Ist das nicht riskant? Ein Spiel mit dem Feuer???
 

Hallo! Einmal was an die Helfer hier im Forum...

Ich bin Sprecher einer kleinen Gruppe, die sich hobbymäßig gerne mit Problemen und Fragen in der Computersicherheit auseinandersetzt. Als Sprecher hat man im Prinzip immer den schwarzen Peter in der Tasche – man muss versuchen, etwas auf eine verständliche Art deutlich zu machen, andererseits muss man aber auch immer aufpassen, dass sich niemand angegriffen oder verletzt fühlt. Ganz einfach ist das nicht... Bei uns haben sich in letzter Zeit einige Fragezeichen in den Augen gebildet; und wir überlegen im Augenblick, wie wir die wieder wegbekommen.
Wie fange ich also an? Ich denke so:

Uns ist aufgefallen, dass die Analysen (aber natürlich nicht nur innerhalb eures Forums) auf dem Farbar Recovery Scan Tool aufgebaut sind – eigentlich ausschließlich auf dem Tool.
Wenn nur dieses Tool verwendet wird – und dass nicht nur bei euch, sondern in vielen anderen Ländern auch – würde es sich da nicht für die „Bösen Buben“ lohnen, auf möglichst einfache Art ein bisschen an den LOGs eures Tools zu drehen, um manche Sachen erst mal gar nicht anzeigen zu lassen?

Mal folgender fiktiver Fall, um die Sache etwas deutlicher zu machen:

Es ist ja ziemlich einfach zu sehen, dass das Farbar Recovery Scan Tool in Autoit 3 programmiert wurde. Mal angenommen, ein eher mittelmäßig begabter Malwareprogrammierer würde sich die Bedienungsanleitung der Sprache einmal vornehmen und in – wir sagen mal einer halben Stunde Lesarbeit – auf Sicherheitslücken in der Sprache stoßen, über die er sehr einfach Sachen „ausblenden“ lassen könnte. Nach weiterer kurzer Sucharbeit, wo man denn ansetzen könnte, findet er eine für das Verstecken von Malware sehr gut nutzbare Stelle, auf die euer Tool in gewollter Weise anspricht – und plötzlich ist etwas, was eigentlich da ist, nicht mehr in den LOGs zu sehen.

Mal angenommen, das wäre wirklich so unglaublich einfach, das zu tun - wie sicher wäre dass dann, was ihr da tut?
Würde so etwas nicht genutzt werden? Würdet ihr das überhaupt sehen, wenn jemand so vorgeht?
Mal angenommen, dem wäre so – wie sicher ist es dann, dass ein hier als „geheilt“ entlassener Computer nicht nach kurzer Zeit wieder genau den selben Trojaner trägt und mal eben wieder Passwörter, Geld oder sonstwas abgefischt wird? Ist das nicht alles ein Spiel mit dem Feuer; besonders wenn alles nur auf der Nutzung eines einzigen Analysetools aufbaut?

Wie schnell würdet ihr merken, dass da was gar nicht gelistet wird? Wird das Tool regelmäßig auf seine Funktion hin geprüft?

Natürlich ist das möglich, aber wenn Du Dir die Vorgehensweise der Helfer ansehen würdest, dann wäre Dir sicher aufgefallen, dass niemals nur dieses Tool verwendet wird. Zusätzlich wird am Ende normalerweise noch ein Scan mit einem Online-Virenscanner durchgeführt.
Es ist auch wichtig zu wissen, was die genauen Symptome sind und was sie verursacht, deshalb wird auch immer gefragt, ob es noch Probleme gibt. Und das ist meistens auch der Grund, warum sich Hilfesuchende melden. Es liegt ein Problem vor, dass es zu beheben gilt. Gäbe es das Problem nicht, würde sich auch kaum jemand melden. Besteht das Problem weiterhin, dann wird auch weiter gesucht. Bei wirklichen Härtefällen wird dann eine Neuinstallation angeraten.

Und es wäre nicht nötig, das Tool auf Sicherheitslücken zu untersuchen. Den Code anzugreifen ist wie mit Kanonen auf Spatzen zu schießen.

Gruß, Kaos

Ausserdem scannen wir mit dem Ding auch aus der Recovery. Dann hat sich das mit dem Code lesen schon erledigt.

Na ja – oben war von einer Analyse die Rede. Ist der Unterschied geläufig?

Oh ha – jemand der zwecks Fernsteuersachen über längere Zeit auf dem Rechner bleiben möchte, wird gar nicht erst Probleme machen. Adware hingegen schon. Also ist nachher die Adware und das sichtbare Problem weg und er wird als geheilt entlassen?

Das ist auch gar nicht nötig. Einsprungspunkte in das Tool werden frei Haus geliefert – da muss man nichts großartig untersuchen. Teilweise sogar von euch selbst! Komplett kostenlos und frei von jeder anstrengenden Arbeit. Wie gesagt, es bilden sich sehr große Fragezeichen bei uns.

Es reicht ein kleiner Kieselstein. Der wird einem sogar noch in die Tasche gelegt – wie gesagt, Fragezeichen.
Da finde ich den zweiten Teil schon etwas interessanter: Da könntest du Recht haben – eventuell nimmt man euch nicht ernst und lässt deshalb solche Geschenke links liegen – wer weiß.

Das ist sehr interessant, wenn man deine Meinung von anderer Seite betrachtet. Ihr haltet es also gar nicht für nötig, ein Tool auf seine korrekte Funktion hin zu untersuchen, was in vielen Ländern als einziges genutzt wird???
Das erklärt jetzt einiges und hat gerade eben ein ganz ganz großes Fragezeichen weggestrichen. :)

Du möchtest bitte zur Kenntnis nehmen, dass FRST nicht das einzige Tool ist, mit dem hier gearbeitet wird.


Was redest du da? :wtf:
Wenn du zu große Fragezeichen hast, dann solltest du dich vllt mal besser in die Materie einarbeiten, ne Ausbildung machen hier oder einem anderen dafür ausgelegten Board machen oder so :kaffee:


Also offensichtlich bist du ja der Meinung, dass aktive Malware die FRST-Logs während der Erstellung manipuliert. Schön selbst wenn das so sein sollte gilt immer noch das:

FRST ist nicht das einzige Tool bei einer Analyse - oder glaubst du echt, dass jeder supermagic malware auf dem Rechner hat, die jedes Log genau so manipuliert, dass wirklich KEINEM das mehr NIEMALS auffällt? :balla:

Na ja – oben stand ja folgendes von mir:

So ganz fiktiv ist das natürlich nicht – ich würde mir sonst gar nicht Arbeit machen, euch auf etwas hinweisen zu wollen. Das ist doch klar – oder?
Uns hat sehr erschreckt, wie einfach man auf zum Beispiel auf solche Sachen kommt:

https://workupload.com/file/ru3rDfE

Im Prinzip bekommt man das als Programmierer als Möglichkeit hinterhergeschmissen.
Kurzes Lesen der Hilfedatei von Autoit 3 reicht vollkommen. Das kann man im Prinzip mit etwas Ahnung gar nicht überlesen.
Im Paket ist eine gezippte und mit Passwort versehene EXE. Das Passwort werden wir an Larusso schicken. Wir gehen davon aus, dass er es im internen Bereich veröffentlichen wird.

Was ist das für ein Programm?

Im Paket befindet sich ein kleines Testprogramm – die Datei ROEH.EXE.
Führt man diese Datei aus, erscheint eine kleine GUI. Die Datei verlangt sich Adminrechte – sie tut das deshalb, weil wir da eine bestimmte Stelle im Auge hatten, die übersichtlich ist und einfach zu finden sein sollte. Um so etwas auszuführen, was die Datei da tut, benötigt man die Adminrechte nicht zwingend.
Erst wenn man dort auf den Button create autostart klickt, passiert das eigentlich Wichtige.
Erscheint das Programm dann nach jedem Neustart des Rechners wieder, funktioniert es korrekt. Andernfalls nicht. Wir hoffen, dass das Testprogramm bei euch korrekt läuft.

Schaut bitte mal mit eurem Tool nach, auf welche Weise es wohl gestartet wird.

