Hi

Es geht überhaupt nicht darum was über eine Verbindung läuft ..(und wenn ich den Analysiere weiss ich sogar das..), weil das Ding schickt ja nicht IRGENDWAS und empfängt nicht IRGENDWAS.

Und es geht hier überhaupt nicht darum irgendwen in Sicherheit zu wiegen.

Das Rootkit der Fr. Rutkowska(du spielst denke ich mal auf den Hypervisor an) ist noch nie "In the Wild" aufgetreten.

Es geht um eine gewisse Verhältnismässigkeit.

Und ja es gibt sogar ein Rootkit das man nicht mal durch neuaufsetzen los wird in der Theorie, nur ist das eben alles Theorie. (Obwohl es da einen Proof-of-Concept gibt).

Die nächste Stufe zur Sicherheit gegen Rootkits heisst das TPM.

Also lassen wir diesen Streit .. ich habe berufsbedingt meine Sicht, du deine ..
und ich weiss was man mit Ring0 Access kann und was eher schwer bis nicht .. und weiss auch wie man Dinge finden kann, die andere für "unfindbar" halten, das gehört nämlich zu meinem Beruf ,aber mehr sehe ich nicht ein öffentlich diskutieren zu müssen.

PM sind nat. gerne willkommen :)

Lg

Njall, Du hast es echt voll drauf. Du hast hier schon tw. den Überblick bei Logfiles verloren, hattest übersehen das vermeintlich verdächtige Dateien wichtige Windows-Systemdateien oder Treiberdateien von verschiedenen Herstellern sind.
Und Du willst uns weismachen, dass Du ein rootkitverseuchtes System von einer Live-CD aus Bereinigen kannst?
Dann ist Dein Beruf definitiv nicht der Systemadmin! :aplaus:

O.K., jetzt werde ich langsam neugierig.:)
Welchen Beruf hast DU?


P.S. Sehr viele, die sich hier Hilfe erhoffen, haben schon Angst vor einer Neuinstallation.

Gruß cad

Nein, darauf spiele ich nicht an. Btw. die pagefile-attack hat nichts mit rootkits zu tun, und das Nocht-nicht-in-the-wild-Argument ist völlig verfehlt. Egal, ich meine "Rootkit Hunting vs. Compromise Detection"

Das tust du aber, indem du Bereingungsszenarios in Aussicht stellst, deren Erfolg mehr als zweifelhaft ist. Aber vermutlich ist es Geschmackssache, wer wann seinem OS vertraut. Du nach einem "Bereinigen", ich nach dem Neuaufsetzen. Jedem seine Paranoia. Davon zu unterscheiden ist, welche Empfehlungen du in einem öffentlichen Board aussprichst.

Gruß

Hi

Das Argument ist nicht per-se verfehlt meiner Meinung nach obwohl es nat. in dem Fall sicher eine Frage des Zeitfensters ist.
(An die Pagefile-unsigned driver Sache habe ich jetzt gar nicht gedacht).

@Cosinus, ich sage zu deinem Kommentan nichts, weil dir in dem Fall (abgesehen davon das er beleidigend ist) das Hintergrundwissen fehlt.
Mein Fehler hier war es scheinbar das ganze (auch für mich) bis zu einem gewissen Punkt als Training zu sehen.

Ich bin def. nicht mit HJT Logs überfordert, aber wieso ich das mache was ich mache diskutiere ich gerne über PM, nicht öffentlich.

@ordell, auch diese Diskussion bitte per PM :)

lg

@Njall
Wenn des Nachbars Hund in Deinen Sankasten gepinkelt hat und Du jetzt am PC weiterspielen musst, dann solltest Du mit Deinen Hinweisen doch schon darauf achten, dass die Fragesteller keinen Schaden erleiden.

Hi

Das war irgendwie schon wieder beleidigend

Ich sehe keinen Schaden bis dato, also lassen wir das bitte

Lg

Sorry, ich wollte Dich nicht beleidigen, mein vorheiges Posting hört sich nur hart an, weil ich es schon recht deutlich und ehrlich auf den Punkt bringen wollte, wie ich es meine.

Hi Cosinus

Ja ist ok, verstehe ich und akzeptiere ich.

Lg

Btw: ich lerne ja auch noch gerne dazu, aber wieso ich was wie mache kann man von mir per PM erfahren, das muss nicht im öffentlichen Flamewar enden. :daumenhoc

Mich würde mal interessieren, ob Du wirklich jeden Rechner bereinigen willst. Oder hast Du immer die Zeit, jeden Schädling der Dir unterkommt zu analysieren?
Es liegt auf der Hand, dass das Neuaufsetzen definitiv die effizienteste und sicherste Methode ist, nur viele User haben damit ein Problem weil ihr Backupkonzept besch..eiden oder garnicht existent ist. :(

Hi

Ja das mit dem Backupkonzept ist bei den meisten ein Problem, das kann das platt machen einfach schon zu einem ziemlichen Problem machen.

Was die Analyse angeht, kann ich sicher ein paar Sachen machen, aber 24H hier sein kann ich auch nicht, weswegen sicher du recht hast mit dem neu-aufsetzen in vielen Fällen.

Mir ging es glaube ich zu sehr um die prinzipiellen Möglichkeiten und weniger um die real praktikablen, na ja nobody is perfect

Lg

Naja, aber selbst wenn das System infiziert wurde kann der User immer noch relevante Daten retten, bevor alles geplättet wird. Möglichekiten gibts da viele, nur der Wille muss auch da sein. Auch der Investitionswille z.B. für eine externe Festplatte. Aber wer seine Daten nicht sichern will muss mit den Konsequenzen dann auch leben.
Ich hab's auch schon mal erlebt, dass einige User aus Faulheit lieber mit einem kompromittierten System weitersurften, als das System neuaufzusetzen. Der Gedanke, alle Daten zu sichern für den Neuanfang, muss wohl grässlich sein. Ich frag mich dann aber immer was der unbedarfte User ohne Backups machen will, wenn seine Festplatte stirbt. :balla:
Die "remotehilfe" über ein Forum hat ihre Grenzen, wie willst Du z.B. sichergehen, dass der User genau die Tipps umsetzt, die für eine gründliche Reinigung erforderlich ist? Wenn man überlegt, dass es auch User gibt, die schon Probleme haben, ein Hijackthis-Logfile zu erstellen. Dann muss man sichergehen, dass er überhaupt die Möglichkeiten hat, man benötigt mindestens eine Rettungs-CD, sowas wie BartPE.
Dann ist da der immense Zeitaufwand der dahintersteckt. Zu beachten ist auch die Problematik, dass eine Bereinigung nicht die "Sauberkeits-Garantie" hat wie ein Neuaufsetzen.

Hi

Ich gebe dir voll und ganz recht :aplaus:

Ich habe wohl doch ein wenig zu viel "real" Hilfe hier in die "remote" Hilfe übernommen :)

Wird sich ändern :)

lg