moin,

Hier im Board trifft man auf die unterschiedlichsten Probleme.
Zum einen auf schwierigere Fälle ( z.b Trojanerbefall), andererseits aber auch auf minderschwere Fälle, wie z.b wenn sich jemand Spyware eingefangen hat o.ä
Die User wissen dann oft nicht was sie tun sollen, und posten erstmal nur eine sehr magere Beschreibung des Problems, so dass erst einmal lange nachgefragt werden muss um was es eigentlich geht und man schlieslich auf die Logs wartet.

Nun kam mir die Idee, eine allgemeine Anleitung zu schreiben, welche eine Systemsäuberung beschreibt, die auch ein unerfahrener User problemlos durchführen kann, und sich zum einen mit den Programmen besser vertraut macht, und zum anderen sich eventuell bereits selbst helfen kann bzw. zumindest schon Vorarbeit leisten kann.

Was soll in dieser Anleitung angesprochen werden?


Eine Grundanalyse (Rootkitsuche (z.b mittels Blacklight), Spyware löschen (z.b Spybot Search and Destroy), Virenscan, HIjackthis Logs ....)

Ich habe habe hier kurz etwas zusammengeschrieben, wie ich mir das vorgestellt habe.
Natürlich ist das nur eine Grundform wie man es evtl. Einrichten könnte.

Ich hoffe, dass sich mehrere User an diesem Projekt beteiligen damit am Ende eine praktische Anleitung herauskommt, die auch unerfahrene User verstehen nund damit arbeiten können.

Finde ich eine klasse Initiative

Ein sicher schwieriges Vorhaben, all die verschiedenen Meinungen zu Vorgehensweisen unter einen Hut zu bekommen Aber wieso nicht? Vielleicht kann man trotz Kontroversen dieses ziemlich ambitionierte Vorhaben realisieren und zB mit bereits im Board vorhandenen Anleitungen ergänzen?

Meine Unterstützung und
viel Erfolg!

Grüße, schneipi

Du solltest das mit der Systemwiederherstellung deaktivieren herausnehmen. Das kann das einzige sein, was dich rettet, wenn bei der Reinigung etwas schief gelaufen ist.

Ein infiziertes Backup ist besser als gar keins!

Zitat:

Zitat von raman

Ein infiziertes Backup ist besser als gar keins!

Da muss ich raman zustimmen.

... und morgen glaubt jemand die Systemwiederherstellung wäre ein Backup
(und in Wirklichkeit glauben dies jetzt schon viele)

Zitat:

Zitat von Shadow

... und morgen glaubt jemand die Systemwiederherstellung wäre ein Backup
(und in Wirklichkeit glauben dies jetzt schon viele)

Zumal die Bedeutung von 'to back up' (=sich rückwärts bewegen) in Verbindung mit der Systemwiederherstellung zu bringen ist/wäre.
Also doch nicht so ganz falsch die "Denkweise" vieler Menschen.

Die Idee ist sehr gut

Aber: Die grundlegenden Schritte sind ja schon in den NUBs vorgegeben, wenn die niemand liest (immerhin werden sie bei der Anmeldung präsentiert), wieso wird ein User dann diese Datei runterladen und lesen?

II. Reinigung des Systems

Wie schon geschrieben, das löschen von Wiederherstellungspunkten mit infektiösen Inhalt würde ich ganz ans Ende setzen, wenn das System wieder läuft. Da kann nichts rausspringen und ich habe schon Fälle erlebt, in denen Die Syastemwiederherstellung gelöscht wurde und danach hat eine Maßnahme das System fertig geschrottet. Ohne Wiederherstellungspunkt ist das dann eine Neuinstallation. Die ich übrigens immer besser finde, Threads in denen Wochen bis Monate an einem angeschlagenen System herumgedoktort wird, sind Zeitverschwendung. Aber es gibt ja User, für die ihr Computer das Baby ist (heute gelesen), da fehlt die Distanz zur Technik.

