@ Rene-gad, weißt du eigentlich mit wem du es da zu tun hast (Bolivar di Griz), dass ist einer, der aus einer Generation stammt, wo mach noch jedes bit mit Vornamen kannte und dich ganz einfach mal in den Sack steckt, wenn er das möchte.
LG, Charlie

Zitat:

Zitat von charlie1

@ Rene-gad, weißt du eigentlich mit wem du es da zu tun hast (Bolivar di Griz), dass ist einer, der aus einer Generation stammt, wo mach noch jedes bit mit Vornamen kannte und dich ganz einfach mal in den Sack steckt, wenn er das möchte.
LG, Charlie

Welch tiefschürfende Argumentation zum Thema.
Du meinst er stammt noch aus der 4-Bit Generation?

@charlie1

Zitat:

Rene-gad, weißt du eigentlich mit wem du es da zu tun hast (Bolivar di Griz), dass ist einer, der aus einer Generation stammt, wo mach noch jedes bit mit Vornamen kannte und dich ganz einfach mal in den Sack steckt, wenn er das möchte.

Es ist mir Wurscht. Ich, z.B., besitze jede Menge Kenntnisse, die noch vor 10 Jahren für Ausüben meines Berufs unumgänglich waren, heutzutage aber braucht die kein Mensch. Und ich muss mich damit abfinden und das erlernen, was jetzt notwendig ist.
Außerdem: Seine Behauptung, dass 2 AV-Programme mehr Sicherheit garantieren, klingt für mich einfach laienhaft. Noch dazu: ich kenne keinen Profi, der an seinem PC ZA betreibt.

Statt dass Du vor Ehrfurcht erzitterst und in den Staub fällst ...

Zitat:

Zitat von Shadow

Statt dass Du vor Ehrfurcht erzitterst und in den Staub fällst ...

Wollte ich tun, dann habe ich mich aber anders überlegt.

Zitat:

Zitat von Rene-gad

@charlie1
Außerdem: Seine Behauptung, dass 2 AV-Programme mehr Sicherheit garantieren, klingt für mich einfach laienhaft. Noch dazu: ich kenne keinen Profi, der an seinem PC ZA betreibt.

also du biegst dir wirklich alles zurecht wie du es gern hättest.

1. wo habe ich durch den einsatz von 2 AVscannern mehr sicherheit GARANTIERT ? bitte zitieren..

2. habe ich zu keinem zeitpunkt behauptet ein profi zusein !

ein profi unterscheidet sich vom amateur dadurch, daß er für seine tätigkeit bezahlt wird. das trifft auf mich nicht zu.
da ich jetzt einfach mal voraus setze, daß es sich bei dir genauso verhält ( alles andere würde mich wundern) habe wir schonmal eins gemeinsam.

wir sind laien...du auch

und ok...da du dir das stereotype firewall gequassel nicht verkneifen kannst ( insbesondere zum zonealarm...hehe, mein gott passt sehr gut zu dir)
mach ich nochmal darauf aufmerksam, daß ich immer wieder mal ne andere installiere, und keineswegs auf zonealarm fixiert bin.

weisst du warum ich das mache?
ich verhalte mich so, weil ich mich gern auf meine eigenen erfahrungen stütze, und es ganz einfach ablehne, das nachzuquasseln was andere mir vorkauen. die ganze debatte firewall war geprägt von diesem typus mensch.

und jetzt ist wirklich schluss für mich.
deine dusseligen bemerkungen zu meiner person haben mich zu diesem beitrag provoziert...

Es wird mir stets ein Rätsel bleiben, wie man sich bei einem Sachthema dermaßen in die Haare geraten kann. Beherrscht euch doch bitte einmal. Beide!

Ich werde in Kürze auch noch etwas zum Thema selbst beitragen.

Cobra

Im Prinzip ist die Sache ganz einfach.

Einen Hijacker oder dummen Wurm wird niemand durch ein Neuaufsetzen kurieren wollen. Ganz einfach deshalb, weil das Schadenspotential¹ klar definiert ist.

