Ich würde behaupten, der große Vorteil liegt einfach darin, dass mehr Scanner eingetzt werden. Kann bei neuerer Malware und zum Einschätzen von FP.

Virustotal hat auch vor einigen Jahren ne Community eingeführt usw...in Sachen einzelne Dateiauswertung ist VT im Moment das Maß der Dinge.

Nichtsdestotrotz würde ich auf verdächtigen Windows-Kisten nicht erst ein Linux ausführen müssen um das Ding zu scannen. FRST, Malwarebytes und vllt noch Junkware-Removal. Wenn ich als Bereiniger schon so nen Zweifel habe und auch noch meinen müsse, das Teil von einem "äußeren" Scanner scannen zu müssen, dann kann ich a) FRST und andere Logs nicht richtig lesen und b) ein derartiges Misstrauen in mein Windows-System haben, welches ein sofortiges Neuaufsetzen eher sinnvoll erscheinen lässt als stundelanges Scannen.

Beispiele haben gezeigt, dass mindestens dem eigenen Virenscanner unter Windows nicht mehr vertraut werden kann. Ob man den Angaben der genannten Programme immer trauen kann und ob wirklich alles bereinigt wurde, muss man selbst bewerten. Aber es ist schon richtig, dass man im Zweifel das System neu aufsetzt.

Virenscanner unter Linux bringen im übrigen weniger. Wenn man Dateisysteme mit Windows-Systemen teilt macht ein Scanner evtl. Sinn, jedoch nur um das Windows-System zu schützen. Ich glaube Linux-Virenscanner finden sowieso nur Windows-Viren.

Vor allem würde ich aber unter Linux nicht aus irgendeinem Download irgendwelches Zeug wie einen Virenscanner installieren. Die Sicherheit von Linux basiert vor allem darauf, dass man eben nur Pakete aus den eigenen Paketquellen nutzt, die in der Regel recht sicher sind. Somit würde ich, wenn ich schon einen Virenscanner installieren würde, diesen immer nur aus den eigenen Paketquellen installieren. Denn sonst installiert man sich gerade mit der eigentlich gewünschten Schutzsoftware das Sicherheitsproblem bzw. die Dist-Upgradeproblematik beim Release-Wechsel.

Wenn man eine Kiste für verseucht hält ist Virenscannern die auf dieser laufen nicht mehr unbedingt zu trauen- da sehe ich auch die hier im Forum beliebten Malwarescans etwas kritisch.

Allerdings verstehe ich nur zu gut dass Ihr den meist nicht so IT-affinen Hilfesuchenden keine Linux CDs zumuten wollt.

Wenn ich einer Kiste nicht traue lasse ich in der Regel die Disinfec't von der C't drüberlaufen. Da läuft der Scan nach (Windows-) Viren von einer sicher sauberen CD-Bootumgebung aus. Die Methode ist für mich als jemand der eh seit Jahren Linux einsetzt eh einfacher als diverse Windows Tools zu setzen.

Funde würde ich dann hier posten um zu erfahren ob Bereinigen Sinn macht oder Neuaufsetzen nötig ist

Zitat:

Zitat von W_Dackel

Wenn man eine Kiste für verseucht hält ist Virenscannern die auf dieser laufen nicht mehr unbedingt zu trauen

Warum?

Weil diese Scans vom infizierten Betriebssystem aus keine "Stealth Viren" finden können.

Viren die sich so tief im Windows eingenistet haben dass sie einen Scan erkennen und sich dann verstecken, z.B. bei Zugriff auf die Plattenblocks bei denen sie liegen Daten zurückspielen die harmlos aussehen. Desgleichen wenn der Ram - Bereich gescant wird in dem sie liegen.

Meine eigene Erfahrung mit solchen Dingern war die als wir mal den Windows-Rechner meines Bruders mit der damaligen Knoppicillin gescant haben: einer der Knoppicillin Scanner fand eine verdächtige Datei, ich nannte sie unter Linux um, und als wir dann Windows starteten (da wollte ich sie dann zum Online Scan hochladen) erkannte sie der bordeigene Scanner und verschob sie in Quarantäne.

