Mega Virus eingefangen, was tun?!
- Ersteller vram78
- Erstellt am
I
IRON67
Gast
purzelbär schrieb:
Wenn du so fragst: ja, glaube ich. Denn die Opfer sind per se nicht in der Lage, zu beurteilen, ob ihnen mit einer der dort üblichen "Bereinigungen" nach Schema F geholfen wurde oder nicht. Sie sind es zufrieden, wenn die offensichtlichen Symptome verschwunden sind und ihre Scanergebnisse nichts Bedrohliches mehr zeigen.
TheInterceptor
Banned
- Registriert
- Feb. 2016
- Beiträge
- 545
purzelbär schrieb:
Ja. Wieso nicht?
Deiner Logik nach würde der Mensch auch schon längst ausgerottet sein. Verbrechen, Kriege, Lügen, alles Stümper.
Zu sagen, dass eine komplette Bereinigung machbar ist, ist einfach falsch.
Das System ist komplett kompromittiert. Was letztendlich drauf ist, kann niemand sagen.
Das einzige was gesichert ist, ist, dass das System infiziert worden ist. Was da letztendlich alles drauf ist, was für Veränderungen die Schadsoftware getätigt hat, kann nicht gesagt werden. Es ist einfach nicht möglich. Punkt. Ende aus.
Du weißt es eigentlich besser, nach so vielen Jahren Erfahrung hier. Oder du bist einfach furchtbar dumm. Vielleicht möchtest du den Leuten auch nicht helfen. Denn HIlfe ist falscher Rat nicht.
Ich denke, wenn du finanziell für die "Sauberkeit" eines Systems nach deinem stümperhaften Rat bürgen müsstest, würdest du dich hier ganz schnell verziehen.
Leute vertrauen dann fälschlicherweise ihrem PC, weil sie dir vertrauen. Das ist grauenvoll. Wie kann man nur sowas verantworten?
Merle schrieb:
Du hast nach bestätigter Infektion keine Garantie. Bei einer Neuinstallation weißt du wenigstens, dass du keine nachgewiesene Vorkompromittierung hast. Das ist die notwendige und maximale Sicherheit, die du haben kannst. Das lässt sich aber noch erweitern. Deswegen gibt es auch offene Hardware und Prüfsummen für Downloads, etc.
Da gibt es so viele Befallsszenarien. Exploitkits, bzw. präparierte Seiten, die einfach verkauft/gemietet werden, sodass mehr als einer durch das Infektionsereignis Schadsoftware installieren will. Dieselbe Lücke, die vielleicht schon vorher nicht bemerkbar ausgenutzt worden ist. Schadsoftware, die gezielt Lücken in Schadsoftware ausnutzt um sich selber zu verbreiten. So werden z.B. auch unter anderem Botnetze übernommen.
Dieses Forum sollte keine Pseudobereinigungsstelle sein. Hier sollte man einander vertrauen können. Das Thema ist brandgefährlich. Hier sollte beraten werden, wie Leute mit ihren speziellen Setups und Anforderungen sich absichern können ud für Notfälle planen sollen, und nicht, wie man sich gegenseitig falsches Vertrauen in kompromittierte Software einbläut und so Daten und Geld riskiert.
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.622
Die Garantie hast du schon vor *bestätigter* Infektion nicht.
Zudem bringen Hersteller Tools gegen einzelne Viren raus, weil jene wissen, was der Virus in allen seinen Ablegern so mitbringt und wo man suchen muss. Ich lehne mich mal weit aus dem Fenster und sage, dass das keine Magie ist und die Jungs aufm Trojanerboard schon auch den ein oder anderen Schädling in allen seinen bisher bekannten Varianten kennen, wie die AV Hersteller.
Ja, das sind noch immer keine 100%. Aber bei einem bekannten Schädling kann durchaus geholfen werden. Du solltest dir vielleicht dort einfach mal ein paar Threads ansehen, haben mir auch schon geholfen bei Browserhijacking.
Bitte verwechsle das hier nicht mit einer Empfehlung, da kanns von mir nur eine geben: Neuinstallation. Aber du übertreibst es schon auch in deiner Ausführung. Es obliegt nun dem Trojanerboard, zu beurteilen, ob der Infekt so gravierend ist, dass sie eine Neuinstallation empfehlen. Und vielleicht hört der TE ja auf die, hier ist er irgendwie "verbrannt" in der Diskussion.