Ganz anders sieht das mit rbot/agobot/phatbot aus. Diese Schadprogramme gestatten prinzipiell eine weitreichende Manipulation des befallenen Systems, ganz so, wie es auch rootkits unter Unix tun.² Im Prinzip (das dies selten geschieht, spielt keine Rolle) kann z.B. ein ProcessExplorer mit Backdoor untergeschoben werden, der dem System grünes Licht gibt, aber undetectable ist und fröhlich eine Leitung frei halt. Oder schlimmeres.

Auch wenn ich noch so gründlich suche, und mich für ach so kompetent halte: niemand kann es mir garantieren, daß mir der Cracker nicht doch voraus ist. Wer anderer Meinung ist, ist entweder Gott, leicht überheblich , oder betreibt professionelle Malwareanalyse und hat damit alle Zeit der Welt.

Es hilft hier auch nicht, über Wahrscheinlichkeiten zu argumentieren. Natürlich ist es beliebig unwahrscheinlich, daß mein Cracker-Gegenüber wirklich so "gut" ist, oder Interesse an meinem Rechner hätte, wäre er so gut. Alles Firlefanz, denn ausschließen kann man das nicht.

Schließlich kommt noch der zeitliche Aufwand ins Spiel. Ein Image, sofern vorhanden, ist schnell eingespielt. Selbst eine Neuinstallation ist ein vergleichsweise geringer Aufwand, vergleicht man sie mit einer kompletten Analyse des Betriebssystems (wozu die wenigsten von uns im Stande sein werden).

Ich würde in so einem Fall jedenfalls immer neuinstallieren. Das ist (a) der einzige Weg, um sicher zu sein, daß das System wieder auf dem ursprünglichen und sauberen Stand ist, und kostet (b) am wenigsten Zeit.

Beispiele für allzu optimistische Systemadministratoren kenne ich übrigens zur Genüge. Wie den, der ein rootkit hatte, es entfernte und sich großartig fühlte, bis die User sich beschwerten, daß ihre quotas immer kleiner werden. Jaja. ;D

Cobra

¹: das man durch Informationen von Kaspersky und Konsorten erfährt.
²: man lese die Links auf www.chkrootkit.org

@Cobra,
Danke!
Manchmal wünsche ich mir Deine 'Gabe' der kurzen und klaren Worte...!

@ Cobra

Full Ack!

Aus meiner Sicht:

Zunächst einmal halte ich es für sinnvoll, mit den von uns gegebenen Möglichkeiten bzw. Hilfe Tools wie z.B. HiJackThis, eScan AntiVirus usw., dass vermeintlich kompromittierte System zu analysieren.

Einem plumpen Verweis auf ein Neuaufsetzen des Systems oder auf eine eventuelle Bereinigung, Threads mit zusammengestellte Link Listen diverser AV Hersteller und deren Removal Tools wie in anderen Boards zusehen ist, halte ich keineswegs für das non plus ultra.
Es schadet dem TO, Board und den Helfenden.

Nach der Analyse dürfte in den meisten Fällen die Schadroutine der aktiven Malware klar sein und somit die weitere Vorgehensweise dem TO, hinsichtlich der Gefahren, dargelegt werden.

Die Hilfe sollte so aussehen:
Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung (daraus resultieren zwei Möglichkeiten)-> A)Symptome bekämpfen -> Ursache beseitigen oder B) Neuaufsetzen des Systems

Wann sollte formatiert werden?
Imho bei Trojaner/Würmer mit Backdoor Funktionalität, also immer dann wenn (rein theoretischer Natur) Zugriff durch Dritte ermöglicht wird!

Wann sollte nicht unbedingt formatiert werden bzw. das System bereinigt werden?
Bei Spyware, Adware oder Foistware, da dies aus meiner Sicht nicht verhältnismäsig ist.

Dabei ist zu beachten, dass die Grenzen der einzelnen Malware Arten immer mehr verwischen und manchmal, wie im Falle der Trojaner Downloader Small oder Agent, die Schadroutinen nicht immer klar definiert sind.
Letztlich ist es immer noch besser weil sicherer, dass nicht vertrauenswürdige System einmal zuviel Neuaufsetzen zu lassen, als mit diesem wirklich ein wirtschaftlicher und persönlicher Schaden entstehen zu lassen.

