Warum man bei Infektionen den Rechner neu installieren sollte

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von spotting, 26. August 2010 .

Schlagworte:
  1. 26. August 2010
    Inhalt


    1. Was ist ein Removal-Tool?
    2. Warum soll ich kein Removal-Tool benutzen?
    2.1. Das befallene System ist nicht mehr vertrauenswürdig
    2.2. Das Finden von Schädlingen ist nicht einfach
    2.3. Variationen sind schwer zu unterscheiden!
    2.4. Code ist nicht immer bekannt!
    2.5. Hintertüren können für weitere Manipulationen genutzt werden!
    2.6. Der gefundene Schädling muss nicht der Schuldige sein!
    3. Fazit
    3.1. Es kann nicht gehen!
    3.2. Der einzig sichere Weg...
    3.3. Alternativen

    Quelle 1

    4. Exkurs zu Antivirenscannern

    Quelle 2



    1. Was ist ein Removal-Tool?


    Mit Removal-Tool bezeichne ich hier alle Programme, die den Anspruch erheben, einen infizierten Computer von dem Schädling, der ihn befallen hat, zu reinigen, ohne dabei eine Neuinstallation erforderlich zu machen.

    Darunter fallen sowohl die Desinfektions-Routinen von Antivirenprogrammen wie auch die speziell für bestimmte Schädlinge entwickelten Entfernungsprogramme. Exemplarisch sei hier McAfee AVERT Stinger genannt, obwohl das Gesagte für alle anderen gleichermaßen gilt.

    2. Warum soll ich kein Removal-Tool benutzen?


    Die Gründe dafür werde ich im Folgenden darlegen. Für Kritik und Verbesserungsvorschläge bin ich immer offen. Sie können mir jederzeit eine E-Mail schreiben.

    2.1. Das befallene System ist nicht mehr vertrauenswürdig


    Die meisten Removal-Tools werden direkt auf dem befallenen System benutzt. Man hat einen infizierten Internet-PC, lädt sich irgendein Werkzeug zum Entfernen herunter und startet es. Das bringt eine Reihe von Problemen mit sich.

    Das System wurde ja bereits infiziert. Der Schädling (bzw. der Angreifer, der über den Schädling den Rechner kontrolliert) kann Teile des Systems ausgetauscht oder manipuliert haben.

    Das Removal-Tool muss aber auf Funktionen des Betriebssystems zurückgreifen, um überhaupt seine Arbeit machen zu können. Wenn diese Funktionen so manipuliert worden sind, dass das Betriebssystem das Tool anlügt, kann das Tool gar nicht funktionieren.

    Sogenannte Rootkits sind auf unixoiden Betriebssystem schon lange bekannt. Bei den Nutzern von Windows scheint sich deren Existenz aber seltsamerweise noch nicht herumgesprochen zu haben.

    Dem könnte man noch begegnen, in dem man das Tool von einem garantiert sauberen Rettungssystem laufen lässt. Doch dieses müsste dann auch schreibend auf das infizierte System zugreifen können. Für ein mit EFS verschlüsseltes NTFS-Dateisystem beispielsweise ist das aber gar nicht so einfach hinzubekommen.

    Und für die folgenden Punkte gibt es überhaupt keine Umgehungsmöglichkeit.

    2.2. Das Finden von Schädlingen ist nicht einfach


    Die grundsätzlichen Probleme beim Aufspüren von Schädlingen (und wenn ich sie entfernen will, muss ich sie ja vorher erstmal finden) bleiben auch hier bestehen. Alle Kritikpunkte, die z.B. gegen Virenscanner vorgebracht werden, können 1:1 auf die Removal-Tools übertragen werden.

    Das allgemeine und sichere Erkennen von infektiösem Code ist mit Computerprogrammen prinzipbedingt nicht möglich.

    2.3. Variationen sind schwer zu unterscheiden!


    Es existieren zahlreiche Varianten von Schädlingen, die sich teilweise sehr ähnlich sind und nur in einigen Punkten unterscheiden. Virensuchprogramme vergleichen niemals den ganzen Code (da dieser zu Tarnzwecken auch häufig variiert wird), sondern nur bestimmte, für den einzelnen Schädling charakteristische Merkmale der Datei, in der Fachsprache "Signaturen" genannt.

    Die Teile des Viruscodes, die nicht von der Signatur erfaßt werden, werden ignoriert. Sie können sich dort also von dem Code, den der Hersteller des Removal-Tools vorliegen hatte, unterscheiden. (Bemerkung: Eben weil sich die einzelnen Exemplare in diesen Codeteilen häufig unterscheiden, wurden diese Abschnitte nicht in die Signatur aufgenommen!)

    Einem Computerprogramm ist es prinzipbedingt unmöglich, diese Unterschiede zu bewerten. Es kann nicht sagen, welche unwichtig sind und welche vielleicht entscheidende (neue) Funktionen beinhalten, die ein Dritter dem originalen Viruscode hinzugefügt hat.

    Das Programm kann also beispielsweise nicht sagen, ob Sie einen E-Mail-Wurm haben, der nur einen anderen Text in die von ihm erzeugten E-Mails einfügt oder ob er vielleicht andere oder zusätzliche Schadfunktionen beinhaltet, für die das Programm dann kein Gegenmittel zur Hand hat.

    2.4. Code ist nicht immer bekannt!


    Aktuelle Viren und Würmer laden Code-Teile aus dem Internet nach. Man kann nie ganz genau sagen, wann die Infektion stattgefunden hat (es sei denn, man hat sie ganz bewußt herbei geführt und dabei auf die Uhr geschaut). Ebenso überwacht niemand die Server, auf denen diese Fragmente lagern (zumindest anfangs nicht). Man weiß also hinterher nicht, was vorher mal dort gespeichert war. Also weiß auch niemand, was für Code zum Zeitpunkt der Infektion heruntergeladen und ausgeführt wurde. Daher ist es einem Removal-Tool unmöglich, die von diesen Code-Teilen durchgeführten Manipulationen rückgängig zu machen.

    Es kommt übrigens durchaus vor, dass die Virenautoren den im Internet bereitstehenden Teil ihres Virus austauschen, um beispielsweise den Maßnahmen der Antivirenfirmen zu entgehen.

    2.5. Hintertüren können für weitere Manipulationen genutzt werden!


    Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch die der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" oder "Bot" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)

    Selbst wenn das Removal-Tool also den Wurm vollständig und restfrei entfernen könnte, so könnte es niemals erraten, was der Virenautor nachher selbst noch alles geändert hat. Diese Änderungen müssen ihm also entgehen.

    Diese Backdoor ist noch vergleichsweise einfach zu entdecken, da sie von einem Programm eingerichtet wurde, das zwangsläufig weniger schlau ist als ein Mensch und auch nicht viel Code (und damit Funktionalität) enthalten darf, da es ja für den massenhaften Transport über das Internet taugen soll. Das geht am besten mit vergleichsweise kleinen Würmern.

    Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.

    2.6. Der gefundene Schädling muss nicht der Schuldige sein!


    Und eine Möglichkeit wird auch häufig außer acht gelassen: Nämlich die, dass dieser Schädling bewußt als Ablenkung platziert wurde, um dem Benutzer einen Schuldigen für die von ihm beobachteten Auffälligkeiten liefern zu können.

    Das läuft also so ab: Ein böser Angreifer schreibt einen Wurm A, der sich via E-Mail verbreitet und eine Backdoor auf dem Systemn installiert. Hat der Wurm einen Rechner übernommen, kann der Angreifer seine zweite Backdoor einrichten. Dann gibt er dem Wurm etwas Zeit, damit dieser das befallene System zur Weiterverbreitung nutzen kann und löscht ihn anschließend. Wurm A hat seinen Zweck damit erfüllt und wird beseitigt.

    Nun kopiert er dafür einen Wurm B auf das betroffene System. Wurm B ist ein relativ harmloser, primitiver Vertreter seiner Zunft. Von ihm ist bekannt, dass er keine Hintertüren oder ähnliches einrichtet.

    Wenn der Anwender sowieso nichts gemerkt hat, spielt das ja keine Rolle. Aber falls der Nutzer Verdacht geschöpft hat (weil das System sich während der Infektion oder Verbreitung vielleicht seltsam verhielt) und es dann auf Viren untersucht, wird ihm (bestenfalls) gemeldet: "Wurm B gefunden". Der Anwender entfernt Wurm B dann rückstandsfrei und wähnt sich wieder in Sicherheit. Da die Ursache für das Problem ja (scheinbar) ermittelt und beseitigt wurde, hat er keine Veranlassung, tiefer zu graben und dabei vielleicht auf die Hintertür zu stoßen.

    3. Fazit


    3.1. Es kann nicht gehen!


    Jeder Versuch, einen Schädling durch ein Programm sicher zu beseitigen, muss scheitern. Es kann klappen. Muss es aber nicht. Und man kann hinterher nicht sicher wissen, ob es nun geklappt hat oder nicht. Man spielt russisches Roulette.

    Diejenigen, die mir nicht glauben: Microsoft sieht das übrigens ganz genau so.

    Ein Mensch könnte das schaffen. Aber es wäre natürlich nicht mit dem Löschen einiger Dateien getan, sondern man muss sicherstellen, dass eben keine weiteren Heimtücken auf dem System sind. Dazu ist eine eingehende Analyse des Systems unter kontrollierten Testbedingungen erforderlich, was sehr zeitaufwendig ist (und die entsprechenden Spezialisten wollen dafür auch nicht zu knapp bezahlt werden). Der Aufwand lohnt sich daher so gut wie nie für einen Heimanwender.

    3.2. Der einzig sichere Weg...


    ...ist das "Plattmachen". Also die vollständige Löschung des Systems (am besten durch Formatierung) und die folgende Neuinstallation. Anfangs vielleicht ein erschreckender Gedanke ("Huch, ich soll alles neu installieren?"), aber letztlich die einzige Methode, die den Rechner mit vertretbarem Aufwand wieder in einen wohldefinierten Zustand versetzt. Die Neuinstallation samt Einrichtung und Konfiguration aller Software mag ein oder zwei Tage dauern, aber danach kann man auch sicher sein, dass einem der Rechner wieder gehört. Ein Ende mit Schrecken, sozusagen.

    Basierend auf den Anleitungen von Oliver Schad und Jürgen P. Meier hier meine eigene Schritt-für-Schritt-Anleitung.

    3.3. Alternativen


    Streng genommen gibt es noch andere Wege:
    Ein Vergleichssystem. Wenn man einen zweiten Rechner hätte, der mit dem ersten exakt übereinstimmt, also gleiches Betriebssystem, gleiche Programme und Treiber in exakt der gleichen Version, gleiche Konfigration etc.pp., dann könnte man es mit dem befallenen System vergleichen. Da die Systeme per Definition identisch waren, muss jede beobachtete Änderung am befallenen System auf den Virus zurückzuführen sein und kann durch den Abgleich mit dem sauberen System korrigiert werden. Praktisch spielt das aber für Heimanwender keine Rolle. Wer hat schon einen exakt gleichen zweiten PC zuhause herumstehen?
    Prüfsummen. Hätte man Prüfsummen von allen Systemdateien vorliegen, könnte man die Systemdateien, deren Prüfsummen nicht übereinstimmen, von den Originalmedien wiederherstellen. Auch das ist aber für Heimanwender nicht praktikabel. Man müsste die Prüfsummen irgendwo speichern, wo Virus und Angreifer sie nicht nachträglich passend "korrigieren" können und nach jedem Patch und jeder sonstigen Veränderung am System müssten sowieso die Prüfsummen wieder neu berechnet werden. Aus einem MSI-Paket eine einzelne Datei zu fischen, ist auch nicht ganz so einfach.


