Bereinigung stark kompromittierter Systeme
 

Eines gleich vorweg: Es ist keineswegs meine Absicht, die Arbeit der Helfer hier in Frage zu stellen, das ist nur eine Frage aus Interesse.

Ist es nicht ziemlich riskant, ein schwerwiegend kompromittiertes System (z.B. mit Administratorenrechten eingegrabene Rootkit-Funktionalität) zu bereinigen und danach als sauber zu betrachten?
Insbesondere wenn die Scanner und Diagnosetools auf diesem System selbst gelaufen sind? Ich mein, wenn ein Scanner meldet, er hätte da noch was gefunden, dann kann man das wohl glauben. Aber wenn ein Diagnosetool über ein kompromittiertes System meldet "alles ok, nichts auffälliges gesehen", wie aussagekräftig ist denn das überhaupt noch?

Um klar zu sein, ich spreche nicht von der Ungewissheit, die man bei der Detektierung prinzipiell immer hat, sondern von einer gezielten Irreführung der Analysetools. Oder sind Gmer und seine Kollegen in der Lage, in einer Weise hinter die Kulissen zu sehen, so dass sie auch derartige Manipulationsversuche erkennen würden? Aber irgendwie müssen sie doch auch mit dem Betriebssystem interagieren und Anfragen stellen, um die gewünschten Informationen zu erhalten...? :confused:

Gibt es auch welche die ohne Adminrechte reingekommen sind?! :confused:

100% Sicherheit gibt es nicht. Vllt sollte man einen Hinweis am Anfang immer posten, dass es sicherer ist, die Kiste neu aufzusetzen aber die meisten wollen keine Neuinstallation und so bereinigt man
Ausnahmen mach ich bei illegaler Software, Cracks, Keygens etc (ist ja klar) und eigentlich idR auch wenn OnlineBanking gemacht wird mit dem Rechner und nachweislich (in Logs direkt sichtbar) BankingTrojaner auf der Kiste sind oder waren....jedenfalls bemüh ich mich dann immer in diesen Fällen entsprechende Hinweise zu posten :killpc:

Ansonsten ist diese Diskussion um Bereinigung oder Neuinstallation ein so ausgelutschtes Thema, weiter kommentieren mag ich das nicht mehr :nixda: