Hallo, gibt es Trojaner, die in der Lage sind einen Windows-PC fernzusteuern und die nach einer Neuinstallation des Betriebssystems unmöglich nachweisbar sind? Es hängt ja wahrscheinlich davon ab, wo auf dem Computer sich der Trojaner einrichtet. Gibt es also Trojaner, die sich nur auf Teilen der Festplatte einrichten, die bei einer Neuinstallation des Windowsbetriebsystems überschrieben werden?
Bei Schadsoftwarebefall gibt es nur eine einzige richtige Vorgangsweise: Die gesamte Festplatte muss gelöscht und alle benötigten Partitionen müssen neu angelegt und neu formatiert werden. >und die nach einer Neuinstallation des Betriebssystems unmöglich >nachweisbar sind? Wenn die Neuinstallation richtig durchgeführt wurde, sind alle Daten gelöscht worden. Insofern kann man dann natürlich nicht mehr nachweisen, was vorher drauf war. >Gibt es also Trojaner, die sich nur auf Teilen der >Festplatte einrichten, Was meinst du jetzt mit "nur auf Teilen"? Ein Trojaner wird ja kaum den gesamten Speicherplatz der Festplatte belegen, sonst ist ja kein Platz mehr für Betriebssystem und sonstige Daten. Natürlich ist Schadsoftware nur auf kleine Teile der gesamten Festplattenkapazität beschränkt. Es ist halt meistens schwierig, alle vorhandenen Reste der Schadsoftware aufzuspüren. Deshalb ist auch komplettes Löschen und Neuformatieren der Festplatte notwendig.
> Die gesamte Festplatte muss gelöscht und alle benötigten Partitionen > müssen neu angelegt und neu formatiert werden. Wer sowas ohne Kenntnis und Art des Schädlings behauptet ist einfach nur dumm. Die meisten Trojaner oder Scareware lassen sich problemlos ohne eine komplette Neuinstallation beseitigen.
magic smoke schrieb: > Wer sowas ohne Kenntnis und Art des Schädlings behauptet ist einfach nur > dumm. Die meisten Trojaner oder Scareware lassen sich problemlos ohne > eine komplette Neuinstallation beseitigen. Unfug. Woher willst du wissen, dass nicht noch etwas anderes nachinstalliert wurde, als das, was du mit deinem tollen Antivirenprogramm findest? Die einzig professionelle Lösung ist nun mal neu aufsetzen, alles andere ist was für Leser von Computerbild und Co. (wobei zumindest in deren Forum mittlerweile die Leute dazu gelernt haben).
:
Bearbeitet durch User
magic smoke schrieb: > Die meisten Trojaner oder Scareware lassen sich problemlos ohne > eine komplette Neuinstallation beseitigen. :-) Ein System gilt dann als bereinigt wenn man daran glaubt. Aber ...glauben heißt nicht wissen. Damit ist alles gesagt. "Wissen "gibt es erst nach einer neuen Installation.
bibabutzemann schrieb: > Was zum Thema Liest sich wie ein Artikel in der Apprilausgabe von Chip oder Computerbild.Bestenfalls Kraftnahrung für Neurotiker...für mich...Verdummung pur.
herbert schrieb: > bibabutzemann schrieb: >> Was zum Thema Das Thema wird auch von Heise aufgegriffen, aber mit gehöriger Skepsis: http://www.heise.de/newsticker/meldung/Super-Malware-BadBIOS-wirft-Fragen-auf-2038240.html
Hallo, ich kann dem @magic smoke (magic_smoke) nur Recht geben. Man muß schon Betriebssysteme kennen und die installierten Programme dazu, dann kann man die Schadsoftware entfernen ohne Neuinstallation; ABER das wichtigste ist eben, WISSEN WAS MAN MACHT!! Wer jeden Mist ohne das Wissen über die Programme installiert, wird erstens schnell Opfer von Schadsoftware und auch zugleich kann er bei Schadbefall nur noch "darf ich neu- partitionieren und neu formatieren??" Gruß Ralf
Die Antwort auf die Frage, wie du denn sicherstellen kannst, tatsächlich jegliche Schadsoftware entfernt zu haben, kannst natürlich auch gerne du geben.
Es gibt auch wirklich existente Malware, die sich (dank eines Bugs bestimmter Intel Chipsets) im BIOS oder Management Code der CPU verewigen kann, und damit außerhalb des Betriebssystems und daher von diesem undetektierbar und unlöschbar bleibt. Loswerden kann man die nur über einen Kaltstart ( => RAM gelöscht), eine Neuinstallation reicht nicht. Bei PC's kein Problem, bei Servern die irgendwo in nem Rechenzentrum stehen schon eher.
Rufus Τ. Firefly schrieb: > Das Thema wird auch von Heise aufgegriffen, aber mit gehöriger Skepsis: Hätte man das mit den Lautsprechern und Mikrofonen unterschlagen, dann wäre es schwieriger gewesen diesen Beitrag einzuschätzen.Aber so...liest sich das wie ein Technischer Aprilscherz oder PR-Gag.
Ich hab das mit dem "Ohh da muß man sofort alles neu installieren" viel zu oft gehört. Vor allem von Leuten, die einmal die Computer-Blöd gelesen haben und dann denken sie wären voll der Profi. Und die blöden User glauben denen das, vertrauen ihnen ihren Computer an und die echten Profis, die's wirklich drauf haben, kriegen die Kiste erst in die Hände wenn der sogenannte Spezialist die Sache lange versaut hat. Und die sind dann die Dummen wenn sie dem armen PC-Besitzer erklären müssen tja, mit der Datenrettung ist das nach der dritten Windoofs-Neuinstallation mit Plattenvollformatierung durch den netten Spezi-Nachbarn so eine Sache. Deswegen will ich auch nichts mehr mit IT-Kunden zu tun haben. Ich spiel lieber mit meinen Servern rum, da fummelt mir wenigstens keiner zwischen und die Kundenbetreuung macht wer anders. Das tolle daran ist ja, wenn jeder denkt oh Bundestrojaner böse böse, da muß ich gleich alle meine Platten formatieren, dann hat jeder Doof der ein halbwegs echt aussehendes Scherzprogramm schreibt, schon gewonnen ohne irgendwas zu können. Das Gleiche gilt für die "Spezialisten", die schreiben, man müsse irgendwelche Dateien im Windows-Ordner löschen um sich vor irgendwelchen "Bedrohungen" (allein bei dem Wort krieg ich das Lachen) zu schützen. Daß das irgendwelche wichtigen Systemdateien sind und sich Windows danach nicht mehr starten läßt erfährt der User erst beim nächsten Einschaltversuch. Wenn ich einen befallenen Rechner habe, mit irgendeinem blöden bezahl-bloß-schnell-sonst-polizei-Trojaner, dann muß ich da erstmal nichts formatieren. Da reicht es (nach Isolation des Rechners aus dem Netzwerk) rauszufinden, wie das Ding gestartet wird (Registry z.B.), den Start zu unterbinden und anschließend die Programmdateien davon zu vernichten. Und dann ist der auch weg. Was da vielleicht noch alles anderes installiert ist, ist eine andere Frage und muß evtl. gesondert behandelt werden. Aber mir ist das zu dumm hier weiter darüber zu diskutieren. Wie gesagt, hab ich etliche Jahre probiert, ohne großen Erfolg. Löscht, formatiert und installiert doch alle was ihr wollt. Sind ja nicht meine Daten und meine Zeit. Viel Spaß dabei.
Ich hab mir auch mal so ein Bundestrojaner eingefangen. Als der Zuschlug, hab ich erstmal auf die Uhr geschaut. Dann wechselte ich vom meinem Benutzerkonto, auf mein Adminkonto, dass einwandfrei lief. Dort ließ ich Windows auf Dateien ab einem bestimmten Zeitpunkt suchen. Diese Daten hab ich kurzhand alle gelöscht, und voila, mein Benutzerkonto ging wieder. Hab dazu keine 15 Minuten gebraucht...
magic smoke schrieb: > [blafahsel] > Aber mir ist das zu dumm hier weiter darüber zu diskutieren. Wie gesagt, > hab ich etliche Jahre probiert, ohne großen Erfolg. Löscht, formatiert > und installiert doch alle was ihr wollt. Sind ja nicht meine Daten und > meine Zeit. Viel Spaß dabei. Dacht ichs mir doch, dass du die Frage nicht beantworten kannst. Nebenbei ist neu Aufsetzen inkl. Rückspielen des Backups in ein paar Stunden erledigt.
magic smoke schrieb: > Löscht, formatiert > und installiert doch alle was ihr wollt. Sind ja nicht meine Daten und > meine Zeit. Viel Spaß dabei. Bei mir dauert das komplette neu aufsetzen durch clonen meiner jungfräulichen Sicheungsplatte eine halbe Stunde. Danach weiß ich was ich habe und was nicht. Wie lange dauert eine Bereinigung ins "blaue"? Meine arbeit ist schneller und besser und das in jeder Hinsicht. Oft ist der Schädling den man entfernen will nur das kleinere Übel.Was weiß man schon was der nachgeladen oder verändert hat hat?
vn nn schrieb: > Dacht ichs mir doch, dass du die Frage nicht beantworten kannst. Toll wäre ja wenn mal wenigstens jemand auf die Frage des TEs eingehen würde, nämlich ob nach Neu/Drüber-Installation ein Trojaner ggf. nicht mehr Nachweisbar wäre, und nicht ob und was man tun sollte...
> [laberlaber] > Nebenbei ist neu Aufsetzen inkl. Rückspielen des Backups > in ein paar Stunden erledigt. > Bei mir dauert das komplette neu aufsetzen durch clonen meiner > jungfräulichen Sicheungsplatte eine halbe Stunde. > [blubberblubber] Achso natürlich. Ich vergaß die goldene Regel von euch Spezialisten: Fang Dir den Trojaner IMMER DREI SEKUNDEN nach dem letzten Backup ein!
magic smoke schrieb: > Achso natürlich. Ich vergaß die goldene Regel von euch Spezialisten: > Fang Dir den Trojaner IMMER DREI SEKUNDEN nach dem letzten Backup ein! Bei einer vernünftigen Backupstrategie kann man das natürlich problemlos schaffen, weil alle 3s die Kiste vernünftig gesichert ist ;-) Zu deiner Frage: nachweisbar: sofern du nicht genau die Sektoren, die der Trojaner benutzt hat, überschreibst, dann kann dir ein Datenrettungslabor nachweisen, dass du einen Trojaner drauf hattest. (* selbst wenn du die Sektoren überschreibt glauben komische Leute, dass das min. 7 Mal getan werden muss damit dies sicher ist...) beeinträchtigend: wenn du einen Standard-Trojaner einfängst ist der nach einer vernünftigen Reinstallation oder Backup weg, außer du ziehst ihn dir erneut durch ein infiziertes Backup drauf. Deshalb für Privatuser: Einfach eins der Backupimages zurück spielen und weiter machen. Das löschen einzelner Dateien: schön und gut - aber was macht Ihr wenn das Dingen sich durch das Nachladen von Code aus dem Netz (der nur in dem Ram geladen wurde) in Treiber einträgt? - Der Eintrag in der Registry sieht sauber aus, bzw Ihr löscht nur den Köder. Mit einem vernünftigen Backup braucht man genauso lange für die Recovery wie für das Suchen und Vernichten. - Bei dem Backup weiß ich, dass es clean ist (auch die Treiber) *) zur Vereinfachung habe ich das Signieren ausgeblendet, da es durch gehackte Keys ja auch schon manipuliert wird
Zur heutigen Zeit verändern nur noch sehr sehr wenige Viren irgendwelche fremden Programmdateien, teilweise wird das auch durch Windows verhindert. Die meisten machen sich das einfach, eine Programmdatei, manchmal sogar einige Megabyte groß. Die wird irgendwo versteckt und gut ist das. Und wenn sich das Ding irgendwas aus dem Netz läd, dann wird es das mit sauberem Backup sofort wieder tun. Immer wieder, solange diese Sicherheitslücke nicht geschlossen ist.
magic smoke schrieb: > Und wenn sich das Ding irgendwas aus dem Netz läd, dann wird es das mit > sauberem Backup sofort wieder tun. Immer wieder, solange diese > Sicherheitslücke nicht geschlossen ist. In einem sauberen Backup ist der Virus nicht drin, deshalb kann da auch nix mehr geladen werden ;-)
>Die meisten machen sich das einfach, eine Programmdatei, >manchmal sogar einige Megabyte groß. Auf der CCC-Konferenz war doch irgendwann mal einer, der einen Vortrag darüber hielt, und der früher selber Viren entwickelt hatte. Die haben später als "Rechtliche Absicherung" sogar in die Nutzungsbedingungen geschrieben, dass man sich mit mit allem einverstanden erklärt, was der Virus anrichtet. Das musste man explizit bestätigen, aber es haben wohl immer noch genug Nutzer blind "Weiter" angeklickt!
vn nn schrieb: > Die Antwort auf die Frage, wie du denn sicherstellen kannst, tatsächlich > jegliche Schadsoftware entfernt zu haben, kannst natürlich auch gerne du > geben. Die Antwort ist dieselbe wie die deinige auf die Frage, wie du sicherstellen hast, keine Schadsoftware auf dem Rechner zu haben, auch ohne daß ein Befall erkannt wurde.
Läubi .. schrieb: > vn nn schrieb: >> Dacht ichs mir doch, dass du die Frage nicht beantworten kannst. > > Toll wäre ja wenn mal wenigstens jemand auf die Frage des TEs *eingehen* > würde, nämlich ob nach Neu/Drüber-Installation ein Trojaner ggf. nicht > mehr Nachweisbar wäre, und nicht ob und was man tun sollte... Dazu kann nur folgendes verbindlich gesagt werden: Eventuell! Wieso?! Trojaner sind eben (leider) nicht gleichartig aufgebaut, wie auch die gesamte Palette der Schadsoftware. Deshalb hat @ magic smoke (magic_smoke) die Antwort so gegeben, wie er sie gab. Alles andere hier gesagte ist Wunschdenken! Auch den Unterschied den @Ungläubiger (Gast) macht, zwischen Privatusern und ernsthaften Nutzern! Bei ernsthaften Nutzern wird eben mit "Wissen" vorgegangen, d.h. es wird erst untersuchst wo eine "unsaubere" Stelle ist und erst dann diese beseitigt! Denn: Man sollte auch mal darüber nachdenken, inwiefern sich einfach ein Backup wieder installieren läßt, nach einer Zeit x. In dieser Zeit sind an vielen Rechnern; Daten aufgelaufen sind die sich ständig verändern! Also bleibt hier nur der Weg, des "verzögerten" Datenaustausches von und nach Fremdnetzen.
magic smoke schrieb: > Zur heutigen Zeit verändern nur noch sehr sehr wenige Viren > irgendwelche > fremden Programmdateien, teilweise wird das auch durch Windows > verhindert. Die meisten machen sich das einfach, eine Programmdatei, Also deine Meinung entspricht weder der gängigen Praxis noch dem allgemeinen Verständnis der Branche. Ich kenne keine einzige größere Firma die so fahrlässig handeln würde. Bei Strato&Co. kommt sowas vllt. im Privatkundenhosting in der Praxis vor, aber wer würde bitte seinen Server nach einem Virenbefall weiterlaufen lassen, nachdem er ein Removal-Tool drüberrennen hat lassen, wie krank ist das denn? Gerade heutzutage gibt es Baukastenlösungen die es auch jemandem mit flachen Kenntnissen ermöglichen eigene Payloads zu platzieren und so mannigfaltige Lösungen das zu verstecken, dass Du keine Chance mehr hast das mit vertretbarem Aufwand nachzuweisen. Also bis Du als Anwender den Virus oder das Rootkit bemerkst, ist schon lange alles Interessante (die Betriebssystem-Hooks usw.) passiert, was Du hättest verhindern müssen, damit das obige Prozedere noch einen Sinn hat. Um dem OT zu antworten: Ja es gibt solche Viren. Heutzutage gibt es genügend Möglichkeiten im speicherresidenten Bereich einen Programmcode zu verstecken. Es gab bereits Demonstrationen zu Angriffen auf SD-Karten, Grafikkarten-Speicher, ISDN-Karten, USB- und sonstige Controller. Im Prinzip kann so gut wie jede Firmware eines angeschlossenen Geräts oder des Rechners selbst dazu hergenommen werden. Selbst der Akku (genauer die interne Laderegelung des Akkuchips) eines Laptops wurde schon mit Schadcode bestückt. Deshalb gibt es auch so große Anstrengungen den Boot-Prozess durch Signaturen die in unveränderlichen Speicherbereichen liegen zu schützen (Thema DRM). Das allerdings beinhaltet, dass es Bereiche in deinem Rechner gibt auf die Du selbst keinen Zugriff hast (Wenn Du Zugriff hättest, dann ist es auch auszutricksen). Und das wiederum war / ist das Hauptargument gegen DRM und eine ziemlich sichere Boot-Chain (Thema Lauschangriff). Da es derzeit im Consumer-Markt keine entsprechend sicheren Lösungen gibt, muss die Antwort wohl heißen: Ja, es ist kein Problem einen solchen Virus oder sonstige Software auf deinem Rechner so zu installieren dass Du bzw. das Betriebssystem es nicht merkt. Darüber hinaus trifft dieses Thema auch das Thema Virtualisierung. Wenn Du den Visualisierer angreifen könntest, der diese virtuellen Prozessoren kontrolliert, wäre es sogar möglich einen Virus/Rootkit so zu platzieren, dass das Betriebssystem und die laufenden Prozesse keinerlei Kenntnis darüber erlangen könnten. Von "innen" sähe alles ganz normal aus. Joanna Rutkowska hatte bereits 2006 einen entsprechenden Vortag in dem Sie einen solchen Angriff aufgegriffen hat. Sie nannte den Angriff "Blue Pill" im Sinne der Matrix-Triologie ("Kann ein Prozess (z.B. OS) feststellen ob er in einer Matrix (Rootkit) lebt?"). Die Antwort ist nein, kann er in diesem Fall nicht. Fakt ist, das je nach Angriffsszenario derzeit absolut keine Möglichkeit besteht sicher zu sein dass ein Virus sich nicht mehr im System befindet, es sei denn Du baust das System aus komplett neuen Komponenten zusammen. Das ist jetzt die Extremlösung. Ironie: Am besten wäre also in der Tat gleich den Rechner wegzuwerfen. :) Das kann Dir allerdings auch wieder niemand allen Ernstes raten, es sei denn Du hast etwas entsprechend Schützenswertes. Deshalb liegt die Wahrheit irgendwo zwischen dem was magic smoke schreibt und dem Wegwerfen des Rechners. Beides sind Extreme, die eigentlich nicht zum Einsatz kommen sollten. Ein Kaltstart, sowie das Formattieren und Aufspielen des Betriebssystems von einem Recovery-Medium genügen im Normalfall sofern dich nur eines der Baukasten-Systeme attackiert. Wenn Du allerdings eine Firma bist, die entsprechend schützenswerte Daten hat (Patente, Software etc.) die auch einen Wettbewerber nicht scheuen lassen mal 100k€ auf den Tisch zu legen, dann wird Dir niemand mehr außer Herr smoke dazu raten ein Removal-Tool drüberrennen zu lassen und dann Gras über die Sache wachsen zu lassen. Wir können ganz froh sein, dass sich die meisten Angriffe auf Anwendungs-Software und Betriebssystem beschränken. Angriffe auf Firmware sind da wesentlich schlimmer, und das kommt in letzter Zeit auch wieder mehr in Mode...
Gehts hier um Privat- oder Firmenrechner?? Beim Firmenrechner wird das gemacht was der Chef bezahlt. Der zahlt meistens nur fürs Plattbügeln per Image. Sind ja meistens auch mehr als 10 Rechner, die der zu stehen hat und die Daten liegen arbeitsplatzunabhängig auf dem Server. Wenn Frau Mayer noch ein paar wertvolle Urlaubsbilder auf ihrem Arbeitsplatzrechner gespeichert hatte - Pech. Kann sie drum heulen bis in alle Ewigkeit. Und wenn Du eine Firma bist, die derart schützenswerte Dinge wie Patente usw. auf einem netzzugänglichen System speichert, na denn willst Du es ja nicht anders. Sowas gehört auf einen isolierten Rechner. Ansonsten bist Du in dem Moment wo Du das Schadprogramm entdeckst eh bereits aufgeschmissen, wenn es nicht (z.B. wegen ungewöhnlicher Netzwerkzugriffe) automatisch blockiert wurde und Deine Daten sind lange über alle Berge. Außerdem hab ich kein Problem damit, wichtigste Daten öffentlich über das Netz zu schieben, solange ein ausreichend sicherer Verschlüsselungsalgorithmus zusammen mit einem ausreichend sicheren Schlüssel zum Einsatz kommt.
1.Ganz so trivial ist die Sache nicht. Es gab schon Bösartigkeiten, die sich auch durch Formatieren nicht entfenen ließen, da sie schon das Format-Programm befallen hatten oder sich zusätzlich irgendwo im Cache befanden. Ohne genaue Kenntnis des Trojaners od. Viruses würde ich hier keine endgültige Aussage treffen. 2.Es nützt auch wenig, wenn noch 100 weitere infizierte Datenträger im Büro stehen.
Susi Sorglos schrieb: > Es gab schon Bösartigkeiten, die > sich auch durch Formatieren nicht entfenen ließen, da sie schon das > Format-Programm befallen hatten oder sich zusätzlich irgendwo im Cache > befanden. Deshalb soll man ja auch nicht nur formatieren, sondern partitionieren. Und dazu noch den MBR neu machen. Dann ist Ruhe.
vn nn schrieb: > Die einzig professionelle Lösung ist nun mal neu aufsetzen, alles andere > ist was für Leser von Computerbild und Co. (wobei zumindest in deren > Forum mittlerweile die Leute dazu gelernt haben). Nun ja, in diversen Foren findet man dann bei einem Problem "Drucker funtioniert nicht - eigenartige Fehlermeldung" schnell mal der Ratschlag "am besten neu aufsetzen" Es gibt Problemklassen, da IST das neu aufsetzen die einzige Lösung. Generell mal schnell "neu aufsetzen" in den Raum zu rufen halte ich aber für gefährlich, weil dann schnell auch noch die Daten weg sind und und und...
Also ich würd bei irgendwelchen störrischen Druckern, die sich partout nicht ans Laufen bringen lassen wollen eher ans Neuinstallieren denken als beim Bundestrojaner.
Hubert Mueller schrieb: > Ich hab mir auch mal so ein Bundestrojaner eingefangen. Als der > Zuschlug, hab ich erstmal auf die Uhr geschaut. Dann wechselte ich vom > meinem Benutzerkonto, auf mein Adminkonto, Willst mir sagen dein "Bundestrojaner" hat sich installiert obwohl er ohne Adminrechte sein vorhanden sein fristet? Also die von denen ich weiß dass sie diesen Schädling auf ihrem Laptop hatte die waren alle als Admin im Netz.
J. Ad. schrieb: > Es gibt Problemklassen, da IST das neu aufsetzen die einzige Lösung. > Generell mal schnell "neu aufsetzen" in den Raum zu rufen halte ich aber > für gefährlich, weil dann schnell auch noch die Daten weg sind und und > und... Daten Weg sind...? Machst du keine Sicherung? nein ...dann sind dir deine Daten nicht wichtig und können ohne nachtrauern verloren gehen. Hey ich kapier nicht warum "neu aufsetzen " als brutae Arbeit und schwerwiegenden Eingriff in eigene Leben betrachtet wird? Schafft euch eine zweite Platte an und installiert alles was ihr braucht.Die Platte geht nur eimal an das Netz um bei Microsoft up zu daten.So jetzt ziehe ich mir mit Clonezilla eine Arbeitskopie mit der ich täglich arbeite. Wichtige Sachen sichere ich auf einem Stick und aktualisiere damit auch meine Quellplatte. Bei mir gehen höchstens mal Links im Browser verloren oft nicht mal das weil ich die vorher noch sichern kann bevor ich plätte. Bei mir geht das aufsetzen schneller als das suchen nach Schädlingen.
herbert schrieb: > J. Ad. schrieb: >> Es gibt Problemklassen, da IST das neu aufsetzen die einzige Lösung. >> Generell mal schnell "neu aufsetzen" in den Raum zu rufen halte ich aber >> für gefährlich, weil dann schnell auch noch die Daten weg sind und und >> und... > Ich hab geschrieben, dass das "neu aufsetzen" oft dumdreist empfohlen wird und dann von Leuten, die womöglich KEINE Datensicherung haben, dann auch ausgeführt wird. > Daten Weg sind...? Machst du keine Sicherung? nein ...dann sind dir > deine Daten nicht wichtig und können ohne nachtrauern verloren gehen. Schön, am Sonntag auch mal ne Moralpredigt zu hören. > Bei mir geht das aufsetzen schneller als das suchen nach > Schädlingen. Habe letztens den Laptop meiner Tochter neu aufgesetzt. Die Original-DVDs waren nach ca. 2 Stunden eingespielt. Danach dauerte es rund zwei Tage und gefühlt 40 Neustarts, bis sich sämtliche updates so nach und nach wieder aufgespielt hatten. Von der Installation eigener Software mal ganz abgesehen. Die Frage ist also, wie lange DU nach Schädlichen suchst. "Neu aufsetzen" sollte wirklich das letzte Mittel der Wahl sein. Wenn mein Auto ne Beule hat, schmelze ich es ja auch nicht gleich ein.
J. Ad. schrieb: > "Neu aufsetzen" sollte wirklich das letzte Mittel der Wahl sein. > Wenn mein Auto ne Beule hat, schmelze ich es ja auch nicht gleich ein. Du hast meinen Beitrag nicht verstanden. Die Arbeit die du beschreibst mache ich nur einmal um meine "Quelle" zum clonen zu erstellen.Danach wird nur noch geclont,dh. meine verseuchte Arbeitsplatte wird formatiert und mit dem Abbild der "Quelle" überschrieben. Es verbleiben in der Regel nur kleinere Aktualisierungen. Das Clonen dauert bei mir nur eine halbe Stunde ca. J. Ad. schrieb: > Wenn mein Auto ne Beule hat, schmelze ich es ja auch nicht gleich ein. Dieser Vergleich humpelt...;-)
magic smoke schrieb: > Achso natürlich. Ich vergaß die goldene Regel von euch Spezialisten: > Fang Dir den Trojaner IMMER DREI SEKUNDEN nach dem letzten Backup ein! Brauch ich doch nicht. Daten sind sowieso auf einer anderen Partition, und Programme u.ä. ändern sich nicht ständig. Aber geh doch mal bitte auf die Frage ein, wie du die integrität des Systemes nach deinen Reinigungsversuchen sicherstellst, anstatt hier Laien zu verunsichern. magic smoke schrieb: > Zur heutigen Zeit verändern nur noch sehr sehr wenige Viren irgendwelche > fremden Programmdateien, teilweise wird das auch durch Windows > verhindert. Die meisten machen sich das einfach, eine Programmdatei, > manchmal sogar einige Megabyte groß. Die wird irgendwo versteckt und gut > ist das. Ja, Rootkits sind ein Gerücht. Trololololo... magic smoke schrieb: > Und wenn sich das Ding irgendwas aus dem Netz läd, dann wird es das mit > sauberem Backup sofort wieder tun. Immer wieder, solange diese > Sicherheitslücke nicht geschlossen ist. Warum sollte ein sauberer Rechner etwas aus dem Netz laden? Stefan Rand schrieb: > Die Antwort ist dieselbe wie die deinige auf die Frage, wie du > sicherstellen hast, keine Schadsoftware auf dem Rechner zu haben, auch > ohne daß ein Befall erkannt wurde. Ja, und nun? Was willst du mit damit sagen? Wenn ich nicht weiß, dass ich Schadsoftware drauf habe, kann ich nun mal nichts machen. Aber wenn ich welche oben hatte, und nach der "Breinigung" nicht sicher stellen kann, dass das System sauber ist, ist das recht fahrlässig und die ganze Bereinigung für die Katz. magic smoke schrieb: > Und wenn Du eine Firma bist, die derart schützenswerte Dinge wie Patente > usw. auf einem netzzugänglichen System speichert, na denn willst Du es > ja nicht anders. Sowas gehört auf einen isolierten Rechner. Erstens sind Patente ohnehin öffentlich zugänglich. Zweitens muss nun mal jeder Entwickler auf seine oft schützenswerten Projektdaten zugreifen können, und du kannst schwer einfach mal einer Abteilung mit 100 PCs das Internet kappen. Wird dann ganz toll, wenn man mal schnell was googlet. Manche haben halt echt noch keine Firma von innen gesehen. J. Ad. schrieb: > Nun ja, in diversen Foren findet man dann bei einem Problem "Drucker > funtioniert nicht - eigenartige Fehlermeldung" schnell mal der Ratschlag > "am besten neu aufsetzen" Es war ja auch auf Malware bezogen und nich auf Computerprobleme jeglicher Art. J. Ad. schrieb: > Habe letztens den Laptop meiner Tochter neu aufgesetzt. Die > Original-DVDs waren nach ca. 2 Stunden eingespielt. Danach dauerte es > rund zwei Tage und gefühlt 40 Neustarts, bis sich sämtliche updates so > nach und nach wieder aufgespielt hatten. Tja, dann machst du halt was falsch. Selbst wenn kein Image vorhanden ist: Windows neu installieren, Treiber drauf, Update Pack drauf. In ein paar Stunden nebenher erledigt. J. Ad. schrieb: > Die Frage ist also, wie lange DU nach Schädlichen suchst. Gar nicht. Ich bügle an einem Abend Windows neu drauf und kann mir ziemlich sicher sein, dass der Schädling weg ist. J. Ad. schrieb: > "Neu aufsetzen" sollte wirklich das letzte Mittel der Wahl sein. > Wenn mein Auto ne Beule hat, schmelze ich es ja auch nicht gleich ein. Immer diese völlig unpassenden Vergleiche. Bei Malwarebefall soll man neu aufsetzen, nicht seinen PC einschmelzen. Aber faszinierend zu sehen, wie manche den einzigen Weg, über den man mit ziemlicher Sicherheit sicherstellen kann, dass der PC sauber ist, als letztes Mittel der Wahl sehen.
Magic Blue Smoke schrieb > Und wenn Du eine Firma bist, die derart schützenswerte Dinge wie Patente > usw. auf einem netzzugänglichen System speichert, na denn willst Du es > ja nicht anders. Da geb ich dir vollständig Recht! Da werden DSL-Modems und Kabel Modems aus China oder der USA mit einer weiss Gott was von Firmware betrieben wo niemand weiss was die so noch alles drauf hat. Dies betrifft aber jegliche Hardware zum Verbindungsaufbau und diese Unterscheidet nicht zwischen Professional oder Privat. Die macht nur das zu der sie "Befehligt" wird. Die Leistungsfähigkeit der Verbauten Hardware in solchen Geräten führt zu einer Auslagerung der Filter Algos an relevanten Daten, so das der Kompromitierer nicht einmal Rechenleistung benötigt. Die Relevanten Daten werden Quasi direkt in eine DB Übertragen und stehen zur weitern Verarbeitung und Auswertung direkt bereit. Big Brother ist nicht erst 2013 sondern hat schon vor mehr als 10 Jahren damit begonnen solche Lösungen zu Etablieren. Mit den möglichkeiten von heute ist kein Fernseher (mit Gestik Erkennung z.B.) mehr vor einer Zweckenfremdung sicher. Die Möglichkeiten sind dank Leistungsfähiger Hardware und Software schier Unbegrenzt Ausbaubar. Biometrik Scanner in jedem Haushalt und das ohne Wissen und Kontrollmöglichkeit für den Anwender. Der feuchte Traum der Nachrichtendienste. Und da regen sich jetzt ein paar auf das Sie das alles nicht wahr haben wollten, lächerlich! Schöne neue Online Welt. Irgendwie haben wir uns das in den 80'ern anders Vorgestellt. Da waren wir auch "Blau" Äugiger.... PP
vn nn schrieb: > Aber geh doch mal bitte auf die Frage ein, wie du die integrität des > Systemes nach deinen Reinigungsversuchen sicherstellst, anstatt hier > Laien zu verunsichern. Erklär doch endlich mal, wie du die Integrität deines Systems sicherstellst. Wenn du schon immer von Absoluta sprichst.
Stefan Rand schrieb: > Erklär doch endlich mal, wie du die Integrität deines Systems > sicherstellst. Ist prinzipbedingt nicht zu 100% möglich. Nur ist es nun mal wesentlich unwahrscheinlicher, dass Malware drauf ist, wenn ich es neu aufsetze, anstatt das kompromitierte, angeblich bereinigte weiter zu betreiben. Aber das hab ich oben schon erklärt, also hör doch auf, Fragen mit sinnlosen Gegenfragen zu beantworten. Gib doch einfach zu, dass das empfohlene Vorgehen, einfach auf eine Neuinstallation zu verzichten, grob fahrlässig ist.
vn nn schrieb: > Stefan Rand schrieb: >> Erklär doch endlich mal, wie du die Integrität deines Systems >> sicherstellst. > > Ist prinzipbedingt nicht zu 100% möglich. Nur ist es nun mal wesentlich Na endlich. > unwahrscheinlicher, dass Malware drauf ist, wenn ich es neu aufsetze, > anstatt das kompromitierte, angeblich bereinigte weiter zu betreiben. Natürlich. > Aber das hab ich oben schon erklärt, also hör doch auf, Fragen mit > sinnlosen Gegenfragen zu beantworten. Gib doch einfach zu, dass das > empfohlene Vorgehen, einfach auf eine Neuinstallation zu verzichten, > grob fahrlässig ist. Dein Schwarz-Weiß-Denken ist peinlich.