    Und noch ein Exkurs zu Virenscannern



    Virenscanner

    Gerd Gelangweilt ist ein junger dynamischer arbeitsloser Mann, der seine kreative Ader bei der Programmierung eines Wurms, der sich per Email verbreitet, auslebt. Der Wurm nutzt eine alte Sicherheitslücke in Outlook, außerdem lädt der Text der Email dazu ein, den Anhang zu öffnen, falls das Opfer nicht Outlook benutzt - der gute Text und die gute Aufmachung der Email waren richtig viel Arbeit. Gerd nutzt einen vor längerer Zeit gehackten Rechner, um den Wurm in Umlauf zu bringen. Einige Stunden nachdem der Wurm sich rasend schnell über die ganze Welt verbreitet, trudeln einige Exemplare auch bei einem Hersteller von Virenscannern ein.

    Manfred Motz, der Chef von Viren-Weg, beauftragt seine beste Frau, Anna Lüse, ein Update für den Virenscanner zu erstellen. Die Bereitstellung eines Updates für die Datenbank des Virenscanners dauert 2 Tage, Manfred Motz ist mal wieder nicht zufrieden, aber schneller ging es eben nicht. Inzwischen sind mehrere 100.000 Rechner infiziert. Während der Verbreitung schlagen einige Exemplare auch bei einer Hand voll unreifen Programmierern auf u.a. Anke Akne, die den Code des Wurms analysieren, modifizieren und ebenfalls in Umlauf bringen.

    3 Tage später:
    Max Mustermann schaut mit Mozilla (denn Max weiß, dass Outlook besonders oft durch Sicherheitslücken auffällt) in sein Email-Postfach und erhält eine Email von seinem Freund Unger Unbekümmert, in der eine Datei angehängt ist. Nachdem er den Anhang mit seinem Viren-Weg-Virenscanner, der auf dem neuesten Stand ist, geprüft hat und dieser nichts feststellte, öffnet er den Anhang - nichts passiert. Max antwortet Unger, dass die Datei nicht funktioniere, die er von ihm per Email geschickt bekommen hat, einen Tag später antwortet Unger und fragt "Welche Email?".

    Nochmals 3 Tage später:
    Max Mustermann aktualisiert seinen Viren-Weg-Virenscanner ein weiteres mal und diesmal findet der Virenscanner tatsächlich auf seinem System einen Wurm, der Virenscanner fragt, ob er den Wurm entfernen solle, Max bestätigt. "Puh, Glück gehabt" sagt sich Max.

    8 Wochen später:
    Es klingelt an der Tür, freundliche Herren vom Bundeskriminalamt stehen vor der Tür und beschlagnahmen von Max so ziemlich alles, was irgendwas mit Datenverarbeitung zu tun hat, Rechner, Datenträger, Internetkühlschrank etc. Als Max erfährt, dass er sich wegen Verbreitung von Kinderpornographie zu verantworten hat, fällt er aus allen Wolken.

    Was war passiert?

    Max hatte sich die Variante des Wurms, die von Anke Akne erstellt wurde, installiert, die neben der ursprünglichen Funktion sich einfach nur weiterzuverbreiten eine Remote-Shell auf seinem Computer installierte. Mit dieser Remote-Shell hatte ein anonymer Angreifer volle Kontrolle über Max' Computer erlangt und nutzte diesen Computer, um kinderpornographisches Material zu vertreiben. Der Virenscanner fand nach einem Update die Variante und entfernte diese, die Remote-Shell blieb jedoch unentdeckt, genauso wie der Webserver und die Kinderpornos, die der Angreifer später installiert hatte.

    Diese Geschichte ist natürlich fiktional, wer glaubt sie sei abwegig, dem sei die Lektüre von folgendem Posting empfohlen. Ein weiteres Beispiel zeigt, dass selbst Virenscanner mit aktuellen Signaturen nicht zuverlässig arbeiten.

    Was kann man aus dieser Geschichte lernen?
    Virenscannern kann man nicht trauen, denn sie kennen nie alle Schädlinge.
    Virenscannern kann man nicht trauen, denn sie können befallene Systeme nicht sicher säubern.

    Außerdem gilt:
    Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind.

    Und wieso benötigt man jetzt einen Virenscanner?

    Man benötigt keinen Virenscanner, man kann ihn aber als Hilfsmittel einsetzen, sofern man weiß, dass die Aussagen eines Virenscanners mit Vorsicht zu genießen sind. Wenn ein Virenscanner nichts findet, heißt das gar nichts, aber selbst wenn der Virenscanner etwas Verdächtiges findet, kann es sich auch um einen falschen Alarm handeln. Ein Virenscanner kann einem also z.B. eine Bestätigung liefern, dass eine Datei einen Virus enthält und wie er heißt, er darf aber nicht als Sicherheitsnetz verstanden werden, falls man mal aus Versehen eine verseuchte Datei öffnet. Ein Virenscanner darf auch nicht als Werkzeug verstanden werden, mit dem man ein infiziertes System wieder bereinigen kann.

    Zudem muss einem bewusst werden, dass Virenscanner mittlerweile beliebte Angriffsziele sind. Virenscanner bringen viel zusätzliche Komplexität ins System, was der Sicherheit grundsätzlich abträglich ist.

    Wie schützt man sich denn dann am besten vor Viren und Würmern?

    Die einfache Antwort: Man klickt nicht auf alles, was nicht bei 3 auf den Bäumen ist und hält seine Software auf dem neuesten Sicherheitsstand. Ein gesundes Maß an Paranoia ist zu empfehlen, außerdem sollte man Software mit vielen Sicherheitslücken wie Outlook und Internet Explorer erst gar nicht einsetzen. Software aus dubiosen Quellen wie Freunde, Edonkey, Warez-Seiten sollte man nicht einmal mit der Kneifzange anfassen. Außerdem sind Email-Anhänge grundsätzlich "bah", auch wenn sie von Freunden kommen. Ausnahmen bilden Dateien, die keinesfalls ausführbaren Code enthalten, siehe dazu die Rubrik Dateiendungen. Desweiteren müssen potentielle äußere Einfallstore geschlossen werden, weitere Hinweise dazu gibt es auch hier.

    Wichtige Grundsätze:
    • Konservativ sein
    • Sicherheitsmechanismen des Betriebssystems nutzen (Rechtetrennung, Dateiberechtigungen, Software-Restriction-Policies, Gruppenrichtlinien)
    • Software regelmäßig aktualisieren
    • anfällige oder unbenötigte Software deinstallieren oder deaktivieren
    • Backups von wichtigen Daten machen, zudem erspart das regelmäßige Backup des Systems selbst im Falle des Falles viel Arbeit. Festplatten sterben schon von alleine oft genug, allein deswegen sind Backups wichtig.

    Und was mache ich, wenn ich mir doch Schadprogramme installiert habe?

    Wenn das System kompromittiert wurde, muss es in der Regel neu aufgesetzt werden. Backups sind daher essentiell.


    ------------------

    Der Text stammt nicht von mir. Es handelt sich dabei um zwei Zitate - mit Quellenangabe. Die ich so im Großen und Ganzen unterschreibe.


    Quellen:
    Malte J. Wetz : De - Desinfektionsprogramme taugen nicht browse
    Computersicherheit - Home Page

    Und ich würde jedem noch diese Seite empfehlen:
    Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

    Ach ja, und die einstmals berühmte http://www.ntsvcfg.de ist zurück. Mit einer Beta für Windows 7 ... hat sich wohl doch noch nicht soviel getan, wie man es sich gewünscht hatte. Bisher aber leider nur auf Englisch.
     
  2. 26. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Erkennst du den Widerspruch?

    Ansonsten schön geschrieben, wobei auch dieser Text (wie alle) eine Zielgruppe hat.
     
  3. 26. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Reis bitte nicht einen Satz aus dem Zusammenhang

    Und die Zielgruppe für diesen Text ist JEDER der versucht seinen Computer von Schadsoftware zu befreien und dann glücklich ist, wenn er glaubt er hätte es geschaft. Also jeder Threadstarter mit einer Frage in diesem Bereich.
     
  4. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Selbst dann ist es nicht korrekt. Du sagst als erstes:

    "Das geht auf gar keinen Fall" (muss scheitern lässt da keinen Spielraum)

    und dann in den nächsten beiden Sätzen.

    "Das geht aber doch manchmal"
    (Es kann klappen. Muss es aber nicht. sagt ganz klar, dass es Erfolg haben kann, was sich wiederum mit dem Vorsatz beißt.)

    Reis ist übrigens sehr lecker mMn.

    Ich mag keine Generalisierungen, der Grund warum ich den Müll hier schreibe.

    Davon abgesehen gibt es auch Leute die so was ohne Neuinstallation hin bekommen. Es ist zwar manchmal sehr mühselig aber es geht. Falls du jetzt sagst "Man kann sich aber nie sicher sein." -> BIOS/EFI Schadsoftware, da hilft deine Neuinstallation auch nicht.

    Vielleicht solltest du auch bedenken, dass die Leute ihre Daten sichern wollen, hier liegt auch ein relativ hohes Risiko für eine Re-Infektion. Am besten du schreibst dazu auch mal was. Es bringt nichts das System neu aufzusetzen und dann irgendwelche Verseuchten .exe'n etc. wieder vom Backup zu ziehen. In der Praxis wird es oft vorkommen, dass vor der Infektion keine Backups gemacht wurden.

    In diesem Sinne empfehle ich: Kauft euch einfach 2-3 Ersatz PCs direkt beim Kauf, dann könnt ihr sicher sein, dass nichts drauf ist.
     
  5. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ok, dann frag ich dich, woran willst du erkennen, ob es erfolgreich funktioniert hat?

    Bevor du antwortest, lies den Startpost und diesen Post zu Ende.


    Und zu deinen Bios Viren, Ein BIOS RESET gehört ebenfalls zu einer ordentlichen Neuinstallation dazu. Aber ... Welche Bios Viren gibt es denn heutzutage noch? Und wie sollen die auf das Bios kommen? - solange man nicht versucht aus Windows heraus sein Bios zu flashen -
    Ohne aktives handeln des Benutzers ist das nicht möglich.

    Vielleicht kannst du hier mal ein aktuelles Beispiel zeigen. und damit meine ich keine leere Motherboard Batterie.

    Und zu den Leuten, die ihre Daten nach Infektion sichern wollen. Wenn man vorher kein Backup angelegt hat muss man sich überlegen, warum nicht. Hier gibt es im Grunde genommen nur eine Lösung.

    1. Daten Dateien -> Die werden für einen gewissen Zeitraum nicht angefasst. Sagen wir mal 4 Wochen. In dieser Zeitspanne sollten die Antivirenprogramm - Hersteller Ihre Signaturendatenbanken auf Vordermann gebracht haben. Beim Einstöpseln der USB - Festplatte, einlegen der DVD, CD, ... werden die Datendateien daraufhin vom Programm gescannt. Danach werden die Dateien in einer Virtuellen Maschine gestartet. Und nachdem die Datei gestartet wurde, wird die Virtuelle Maschine mit der Ausgangssituation verglichen.

    2. Programme - Scripte - Addons - DLL Dateien.
    Die werden gelöscht. Bedingungslos.

    Antivirenprogramme können einem helfen, einen Befall festzustellen. Sie können ihn nicht heilen. Diese Einschätzung vertritt sogar Microsoft. Seltsam, wo Microsoft doch eigentlich am besten über ihr System Bescheid wissen müsste.

    3. Das neue System von vornherein richtiger aufsetzen.
    Also keine Admin Rechte.
    Keine unnötigen Dienste im Hintergrund
    Keine nicht aktuellen Programme
    Keine unnötigen Programme im Autostart
    Kein Autostart für Externe Medien
    Keine Installation von Programmen aus möglicherweise unsicheren Quellen
    Kein Öffnen von Mail Anhängen
    Kein Ausblenden von bekannten Dateiendungen

    ...
     
  6. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Das mit dem BIOS war mehr ein Gedankenspiel, nur um daran zu erinnern das es möglich ist. Im übrigen kommen normale Viren auch nicht ohne das zutun des Benutzers nicht auf den PC. Ansonsten guck dir mal die Arbeit von "Joanna Rutkowska" an.

    In allen anderen Punkten stimme ich dir zu, du solltest das aber in deinen Startpost packen, ich bin der letzte, dem du das sagen musst.

    Du hast aber schon verstanden, dass es hier um die sprachliche Ebene geht, oder? Sich nicht sicher sein impliziert nicht, dass es nicht geklappt hat, sondern nur, dass es nicht geklappt haben könnte.
     
  7. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ich finde diesen Beitrag von spotting überaus interessant.
    Nur -leider- war ich über vieles bereits informiert.

    Die Methode ist mir neu und klingt für mich zugleich irgendwie umständlich

    Wenn ich via RIS oder WDS ein Abbild eines vorgefertigten Betriebssystems samt Programme und die dazugehörigen Einstellungen bereits auf dem WDS-Server habe, dann brauche ich doch nicht ein Vergleichsystem zu machen. Da kann ich doch den Abbild übers Netzwerk auf dem infizierten PC einfach abspielen. Dabei wird zu aller erst die Festplatte Fabrikneu formatiert und dann fängt die Prozedur an. Was auch nicht viel Zeit beansprucht.

    Aber das kommt für einfache Heimanwender wie du schon bei Vergleichsystem-Methode erwähnt hast nicht in Frage, denn man braucht DHCP, DNS, WDS-Server, Kenntnissse ... außer vielleicht in einer virtuellen Umgebung, aber auch das nur für fortgeschrittene Anwender.

    //: ... dann ist regelmäßiges Erstellen von Sicherungskopien meiner Meinung nach die wohl angemessene Vorgehensweise.
     
  8. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Bleiben wir bei den "normalen" Viren. Es gibt im Internet ca. 95% Viren, die versuchen Sicherheitslücken eines Betriebssystems oder eines Programmes auszunutzen. Diese Malware verbreitet sich ohne zutun des Benutzers. Vermeiden kann man dies durch eine externe Hardware Firewall und ein ständig aktuelles System. Denk nur mal an Sasser und Lovesan

    Bei den letzten 5% - die geschätzt über 90% aller Befälle ausmachen, ist der Nutzer vor dem Bildschirm schuld.

    Und bleiben wir einmal auf der sprachlichen Ebene. Wenn im Wald ein Baum umfällt, und keiner hat es gesehen. Ist dann im Wald ein Baum umgefallen? Wenn ein Computer durch Malware infiziert ist, und keiner bemerkt etwas, ist der Computer dann infiziert? Wenn man den Computer vor Malware gesäubert hat, und keiner kann diese Säuberung kontrollieren, ist der Computer dann sauber?

    Die nach meinem Verständnis richtigen Antworten auf diese Fragen sind Ja - Vielleicht - Nein.

    Ja, denn man kann in den Wald gehen und sehen, dass der Baum umgefallen ist.
    Vielleicht, denn die Möglichkeit besteht aber man kann es nur bedingt kontrollieren. Sicher kann man sich nie sein.
    Nein, weil eine Kontrolle durch Antivirenprogramme nur 2 Ergebnisse liefern kann. Entweder der Computer ist infiziert oder das Antivirenprogramm kann keine Infektion finden. Aber vielleicht ein anderes?


    Und damit sind wir wieder am Anfang. Eine Säuberung kann vom Grundsatz her nicht funktionieren, da man nicht in der Lage ist zu sagen, dass Sie funktioniert hat. Vielleicht war es erfolgreich. Vielleicht hat man allen Schadcode gefunden und eliminiert und vielleicht sind alle Veränderungen am System rückgängig gemacht. Aber ohne Vorbereitung ist niemand in der Lage das auch zu beurteilen.


    Deshalb gibt es auch noch den zweiten Teil. Dort wurde vom Autor geschrieben:

    Ob man das Backup jetzt auf DVD oder USB Festplatte oder im Netzwerk ablegt. Ganz egal. Solange es sauber vom Rest des Systems getrennt ist.
     
  9. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Das ist nicht die sprachliche Ebene (ich bin mir an diesen Punkt nicht sicher, ob du überhaupt weist was das ist) über die du da redest (sondern irgendeine konfuse Theorie).
    Die Sprache regelt solche Dinge ganz klar und in dieser Hinsicht macht es absolut keinen Sinn was du da geschrieben hast, ich verstehe nicht wo dein Problem ist das einzusehen. Mehr werde ich dazu auch nicht mehr schreiben.

    Abgesehen davon, wie kannst du einfach davon ausgehen, dass man nicht sagen kann, ob eine Säuberung funktioniert hat? Das mag zwar in vielen Fällen zutreffen, aber du tust so als ob das eine unausweichliche Gesetzmäßigkeit wäre. Du schreibst hier vielen Dingen eine Komplexität zu die in der Realität nur sehr selten gegeben ist.
     