Ob das kompromittierte System manchmal besser bereinigt worden wäre, als meine Empfehlung des Neuaufsetzens, ist reine Spekulation und daran werde ich mich nicht beteiligen, denn im Vordergrund steht die Sicherheit und die dementsprechende Aufklärung des Themenerstellers dem gegenüber ich Verantwortung trage wenn ich auf dessen Thread antworte.

Wichtige Links hierzu:

Empfehlung Oliver Schad
http://oschad.de/wiki/index.php/Kompromittierung

Empfehlungen von Microsoft:
http://www.microsoft.com/technet/com...mt/sm0504.mspx http://www.microsoft.com/germany/ms/...?siteid=600230

Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört:
http://www.microsoft.com/technet/arc.../10imlaws.mspx

Empfehlungen des CERT (engl.):
http://www.cert.org/security-improve...ices/p051.html

,,Users' Security Handbook``/ RFC 2504 (engl.):
ftp://ftp.rfc-editor.org/in-notes/rfc2504.txt

Warum Kompromittierungen nicht unvermeidbar sind:
http://www.mathematik.uni-marburg.de...ompromise.html

Microsoft Windows Intruder Detection Checklist
http://cert.uni-stuttgart.de/os/ms/w...-detection.php

hi cobra... weil du es bist

Zitat:

Zitat von Cobra

Im Prinzip ist die Sache ganz einfach.

Einen Hijacker oder dummen Wurm wird niemand durch ein Neuaufsetzen kurieren wollen. Ganz einfach deshalb, weil das Schadenspotential¹ klar definiert ist.

na also, nichts anderes habe ich gesagt...
und jetzt lies doch ma bitte was der Herr Kautz dazu geschrieben hat...

Zitat:

Ganz anders sieht das mit rbot/agobot/phatbot aus. Diese Schadprogramme gestatten prinzipiell eine weitreichende Manipulation des befallenen Systems, ganz so, wie es auch rootkits unter Unix tun.² Im Prinzip (das dies selten geschieht, spielt keine Rolle) kann z.B. ein ProcessExplorer mit Backdoor untergeschoben werden, der dem System grünes Licht gibt, aber undetectable ist und fröhlich eine Leitung frei halt. Oder schlimmeres.

genauso habe ich eingeräumt, daß es durchaus vorkommen kann die notbremse ziehen zu müssen, indem man einfach neuinstalliert...

Zitat:

Auch wenn ich noch so gründlich suche, und mich für ach so kompetent halte: niemand kann es mir garantieren, daß mir der Cracker nicht doch voraus ist. Wer anderer Meinung ist, ist entweder Gott, leicht überheblich , oder betreibt professionelle Malwareanalyse und hat damit alle Zeit der Welt.
Es hilft hier auch nicht, über Wahrscheinlichkeiten zu argumentieren. Natürlich ist es beliebig unwahrscheinlich, daß mein Cracker-Gegenüber wirklich so "gut" ist, oder Interesse an meinem Rechner hätte, wäre er so gut. Alles Firlefanz, denn ausschließen kann man das nicht.

ich bin weder ach so kompetent noch überheblich, und schon gar nicht halte ich mich für gott.
aber ich habe etwas erfahrung. und die reicht aus um mit den alltäglichen problemen im internet umgehen zu können.
das bedeutet: für detectable malware habe ich meine wächter- und kontrollprogramme die sofort alarmschlagen. ebenfalls kann ich meistens beurteilen welcher prozess laufen darf/soll , und welcher nicht.

fazit:
charakteristisch für die undetectable malware ist nun mal, daß sie nicht erkannt wird...kannst dich drehen wie du willst, der Ar... bleibt hinten

ein wirklich versierter cracker/hacker der in der lage ist ein system so zu manipulieren, daß er dauerhaften zugriff dazu erlangt, wird auf jedenfall undetectables verwenden, und sich so verhalten, daß man ihn nicht bemerkt.

wer also durch seinen AVscanner gewarnt wird, kann davon ausgehen, daß er es eben nicht mit einem solchen ass zutun hat, und muss auch nicht befürchten, daß sein system vollständig verbogen wurde.