Stefan Rand schrieb: > Na endlich. Hab ich erstens bereits vorher geschrieben, zweitens ist es nach wie vor billige Polemik von dir, um deinen Unsinn nicht begründen zu müssen. Stefan Rand schrieb: > Dein Schwarz-Weiß-Denken ist peinlich. Soll diese Aussage auch in irgendeinem Zusammenhang mit dem von dir zitierten Posting stehen, oder sind es nur die üblichen in den Raum geworfenen Worthülsen? Wenn du deine Empfehlungen auch nur annähernd begründen könntest, würdest du vielleicht auch ernst genommen. Stattdessen lenkst du lieber mit billiger Polemik ab.
vn nn schrieb: > Hab ich erstens bereits vorher geschrieben, zweitens ist es nach wie vor > billige Polemik von dir, um deinen Unsinn nicht begründen zu müssen. Welchen Unsinn? Ich habe niemanden dazu geraten, ein verseuchtes System einfach weiterzubetreiben. Verwechselst du mich?
Ich Arbeite oft mit leuten die sich irgend nen schädling aufn Rechner geholt haben. Oft waren es sachen die beim surfen installiert wurden. (durch fehlende updates von java&flash zb. oder weil die leute als admin surfen.) Die meisten davon haben kein Backup/Clone oder gar einen "Wiederherstellungspunkt". Von letzterem bin ich eh nicht begeistert auch wenn diese kurzzeitig wieder zugriff auf das betroffene benuzerkonto erlaubt. Wenn man glück hat! Solchen leuten sage ich dann immer: Es gibt 2 möglichkeiten: 1.) Bereinigen. Da !KANN!¹ aber immernoch ein nachträglich vom Schädling geladenes programm auf dem Rechner übrig bleiben. Und es dauert länger sicher zu stellen das das system sauber ist. 2.) Neuinstallation oder einspielen einer sicherung die sich nicht auf einer der Festplatten die während des befalls im rechner befanden.(Am besten DVD oder Externe Platte falls diese nicht am rechner hing.) Die meisten entscheiden sich wegen des Risikos für eine Neuinstallation. Meist die die kein Backup haben und oder deren Backup während des befalls für die schadsoftware "erreichbar" war also schreib/lese-zugriffe auf den datenträger bestand. Meine Vorgehensweise ist dann: MBR random überschreiben, Formatieren über DOS/Live CD (einmal reicht!) Neue partitionstabelle anlegen. Installieren oder einspielen des Backup. Ich finde aber jeder sollte selbst entscheiden was er macht. ¹) Das risiko ist zumindest da!
In der heutigen Zeit wo Festplatten kaum noch was kosten ist das erstellen einer Arbeitinstallation von einer intakten Quelle die natürlich außerhalb des Rechner bis zu Einsatz lagert, das beste was man tun kann.Ich habe darauf geachtet das ich gleich große platten habe dann kann ich theoretisch hin und her clonen wie ich lustig bin. Clonezilla clont ja nur auf eine gleich große oder größere Platte. Ich habe früher anno dazumal ...also vor Clonezilla schon viel installiert ... bis zum erbrechen mir langts.Bis man da wieder alles hat vergehen wenigsten zwei Tage. Das muß nicht sein. Wäre ich auf Clonezilla doch schon früher gestoßen denke ich mir heute.
herbert schrieb: > Clonezilla > clont ja nur auf eine gleich große oder größere Platte. Amndere können das. Ich hab mir nach Freien Versionen dann eine Suite von Paragon geleistet. Die 30 EUR hab ich nicht bereut und ich kann alles im Heim-Bereich damit erledigen. Die Sicherung mit zwei Festplatten mach ich auch. Der Vorteil ist, man kann sofort prüfen ob die Kopie lauffähig ist.
Michael_ schrieb: > Amndere können das. > Ich hab mir nach Freien Versionen dann eine Suite von Paragon geleistet. > Die 30 EUR hab ich nicht bereut und ich kann alles im Heim-Bereich damit > erledigen. Seit diese Progs mit Lizenz verkauft werden muß man die wie ein Antiviren-Programm jährlich bezahlen. Da gehe ich nicht mit das ist reichlich unverschämt.Wenn ich mir einen neuen Rechner aufbaue kann ich das Tool vergessen ,ich brauche eine neue Lizenz.
vn nn schrieb: > J. Ad. schrieb: >> Nun ja, in diversen Foren findet man dann bei einem Problem "Drucker >> funtioniert nicht - eigenartige Fehlermeldung" schnell mal der Ratschlag >> "am besten neu aufsetzen" > > Es war ja auch auf Malware bezogen und nich auf Computerprobleme > jeglicher Art. Wenn du genau sagen kannst, ob es ein Computerproblem "jeglicher Art" ist oder Malware = herzlichen Glückwunsch! > Tja, dann machst du halt was falsch. Selbst wenn kein Image vorhanden > ist: Windows neu installieren, Treiber drauf, Update Pack drauf. In ein > paar Stunden nebenher erledigt. Vielleicht hast du ein Spar-Windows. Ich hantiere mit den Sicherungs-DVDs, die wir nach dem Kauf des Gerätes erstellt haben. Genau, ein paar Stunden dauert alleine das Aufspielen der 5 DVDs, es nimmt fast kein Ende. Und dann will sich Windows ja auch noch mal alle patches runterladen und nach einigen ist ein Neustart erforderlich. Das leidert sich mit MEINEM Windows dann auch noch mal sehr lang hin. > J. Ad. schrieb: >> Die Frage ist also, wie lange DU nach Schädlichen suchst. > > Gar nicht. Ich bügle an einem Abend Windows neu drauf und kann mir > ziemlich sicher sein, dass der Schädling weg ist. Tja, manche Abende sind wohl eher lang. > J. Ad. schrieb: >> "Neu aufsetzen" sollte wirklich das letzte Mittel der Wahl sein. >> Wenn mein Auto ne Beule hat, schmelze ich es ja auch nicht gleich ein. > > Immer diese völlig unpassenden Vergleiche. Bei Malwarebefall soll man > neu aufsetzen, nicht seinen PC einschmelzen. Immer diese Leute, die keine Vergleich verstehen. > Aber faszinierend zu sehen, wie manche den einzigen Weg, über den man > mit ziemlicher Sicherheit sicherstellen kann, dass der PC sauber ist, > als letztes Mittel der Wahl sehen. Es bleibt ja nicht beim Aufsetzen von Win, nachher braucht man noch alle Software, sämtliche Drucker wollen neu erkannt werden und und und. Das einzige bequeme Mittel ist, regelmäßig einen Clone zu machen, der wirklich in 5 Minuten einsatzbereit ist - durch Festplattenwechsel.
J. Ad. schrieb: > Das einzige bequeme Mittel ist, regelmäßig einen Clone zu machen, der > wirklich in 5 Minuten einsatzbereit ist - durch Festplattenwechsel. Du hast es erkannt ....fast...Was hältst du davon deine Sicherung nur zu überspielen?
herbert schrieb: > Seit diese Progs mit Lizenz verkauft werden muß man die wie ein > Antiviren-Programm jährlich bezahlen. Da gehe ich nicht mit das ist > reichlich unverschämt.Wenn ich mir einen neuen Rechner aufbaue kann ich > das Tool vergessen ,ich brauche eine neue Lizenz. Wie kommst du darauf? Meins ist zwei Jahre alt und ich habe vor ein paar Monaten ein kostenloses Update bekommen. Sogar für kostenlose Tools kam ein Update. Man muß natürlich registriert sein. Hab gerade nachgesehen, mindestens für Privatanwender gibt es das nicht. Die freien lauffähigen haben sie aber leider abgeschafft.
J. Ad. schrieb: >> J. Ad. schrieb: >>> Nun ja, in diversen Foren findet man dann bei einem Problem "Drucker >>> funtioniert nicht - eigenartige Fehlermeldung" schnell mal der Ratschlag >>> "am besten neu aufsetzen" >> >> Es war ja auch auf Malware bezogen und nich auf Computerprobleme >> jeglicher Art. > > Wenn du genau sagen kannst, ob es ein Computerproblem "jeglicher Art" > ist oder Malware = herzlichen Glückwunsch! Nun, ein defekter Druckertreiber ist nun mal nicht gerade das klassische Symptom. Aber süß, wie du dich windest. Kleine Frage: wie erkennst du denn, dass deine tolle "Bereinigung" nötig wird? J. Ad. schrieb: > Vielleicht hast du ein Spar-Windows. Ich hantiere mit den > Sicherungs-DVDs, die wir nach dem Kauf des Gerätes erstellt haben. > Genau, ein paar Stunden dauert alleine das Aufspielen der 5 DVDs, es > nimmt fast kein Ende. Abgesehen davon, dass DVDs sowas von 2005 sind, machst du defintiv was falsch. J. Ad. schrieb: > Und dann will sich Windows ja auch noch mal alle patches runterladen und > nach einigen ist ein Neustart erforderlich. Das leidert sich mit MEINEM > Windows dann auch noch mal sehr lang hin. Update Pack, wie gesagt. J. Ad. schrieb: > Tja, manche Abende sind wohl eher lang. Ja, nur eher nicht solche Abende. J. Ad. schrieb: > Immer diese Leute, die keine Vergleich verstehen. Dann sollten die Vergleiche halt nicht völlig unsinnig und unpassend sein. J. Ad. schrieb: > Es bleibt ja nicht beim Aufsetzen von Win, nachher braucht man noch alle > Software, sämtliche Drucker wollen neu erkannt werden und und und. Erstens macht man dafür Backups. zweitens sind Treiber und Programme in ein paar Stunden installiert, in der Zeit prüfst du gerade noch mit dem dritten Tool, ob der Schädling nun wirklich weg ist (und weißt es am Ende doch nicht besser als vorher). Und zu guter letzt sind die paar Stunden ein angemessener Preis dafür, dass ich nicht davon ausgehen muss, dass das System noch befallen ist. Und wer halbwegs mitdenkt, sorgt halt dafür, dass es bis zum nächsten Mal neu aufsetzen noch etwas dauert. Aber geil, wie manche Leute Dinge, die in der Branche völlig anerkannt sind, beinhart verneinen.
wer daran glaubt, meisten Trojaner und Viren ohne Neuinstallation beseitigt zu haben, hat weder Ahnung noch Verantwortung. Sicherlich gibt's auch "dumme" Trojaner oder Viren, die dürften aber mit übrigen Antivirenprogramme beseitigt sein. vn nn schrieb: > Erstens macht man dafür Backups. zweitens sind Treiber und Programme in > ein paar Stunden installiert, in der Zeit prüfst du gerade noch mit dem > dritten Tool, ob der Schädling nun wirklich weg ist (und weißt es am > Ende doch nicht besser als vorher). Und zu guter letzt sind die paar > Stunden ein angemessener Preis dafür, dass ich nicht davon ausgehen > muss, dass das System noch befallen ist. Und wer halbwegs mitdenkt, > sorgt halt dafür, dass es bis zum nächsten Mal neu aufsetzen noch etwas > dauert. Lieber einen Tag dazu opfern als monatelang, jahrelang mit schlechten Gewissen.... schönen Abends
>> Wenn mein Auto ne Beule hat, schmelze ich es ja auch nicht gleich ein.
Was ist'n das für ein Vergleich?
Aber wenn der Techniker halber Liter Säure beim Ölwechsel mitreinkippt,
bleibst du noch ruhig?
vn nn schrieb: > Nun, ein defekter Druckertreiber ist nun mal nicht gerade das klassische > Symptom. Nein, aber dann gleich mal großspurig "neu aufsetzen" empfehlen ohne die Situation weiter zu kennen ist einfach nur zum kotzen. > Aber süß, wie du dich windest. Kleine Frage: wie erkennst du denn, dass > deine tolle "Bereinigung" nötig wird? Welche tolle "meine" Bereinigung? > J. Ad. schrieb: >> Vielleicht hast du ein Spar-Windows. Ich hantiere mit den >> Sicherungs-DVDs, die wir nach dem Kauf des Gerätes erstellt haben. >> Genau, ein paar Stunden dauert alleine das Aufspielen der 5 DVDs, es >> nimmt fast kein Ende. > > Abgesehen davon, dass DVDs sowas von 2005 sind, machst du defintiv was > falsch. Sicher kann man sich auch jedes mal das allerneueste neu kaufen - was hast DU denn? Optische 3D-Speicherung? Statt hier herablassend über die Leute herzuziehen "machst was falsch, sowas von..." etc. könntest du ja mal SAGEN, was DU so machst. Das wäre hilfreich und alle könnten dir dankbar sein. > > J. Ad. schrieb: >> Und dann will sich Windows ja auch noch mal alle patches runterladen und >> nach einigen ist ein Neustart erforderlich. Das leidert sich mit MEINEM >> Windows dann auch noch mal sehr lang hin. > > Update Pack, wie gesagt. Ich kenn die Service Packs, was du mit Update Packs meinst, könntest du ja mal beiläufig erwähnen. > Dann sollten die Vergleiche halt nicht völlig unsinnig und unpassend > sein. Etwas Vorstellungskraft könnte man auch mitbringen. Und nicht auf dem Thron hocken und neuaufsetzen empfehlen weil du die Ursache eines Problemes nicht herausfindest. > J. Ad. schrieb: >> Es bleibt ja nicht beim Aufsetzen von Win, nachher braucht man noch alle >> Software, sämtliche Drucker wollen neu erkannt werden und und und. > > Erstens macht man dafür Backups. zweitens sind Treiber und Programme in > ein paar Stunden installiert, in der Zeit prüfst du gerade noch mit dem > dritten Tool, ob der Schädling nun wirklich weg ist (und weißt es am > Ende doch nicht besser als vorher). Wenn da was installiert wird, machst du schon mal Schädlingssuche? Chic. Ich bin da vorsichtiger. > Und zu guter letzt sind die paar > Stunden ein angemessener Preis dafür, dass ich nicht davon ausgehen > muss, dass das System noch befallen ist. Wenn es nicht anders geht, KLAR. Doch leichtfertig Leuten, die ein Problem mit einem Druckertreiber haben, zu empfehlen am besten mal "neu aufzusetzen".... da kann ich nur den Kopf schütteln. > Aber geil, wie manche Leute Dinge, die in der Branche völlig anerkannt > sind, beinhart verneinen. Es gibt Leute, deren Rechner ist schon seit Jahren ununterbrochen in Betrieb und die haben NIE was neu aufgesetzt.
J. Ad. schrieb: >> Aber geil, wie manche Leute Dinge, die in der Branche völlig anerkannt >> sind, beinhart verneinen. > > Es gibt Leute, deren Rechner ist schon seit Jahren ununterbrochen in > Betrieb und die haben NIE was neu aufgesetzt. Das ist halt genauso ein von Laien, die sich für Profis halten, nicht hinterfragter Glaubenssatz wie "Paßwörter darf man nicht aufschreiben"...
vn nn schrieb: > Dinge, die in der Branche völlig anerkannt sind Die "Anerkennung" resultiert aus der Tatsache, daß -wie in jeder anderen Branche auch- nur einer von 10 Spezialisten den Ehrgeiz besitzt, seinen Horizont über die Lehrmeinung hinaus zu erweitern, während der Rest Dienst nach Vorschrift schiebt. Ob nun aus reiner Bequemlichkeit oder wegen Inkompetenz sei dahingestellt, auf jeden Fall sehen die 90%er ihren Status gefährdet, wenn ihr Kollege #10 sich erdreistet, über den Tellerrand zu blicken und daher werden sie kollektiv mit Fingern auf ihn zeigen, weil nicht sein kann, was nicht sein darf. Im Web setzt sich der Gruppenzwang fort, weil auch hier die 1:9 Regel gilt und vorbehaltlos alles nachgeplappert wird, was 9 Spezialisten vorbeten. Denn 90% können unmöglich irren... Rückstandsfreie Entfernung von Schadsoftware ist keine Frage der Machbarkeit, sondern einzig und allein des Aufwand/Nutzen-Verhältnisses. In "großen Buden" wird sich kein Admin die Mühe machen, weil die Rechner dort i.d.R. mit Hilfe vorgefertigter Images oder automatisierter Installationen viel schneller wieder einsatzbereit sind. Bei sehr individuellen Konfigurationen, wie man sie im privaten Bereich oder kleineren Firmen meistens vorfindet und wo gewöhnlich kein Backup-Image existiert, macht es aber durchaus Sinn, die Schädlinge manuell zu entfernen, denn der 1:9 Regel folgend sind auch diese größtenteils dilettantisch programmiert und in angemessener Zeit beseitigt.