  10. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Und du scheinst nicht zu verstehen, dass genau diese Komplexität das Problem ist. Solange nicht greifbar ist, was da alles ohne Beobachtung gelaufen ist, kann es nicht rückgängig gemacht werden. Vielleicht solltest du dich einmal mit dem philosophischen Ansatz von "Wahrheit" auseinandersetzen. Dann sollte dir bewusst werden, dass Sprache kein Instrument sein kann um die IST - Situation zu benennen sondern nur eine Wahrnehmung der IST - Situation zu beschreiben.

    Und ich warte immer noch auf eine Antwort. Wie willst du beweisen, dass eine Säuberung funktioniert hat?

    Alle möglichen Programme können zwar eine Infektion feststellen, aber keines kann eine Infektion ausschließen, solange kein sauberes Vergleichssystem vorhanden ist.

    Und zu dem Abschnitt, den du fälschlicherweise kritisierst, weil du ihn nicht verstehst.

    Jeder Versuch, einen Schädling durch ein Programm sicher zu beseitigen, muss scheitern.
    Er muss scheitern, weil man den Erfolg nicht messen kann.

    Es kann klappen. Muss es aber nicht
    Vielleicht hat man Glück und erwischt alles. Vielleicht nicht. Aber keiner kann dir garantieren, dass du alles erwischt hast.

    Und man kann hinterher nicht sicher wissen, ob es nun geklappt hat oder nicht.
    Denn es gibt keine Möglichkeit einen Erfolg auch als solchen zu erkennen. Man kann nur erkennen, wenn es nicht funktioniert hat.

    Man spielt russisches Roulette.
    Weil man nicht weiß, was als nächstes passiert. Und vielleicht klopft ja wirklich in ein paar Wochen das BKA an die Tür und nimmt einen mit.
     
  11. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...


    Wie gesagt, da du offensichtlich nicht in der Lage bist meinen Punkt auch nur Ansatzweise zu begreifen, werde ich darüber nicht mehr diskutieren.

    Du willst, dass ich die nicht-Existenz von etwas (der Schadsoftware) beweise? Du machst es dir ziemlich einfach, wie wäre es wenn du beweist, dass die Schadsoftware noch da ist. So rum wird so was gemacht, nicht anders

    Es muss eben nicht zwangsweise scheitern, wie du immer wieder selber betonst (Stichwort Roulette). Mir ist bewusst was du sagen wolltest, ich wollte eigentlich nur darauf hinweisen, dass diese Passage schlecht bzw. unzureichend formuliert ist (das sieht man jetzt daran, wie detailliert du sie erklären musst). Ich konnte nicht ahnen, dass das ganze hier in Haarspalterei ausartet - jeder Andere hätte das einfach noch mal deutlich neu formuliert.

    Du hast wohl starke Probleme mit Kritik zumal ich den Text in meinem ersten Post sogar gelobt habe.

    Jetzt im Nachhinein kannst du so natürlich diesen 3 Sätzen jeden Möglichen Sinn geben (wie man schön an den fetten Sätzen oben sieht), aber es ist nicht klar aus dem Text ersichtlich, was du meinst.

    So wäre es in meinen Augen korrekt. Oder willst du mir ernsthaft sagen, dass das nicht die passendere Formulierung wäre?
     
  12. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    jetzt mach dem jung nicht wegen dem "versprecher" fertig alex.ich denke das du den kern des threads scho geblickt hast´...daher ,drauf geschissen,oder?

    achja..ich halte es genau so..wen die kiste muckt und ich denke ,da wäre ein blinderpassagier..dann kippe ich das kind mit dem bade aus...hehe..
    da ich eh kein home-banking mache,meine dokumente mit winrar verschlüssele,bleibt nur noch die mukke und meine games....also wird das system neu aufgesetzt und fertig..
    bevor ich mir die arbeit mache und suche,lese,fummel..meist bist schneller mit einem fresh install als mit der detektiv arbeit..

    gruss und danke fuer den beitrag..
     
  13. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Der Text stammt nicht von mir. Es handelt sich dabei um zwei Zitate - mit Quellenangabe. Die ich so im Großen und Ganzen unterschreibe. Und nein ich werde die Zitate im Startpost nicht ändern.

    Und

    Nein, das ist nicht korrekt. Denn solange man nicht beweisen kann, dass man erfolgreich war ist der Erfolg nicht sicher. Und damit ist man auch schon gescheitert, bevor man angefangen hat.

    Vielleicht etwas plastischer.
    Fußball.
    Du schießt den Ball aufs Tor und drehst dich sowie jeder andere im Stadion noch während der Ball unterwegs ist um.
    Der Ball landet im Tor.
    Der gegnerische Torwart nimmt den Ball bevor irgend einer hinsieht und spielt normal weiter.
    Wie willst du jetzt wissen, ob der Ball im Tor war oder ob der Torwart den Ball gehalten hat?

    Ohne Kontrolle oder Messung des Erfolges ist der Erfolg wertlos.

    Nein. Es wird das System formatiert und neu installiert. Wenn es anders gemacht wird, dann weil die falschen Leute es geschafft haben mit falschen Grundsätzen falsche Ideen in die Köpfe der Benutzer zu pflanzen. Es ist wie bei Desktop Firewalls. Um die Software zu verkaufen werden die falschen Argumente genutzt und wecken falsche Begehrlichkeiten, die diese oder eine andere Software schon aufgrund ihrer Konzeption nicht erfüllen kann. Marketing und Produkt steuern hier in unterschiedliche Richtungen.

    Wenn du diesen Teil verbessern willst, dann mach es also richtig.

     
  14. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Gegen diese Formulierung habe ich auch nichts (obgleich sie mal wieder generalisiert), ich denke du hast da im Startpost einfach was unglücklich zusammen kopiert. Abgesehen davon sollte man "Zitate" richtig kenntlich machen. [...] "" etc.
     