Vorher muss der Virus sich ca. ein Jahr lang vor dem Scanner versteckt haben. Ob ein Malwarebytes o.ä. Scan ihn entdeckt hätte weiß ich nicht, Avira schaffte das damals jedenfalls nicht.

Ich vermute dass der Befall stattfand bevor Avira die Signatur des Schädlings hatte, und dass er sich danach so versteckte dass er nicht mehr gefunden wurde.

Einem Scan von einem externen Bootmedium aus war er dann hilflos ausgesetzt. (Das würde natürlich auch auf den Fall zutreffen in dem sich jemand mit einer Bart-PE eine externe Windows Boot CD mit Virenscanner zusammenbastelt. Der Grund dass die meisten dieser Rescue CDs unter Linux laufen liegt einfach an der Lizenzfrage.)


Edit: ich sehe gerade einen Parallelthread: ClamAV ist leider ein relativ schlechter Scanner. Er hat relativ viele Fehlmeldungen und findet auch relativ viele echte Viren nicht, wenn man von Linux aus scant, dann am besten mit den Linux Versionen bekannter AV Hersteller.

Zitat:

Avira schaffte das damals jedenfalls nicht.

Was für eine Überraschung.

Ich nehme an, mit Stealthviren meinst du Rootkits. Nunja, es gibt eben extra Rootkitscanner, um die zu erkennen, von daher würde ich grundsätzlich nicht sagen, dass man dem Virenscanner nicht vertrauen kann.

Das ist ne Weile her, damals war Avira noch ziemlich gut....

Rootkitscanner müssen die Verteidigungsmechanismen eines Rootkits / Stealth Virus umgehen. Wenn man dagegen von einem von USB Stick oder CD gebooteten sauberen Betriebssystem aus scant haben die Stealth Viren keine Chance sich zu verstecken. Der Technik traue ich also im Zweifel mehr zu.

Kam hier in Vergangenheit auch öfter vor, da musste öfter mal mit OTLPE ran oder so.
Aber das meiste Zeug hat sich durch Combofix, TDSS-Killer oder MBAM/MBAR regeln lassen.

Seit etwa ein bis zwei Jahren seh ich hier aber so gut wie keine Rootkits mehr, letztes Jahr mal hier und da ein ZeroAccess oder Necurs. Aber das sind Einzelfälle bei so vielen wie hier täglich reinkommen ist das ein Witz.

Jetzt beschränkt sich die Entfernung eigentlich fast nur noch auf das Löschen von Adwware, Junkware, Toolbars und ähnlichem nervigen Zeugs.

Was darauf schließen lässt dass es sich für die Hersteller von kommerziellen Schadprogrammen gar nicht mehr lohnt rootkit-Techniken zu verwenden.

DAS wiederum ließe darauf schließen dass genügend Opfer mit unzureichendem AV Schutz im Netz unterwegs sind so dass man sich um die paar mit richtigem Schutz nicht mehr kümmern muss.

Oder- die paar Schadprogramme die so etwas einsetzen sind so gut dass sie mit den Tools die Ihr einsetzt nicht gefunden werden. Ob die dann mit einer Disinfec't gefunden würden ist wieder eine andere Frage, auch Disinfec't verlässt sich auf die gängigen Heuristiken und Signaturen, schließlich sind das die Linuxversionen gängiger AV Hersteller...

Oder es lohnt sich einfach nicht, Hirnschmalz reinzustecken in Programmiertechniken, die Rootkits erschaffen, weil die Leute sich diesen Kram mehr oder weniger freiwillig installieren. Lieber einfach zu entfernene, dafür in zig Tausend Varianten erzeugte Junkware auf Millionen von Rechnern.

Naja, den ZeroAccess sieht man nicht mal so selten.

Hab den schon länger nicht mehr gesehen

http://www.trojaner-board.de/156737-...vices-exe.html

Ich meinte in meinen betreuten Fällen
Wie dem auch sei, die meisten Fälle sind doch hier eher nur Adware