Wir gehen davon aus, dass Farbar das Problem in sehr kurzer Zeit beheben wird. Das wäre im Prinzip sehr einfach zu bewerkstelligen. Ob das wirklich überall geschieht, wo diese eine Sache möglich ist, werden wir nicht kontrollieren. Das sehen wir nicht als unsere Aufgabe an. Wir wollen erst einmal nur auf Sachen hinweisen und hoffen, dass überhaupt verstanden wird, auf was wir hinweisen möchten.

Das Fixen der Lücke an diesem Ort werden wir kontrollieren – mehr nicht.

Wir haben noch andere Sachen, die uns Sorgen machen – und wir warten erst mal ab, bis das Problem gefixt ist, bis es weiter geht. Wir gehen eigentlich davon aus, dass das sehr schnell erledigt sein wird.

Ich versteh die Diskussion nicht wirklich. Niemand verlangt, dass FRST ein perfektes Tool immer und zu jedem Belang ist. Man kann damit schon sehr viel tun und analysieren. Aber es kommen auch andere Tools zum Einsatz. Und du kannst mir jetzt so nicht erzählen, dass deine spezielle magic malware, die sich auf FRST eingeschossen hat, auch alle anderen Logs manipuliert.

Selbst wenn Malware-Autoren unsere Logfiles von FRST manipulieren, wäre das wohl der sinnfreiste ( wobei auch der kreativste) Trick, diese zu verstecken.
Malware will sich von den Scannern selbst verstecken ( Stichwort Rootkit ). FRST ist garantiert kein One-Plus-Ultra Tool, reicht aber zur Übersicht des Systems aus.
Daraus entscheiden wir, wie wir vorgehen müssen.

Wir haben noch einmal über eure Rückmeldungen diskutiert. Wir haben ein bisschen den Eindruck gewonnen, dass überhaupt nicht verstanden wurde, worauf wir hinaus wollen.
Wir wissen, dass es nicht ganz einfach ist, Sachen zu verstehen, die einen ganzen Batzen Fachwissen erfordern, wenn man selbst dieses Fachwissen gar nicht besitzt.

Also noch einmal etwas klarer, wir sind sehr geduldig:

• Die Programmiersprache Autoit 3 weist einiges an Sicherheitslöchern auf. Im Prinzip bedeutet das, dass einige Befehle der Sprache intern nicht so umgesetzt sind, wie dass eigentlich erforderlich wäre, wenn man mit diesen Befehlen Sicherheitstechnisch relevante Programme schreibt. Es passieren unter bestimmten (ausnutzbaren) Voraussetzungen Fehler, wenn diese Befehle verwendet werden.

• Unser weiter oben verlinktes Testtool nutzt einen dieser Fehler aus und dient als Beweis für deren Existenz.

• Auch das Farbar Recovery Scan Tool ist in Autoit 3 geschrieben und reagiert in negativer Weise auf unser Testtool. Negativ heißt: Es listet dann nicht alle Sachen.

• Ob man Farbar nun in einem Recovery Mode ausführt oder nicht, ist für diesen Fehler total unrelevant. Was fehlerhaft programmiert ist, bleibt fehlerhaft programmiert – egal wie und wo man das Tool ausführt.

• Um diese Fehler in der Sprache zu erkennen und diese nutzen zu können, muss man zwar Fachwissen besitzen – aber nur im dem Maß, wie das beim Schreiben von Trojanern üblich ist. Hat man das, kann man sich die besagten Fehler aus der Hilfedatei von Autoit 3 sehr einfach erlesen. Wirklich sehr einfach. Dafür sind keine Superkräfte erforderlich.

Da ihr als einziges wirkliches Analysetool Farbar nutzt (auch wenn ihr das selbst scheinbar gar nicht wisst), sahen wir es bislang als unsere Pflicht an, euch über diesen Sachverhalt zu informieren – denn es ist beim besten Willen nicht ganz sicher, ob das, was das Tool bislang anzeigt, auch genau das ist, was auf dem Rechner läuft. Das ist hiermit erfolgt. Eine Testdatei zum Prüfen der Angelegenheit ist, wie bereits oben steht, hier im Thema hinterlegt.