  15. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ich finde deinen Beitrag nicht so gut. Ein sehr langer Text mit einer sehr kleinen Aussage. Es sollte wohl jedem einleuchten, dass Removal-Tools genauso schlecht sind wie Virenscanner. Eine 100%ige automatische Erkennung von Malware ist eben nicht möglich und dafür gibt es viele Gründe.
    Deine Mini-Aussage ist also lediglich: Removal-Tools und Virenscanner bieten keinen 100%igen Schutz und deshalb sollte man Neuinstallieren... toll, dafür hätte ich nicht mal 10 Sätze gebraucht.

    Was die meisten Leute viel mehr interessieren ist: Wie sieht's mit Hijackthis und Co. aus?
     
  16. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Jedes Logfile in einem kompromitierten System zeigt nicht das, was es auf dem Computer vorfinden würde, sondern dass, was die Malware dir zeigen möchte. Daher ist jedes Log - egal ob von Hijackthis, Oldtimer oder auch manuell abgetippt im Grunde genommen unbrauchbar.

    Und

    Virenscanner und Removal Tools gleichzusetzen ist nicht richtig. Ein Virenscanner hat eine Berechtigung. Er kann dir sagen, dass dein System infiziert ist. Er kann dir aber nicht sagen, dass es nicht infiziert ist, er kann eine Infizierung nicht rückgängig machen und er kann dir keine "Sicherheit" geben.

    Und

    Ob du dein Fazit auch in 10 Sätzen anständig begründen könntest? Schwierig.
     
  17. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Das fehlt aber in deinem riesigen Text...

    Äh die Erkennungsmethoden sollten trotzdem die gleichen sein und darum geht es ja schließlich. Wenn ich einen PC-Scan im AV starte sagt der mir doch ob er sauber ist oder nicht?


    Deine Wischiwaschi Erklärungen sind auch nicht gerade toll. Zum einen viel zu oberflächlich und zum anderen viel zu viel Erklärung für den normalen Nutzer, der nur wissen will was er jetzt tun soll.
     
  18. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Der Text erhebt keinen Anspruch an Vollständigkeit.

    Wenn du einen "PC-Scan im AV" startest, sagt er dir nicht ob er sauber ist. Er sagt dir, ob er etwas finden kann oder nicht. Du scheinst zu unterstellen, dass Antivirenprogramme auch 100% der Malware finden können. Das ist schon alleine vom Konzept der Antivirenprogramme falsch. Was der Bauer nicht kennt frisst er nicht.

    Und

    Wenn du diese WischiWaschi Erklärungen nicht magst, mach es besser. Achja, und das in 10 Sätzen. Schließlich scheint das ja dein Anspruch zu sein.
     
  19. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Das gleiche macht doch das Removal Tool auch. Wenn es nichts findet, steht halt da: nichts gefunden.

    Aso hab ich nicht wahrgenommen, na dann bringt auch eine Diskussion nichts. Man sollte schon mit dem Autor diskutieren...
     
  20. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ein Removal Tool erhebt den Anspruch die Malware Rückstandsfrei zu entfernen. Und das kann ein Removal Tool nicht. Wie ich vorher schon geschrieben habe. Es kommt auf den Verwendungszweck an, ob die Software ihren Zweck erfüllt oder nicht.

    und zu

    hast du nichts geschrieben. Du machst es dir recht einfach: Kritisieren aber die Kritik nicht konkretisieren. Dabei ist es egal, ob ich der Autor bin oder irgend ein anderer. Ich bin derjenige, der diesen Text hier hineingebracht hat.
     
  21. 27. August 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    der war fies aber gut .
    ich danke spotting ennoch..nicht mir wurde geholfen,da ich auch schon alles so wusste;aber vielen anderen wird es helfen bei der erkentniss..es gibt keine sicherheit im netzt..es gibt immer einen der schlauer ist als du..daher..fresh-install und hasta la vista baby
     
  22. 2. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ich glaube mit dem Autor könnte man wesentlich besser reden, da er wahrscheinlich kompetenter ist. Du machst ja nichts anderes als die Aussagen des Autors bis aufs Blut zu verteidigen (oder das was du aus den Textbausteinen zusammen gebastelt hast).

    Ich denke wenn man selbst nichts zu sagen hat, sollte man einfach auf die Seite verweisen anstatt den Text nochmal "abzuschreiben".

    Des weiteren ist in deiner Quelle von "Kompromittierung" die Rede. Das geht nochmal wesentlich weiter als eine einfache Infektion. Ich denke, dass man hier differenzieren sollte. "Kompromittierung" setzt meiner Meinung nach einen gezielten Angriff voraus, in dem es einen aktiven (Menschlichen) Angreifer gibt. Dann würden auch alle Tipps und Ratschläge weitgehend zutreffen. Wenn es jemand auf dich abgesehen und in dein System geschafft hat, hast du ein wesentlich komplexeres Problem als wenn du dir irgendeinen Virus o.ä einfängst (dann ist die Komplexzität gegeben von der ich in früheren Posts sprach).

    Das ist meine Interpretation bzw. Einschätzung des Textes. Dieser Text ist mehr "Warum man bei Infektionen Kompromittierung den Rechner neu installieren sollte..."

    Ich empfehle aber weiterhin allen Usern, die sich nicht vernünftig auskennen einfach zu formatieren.

    Zu letzt sollte man vielleicht noch anmerken, dass dieser Text von 2002 ist, was in der Sicherheitsbranche eine lange Zeit ist. Ich sage nicht, dass dies zwingend was ändert. Ich sage nur, dass viele Dinge damals vielleicht noch nicht bedacht wurden.
     
