Warum man bei Infektionen den Rechner neu installieren sollte

Alex² · 2. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Zitat von spotting: ↑

Bleiben wir bei deinem Beispiel.
Was macht dich sicher, dass dieser Trojaner in der Zeit zwischen "dem drücken auf ignorieren" und dem anrufen bei dir nicht doch nachhaltig schaden angerichtet hat? Denn es gibt auch in diesem Fall mögliche Situationen, die übrig bleiben.
- Die Schadsoftware kann Sicherheitslücken ins System gebracht haben. Es können Systemeinstellungen verändert worden sein. Wie willst du dir zu 100% sicher sein, alles rückgängig gemacht zu haben? > Nein halt. Du hast ja nur Schadcode entfernt. Also sind diese Lücken alle noch offen.
- Es kann in dieser kurzen Zwischenzeit weitere Schadsoftware nachgeladen worden sein. Malware, die du nicht gesucht hast und wohl auch nicht gefunden hast.
- Der Malware ist es egal, ob es ein "interessanter" Rechner ist oder nicht.

Das einzige, dass man hier geltend machen kann ist - der Rechner ist uninteressant, da keine privaten Daten gespeichert werden und die Gefahr vor Nutzung durch Botnetze oder als Server durch die knappe Geschwindigkeit nicht brauchbar ist. Aber dann hätte man den Rechner von vornherein auch nicht säubern müssen.

Und
Den Anspruch zu haben, nur mit dem Author der "Kern These" diskutieren zu wollen ... Also jetzt mal ernsthaft. Das kann nicht der Anspruch hier sein. Das wäre, als wolle man über Fragen zur katholischen Religion nur mit dem Papst, als Vertreter Gottes auf Erden, reden wollen.

Du hast die Aussage oben NICHT verstanden. Du hast auch die Intention meines Postings nicht verstanden.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Ich nicht den Anspruch mit irgendjemandem zu diskutieren. Das einzige was ich erwarte ist, dass du dich ein wenig von deinem Tunnelblick löst. Ich könnte diese Diskussion genauso gut mit mir selbst führen - deine Antwort ist immer die selbe. Den fetten Teil kann ich genauso von dir behaupten (von meinen Postings). Es macht an dieser Stelle einfach keinen Sinn weiter zu diskutieren, du wirst es wahrscheinlich nie begreifen.

Wie ich schon sagte, du argumentierst immer mit einem (für viele Diskussionen aller Art) allgemein gültigem Argument ("Du kannst dir nicht sicher sein"). Auf dieser Basis ist zu keinem Thema eine Diskussion möglich.
(Hat ein bisschen was von kleinen Kindern, die sich die Ohren zu halten und rumschreien )

Das ist als ob ich sagen würde "Nachdem du neu installiert hast kannst du dir aber nicht sicher sein, weil [...]". Ich habe dies zeitweise auch getan, deine Reaktion war: "Ja, lassen wir das mal außen vor - passiert eh nicht."
Aber selber verwendest du jedes noch so exotische Szenario um deine These zu untermauern.

Wie gesagt, von meiner Seite der (wahrscheinlich) letzte Post, das macht (wie N0S ebenfalls festgestellt hat) einfach keinen Sinn mit derart "festgelegten" (nett ausgedrückt) Leuten zu diskutieren.

Es kann sich ja nun jeder Leser ein eigenes Bild machen.

Anzeige

Inquisito · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Ich habe zwar einige andere ansichten bezüglich Trojanern und vor allem wie man das Problem lösst aber guter Thread.

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Ich fass das mal kurz zusammen.

Ich behaupte, es mach keinen Sinn, da man die Sinnhaftigkeit nicht nachhaltig beweisen kann.
Du sagst, es kann durchaus Sinn machen obwohl man die Sinnhaftigkeit nicht nachhaltig beweisen kann.

Ich sage, in der Theorie ist es immer möglich. Deshalb.
Du sagst, in der Theorie ist es zwar möglich, aber die Wahrscheinlichkeit ist sehr gering. Aber beweisen kann ich es nicht. Und da die Wahrscheinlichkeit gering ist nehme ich an, dass dem nicht so ist.