TheInterceptor
Banned
- Registriert
- Feb. 2016
- Beiträge
- 545
Merle schrieb:
Bitte meinen Post richtig lesen. Es gibt gravierende Unterschiede zwischen einer kontrollierten Neuinstallation und einem Bereinigungsversuch mit ungewissem Ausgang.
Merle schrieb:
Oh, Hersteller, also FIrmen? Sind das nicht die, die auch den ganzen anderen Kram verkaufen?
Ja, sind sie.
Merle schrieb:
Du hast mein Posting wirklich nicht gelesen. Es geht nicht nur um die Ungewissheit der Entfernung einer Schadsoftware.
Merle schrieb:
Fall nicht raus.
Was du tust, nennt sich "Post-Hoc-Rationalisierung".
Die Unterscheidung ist schlichtweg nicht möglich. Dafür brauchst du eine Sicherung des speziellen kompromittierten Systems im vorherigen Zustand. Bit für Bit.
Ich glaube sämtliche System-Images aller Rechner passen nicht in die 10MB AVSoftwareInstaller.exe, die du dir runterlädst.
Merle schrieb:
Hey, ich poste zwar hier nicht sonderlich lange, das ist aber kein quantitativer Nachweis meines Wissens- oder Erfahrungsvermögens. Außerdem, definiere "ansehen". Du hast ja nichtmal mein einziges Posting richtig gelesen. Was bedeutet dann "ansehen" für dich.
Merle schrieb:
Wow, das ist dreist. Das Trojanerboard ist nicht der oberste Gerichtshof oder die Inquisition. Genauso gut könnte ich sagen, man soll Thema xyz bei den absoluten "Experten(R)" im Computerbild-Forum oder werweisswas.de klären, denn nur die haben die Weisheit mit dem Löffel gefressen.
Da gibt es ein riesen Board von Leuten, die keine Ahnung haben. Und Opfern, die diesen Leuten blind vertrauen und im Nachinein falsch advokieren, weil nur noch alle 10 und nicht 5 Minuten ein Pop-up aufgeht. Gleich und gleich gesellt sich halt gern in diesem Fall. Man kennt das auch bei bestimmten Parteien. *hust*
Merle schrieb:
Zu spät. Das liegt daran, dass man ein so extrem wichtiges Thema nicht aufweichen sollte. Da muss man halt knallhart für Aufklärung sorgen. Nicht jeder betreibt Online-Banking, aber mittlerweile hat jeder Steam-Accounts mit ordentlichem Wert und Social Media-Kram bzw. ein ganzes soziales Image, dessen Zugangsdaten man nicht an irgendein Botnetz verlieren sollte und möchte.
Wenn mich hier jemand fragt, was bei einem kompromittierten System zu tun ist, dann kriegt man von mir die ehrliche Antwort. Hier heißt es definitiv Vor- statt Nachsorge. Und Vorsorge ist definitiv ein schwieriges Thema bei den meisten Nutzern. Nicht jeder ist sonderlich hell, und nicht jeder hat noch seinen Eichhörncheninstinkt beibehalten und projiziert dieses Bedürfnis auf vernünftige Backups. Im Nachhinein belügt sich der Mensch lieber, als dass er sofort "Arbeit" verrichten müsste. Und schon glaubt man so einen Stuss und freundet sich mit einer vermeintlichen "Bereinigung" an. Und mit Angst macht man Geld. Guck dir doch mal einen AV-Scanner an. Pop-Ups, Zugriffskontrollen, "anonyme Statistiken" die hochgeladen werden. "SCHNELL, BESCHÜTZEN SIE SICH JETZT! MIT DEM NEUEN PREMIUM-FEATURE!"
Da wird ordentlich Geld durch Panikmache gemacht. Und im Grunde genommen ist sowas Malware/Spyware/Scareware.