  23. 2. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Es ist Schade, dass ihr die Punkte in diesem Text nicht als Diskussionsgrundlage ansieht, weil nicht der Autor des Textes hier steht und darüber mit euch diskutiert. Ok, schreib ich den Text ab - ändere ab und zu mal ein wenig am Text, sofern inhaltlich keine Änderung vorgenommen wird - schon bin ich der Autor.

    Deine Unterscheidung zwischen Infektion und Kompromittierung ist mit Sicherheit diskussionswürdig. Aber sie wirft auch eine Frage auf. Wie willst du diese Unterscheidung treffen? Wann ist ein PC "nur" infiziert, wann ist er kompromittiert? Schließlich stellen sich Cracker nicht vor und sagen dir, dass der Rechner jetzt kompromittiert ist.

    Und zu deinem Vorwand, dass der Text seit 2002 sei. Was habe sich denn in den letzten 8 Jahren geändert? Fakt ist, der erste Text wurde vom Autor 2010 erneut veröffentlicht.

    Wenn du sagst, dass sich viele Dinge damals noch nicht berücksichtigt wurden ... dann frage ich dich, welche Dinge damals nicht berücksichtigt wurden, die aber heute entsprechenden Einfluss haben.
     
  24. 2. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Ich halte meinen Ansatz genau diskussions-würdig wie deinen. Das Problem ist, dass du immer direkt mit "beweise das es nicht so ist" kommst. So was ist immer schwierig zu diskutieren, wenn man keine spezifische Situation vorliegen hat (das ist wahrscheinlich das Haupt-Problem der gesamten Diskussion hier). Es gibt definitiv Situationen wo man es sehr wahrscheinlich ausschließen kann, dass ein gezielter Angriff vorliegt.

    Mal ein Beispiel von einem Kunden den ich betreue:

    Spoiler
    Der gute Mann hat ein veralteten Rechner, der gerade den Grundvoraussetzungen für Windows XP gerecht wird. Des weiteren bewegt er sich mit einem 64k-Modem im Internet (wird immer wieder getrennt). Auf dem PC befinden sich bis auf eine private Panorama Fotos nichts (er nutzt ihn nicht für Banking oder andere Dinge von Priorität.) Vor kurzem hat es irgendwie geschafft sich einen Trojaner zu downloaden. Der AV hat diesen auch gleich erkannt - nur hat der gute Mann auf "ignorieren" geklickt (>.<) und mich dann angerufen.
    Ich konnte das Ding ohne Probleme entfernen und habe zusätzlich nochmal alles überprüft.
    In diesem Fall kann ich mir sicher sein, dass es sich NICHT um einen vorsätzlichen Angriff handelt (alles andere wäre vollkommen absurd), weil:

    - Es befanden sich keine relevanten Daten auf dem Ziel-PC
    - Die Anbindung (nicht permanent, sehr sehr langsam)

    Außerdem bin ich mir zu 100% sicher, dass ich keine Reste zurückgelassen habe.

    In diesem Fall hätte eine Neuinstallation einfach keinen Sinn gemacht, da kannst du mir erzählen was du willst. Mir geht es einfach drum, dass du glaubst eine Neuinstallation wäre immer angebracht, dies ist einfach nicht der Fall.

    Etwas abzuschreiben und leicht zu ändern macht dich noch lange nicht zum Autor der Kern-These!

    Ich habe doch gesagt, dass sich seit 2002 nicht zwingend was geändert haben muss, nur, dass der Autor vielleicht noch mehr Punkte und Fakten in seiner Argumentation berücksichtigt hätte. Ich denke 2002 war Malware noch nicht so ein großes Problem wie es heute ist (was Masse und Variationen angeht).

    Wenn man deine Argumentation auf den Kern beschränkt, besteht sie nur aus:

    Dies lässt sich aber auf 99% aller Diskussionen in allen Bereichen anwenden.

    Des weiteren solltest du meine Texte nicht unter dem Standpunkt lesen, dass ich gar nicht mit dir übereinstimme, da dies nicht der Fall ist.
     
  25. 2. September 2010
    AW: Warum man bei Infektionen den Rechner neu installieren sollte...

    Bleiben wir bei deinem Beispiel.
    Was macht dich sicher, dass dieser Trojaner in der Zeit zwischen "dem drücken auf ignorieren" und dem anrufen bei dir nicht doch nachhaltig schaden angerichtet hat? Denn es gibt auch in diesem Fall mögliche Situationen, die übrig bleiben.
    - Die Schadsoftware kann Sicherheitslücken ins System gebracht haben. Es können Systemeinstellungen verändert worden sein. Wie willst du dir zu 100% sicher sein, alles rückgängig gemacht zu haben? > Nein halt. Du hast ja nur Schadcode entfernt. Also sind diese Lücken alle noch offen.
    - Es kann in dieser kurzen Zwischenzeit weitere Schadsoftware nachgeladen worden sein. Malware, die du nicht gesucht hast und wohl auch nicht gefunden hast.
    - Der Malware ist es egal, ob es ein "interessanter" Rechner ist oder nicht.

    Das einzige, dass man hier geltend machen kann ist - der Rechner ist uninteressant, da keine privaten Daten gespeichert werden und die Gefahr vor Nutzung durch Botnetze oder als Server durch die knappe Geschwindigkeit nicht brauchbar ist. Aber dann hätte man den Rechner von vornherein auch nicht säubern müssen.

    Und
    Den Anspruch zu haben, nur mit dem Author der "Kern These" diskutieren zu wollen ... Also jetzt mal ernsthaft. Das kann nicht der Anspruch hier sein. Das wäre, als wolle man über Fragen zur katholischen Religion nur mit dem Papst, als Vertreter Gottes auf Erden, reden wollen.

    Du hast die Aussage oben NICHT verstanden. Du hast auch die Intention meines Postings nicht verstanden.
     
  26. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.