Aufgrund eurer Rückmeldungen haben wir uns entschieden, hier doch etwas schneller weiterzumachen. Es geht vor allen Dingen darum, uns einen Überblick über bestimmte Sachen zu verschaffen, um weitere Handlungen unsererseits festzulegen. Es wird also spätestens im Laufe der nächsten zwei Tage noch etwas hier folgen. Wir müssen, wie gesagt, für uns Sachen klären.

Scheinbar wird hier auch etwas missverstanden. Maleware manipuliert die Logs nicht, Farbar findet sie einfach nur nicht, notiert sie nicht.

Sind wieder irgendwo Schulferien?

Und warum postet ihr das eigentlich hier?
Farbar ist sehr offen und man kann auf bleeping Computer direkt mit ihm kommunizieren.
Für mich persönlich gibt es jedoch einen riesen Unterschied zwischen einem Sicherheitsrelevanten und einem Systemanalyse Programm.
Glaubt euer hobbyverein vielleicht, dass unsere Welt hier nur aus nicht-IT Profis besteht ?
Es arbeiten sehr wohl Spezialisten hier mit uns und wäre dies ein ernstzunehmendes Problem, würden wohl schon längst andere Leute intern was dazu gesagt haben.

Solche Dinge gehören wohl eher in einen Bereich, wo sich Programmierer unterhalten und nicht hier, wo wir uns auf die Entfernung von Malware spezialisiert haben und sich viele wohl nicht mit dem Programmieren auseinander setzen.

Aber wäre es nicht sinnvoller, was neues zu entwickeln anstatt was geschriebenes zu beurteilen. Zweiteres ist nämlich wesentlich einfacher ;)

Ich hoffe ihr seid uns nicht böse, wenn wir auf einer fachlichen Ebene bleiben. In dieser Art diskutieren wir ganz ungerne.


Wir sind bereits seit mehreren Jahren auf unterschiedlichen wegen mit Farbar in Kontakt. Ihr könnt ihm unter anderem Grüße von demjenigen bestellen, der seine Eventlog.au3 aus dem Paket von Autoit3 vor kurzem für ihn überarbeitet und dort Probleme gefixt hat. In letzter Zeit waren wir leider etwas öfters mit ihm in Kontakt, da wir uns aus anderen Gründen etwas intensiver mit dem Tool beschäftigt haben, als das bislang der Fall war.

In den letzten Kontakten mit Farbar zwecks dem Fixen von Problem und der Weiterentwicklung des Tools haben sich bei uns einige Fragezeichen in den Augen gebildet.
Vor allen Dingen haben wir uns gefragt, wie um Himmels Willen es möglich sein kann, dass sowohl OTL als auch Farbar einen Autostarteintrag gar nicht korrekt listen und das - über über den Daumen gepeilt vielleicht zehn Jahre lang - gar nicht an die Programmierer weitergeleitet wird, obwohl das mit Fachwissen aus LOGs eigentlich ersichtlich ist, dass da etwas komplett schief läuft. Ich weiß, es ist schwer, wir reden jetzt schon wieder von einem ganz anderen Problem – nicht von der Sache, zu der wir hier die Testdatei gepostet haben.

Wenn über so lange Zeit ganz offensichtliche Sachen gar nicht gemeldet werden, passt etwas an der Basis nicht. Die können dann manche Sache, die für Virenschreiber offensichtlich sind, gar nicht sehen und leiten sie deshalb nicht weiter. Wir sind hier jetzt an der Basis – wir stellen gerade fest, was nicht passt.
Passt etwas an der Basis nicht, was nicht zu ändern ist, gibt man laufend Hinweise an Leute weiter, die sie beim besten Willen eigentlich nicht erhalten sollen – nämlich an die Leute, die professionell Viren schreiben und ihr Handwerk verstehen.

Das irgendetwas Fachbezogen hier abläuft und demnach verbesserbar ist, sehen wir aus solchen Rückmeldungen hier leider nicht:

Auf dieser Ebene ist leider beim besten Willen keine Verbesserung zustande zu bringen. Wir werden deshalb den Support, den wir gegenüber eurem Programmierer bislang geleistet haben, einstellen.
Auf einer bestimmten Ebene weiterzumachen, hat keinen Zweck. Man gefährdet dann nur die Menschen, denen man ursprünglich eigentlich helfen wollte.