Wir folgen hier also einem grundsätzlichem anderen Ansatz.

Ich behaupte - ohne Beweis keine erfolgreiche Säuberung.
Du behauptest - ohne Beweis keine Infektion - manchmal.

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Man sollte noch anmerken, dass du die mögliche Existenz von Beweisen komplett leugnest.
Du sagst also:

Ansonsten trifft es weitgehend zu.

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Das ist auch falsch. Es gibt möglicherweise Beweise : wenn man vorher darauf vorbereitet war.

Ansonsten wärst du in einer Bringschuld einen derartigen Beweis abzuliefern.

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Ich weis, dass das falsch ist - schön, dass du es endlich bemerkt hast.
Du bist in der Bringschuld wenn ich sage "Beweise, dass der PC noch infiziert ist."
Da der Normalfall ein sauberer PC ist, wäre das sogar angebrachter.
Erkennst du nun die Sinnlosigkeit an diesem Argument?

Wir könnten diese Diskussion auch endlich beenden, so wird das ewig weiter gehen. Lassen wir es einfach. Unsere Ansätze sind zu verschieden...

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Stimmt. Der Normallfall ist ein sauberer PC. ABER in dem Moment, in dem ein Antivirenprogramm einen Befall meldet ist der Beweis erbracht, dass der PC befallen ist. Es bleibt nur noch die Neuinstallation um den PC wieder zu säubern.

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Ja, aber das Antivirenprogramm meldet nach meiner Säuberung nichts mehr -> der Beweis fehlt, dass der PC nach meiner Säuberung noch infiziert ist.

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Und genau an dieser Stelle haben wir das Problem.

Ein Antivirenprogramm kann dir nicht sagen, dass der PC sauber ist.
Es gibt bei diesen Programmen kein JA oder Nein sondern ein JA oder vielleicht.
Antivirenprogramme können auch - sofern sie im laufenden System ausgeführt werden - selbst komprommitiert worden sein.

UND

Auch wenn das Antivirenprogramm wirklich 100% der Malware finden könnte - was es nicht kann. Wer garantiert dir, dass die Malware während seiner aktiven Zeit nicht derartig an den Systemeinstellungen Änderungen vorgenommen hat, die das ausführen von neuem Schadcode entsprechend ermöglichen könnte? Und das alles abseits der Sicherheitslösung auf dem einstmals befallenen PC.

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Zitat von spotting: ↑

Und genau an dieser Stelle haben wir das Problem.

Ein Antivirenprogramm kann dir nicht sagen, dass der PC sauber ist.
Es gibt bei diesen Programmen kein JA oder Nein sondern ein JA oder vielleicht.
Antivirenprogramme können auch - sofern sie im laufenden System ausgeführt werden - selbst komprommitiert worden sein.

UND

Auch wenn das Antivirenprogramm wirklich 100% der Malware finden könnte - was es nicht kann. Wer garantiert dir, dass die Malware während seiner aktiven Zeit nicht derartig an den Systemeinstellungen Änderungen vorgenommen hat, die das ausführen von neuem Schadcode entsprechend ermöglichen könnte? Und das alles abseits der Sicherheitslösung auf dem einstmals befallenen PC.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Das habe ich auch nie behauptet, ich wollte nur Bezug zu deinem Post halten.
Du fragst, wer mir garantiert, dass der Schädling keine Änderungen, Fortpflanzungen oder ähnliche Aktionen vorgenommen hat? -> Meine Überprüfung eben dieser Dinge.

(Du wirst jetzt in deinen nächsten Post schreiben, dass ich mir nicht sicher sein kann nichts übersehen zu haben)

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Was prüfst du denn - wenn du prüfst. Und wie prüfst du?