Wenn ich hier noch eine Meinung als ehemaliger Servicetechniker beitragen darf (ist schon eine Weile her, gebe ich zu, aber ich denke nicht, daß sich die Landschaft wesentlich verändert hat): Bei Firmenkunden mit reproduzierbaren, dokumentierten Installationen ist die Neuinstallation bei Schädlingsbefall vertretbar und sinnvoll. Wenn es ein aktuelles Backup gibt, sogar zeitsparend. Bei technisch unerfahrenen Privatleuten sieht die Sache anders aus. Der Zustand des Rechners ist weder dokumentiert noch durch ein eigenes Backup gesichert, oftmals ist nicht einmal nachvollziehbar, was für Software von welchen Installationsmedien kam, und ob Updates aus dem Netz durchgeführt wurden, eventuell benutzte Lizenzschlüssel können inzwischen verloren sein, an manche einst vergebenen und irgendwo gespeicherten Passwörter erinnert sich der User nicht mehr so richtig, etc. Schlimmer noch, eigene Dateien können außerhalb der dafür vorgesehenen Orte verstreut sein, und irgendetwas fehlt nach einer Neuinstallation immer. In solchen Fällen ist die Beseitigung des Schädlings (so gut es eben geht, und mit den verfügbaren Informationen über den spezifisch festgestellten Befall) das einzige, was praktikabel ist. Natürlich bleibt ein Restrisiko, über das man den Kunden auch informiert. Natürlich empfiehlt man regelmäßige Backups und ggf. eine vernünftige Sicherheitslösung. Damit können die Fehler der Vergangenheit aber nicht getilgt werden, und eine Neuinstallation ist in den erwähnten Szenarien im Privatbereich einem Totalverlust gleichzusetzen. Wer so etwas als bestellter Techniker macht, sollte sich besser von vornherein gegen Schadenserastzforderungen absichern. Man kann die Menschen hier nicht erziehen, und wird dafür auch nicht bezahlt. Gibt dafür auch keine Folgeaufträge. Fazit: Bei Firmen neu, weil der Nutzen den Aufwand überwiegt. Wenn's der eigene Rechner ist, würde ich auch neu installieren, aber das muß jeder selber wissen. Wer beispielsweise eine externe Firewall benutzt, kann Befallsszenarien anhand deren Logs mit entsprechender Erfahrung oft besser einschätzen. Fremde Installation mit altem Softwarebestand in ungeklärtem Zustand? Sorry, da muß man durch, mit allen Mitteln und Hintergrundinformationen, die sich beschaffen lassen. Kostet am Ende wahrscheinlich sogar weniger Arbeitszeit, als der verzweifelte Versuch, den Ist-Zustand zu analysieren, zu dokumentieren und dann zu reproduzieren. Natürlich bleibt ein Restrisiko. Aber dies sind normalerweise nicht die Rechner, auf denen sich super-sensible Daten befinden.
Sebastian schrieb: > Wenn ich hier noch eine Meinung als ehemaliger Servicetechniker > beitragen darf (ist schon eine Weile her, gebe ich zu, aber ich denke > nicht, daß sich die Landschaft wesentlich verändert hat): Nein, das hat nicht viel geändert. Der Rechner wird generell reinstalliert, als IT-Diensleister kann man besser beim Kunden nachweisen: DER RECHNER IST JETZT VIRENFREI!
> besser beim Kunden nachweisen: DER RECHNER IST JETZT VIRENFREI!
So Deine Hoffnung falls alle Sicherheitslöcher gestopft und Updates
schon gelaufen sind... bis der User seine verseuchten Datenträger
auspackt...
oszi40 schrieb: >> besser beim Kunden nachweisen: DER RECHNER IST JETZT VIRENFREI! > > So Deine Hoffnung falls alle Sicherheitslöcher gestopft und Updates > schon gelaufen sind... bis der User seine verseuchten Datenträger > auspackt... Bist du noch nie in solcher Umgebung gearbeitet was?
Sebastian schrieb: > Kostet am Ende wahrscheinlich sogar weniger > Arbeitszeit, als der verzweifelte Versuch, den Ist-Zustand zu > analysieren, zu dokumentieren und dann zu reproduzieren. Natürlich > bleibt ein Restrisiko. Aber dies sind normalerweise nicht die Rechner, > auf denen sich super-sensible Daten befinden. Jo also letzter "Kunde" bei mir war eine ehemalige Lehrerin von mir. (Sogar aus meiner Grundschulzeit!) Auf ihrem Rechner lag alles: Bankdaten, Prüfungen, Schuldokumente aller anderen art (Klassenkassen unterlagen, Bestellungen, Zeugnisse ect.) Sogar die Passwörter und Username für Accounts waren in ungeschützten Textdateien gesichert. Der aufwand den ich betrieben habe um sicher zu sein das keine der Wirklich wichtigen Dateien infiziert ist war groß genug. Trotz allem habe ich nur die wichtigen Daten gesichert, mit verschiedenen Aktuellen AV überprüft (restrisiko natürlich nicht ausgeschlossen!) und ihr am ende meine Dokumentierte Arbeit abgegeben und eine Verzichtserklärung unterschreiben lassen für den fall das die prüfung der Dateien mit den AV's nicht alles erkannt hat. (Absicherung gegen schadensersatz!) Windows, Treiber, Programme ect. Habe ich trotz allem neu aufgespielt! Firewall (extern) gabs keine, und der Schädling hatte logs des AV gelöscht und das AV Deaktiviert! Rekonstruktion des befalls also nicht möglich. Tany schrieb: > Bist du noch nie in solcher Umgebung gearbeitet was? Gehst du jetzt davon aus das jeder Admin in einer Firma USB-Ports, Diskette(Falls vorhanden) & CD/DVD Laufwer für den "User" unzugänglich macht? Das jedes AV immer jeden Schädling nach einer gewissen zeit erkennt? (Stichwort: Polymorphic Code -> http://en.wikipedia.org/wiki/Polymorphic_code ) Oder das Firmen grundsätzlich eine Externe (Hochwertige) Firewall einsetzen die "Strange Traffic" sofort erkennen und unterbinden, und das bei IPv4 und IPv6 ? Wow! Du glaubst wirklich ans gute im Menschen. Gutes beispiel ist die Firma in der ich zu Schulzeiten Praktikum gemacht habe. Nach einem Angriff war sämtliche Arbeit für den Aktuellen Kunden für die katz! Dumm gelaufen weil der Chef zu geizig war dem Admin das Budged für eine Anständige Firewall zu erhöhen!
Tany schrieb: > Bist du noch nie in solcher Umgebung gearbeitet was? Nein meine Rechner haben noch Röhren :-)
Mittlerweile gibts auch Viren, die über den Maus-Hand-Kontakt auf den User übertragen werden. Der kann die Viecher dann jedesmal wenn er ne Maus anfasst verbreiten, genial.
An alle Antivirensoftware-Entwickler: ihr könnt die Arbeit einstellen, Hubert Mueller hat einen Weg gefunden, der jeder Malware den Garaus macht! OMG....bitte nicht nachmachen. Wenn Du es genau so gemacht hast, wie Du es beschrieben hast, war es reines Glück dass es geklappt hat. (Wenn es denn überhaupt geklappt hat) -> Mit dieser Vorgehensweise zerschießt Du Dein System mit höherer Wahrscheinlichkeit als dass Du es bereinigst.