Wir hätten uns eigentlich gewünscht, dass aus mehreren Richtungen zu mindesten ein Blick auf die Datei geworfen wird, die wir hier abgesetzt haben. Unser Ansicht nach wäre das fachbezogen. Was kommt aber?

Na ja – leider war das die einzige wirkliche Frage, die ihr hier gestellt habt. Uns reicht das, wie gesagt, als Rückmeldung. Beantworten können wir die im Augenblick leider nicht, da müssten wir selbst nachsehen.

Das könnt ihr doch nicht tun :heulen:

Hallo,

so ganz kann ich die Kritik nicht nachvollziehen. Erstens ist es doch kein Geheimnis, dass es etliche Startpunkte gibt, die nicht im Log auftauchen - auch ohne Manipulation. Das war auch Teil der Ausbildung.

Zweitens zeigt z.B. der Fall Poweliks, dass sehr wohl Malware erkannt wird, die nicht im FRST-Log auftaucht und Farbar anschließend eine Erkennung implementiert hat.
30+ DLLHOST.EXE *32 running in task manager - Page 4 - Virus, Trojan, Spyware, and Malware Removal Logs

Der Kritiker scheint hier aber von einer falschen Annahme auszugehen. Er glaubt, dass FRST von uns als ALLESKÖNNER angesehen wird, der alles scant, keine Schwächen und keine Bugs hat. Wenn er diese falsche Annahme korrigiert, hat sich dieser Thread erübrigt.

@ tb Team

Zieht vielleicht mal in Erwägung, das irgendwelche Programmierer Eure Kompetenzen ausloten wollen und Eure Hintergrundinstanzen checken, es geht hier um sehr viel Geld (bspw. bei den Verschlüsselungsprogrammen), da liegt es auf der Hand, daß mafiöse Strukturen Eure Arbeit sabotieren müssen . . .

finde die aussage von "wir" immer geil ;)

Könnte sein. Ich als Mod in diesem Bereich seh "seine" IP-Adresse und kann die mit Hilfe von whois auch zuordnen. Bei mafiösen Strukturen würde ich eher andere IP-Nummern erwarten, v.a. ständig wechselnde, zB wer per Tor verschleiert sein will. :kaffee:

Der TO hat mit der Grundlegenden Aussage schon recht. Wenn ein Tool bestimmte Bereiche beim Scannen nicht erkennt, dann sollte es gefixt werden, aus welchen Gründen auch immer. Da ich mich schon etwas länger nicht mehr mit der Analyse von Malware und den Tools zum Auffinden beschäftige, kann ich dazu nichts genaueres sagen und mir auch die Zeit fehlt, um mich damit intensiver zu beschäftigen.
Ich finde es allerdings nicht sehr fachlich, wie der TO hier allgemein Argumentiert hat. Zitiert Antworten teilweise ohne Kontext, fragt nicht nach und stellt stattdessen für ihn wahre Aussagen hin.

Kann ich verstehen, dass es nicht ganz einfach ist, wenn man so argumentiert.

Ihm geht es nur um Farbars Tool oder AutoIt, der Rest interessiert nicht und scheint in seinen Augen die gesamte Kompetenz des Forums wiederzuspiegeln. :nono:

So scheint es mir ohnehin sinnlos, eine Diskussion mit dieser Person zu führen, was mir aus der Art und Weise, wie auf meine erste Antwort geantwortet wurde, recht schnell klar wurde.

Mit dieser GRUNDLEGENDEN Aussage kannst du aber jeden Tag neu installieren, kaos.
Man muss sich damit abfinden, dass es keine 100% Sicherheit gibt.
Und das wichtigste ist eigentlich: welche Rolle spielt der Hilfesuchende? Will er nur YT konsumieren oder ist er ein kritischer Journalist bei EUROnews im Jemen?

Das sind doch eigentlich zwei verschiedene Themen: Startpunkte, die von FRST nicht aufgelistet werden (kann Farbar jederzeit ändern) und grundlegende Sicherheitslücken der Programmiersprache.

