Sicherheit zu wiegen. Du sitzt nicht vor ihrem Rechner und hast keine Ahnung, was auf dem befallenen System gerade läuft. Mit Zugriff auf Ring 0 läßt sich das gesamte System auf den Kopf stellen, und es gibt Kompromittierungsmöglichkeiten, die prinzipbedingt nicht ausfindig zu machen sind. Mit ein paar logs ist es nicht getan und mit der Analyse des Schadcodes erst recht nicht. Die Seiten von Joanna Rutkowska sagen dir sicherlich was, von daher solltest du es besser wissen. Gruß

Hi

Es geht überhaupt nicht darum was über eine Verbindung läuft ..(und wenn ich den Analysiere weiss ich sogar das..), weil das Ding schickt ja nicht IRGENDWAS und empfängt nicht IRGENDWAS.

Und es geht hier überhaupt nicht darum irgendwen in Sicherheit zu wiegen.

Das Rootkit der Fr. Rutkowska(du spielst denke ich mal auf den Hypervisor an) ist noch nie "In the Wild" aufgetreten.

Es geht um eine gewisse Verhältnismässigkeit.

Und ja es gibt sogar ein Rootkit das man nicht mal durch neuaufsetzen los wird in der Theorie, nur ist das eben alles Theorie. (Obwohl es da einen Proof-of-Concept gibt).

Die nächste Stufe zur Sicherheit gegen Rootkits heisst das TPM.

Also lassen wir diesen Streit .. ich habe berufsbedingt meine Sicht, du deine ..
und ich weiss was man mit Ring0 Access kann und was eher schwer bis nicht .. und weiss auch wie man Dinge finden kann, die andere für "unfindbar" halten, das gehört nämlich zu meinem Beruf ,aber mehr sehe ich nicht ein öffentlich diskutieren zu müssen.

PM sind nat. gerne willkommen :)

Lg

Njall, Du hast es echt voll drauf. Du hast hier schon tw. den Überblick bei Logfiles verloren, hattest übersehen das vermeintlich verdächtige Dateien wichtige Windows-Systemdateien oder Treiberdateien von verschiedenen Herstellern sind.
Und Du willst uns weismachen, dass Du ein rootkitverseuchtes System von einer Live-CD aus Bereinigen kannst?
Dann ist Dein Beruf definitiv nicht der Systemadmin! :aplaus:

O.K., jetzt werde ich langsam neugierig.:)
Welchen Beruf hast DU?


P.S. Sehr viele, die sich hier Hilfe erhoffen, haben schon Angst vor einer Neuinstallation.

Gruß cad

Nein, darauf spiele ich nicht an. Btw. die pagefile-attack hat nichts mit rootkits zu tun, und das Nocht-nicht-in-the-wild-Argument ist völlig verfehlt. Egal, ich meine "Rootkit Hunting vs. Compromise Detection"

Das tust du aber, indem du Bereingungsszenarios in Aussicht stellst, deren Erfolg mehr als zweifelhaft ist. Aber vermutlich ist es Geschmackssache, wer wann seinem OS vertraut. Du nach einem "Bereinigen", ich nach dem Neuaufsetzen. Jedem seine Paranoia. Davon zu unterscheiden ist, welche Empfehlungen du in einem öffentlichen Board aussprichst.

Gruß

Hi

Das Argument ist nicht per-se verfehlt meiner Meinung nach obwohl es nat. in dem Fall sicher eine Frage des Zeitfensters ist.
(An die Pagefile-unsigned driver Sache habe ich jetzt gar nicht gedacht).

@Cosinus, ich sage zu deinem Kommentan nichts, weil dir in dem Fall (abgesehen davon das er beleidigend ist) das Hintergrundwissen fehlt.
Mein Fehler hier war es scheinbar das ganze (auch für mich) bis zu einem gewissen Punkt als Training zu sehen.

Ich bin def. nicht mit HJT Logs überfordert, aber wieso ich das mache was ich mache diskutiere ich gerne über PM, nicht öffentlich.

@ordell, auch diese Diskussion bitte per PM :)

lg

@Njall
Wenn des Nachbars Hund in Deinen Sankasten gepinkelt hat und Du jetzt am PC weiterspielen musst, dann solltest Du mit Deinen Hinweisen doch schon darauf achten, dass die Fragesteller keinen Schaden erleiden.

Hi

Das war irgendwie schon wieder beleidigend

Ich sehe keinen Schaden bis dato, also lassen wir das bitte

Lg

Sorry, ich wollte Dich nicht beleidigen, mein vorheiges Posting hört sich nur hart an, weil ich es schon recht deutlich und ehrlich auf den Punkt bringen wollte, wie ich es meine.

Hi Cosinus

Ja ist ok, verstehe ich und akzeptiere ich.

Lg

Btw: ich lerne ja auch noch gerne dazu, aber wieso ich was wie mache kann man von mir per PM erfahren, das muss nicht im öffentlichen Flamewar enden. :daumenhoc

Mich würde mal interessieren, ob Du wirklich jeden Rechner bereinigen willst. Oder hast Du immer die Zeit, jeden Schädling der Dir unterkommt zu analysieren?
Es liegt auf der Hand, dass das Neuaufsetzen definitiv die effizienteste und sicherste Methode ist, nur viele User haben damit ein Problem weil ihr Backupkonzept besch..eiden oder garnicht existent ist. :(

Hi

Ja das mit dem Backupkonzept ist bei den meisten ein Problem, das kann das platt machen einfach schon zu einem ziemlichen Problem machen.

Was die Analyse angeht, kann ich sicher ein paar Sachen machen, aber 24H hier sein kann ich auch nicht, weswegen sicher du recht hast mit dem neu-aufsetzen in vielen Fällen.

Mir ging es glaube ich zu sehr um die prinzipiellen Möglichkeiten und weniger um die real praktikablen, na ja nobody is perfect

Lg

Naja, aber selbst wenn das System infiziert wurde kann der User immer noch relevante Daten retten, bevor alles geplättet wird. Möglichekiten gibts da viele, nur der Wille muss auch da sein. Auch der Investitionswille z.B. für eine externe Festplatte. Aber wer seine Daten nicht sichern will muss mit den Konsequenzen dann auch leben.
Ich hab's auch schon mal erlebt, dass einige User aus Faulheit lieber mit einem kompromittierten System weitersurften, als das System neuaufzusetzen. Der Gedanke, alle Daten zu sichern für den Neuanfang, muss wohl grässlich sein. Ich frag mich dann aber immer was der unbedarfte User ohne Backups machen will, wenn seine Festplatte stirbt. :balla:
Die "remotehilfe" über ein Forum hat ihre Grenzen, wie willst Du z.B. sichergehen, dass der User genau die Tipps umsetzt, die für eine gründliche Reinigung erforderlich ist? Wenn man überlegt, dass es auch User gibt, die schon Probleme haben, ein Hijackthis-Logfile zu erstellen. Dann muss man sichergehen, dass er überhaupt die Möglichkeiten hat, man benötigt mindestens eine Rettungs-CD, sowas wie BartPE.
Dann ist da der immense Zeitaufwand der dahintersteckt. Zu beachten ist auch die Problematik, dass eine Bereinigung nicht die "Sauberkeits-Garantie" hat wie ein Neuaufsetzen.

Hi

Ich gebe dir voll und ganz recht :aplaus:

Ich habe wohl doch ein wenig zu viel "real" Hilfe hier in die "remote" Hilfe übernommen :)

Wird sich ändern :)

lg