II.1. Grundreinigung

Vom vorschnellen Einsatz von CCleaner & Co halte ich auch nichts, was sich so alles in den Temp-Ordnern befindet, vermittelt doch oft eine Menge Hintergrundinformationen. Auch der Prefetch-Ordner kann spannende Geschichten erzählen Ist aber auch Geschmackssache, ich habe forensische Interessen, am liebsten hätte ich es, dass User die befallene Platte erstmal read-only an einem anderen Rechner mounten.

II.2. Systemreinigung

Da denke ich, dass Spyware zu hoch in der Liste steht. Spyware zu entfernen, während das System von einer Backdoor fremdgesteuert wird oder gar im Akkord Spam versendet wird, ist sinnfrei.

II.3. Virenfunde

Bloß nicht allzuviel auf HijackThis geben. Es leifert einen gewissen Überblick über das System (welches System, Service Pack, installierte Software mit Autostart), lässt auch manche Infektion erkennen, aber es gibt zuviel, was das Programm nicht mitteilt, auch ohne dass ein Rootkit im Spiel ist. Die Überarbeitung durch Trendmicro ist leider nicht mehr als ein Marketing-Gag geworden.

Ice Sword braucht sicher mehr Anleitung, aus so einer Selbsthilfeanleitung für die ersten Schritte würde ich es ganz raus lassen, ohne genaues Wissen richtet man damit schnell mehr Schaden an als man beseitigt.

III. Vorbeugung

Dazu gehört auf jeden Fall, dass die Anzeige aller Dateiendungen eingeschaltet ist, damit man die Datei auch als EXE indentifizieren kann. Ansonsten hat sie eben das Icon eines Bildes und heißt "SexyPic" und schon ist der Doppelklick abgesetzt. Mit Anzeige der Endungen werden vielleicht noch ein paar Leute vorher bemerken, dass es eine EXE ist.

Ich sehe aber keinen Grund, überhaupt irgendwelche ausführbaren Dateien über Messenger und Mail zu beziehen, diese Quellen sind nicht vertrauenswürdig, da nicht bekannt, von wem es wirklich kommt. Außerdem versenden auch Freunde eine Menge Sachen, die schädlich sind. Entweder, weil sie keine Ahnung haben, oder weil sie da zu toerant sind. Vielleicht lässt sich die Annahme von Dateien ja grundsätzlich in Messenger sperren (kenn mich da nicht aus, so eine Laber-Software kommt mir nicht auf die Kiste) und Mails mit unerwarteten Anhängen gehören ungeöffnet gelöscht. Ein negtives Ergebnis von Virustotal senkt zwar das Risiko, garantiert aber nicht für Sicherheit.

Viel Erfolg und viel Durchhaltevermögen!

Eine Systemdiagnose und -bereinigung lässt sich nicht auf 3 Seiten verewigen.

Bei 3. Vorbeugung/Prohpylaxe fehlt z.B. das komplette Thema "Windows sicher konfigurieren". Das alleine sind vermutlich schon 20-30 Seiten wenn man sich kurz fasst (5-10 Seiten wenn man's extrem verkürzt).
Die einzelnen Tools müssen mit Stärken und Unzulänglichkeiten erklärt werden, schliesslich soll niemand glauben, ein Rootkitscanner würde auch jeden Rootkit finden und längst nicht alle Scanner zeigen die gleichen Scanergebnisse oder können Funde bereinigen, lassen sich selbst kompromittieren etc etc ...

Vllt fängst Du erstmal mit einem Gliederungspunkt an und arbeitest diesen sorgfältig aus. Das Board wird gerne Korrektur lesen und Dir helfen.

Marc

moin
Dies war ja auch noch keine fertige Anleitung und nichtmal eine halbfertige.
Es sollte nur verdeutlichen wie ich das gemeint habe, mit einer Anleitung.
Sicherlich kann man allein ein Buch darüber schreiben, wie man Windows sicher konfiuriert, aber dies soll ja gar nicht mit dieser Anleitung erreicht werden.
Es soll mehr eine Grundlage bilden . ( eine Art "Hausapotheke")
Ich hoffe, dass sich viele an dem Projekt beteiligen, und ich bin der Meinung, dass man durch viele helfende Hände eine durchausbrauchbare und sehr informative Anleitung zustande bringt.