J. Ad. schrieb: > vn nn schrieb: > >> Nun, ein defekter Druckertreiber ist nun mal nicht gerade das klassische >> Symptom. > > Nein, aber dann gleich mal großspurig "neu aufsetzen" empfehlen ohne die > Situation weiter zu kennen ist einfach nur zum kotzen. Anscheinend kannst du nicht lesen, denn ich habe noch explizit dazu gesagt, dass es nicht bei jedem Schwachsinn Lösung Nr. 1 ist. Nur bei Malwarebefall. J. Ad. schrieb: >> Aber süß, wie du dich windest. Kleine Frage: wie erkennst du denn, dass >> deine tolle "Bereinigung" nötig wird? > > Welche tolle "meine" Bereinigung? Den Verzicht auf eine Neuinstallation, den du hier verteidigst? J. Ad. schrieb: > Sicher kann man sich auch jedes mal das allerneueste neu kaufen - was > hast DU denn? Optische 3D-Speicherung? Festplatten wie jeder anderen Mensch auch? J. Ad. schrieb: > vn nn schrieb: > >> Nun, ein defekter Druckertreiber ist nun mal nicht gerade das klassische >> Symptom. > > Nein, aber dann gleich mal großspurig "neu aufsetzen" empfehlen ohne die > Situation weiter zu kennen ist einfach nur zum kotzen. > >> Aber süß, wie du dich windest. Kleine Frage: wie erkennst du denn, dass >> deine tolle "Bereinigung" nötig wird? > > Welche tolle "meine" Bereinigung? > >> J. Ad. schrieb: >>> Vielleicht hast du ein Spar-Windows. Ich hantiere mit den >>> Sicherungs-DVDs, die wir nach dem Kauf des Gerätes erstellt haben. >>> Genau, ein paar Stunden dauert alleine das Aufspielen der 5 DVDs, es >>> nimmt fast kein Ende. >> >> Abgesehen davon, dass DVDs sowas von 2005 sind, machst du defintiv was >> falsch. > > Sicher kann man sich auch jedes mal das allerneueste neu kaufen - was > hast DU denn? Optische 3D-Speicherung? > Statt hier herablassend über die Leute herzuziehen "machst was falsch, > sowas von..." etc. könntest du ja mal SAGEN, was DU so machst. > > Das wäre hilfreich und alle könnten dir dankbar sein. > >> >> J. Ad. schrieb: >>> Und dann will sich Windows ja auch noch mal alle patches runterladen und >>> nach einigen ist ein Neustart erforderlich. Das leidert sich mit MEINEM >>> Windows dann auch noch mal sehr lang hin. >> >> Update Pack, wie gesagt. > > Ich kenn die Service Packs, was du mit Update Packs meinst, könntest du > ja mal beiläufig erwähnen. > >> Dann sollten die Vergleiche halt nicht völlig unsinnig und unpassend >> sein. > > Etwas Vorstellungskraft könnte man auch mitbringen. Und nicht auf dem > Thron hocken und neuaufsetzen empfehlen weil du die Ursache eines > Problemes nicht herausfindest. > >> J. Ad. schrieb: >>> Es bleibt ja nicht beim Aufsetzen von Win, nachher braucht man noch alle >>> Software, sämtliche Drucker wollen neu erkannt werden und und und. >> >> Erstens macht man dafür Backups. zweitens sind Treiber und Programme in >> ein paar Stunden installiert, in der Zeit prüfst du gerade noch mit dem >> dritten Tool, ob der Schädling nun wirklich weg ist (und weißt es am >> Ende doch nicht besser als vorher). > > Wenn da was installiert wird, machst du schon mal Schädlingssuche? Chic. > Ich bin da vorsichtiger. > >> Und zu guter letzt sind die paar >> Stunden ein angemessener Preis dafür, dass ich nicht davon ausgehen >> muss, dass das System noch befallen ist. > > Wenn es nicht anders geht, KLAR. Doch leichtfertig Leuten, die ein > Problem mit einem Druckertreiber haben, zu empfehlen am besten mal "neu > aufzusetzen".... da kann ich nur den Kopf schütteln. > >> Aber geil, wie manche Leute Dinge, die in der Branche völlig anerkannt >> sind, beinhart verneinen. > > Es gibt Leute, deren Rechner ist schon seit Jahren ununterbrochen in > Betrieb und die haben NIE was neu aufgesetzt. Mach ich doch. J. Ad. schrieb: > Ich kenn die Service Packs, was du mit Update Packs meinst, könntest du > ja mal beiläufig erwähnen. https://www.google.at/?gws_rd=cr&ei=LHZ6UuyUGMWbtAa61ICADA#q=windows+update+pack&safe=off J. Ad. schrieb: > Etwas Vorstellungskraft könnte man auch mitbringen. Und nicht auf dem > Thron hocken und neuaufsetzen empfehlen weil du die Ursache eines > Problemes nicht herausfindest. Auch Vorstellungskraft macht deinen Vergleich nicht besser. Auf die lächerliche Behauptung von wegen Ursache nicht kennen gehe ich mal nicht ein, dass du nicht lesen kannst, wissen wir ja bereits. J. Ad. schrieb: > Wenn da was installiert wird, machst du schon mal Schädlingssuche? Chic. > Ich bin da vorsichtiger. Bitte was? Soll dieser Satz auch Sinn ergeben? J. Ad. schrieb: > Wenn es nicht anders geht, KLAR. Doch leichtfertig Leuten, die ein > Problem mit einem Druckertreiber haben, zu empfehlen am besten mal "neu > aufzusetzen".... da kann ich nur den Kopf schütteln. Ein weiterer Beleg, dass du nicht lesen kannst. Köstlich. J. Ad. schrieb: > Es gibt Leute, deren Rechner ist schon seit Jahren ununterbrochen in > Betrieb und die haben NIE was neu aufgesetzt. Es gibt auch Leute, die fahren seit 20 Jahren ohne Gurt. Und andere rauchen schon doppelt so lang. Und? Icke ®. schrieb: > Die "Anerkennung" resultiert aus der Tatsache, daß -wie in jeder anderen > Branche auch- nur einer von 10 Spezialisten den Ehrgeiz besitzt, seinen > Horizont über die Lehrmeinung hinaus zu erweitern, während der Rest > Dienst nach Vorschrift schiebt. Ob nun aus reiner Bequemlichkeit oder > wegen Inkompetenz sei dahingestellt, auf jeden Fall sehen die 90%er > ihren Status gefährdet, wenn ihr Kollege #10 sich erdreistet, über den > Tellerrand zu blicken und daher werden sie kollektiv mit Fingern auf ihn > zeigen, weil nicht sein kann, was nicht sein darf. Im Web setzt sich der > Gruppenzwang fort, weil auch hier die 1:9 Regel gilt und vorbehaltlos > alles nachgeplappert wird, was 9 Spezialisten vorbeten. Denn 90% können > unmöglich irren... Süß. Nicht ein Geisterfahrer, hunderte! Dann fehlt nur noch eins: Icke ®. schrieb: > Rückstandsfreie Entfernung von Schadsoftware ist keine Frage der > Machbarkeit, sondern einzig und allein des Aufwand/Nutzen-Verhältnisses. Wieder mal die immer noch unbeantwortete Frage, wie du denn sicherstellst, dass der PC dann sauber ist. Sebastian schrieb: > In solchen Fällen ist die Beseitigung des Schädlings (so gut es eben > geht, und mit den verfügbaren Informationen über den spezifisch > festgestellten Befall) das einzige, was praktikabel ist. Nun, das wäre eher ein klassischer Fall für Lehrgeld, anstatt die potentielle Spamschleuder einfach weiter am Netz zu lassen. Sebastian schrieb: > Sorry, da muß man durch, mit allen Mitteln und Hintergrundinformationen, > die sich beschaffen lassen. Kostet am Ende wahrscheinlich sogar weniger > Arbeitszeit, als der verzweifelte Versuch, den Ist-Zustand zu > analysieren, zu dokumentieren und dann zu reproduzieren. Tja, nur wäre, um auch nur annähernd sicherzustellen, dass der Schädling weg ist, eine mindestens ebenso aufwendige Analyse nötig. Sebastian schrieb: > Aber dies sind normalerweise nicht die Rechner, > auf denen sich super-sensible Daten befinden. Mal wieder nicht über den Tellerrand geblickt. Die privaten Informationen von Lise Müller sind mir relativ egal, nur wenn ihr Rechner als Teil eines Botnets genutzt wird, ist mir das nicht egal. Kelvin S. schrieb: > Gehst du jetzt davon aus das jeder Admin in einer Firma USB-Ports, > Diskette(Falls vorhanden) & CD/DVD Laufwer für den "User" unzugänglich > macht? > Das jedes AV immer jeden Schädling nach einer gewissen zeit erkennt? > (Stichwort: Polymorphic Code -> > http://en.wikipedia.org/wiki/Polymorphic_code ) > Oder das Firmen grundsätzlich eine Externe (Hochwertige) Firewall > einsetzen die "Strange Traffic" sofort erkennen und unterbinden, und das > bei IPv4 und IPv6 ? > > Wow! Du glaubst wirklich ans gute im Menschen. Nein, einfach nur daran, dass externe Datenträger von sämtlichen ausführbaren Dateien befreit gehören, deren Integrität nicht sichergestellt werden kann (Prüfsumme o.ä.). bleumann schrieb: > OMG....bitte nicht nachmachen. Wenn Du es genau so gemacht hast, wie Du > es beschrieben hast, war es reines Glück dass es geklappt hat. (Wenn es > denn überhaupt geklappt hat) Wenn er tatsächlich mit einem eingeschränkten Konto unterwegs war, und der Schädling kein Exploit genutzt hat, um seine Rechte zu erweitern, besteht tatsächlich die Chance dass es ausreichend war. Die Frage ist halt, will man sich drauf verlassen, dass es so ist?
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.