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Das hängt stark davon ab mit was ich es ursprünglich zu tun hatte. Dann überprüfe ich auf gängige Muster (unter anderem Dinge wie Services usw usw)
Systemdateien auf Modifikation überprüfen (dazu gibt es verlässliche Tools von Microsoft, die ich natürlich dann extern beziehe)
Bevor ich das alles mache schaue ich nach Rootkits, da diese bekanntlich viel manipulieren können.
Wenn eine berechtigte Annahme besteht überprüfe ich sogar Verbindung mittels externer Hardware (um Manipulation des Hosts auszuschließen) Eben alles was nötig ist.
Ich habe jetzt keine Lust hier alles bis ins Detail nieder zu schreiben - beantworte dir aber gerne jede spezifischere Frage.

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Und an der Stelle haben wir das erste Problem.

2.4. Code ist nicht immer bekannt!

Aktuelle Viren und Würmer laden Code-Teile aus dem Internet nach. Man kann nie ganz genau sagen, wann die Infektion stattgefunden hat (es sei denn, man hat sie ganz bewußt herbei geführt und dabei auf die Uhr geschaut). Ebenso überwacht niemand die Server, auf denen diese Fragmente lagern (zumindest anfangs nicht). Man weiß also hinterher nicht, was vorher mal dort gespeichert war. Also weiß auch niemand, was für Code zum Zeitpunkt der Infektion heruntergeladen und ausgeführt wurde. Daher ist es einem Removal-Tool unmöglich, die von diesen Code-Teilen durchgeführten Manipulationen rückgängig zu machen.

Es kommt übrigens durchaus vor, dass die Virenautoren den im Internet bereitstehenden Teil ihres Virus austauschen, um beispielsweise den Maßnahmen der Antivirenfirmen zu entgehen.

2.5. Hintertüren können für weitere Manipulationen genutzt werden!

Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch die der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" oder "Bot" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)

Selbst wenn das Removal-Tool also den Wurm vollständig und restfrei entfernen könnte, so könnte es niemals erraten, was der Virenautor nachher selbst noch alles geändert hat. Diese Änderungen müssen ihm also entgehen.

Diese Backdoor ist noch vergleichsweise einfach zu entdecken, da sie von einem Programm eingerichtet wurde, das zwangsläufig weniger schlau ist als ein Mensch und auch nicht viel Code (und damit Funktionalität) enthalten darf, da es ja für den massenhaften Transport über das Internet taugen soll. Das geht am besten mit vergleichsweise kleinen Würmern.

Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.

2.6. Der gefundene Schädling muss nicht der Schuldige sein!

Und eine Möglichkeit wird auch häufig außer acht gelassen: Nämlich die, dass dieser Schädling bewußt als Ablenkung platziert wurde, um dem Benutzer einen Schuldigen für die von ihm beobachteten Auffälligkeiten liefern zu können.

Das läuft also so ab: Ein böser Angreifer schreibt einen Wurm A, der sich via E-Mail verbreitet und eine Backdoor auf dem Systemn installiert. Hat der Wurm einen Rechner übernommen, kann der Angreifer seine zweite Backdoor einrichten. Dann gibt er dem Wurm etwas Zeit, damit dieser das befallene System zur Weiterverbreitung nutzen kann und löscht ihn anschließend. Wurm A hat seinen Zweck damit erfüllt und wird beseitigt.

Nun kopiert er dafür einen Wurm B auf das betroffene System. Wurm B ist ein relativ harmloser, primitiver Vertreter seiner Zunft. Von ihm ist bekannt, dass er keine Hintertüren oder ähnliches einrichtet.

Wenn der Anwender sowieso nichts gemerkt hat, spielt das ja keine Rolle. Aber falls der Nutzer Verdacht geschöpft hat (weil das System sich während der Infektion oder Verbreitung vielleicht seltsam verhielt) und es dann auf Viren untersucht, wird ihm (bestenfalls) gemeldet: "Wurm B gefunden". Der Anwender entfernt Wurm B dann rückstandsfrei und wähnt sich wieder in Sicherheit. Da die Ursache für das Problem ja (scheinbar) ermittelt und beseitigt wurde, hat er keine Veranlassung, tiefer zu graben und dabei vielleicht auf die Hintertür zu stoßen.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

MantiCore · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Es ist zwar schön und gut, das du uns hier einen Weg verständlich machen möchtest, wie man sein System sauber bekommt, aber eine Neu-Installation ist sicherlich nicht ständig von Nöten.

Was mir allerdings aufgefallen ist, das du dir in jedem zweiten Post selbst widersprichst. Alex² hat schon vollkommen recht, auch wenn mans mit Ext. Hardware und so übertreiben kann....

Wenn ich einen Virus habe, versuche ich den natürlich erstmal OHNE Neu-Installtion zu entfernen, aber 2 - 3 Tage später formatiere ich, das hat aber eher den Grund, das ich mich sicherer damit fühle, was nicht heißen soll, das der Virus noch da ist...

Und damit möchtest du uns nun vermitteln, das man seinen PC Monat für Monat neu installieren muss, weil man VIEllEICHT einen Virus drauf hat? Ich meine, ich hab AntiVir am Laufen und es schlägt nichts an...hab ich jetzt vllt. einen Virus drauf und merke es nicht?

Ich bitte dich um Hilfe, weil ich nicht gerne VIELLEICHT einen Virus auf meiner Platte haben möchte...was rätst du mir jetzt? Format C:\ oder?! :lol:

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Haben wir nicht, da du gerade von einem Szenario ausgegangen bist in dem der AV schon angeschlagen hat. Also weiß ich womit ich es ursprünglich zu tun hatte.

//[IRONIE AN]

Ich empfehle dir folgende Batch, falls eine geheime Nina-Partition angelegt wurde:

Code:

format a:\
format b:\
format c:\
format d:\
format e:\
format f:\
format g:\
format h:\
format i:\
format j:\
format k:\
format l:\
format m:\
format n:\
format o:\
format p:\
format q:\
format r:\
format s:\
format t:\
format u:\
format v:\
format w:\
format x:\
format y:\
format z:\
format ä:\
format ö:\
format ü:\
format ß:\

Man kann sich NIEMALS sicher sein!11111elf

[/IRONIE OFF]

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Inwieweit widerspreche ich mir?
Ich behaupte - Sobald ein begründeter Verdacht vorhanden ist gibt es nur die Möglichkeit, den PC zu formatieren. Punkt.
Warum? Weil man nicht prüfen kann, ob man alles entfernt hat und das System auch in gleichem Zustand wie vor der Infektion wiederhergestellt wurde.

Und wenn du das Gefühl hast, Vielleicht einen Virus zu haben, dann ja - dann solltest du formatieren.

Durchaus möglich. Garantieren dass dein System sauber ist kann dir keiner.

das hast du wohl nicht gelesen oder?

2.4. Code ist nicht immer bekannt!

Aktuelle Viren und Würmer laden Code-Teile aus dem Internet nach. Man kann nie ganz genau sagen, wann die Infektion stattgefunden hat (es sei denn, man hat sie ganz bewußt herbei geführt und dabei auf die Uhr geschaut). Ebenso überwacht niemand die Server, auf denen diese Fragmente lagern (zumindest anfangs nicht). Man weiß also hinterher nicht, was vorher mal dort gespeichert war. Also weiß auch niemand, was für Code zum Zeitpunkt der Infektion heruntergeladen und ausgeführt wurde. Daher ist es einem Removal-Tool unmöglich, die von diesen Code-Teilen durchgeführten Manipulationen rückgängig zu machen.

Es kommt übrigens durchaus vor, dass die Virenautoren den im Internet bereitstehenden Teil ihres Virus austauschen, um beispielsweise den Maßnahmen der Antivirenfirmen zu entgehen.

2.5. Hintertüren können für weitere Manipulationen genutzt werden!

Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch die der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" oder "Bot" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)

Selbst wenn das Removal-Tool also den Wurm vollständig und restfrei entfernen könnte, so könnte es niemals erraten, was der Virenautor nachher selbst noch alles geändert hat. Diese Änderungen müssen ihm also entgehen.