Ich wittere hier einen dieser Fälle, wo ein "wir" doch eher ein "ich" bedeutet. Ohne nachvollziehbare Quelle der Untersuchungen, ohne tatsächlich nachvollziehbare Belege, ohne einen vermeintlich fehlerhaft arbeitenden Programmierer mal zu informieren, und mit gerade genug Eloquenz, sich pseudoprofessionell auszudrücken und über gesteltzte Ausdrucksweise Kompetenz vermitteln zu suchen...

Ohne neutralen Test und Schulnoten wird wohl ein nachvollziehbarer Vergleich der Kompetenz der Beteiligten nicht stattfinden. Also erübrigt sich das (nicht sehr subtile) Unterstellen von mangelnder Fachkenntnis, wo es darauf abzielt, dem TO Glaubwürdigkeit durch das Entwerten anderer Diskutierender zu verschaffen.

Oh, und hier eine Quelle, um zu belegen, dass es solche Techniken gibt und sie hier genutzt werden.
Manipulationstechniken erkennen und abwehren

... Und ich frage mich, warum, wenn "sie" doch so gut in Verbindung zu Farbar stehen das nicht mit ihm an Ort und Stelle selbst besprechen, anstatt hier eine Backdoor zu versuchen. ...

Ehm..ja. Juiced, was für eine Aktion ist das, bzw. was ist das Ziel, wenn es fertig ist?
Jedenfalls...scheint an den lieben Fachmann (dich) nicht ganz durchgedrungen zu sein, wozu FRST eingesetzt wird und wofür nicht, wie auch was für Möglichkeiten sonst noch bestehen. Wurde der Magic-Code denn auch gegen weitere Scanner ausser das veraltete (?) OTL erfolgreich eingesetzt? Ich lese iwie immer nur FRST...?!

Belustigte Grüsse - Microwave

Intelligentere Menschen, die es in diesen Kreisen durchaus gibt, machen das anders. :eek:

Der wirklich kluge Mensch will natürlich niemanden übervorteilen - sondern teilen. Da greifen dann endlich richtige und gute Maximen. :heilig:

@Juiced

Was möchtest/wolltest du eigentlich bezwecken? Ich meine speziell dieses Forum. Uns auf das "Risiko" hinzuweisen das FRST nicht alles anzeigt bzw. manipulierbar ist? Was für eine Reaktion hast du erwartet? Das wir ab sofort von jedem Benutzer mehr als FRST direkt zu Anfang verlangen? Vielleicht ein anderes Analyse-Tool benutzen das du im Sinn hattest? Ich frage mich wirklich was du nun eigentlich mit dem ganzen hier bezwecken möchtest.

Ich denke zu verstehen was du mit "Analyse-Tools" meinst und warum du sagst das unsere Analysen ausschließlich darauf aufgebaut sind, aber du hast meiner Meinung nach eine Sache nicht verstanden oder ignoriert:

Wenn FRST keinen Hinweis gibt, der Benutzer aber über Probleme klagt (oder nicht, ist egal), dann müsste spätestens irgendeines der vielen Scanner die wir benutzen einen Fund aufweisen und anhand dessen werden dann weitere Analysetools hinzugezogen.

Ich bin nicht perfekt und auch die Analyse/Scanner-Tools sind es nicht. Aber eine gesunde Mischung aus mehreren Tools sollte das Risiko doch schon sehr stark eingrenzen das etwas ungesehen bleibt, selbst wenn jemand wie in deinem fiktiven Fall beschrieben FRST manipulieren sollte.

Du meinst per VPN-Provider oder meinst du jetzt was grundsätzlich anderes :confused:

Gar nicht spezifiziert, indem sie eben nicht Deine Erwartungen erfüllen sondern unpopuläre, kreativere Wege gehen, sodaß man sie als harmlos oder sogar unbedarft einstuft.

So wittert niemand Gefahr - und plötzlich werden die von Euch bereinigten Maschinen "von hinten genommen".