ich bleibe dabei, eine Neuinstallation ist nur in ausnahmefällen angesagt. sollte ich mal einen schädling auf meinen rechner entdecken, und ich kann ihn entfernen, werde ich mich nachwievor pudelwohl fühlen...

ach und noch was: wer sagt dir eigentlich, daß du nicht schon lange "undetectable" penetriert, auspioniert, observiert, aromatisiert und klimatisiert wirst...ausschliessen kann man das nicht. deine worte

in diesem sinne, wünsche ich dir noch einen schönen abend

Zitat:

Zitat von Bolivar di Griz

und jetzt lies doch ma bitte was der Herr Kautz dazu geschrieben hat...

Genau,ist eben meine persönliche Meinung,die kannst du mir auch nicht nehmen!
ICH würde mein System(falls es mal befallen sein sollte),neu aufsetzen,was ich hier aber empfehle usw ist eine ganz andere Sache!

Damit ist jetzt gut für mich hier

Zitat:

Zitat von HerrKautz

Wollte da auch noch was einwerfen!

Kann dem was Rene-gad geschrieben hat nur zustimmen!

Seid doch mal ehrlich;gehen wir davon aus,EUCH hier würde ein Hijacker befallen,was würdet Ihr machen?!

Ich für meinen Fall;falls das mal passieren sollte,würde ich mein System platt machen!

Sicherlich ist das hier alles ein zwiespaltiges Schwert,zuerst wollen wir ja dem User helfen,dass er zumindestens für eine gewisse Zeit weiterarbeiten kann!

Ist das richtig?

Bin der Meinung,dass es bei einem gewissen Befall nicht O.K. ist

Schauen wir uns mal die Trojan Downloader an,...wer kann denn ganz genau sagen,was die alles nachziehen?!Keiner!

Man kann das auch ganz gut an sophos.de nachvollziehen,wenn tagtäglich über einen Trojaner der Art ein Update gemacht wird,wer das mal beobachtet hat,wird feststellen,dass dies die letzte Zeit oft der Fall war!

Ich merke eben gerade selbst,man lernt nie aus.

Gruss und schönes WE werd mal ne Zeit inaktiv sein!

Und nu is gut

Zitat:

Zitat von Bolivar di Griz

wer also durch seinen AVscanner gewarnt wird, kann davon ausgehen, daß er es eben nicht mit einem solchen ass zutun hat, und muss auch nicht befürchten, daß sein system vollständig verbogen wurde.

Das ist ja eine merkwürdige Logik. Ich müßte als Cracker also erstmal ein Decoy schicken? Na, das ist doch längst gängige Praxis. Was meinen Standpunkt erhärtet.

Zitat:

ach und noch was: wer sagt dir eigentlich, daß du nicht schon lange "undetectable" penetriert, auspioniert, observiert, aromatisiert und klimatisiert wirst...ausschliessen kann man das nicht. deine worte

Völlig richtig. Da mußt Du nicht lachen.

Ich versuche das, wie meine Möglichkeiten mir es gestatten, einzuschränken. Mit dem Ergebnis muß ich leben, wie jeder andere auch.

Cobra

@Cobra

Zitat:

Einen Hijacker oder dummen Wurm wird niemand durch ein Neuaufsetzen kurieren wollen. Ganz einfach deshalb, weil das Schadenspotential klar definiert ist.

Kannst du ein Tool nennen, der absolut genau und sicher feststellen kann, woran es sich in diesem oder jenem Fall handelt? Ein dummerWurm kann noch zigtausende Recher infizieren, sei es auch nur ein dummer Wurm. Ein Hijacker kann (theoretisch) die automatische DL/Install- Routine von "seiner" Seite ansteuern. Was dabei passiert - weiß Keiner so genau, aber bestimmt nichts Gutes.

Zitat:

Zitat von Rene-gad

Kannst du ein Tool nennen, der absolut genau und sicher feststellen kann, woran es sich in diesem oder jenem Fall handelt?

Ein Tool ganz sicher nicht. Ich halte eh wenig von "Tools".

Ich vertraue hier, wie ich schon sagte, auf die Profis. Das diese auch nicht unfehlbar sind: ja, wem sagst Du das?

Cobra