Diese Backdoor ist noch vergleichsweise einfach zu entdecken, da sie von einem Programm eingerichtet wurde, das zwangsläufig weniger schlau ist als ein Mensch und auch nicht viel Code (und damit Funktionalität) enthalten darf, da es ja für den massenhaften Transport über das Internet taugen soll. Das geht am besten mit vergleichsweise kleinen Würmern.

Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.

2.6. Der gefundene Schädling muss nicht der Schuldige sein!

Und eine Möglichkeit wird auch häufig außer acht gelassen: Nämlich die, dass dieser Schädling bewußt als Ablenkung platziert wurde, um dem Benutzer einen Schuldigen für die von ihm beobachteten Auffälligkeiten liefern zu können.

Das läuft also so ab: Ein böser Angreifer schreibt einen Wurm A, der sich via E-Mail verbreitet und eine Backdoor auf dem Systemn installiert. Hat der Wurm einen Rechner übernommen, kann der Angreifer seine zweite Backdoor einrichten. Dann gibt er dem Wurm etwas Zeit, damit dieser das befallene System zur Weiterverbreitung nutzen kann und löscht ihn anschließend. Wurm A hat seinen Zweck damit erfüllt und wird beseitigt.

Nun kopiert er dafür einen Wurm B auf das betroffene System. Wurm B ist ein relativ harmloser, primitiver Vertreter seiner Zunft. Von ihm ist bekannt, dass er keine Hintertüren oder ähnliches einrichtet.

Wenn der Anwender sowieso nichts gemerkt hat, spielt das ja keine Rolle. Aber falls der Nutzer Verdacht geschöpft hat (weil das System sich während der Infektion oder Verbreitung vielleicht seltsam verhielt) und es dann auf Viren untersucht, wird ihm (bestenfalls) gemeldet: "Wurm B gefunden". Der Anwender entfernt Wurm B dann rückstandsfrei und wähnt sich wieder in Sicherheit. Da die Ursache für das Problem ja (scheinbar) ermittelt und beseitigt wurde, hat er keine Veranlassung, tiefer zu graben und dabei vielleicht auf die Hintertür zu stoßen.

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Wenn ich die ur-Malware klar identifiziert habe und verifiziert ist, dass diese keine Möglichkeit hat etwas zu downloaden, kann ich die beruhigt entfernen und mir sicher sein, dass sie nichts geladen hat. Du musst das Zitat nicht jedes mal posten, ich kenne den Text inzwischen sehr gut.

Achja nochmal was neues, damit uns nicht langweilig wird:

Der Titel ist unpassend, ich habe bis jetzt immer nur das OS neu installiert, nie den ganzen Rechner. Oder soll ich alles einmal demontieren, verpacken und wieder einbauen?! :O

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Dann Frage ich anders.
Wie identifizierst du die "ur-Malware"

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Das stellt sich in deinen utopischen Szenarien schwierig dar (wobei es teilweise Möglichkeiten gibt). Ich stimme dir zu. Aber genau diese Art von Argumentation kann ich auch verwenden um deine Neuinstallation anzugreifen.

Wie ich des öfteren sagte, so was kann man nicht allgemein für alles gültig beantworten. Das sind Entscheidungen, die ich Situations spezifisch treffe. Es gibt auch Situationen in denen ich eine Neuinstallation klar vorziehe, aber eben nicht immer. Ich versuche dir blos zu vermitteln, dass du so was nicht auf diese Art und weise generalisieren kannst.

Es ist nahezu unmöglich in einem fiktiven Szenario alles zu bedenken, dass du mit jeder Antwort komplexer machst, in dem du mit jeder Antwort neue Variablen hinzufügst.
In der Realität sehen die meisten Szenarien aber nicht so aus.

Ich wiederhole mich erneut: Solange wir nicht von dieser hypothetischen Ebene weg kommen (was uns sehr wahrscheinlich aufgrund der Rahmenbedingungen nicht gelingen wird) ist diese Diskussion endlos.

Die Entscheidung muss passend zu den Umständen getroffen werden. Also ehr:

"Wann man bei Infektionen den Rechner neu installieren sollte." (Deine Antwort darauf ist: IMMER)

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Ok,

dann frage ich nocheinmal anders - wie definierst du wann eine Neuinstallation vorzuziehen ist. Nach welchen Kriterien gehst du hier vor?

