Wenn hier noch eine Antwort in diesem Stil erfolgt, ist der Thread dicht.

Ich hatte darum gebeten...

Ist es denn so toll, auf einem anderen User einzuhacken?

Cobra

@ Cobra

Full Ack!

Aus meiner Sicht:

Zunächst einmal halte ich es für sinnvoll, mit den von uns gegebenen Möglichkeiten bzw. Hilfe Tools wie z.B. HiJackThis, eScan AntiVirus usw., dass vermeintlich kompromittierte System zu analysieren.

Einem plumpen Verweis auf ein Neuaufsetzen des Systems oder auf eine eventuelle Bereinigung, Threads mit zusammengestellte Link Listen diverser AV Hersteller und deren Removal Tools wie in anderen Boards zusehen ist, halte ich keineswegs für das non plus ultra.
Es schadet dem TO, Board und den Helfenden.

Nach der Analyse dürfte in den meisten Fällen die Schadroutine der aktiven Malware klar sein und somit die weitere Vorgehensweise dem TO, hinsichtlich der Gefahren, dargelegt werden.

Die Hilfe sollte so aussehen:
Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung (daraus resultieren zwei Möglichkeiten)-> A)Symptome bekämpfen -> Ursache beseitigen oder B) Neuaufsetzen des Systems

Wann sollte formatiert werden?
Imho bei Trojaner/Würmer mit Backdoor Funktionalität, also immer dann wenn (rein theoretischer Natur) Zugriff durch Dritte ermöglicht wird!

Wann sollte nicht unbedingt formatiert werden bzw. das System bereinigt werden?
Bei Spyware, Adware oder Foistware, da dies aus meiner Sicht nicht verhältnismäsig ist.

Dabei ist zu beachten, dass die Grenzen der einzelnen Malware Arten immer mehr verwischen und manchmal, wie im Falle der Trojaner Downloader Small oder Agent, die Schadroutinen nicht immer klar definiert sind.
Letztlich ist es immer noch besser weil sicherer, dass nicht vertrauenswürdige System einmal zuviel Neuaufsetzen zu lassen, als mit diesem wirklich ein wirtschaftlicher und persönlicher Schaden entstehen zu lassen.

Ob das kompromittierte System manchmal besser bereinigt worden wäre, als meine Empfehlung des Neuaufsetzens, ist reine Spekulation und daran werde ich mich nicht beteiligen, denn im Vordergrund steht die Sicherheit und die dementsprechende Aufklärung des Themenerstellers dem gegenüber ich Verantwortung trage wenn ich auf dessen Thread antworte.

Wichtige Links hierzu:

Empfehlung Oliver Schad
http://oschad.de/wiki/index.php/Kompromittierung

Empfehlungen von Microsoft:
http://www.microsoft.com/technet/com...mt/sm0504.mspx http://www.microsoft.com/germany/ms/...?siteid=600230

Warum nach einer Kompromittierung der Rechner nicht mehr dir gehört:
http://www.microsoft.com/technet/arc.../10imlaws.mspx

Empfehlungen des CERT (engl.):
http://www.cert.org/security-improve...ices/p051.html

,,Users' Security Handbook``/ RFC 2504 (engl.):
ftp://ftp.rfc-editor.org/in-notes/rfc2504.txt

Warum Kompromittierungen nicht unvermeidbar sind:
http://www.mathematik.uni-marburg.de...ompromise.html

Microsoft Windows Intruder Detection Checklist
http://cert.uni-stuttgart.de/os/ms/w...-detection.php

hi cobra... weil du es bist :lach:

na also, nichts anderes habe ich gesagt...
und jetzt lies doch ma bitte was der Herr Kautz dazu geschrieben hat...

genauso habe ich eingeräumt, daß es durchaus vorkommen kann die notbremse ziehen zu müssen, indem man einfach neuinstalliert...
ich bin weder ach so kompetent noch überheblich, und schon gar nicht halte ich mich für gott.
aber ich habe etwas erfahrung. und die reicht aus um mit den alltäglichen problemen im internet umgehen zu können.
das bedeutet: für detectable malware habe ich meine wächter- und kontrollprogramme die sofort alarmschlagen. ebenfalls kann ich meistens beurteilen welcher prozess laufen darf/soll , und welcher nicht.

fazit:
charakteristisch für die undetectable malware ist nun mal, daß sie nicht erkannt wird...kannst dich drehen wie du willst, der Ar... bleibt hinten :lach:

ein wirklich versierter cracker/hacker der in der lage ist ein system so zu manipulieren, daß er dauerhaften zugriff dazu erlangt, wird auf jedenfall undetectables verwenden, und sich so verhalten, daß man ihn nicht bemerkt.