Ach Quark, die hauen lieber massenhaft Spam raus, irgendwer klickt den schon an. Die gehen doch nicht speziell auf Maschinen los, von denen man hier Logs gesehen hat. Dazu müsste man auch einen Ansatz haben, die direkt anzugreifen.

Tja, war ja nur so'ne Idee.
Die Frage ist in diesen Zeiten ja nicht "bin ich eigentlich paranoid?" sondern "bin ich paranoid genug?"

In diesem Sinne ist es besser wach zu bleiben als sich zu sehr in seiner Kompetenz zu sonnen. Pride comes before a fall.

Hey Blues,

das Problem ist m.E., dass man jedes Programm "von hinten" nehmen kann. Sich so stark nur an einem Tool aufzuhängen und dann polemisch zu werden ist das größere Problem. Erstzellt jemand ein Programm und macht sich lange genug Arbeit, kann, was Juiced sagt, mit so ziemlich jedem Programm angestellt werden - was du sicherlich weißt, aber ich schreib's mal trotzdem rein, da ja auch andere mitlesen.

So, wie die Argumente präsentiert und belegt btzw. nicht belegt wurden, und obendrein mit Alggemeinplätzen und als Wissen getarnten Grobheiten gespickt wurden, liegt hier wohl eher nicht das Bedürfnis vor, Personen zu schützen, sondern rufschädigend zu wirken.

Perfektion kann niemand hier oder irgendwo sonst liefern, das ist klar. Allerdings ist es extrem unwahrscheinlich, dass aufgrund eines Hilfeersuchens bein Nutzen des Internets plötzlich auf den sauberen Downloadseiten überall infizierte Programme auftauchen, die dann von den Helfern hier auch noch blind an Ratsuchende weitergegeben werden UND dann auch noch alles mitbringen, um genau jene User verletzlich zu machen. Die Kosten-Nutzen-Rechnung ist für Malwareautoren einfach nicht lukrativ genug. Mal ganz abgesehen davon, dass die Verfasser von Analyseprogrammen sicherlich auch ab und an mal nachsehen, ob ihre Programme auch noch "echt" sind.

Ich verstehe deine Sorgen, aber vor dem Hintergrund des Milliardengeschäfts Malvertising ist es höchstens rachsüchtigen Randelementen zuzutrauen, so viel Hirnschmalz und Zeit zu binden, um eventuell und mit Glück an ein paar ungeschützte private PCs zu kommen, wenn es so endlo viele leichtere Methoden gibt, Kohle zu machen.

Meine Meinung zumindest. :heilig:

Hast ja prinzipiell recht, aber wie gesagt, dazu müsste man den Ansatz mit dem direkten Angriff haben. Selbst wenn so einer die IP-Nummer eines Hilfesuchenden hier sieht (was schon eigentlich nicht oder gar niemals vorkommt - spätestens nach 24h haben die meisten durch DSL-Zwangstrennung eine andere - und selbst wenn nicht landet man über diese WAN-IP ja erstmal nur durch NAT am Router und nicht auf dem Zielsystem des potentiellen Opfers

Macht euch doch nicht verrückt, Juiced hat am 17.9. das letze Mal etwas gepostet und jeder der euer Forum kennt, weiß das ihr einen guten Ruf habt und saubere(Bereinigungs)Arbeit verrichtet und nicht nur mit FRST arbeitet.

Na endlich meldet sich die geballte Fachkompetenz zu Wort. War ja klar... :applaus:

Da fällt mir ein... AdwCleaner ist auch in AutoIT geschrieben... auch da gibt es Bugs, welche gerne an den Entwickler weitergeleitet werden dürfen... :D

Das von euch beschriebene Problem wurde von mir an farbar gemeldet und ist bereits gefixt.
Ein Bugreport an die Entwickler von AutoIt geht auch raus.

Solltet IHR erneut ein Problem finden, so solltet IHR das selbst an entsprechender Stelle melden. Andernfalls entsteht nämlich der Eindruck, dass IHR womöglich eine "Schwachstelle" von FRST für EURE oder fremde Zwecke ausnutzen wollt (und das ist ja wohl nicht in eurem Interesse).

Ich für meinen Teil melde jeden Fehler, wenn ich einen erkenne.

Thema beendet.