Ursprünglich war es, "nachdem die Ur-Malware definiert wurde."
Ich behaupte: Das ist nicht sicher möglich.

Jetzt weichst du aus. Erklärst nicht, WIE du die Ur Malware identifizieren würdest. Sondern bringst die Situation wieder an den Anfang. Und das ist FALSCH.
WEIL
Man nicht zwischen Theorie und Praxis unterscheiden kannst.

Es gibt keine Sicherheit, die "ur-malware" gefunden zu haben. Stattdessen kann es sich dabei auch um einen Ablenkungsbefund handeln. Es kann, muss aber nicht. Aber Niemand kann dies ohne Vorbereitung beantworten.

Es geht bei dieser ganzen Frage nicht um "man kann aber alles gefunden haben" sondern es geht um die Beweisführung, dass man alles gefunden hat.

Solange diese Beweisführung nicht erbracht werden kann bleibt nur eine Konsequenz übrig. Neuinstallation.

Und jetzt komme ich noch einmal auf die Frage von Manticore zurück.

Das können wir dir nicht beantworten. Dafür müsstest du dein System mit einem sauberen Backup vergleichen. Sind beide identisch liegt die Ursache für deinen Verdacht nicht in einer Malware.

Das wäre eine Möglichkeit. Aber ein solcher Vergleich wäre schon aufwendiger als eine Neuinstallation.

Du Alex² behauptest - in definierten Szenarien eine solche Entscheidung treffen zu können. Ich kann das nicht. Und ich behaupte, du kannst das auch nicht. Da eben diese immer neuen Variablen nicht nur in der Theorie sondern auch in der Praxis neu hinzukommen können. Das können wir aber nicht erkennen.

Folgendes Szenario:

Du sagst jetzt, der Rechner ist sauber, - Wurm B ist die von dir erkannte "Ur-Malware". Alle Änderungen der Ur-Malware sind rückgängig gemacht worden. Super.

Ich sage er ist es nicht.

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Ich glaube es gibt keine Malware, die so komplex handelt wie dein Gehirn in dieser Diskussion. Du arbeitest effektiv gegen mich - das ist eine sehr hohe Stufe an Komplexität. Diese Komplexität wirst du in der Realität selten bis gar nicht finden, das würde schon an starke KI grenzen.

Ein letztes mal:

Ich stimme mit dir über ein, dass man sich nie 100% sicher sein kann ob man etwas entfernt hat oder nicht.

Ich sage nach wie vor folgendes:

Es kommt wesentlich häufiger vor, dass die Malware simpel genug gestrickt ist, um sie zu entfernen. Liegen hierfür genügend Anhaltspunkte vor führe ich keine Neuinstallation durch und nehme das (geringe) Risiko in kauf etwas übersehen zu haben, gewinne dafür aber Effizienz.

Beispiel:

Ich fange mir irgendeinen veralteten Wurm aus dem Jahre, sagen wir 2000 ein der noch rum irrt.

> Es macht keinen Sinn, dass dieser von irgendeiner komplexen Maleware nach geladen wurde.
> Es sind genügend Informationen bekannt um ihn sicher entfernen zu können.

Diese 2 Punkte reichen meiner Einschätzung nach vollkommen aus um diese Entscheidung zu verantworten (hierbei spielt allerdings auch wieder die Situation bzw. die Verwendung des PCs eine Rolle)

Das was ich sage, basiert auf praktischen Erfahrungen und ist an die Realität gebunden.
Das was du sagst, ist nicht falsch allerdings teilweise sehr Realitätsufern und praktisch teilweise unbrauchbar.

Du berufst dich nur auf Arbeiten von Anderen oder (pseudo) Fakten. Die "man kann sich nicht sicher sein"-Argumentation ist zwar grundsätzlich richtig, aber nicht uneingeschränkt auf die Praxis anwendbar.

Du wählst hier immer genau den Ausschnitt, der deiner Argumentation zuspielt.