wer also durch seinen AVscanner gewarnt wird, kann davon ausgehen, daß er es eben nicht mit einem solchen ass zutun hat, und muss auch nicht befürchten, daß sein system vollständig verbogen wurde.

ich bleibe dabei, eine neuinstallation ist nur in ausnahmefällen angesagt. sollte ich mal einen schädling auf meinen rechner entdecken, und ich kann ihn entfernen, werde ich mich nachwievor pudelwohl fühlen...

ach und noch was: wer sagt dir eigentlich, daß du nicht schon lange "undetectable" penetriert, auspioniert, observiert, aromatisiert und klimatisiert wirst...ausschliessen kann man das nicht. deine worte :lach:

in diesem sinne, wünsche ich dir noch einen schönen abend :)

Genau,ist eben meine persönliche Meinung,die kannst du mir auch nicht nehmen!
ICH würde mein System(falls es mal befallen sein sollte),neu aufsetzen,was ich hier aber empfehle usw ist eine ganz andere Sache!

Damit ist jetzt gut für mich hier ;)


Und nu is gut :)

@Cobra
Kannst du ein Tool nennen, der absolut genau und sicher feststellen kann, woran es sich in diesem oder jenem Fall handelt? Ein dummerWurm kann noch zigtausende Recher infizieren, sei es auch nur ein dummer Wurm. Ein Hijacker kann (theoretisch) die automatische DL/Install- Routine von "seiner" Seite ansteuern. Was dabei passiert - weiß Keiner so genau, aber bestimmt nichts Gutes.

Das ist ja eine merkwürdige Logik. Ich müßte als Cracker also erstmal ein Decoy schicken? Na, das ist doch längst gängige Praxis. Was meinen Standpunkt erhärtet.
Völlig richtig. Da mußt Du nicht lachen.

Ich versuche das, wie meine Möglichkeiten mir es gestatten, einzuschränken. Mit dem Ergebnis muß ich leben, wie jeder andere auch.

Cobra

Ein Tool ganz sicher nicht. Ich halte eh wenig von "Tools".

Ich vertraue hier, wie ich schon sagte, auf die Profis. Das diese auch nicht unfehlbar sind: ja, wem sagst Du das?

Cobra

@Cobra
und sind so selten zu finden (abgesehen von hier Anwesenden ;). Ergo: die Neuinstallation ist und bleibt für ONU die einzig richtige Methode, sein PC von malware zu befreien.
Für mich kann hier EOD sein.

Für ONU dürfte es das beste sein, Computern fernzubleiben.

Ok, mit diesem Statement dürfte ich immer alleine bleiben. :D

Cobra

@ Bolivar di Griz

Der Punkt ist doch, dass auch undetectable malware auf irgendeine Art und Weise auf das System gekommen sein muss. Und die Wahrscheinlichkeit dafür ist eben sehr viel höher, wenn aktive Schädlinge mit Backdoorfunktionen irgendwann entdeckt werden, weil sie die beste Voraussetzung dafür bieten, einen Rechner entsprechend zu präparieren, ich definitiv weiss, dass sich diese Möglichkeit geboten hat und ich eben mit schwerer zu entdeckender malware rechnen muss und zum Entdecken erselben erhöhter Aufwand nötig ist.

Kaum! Full-ACK http://www.trojaner-board.com/images...daumenhoch.gif
Allerdings haben die meisten hier wohl mal als ONU angefangen http://www.trojaner-board.com/images/smilies/wink.gif

Dann hatten sie es schwer und haben es trotzdem weit gebracht. Wie Du. :D

Man sieht, das *kann* funktionieren!

:D

Cob

Es geht nur hin und her und hin und her. Eine einheitliche "Regelung" werden wir hier nicht finden, sondern nur Positionen klarstellen, was auch gut ist.
Und Cidre´s Beitrag war einfach wieder der Beste! :daumenhoc

CADET



chaosman

Hallo Leute,

Aus der Erfahrung von heute kann ich nur sagen, dass ich den Beitrag von Cidre ebenfalls unterstütze.

Erst die Analyse ( wenn man jemand findet der es kann ) und wirklich zuletzt das System ( Format C - ist das bitter ! ) neu aufsetzen.

Wie soll man den bei dem üblichen Halbwissen herausbekommen, was man als User vorher getrost sichern kann ( sollte natürlich möglichst regelmäßig geschehen - bedeutet aber bei den heutigen Datenmengen mindesten DVD Brenner ) ?

Aber es hängt wohl immer von der speziellen Situation ab !


Dazu ein Zitat von Francis Picabia :

Unser Kopf ist rund, damit das Denken die richtung wechseln kann

Ciao - Dieter