Wir können unseren Postcount aber gerne weiter hier pushen.

//
Dein Quelltext bzw. deine Argumenation passt zu 100% auf folgende Situation:

Der Server einer Datenverarbeitungs-Stelle wird gezielt angegriffen und infiltriert.

In diesem Fall ist jede der genannten Maßnahmen ohne Kompromisse auszuführen.

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Oder deine Argumentation mit meinen Worten in kurz:

Alex² · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Deine ist in meinen kurz:

Um auf deine Metapher zurück zu kommen:

Du bist jemand, der noch nie in einem Wald war, aber viel gehört hat und daher weder seine Größe noch die Gefahren realistisch einschätzen kann. Deswegen neigst du zu übertriebener Vorsicht, die dir viel Zeit und andere Ressourcen raubt.

spotting · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Aber ich weiß, dass es einen Wald gibt. Sobald ich im Möbelmarkt einen Holztisch sehe.

Und noch ein Punkt den du Missverstehst.
Zeit und Ressourcen. wird durch eine Neuinstallation eher gespart. Ich brauche für eine Neuinstallation bis zu dem Punkt, an den ich vor der Neuinfektion war 15 - vielleicht 20 Minuten.
Deine Prüfungen Test, Anschließen externer Hardware dauert mitunter Garantie länger. Jetzt muss man natürlich noch die Zeit mit einrechnen, die ich gebraucht habe um mein System einmal entsprechend abzusichern.

Und - meinen Bezug zur Praxis zu beurteilen steht dir nicht zu.

Kirill · 3. September 2010

AW: Warum man bei Infektionen den Rechner neu installieren sollte...

Das ist ja mal lustig hier. :lol:

Was Alex² dir zu erklären versucht ist folgendes:

Nehmen wir mal an Alex² hat sich etwas heruntergeladen. Auf einmal schlägt seine AV-Alarm und gibt ihm folgende Informationen: Art von Malware und Bezeichnung. Nun begibt sich Alex² nach der suche (anhand der Bezeichnung) und findet heraus, dass es sich um eine Malware aus dem Jahre: 2003 handelt. Diese Malware speichert sich alle Tastenschläge ab und versucht dann die Datei auf einen FTP-Server hochzuladen. Dabei findet Alex² zusätzlich die IP und den Port des Servers.

So nun:

Punkt1:
Da es sich um ein veraltete Malware handelt (in diesem Fall ein Trojaner) und diese von der AV erkannt worden ist, kann man davon zu 100% ausgehen, dass die AV den Trojaner entfernt hat.

Punkt2:
Damit Alex² dann noch die AV überprüft, prüft er selber nochmal nach allen offenen Ports und deren IPs.

So nun konnte Alex² unter Punkt2 auch nicht auffälliges finden. Wieso sollte er dann formatieren? Damit wäre deine Aussage, dass jeder Rechner nach einem Befall zu formatieren ist falsch.

###

Was du meinst ist beim folgendem Fall:

Nehmen wir mal an Alex² hat sich etwas heruntergeladen. Auf einmal schlägt seine AV-Alarm und gibt ihm folgende Informationen: Art von Malware und Bezeichnung. Nun begibt sich Alex² nach der suche (anhand der Bezeichnung) und findet heraus, dass es sich um eine Malware aus dem Jahre: 2010 handelt. Darüber hinaus findet Alex² noch heraus, dass diese Malware noch andere Malware-Arten auf den Rechner dropped und ihr Verhalten dabei stetig ändert. Nun ist sich Alex² nicht sicher und formatiert sein Rechner, da die Gefahr besteht, dass die AV was übersehen hat.

Dein Satz mag in den meisten Fällen zu treffen, aber ist Fachlich gesehen falsch. Und dies versucht dir Alex² zu erklären. Da sich viele bereits bekannte Schadsoftware rückstandslos beseitigen lässt (vor allem aus den vergangenen Jahren).

Grüße
Kirill

Nützliche Suchen

Warum man bei Infektionen den Rechner neu installieren sollte

Videos zum Themenbereich