I
IRON67
Gast
Zu deinem Aus-dem-Fenster-lehnen:
Es sollte vielleicht mal klargestellt werden, dass die erfolgreiche Identifizierung einer Malwareinfektion und Zuordnung eines "Namens" keineswegs bedeutet, dass die so "erkannte" Malware tatsächlich genau die Variante ist, die bereits bekannt ist. Und vor allem: es ist weiterhin unbekannt, ob nicht weitere Folge- oder Parallelinfektionen übersehen wurden.
Man kann sich das noch so schön reden im gelben Board und anderswo, aber zu glauben, man könne eine einzelne Infektion irgendwie anders als durch Neuaufsetzen rückgängig machen, ist und bleibt fahrlässig. Es reicht nicht, zu wissen, was Malware X bekanntermaßen tut und welche Dateien entfernt oder welche dokumentierten Manipulationen rückgängig zu machen sind.
Es obliegt nicht den wohlmeinenden Helfern, zu beurteilen, ob eine Infektion so schwerwiegend ist. Sie ist immer der worst case. Mittlerweile ist es selbst bei Adware schon so weit, dass man kaum noch guten Gewissens eine partielle Reparatur empfehlen kann - viel weniger bei ernsthaften Infektionen.
Es sollte vielleicht mal klargestellt werden, dass die erfolgreiche Identifizierung einer Malwareinfektion und Zuordnung eines "Namens" keineswegs bedeutet, dass die so "erkannte" Malware tatsächlich genau die Variante ist, die bereits bekannt ist. Und vor allem: es ist weiterhin unbekannt, ob nicht weitere Folge- oder Parallelinfektionen übersehen wurden.
Man kann sich das noch so schön reden im gelben Board und anderswo, aber zu glauben, man könne eine einzelne Infektion irgendwie anders als durch Neuaufsetzen rückgängig machen, ist und bleibt fahrlässig. Es reicht nicht, zu wissen, was Malware X bekanntermaßen tut und welche Dateien entfernt oder welche dokumentierten Manipulationen rückgängig zu machen sind.
Es obliegt nicht den wohlmeinenden Helfern, zu beurteilen, ob eine Infektion so schwerwiegend ist. Sie ist immer der worst case. Mittlerweile ist es selbst bei Adware schon so weit, dass man kaum noch guten Gewissens eine partielle Reparatur empfehlen kann - viel weniger bei ernsthaften Infektionen.
scooter010
Commander
- Registriert
- Sep. 2014
- Beiträge
- 2.813
Ich schließe mich meinen Vorrednern 100% an. Aber wenn ich bei meinen Eltern, Brüdern, Großeltern, Tanten, Onkels,... Wegen jeder Browser toolbar eine Neuinstallation als einziges Mittel zur Behebung "verkaufen" würde, wäre ich in 0,nix im Bahn.comfort status. Da ist eine teamviewer Sitzung mit "Auf dein Risiko" Lippenbekenntnis für beide Seiten angenehmer... Ist nicht richtig, aber nach 10 Jahren habe ich es aufgegeben, meinen Familien- und Freundeskreis für das Thema zu sensibilisieren. Der Spruch "Ein unsicherer Computer ist wie mit einem offenen Rucksack auf dem Rücken mit Portmonee und Handy drin betrunken über das Oktoberfest zu laufen." zieht auch nicht mehr...
P.S.: Der größte Risikofaktor für meine Familie sitzt wohl 50-80 cm VOR dem PC, da gibt es auch leider keine (Auto-)updates für...
P.S.: Der größte Risikofaktor für meine Familie sitzt wohl 50-80 cm VOR dem PC, da gibt es auch leider keine (Auto-)updates für...
Merle
Fleet Admiral
- Registriert
- März 2009
- Beiträge
- 11.622
Ich habe mich auf das Zitat bezogen, und auf deinen Bezug zu mir. Ich weiß nicht, was das mit dem restlichen Posting soll? Schau dir dort einfach mal ein paar Threads an. Und zu dem weiteren kruscht: siehe mein letzter Satz im letzten Post.
Wie meinen? Die können es erneut evaluieren, und der TE kann erneut entscheiden, ob er denen glaubt. Von uns gabs ja die Empfehlung Neuinstallation.
TheInterceptor
Banned
- Registriert
- Feb. 2016
- Beiträge
- 545
scooter010 schrieb:
Vollbackup machen mit Acronis (sind bei mir mit massig Programmen und ohne Spiele 30gb) und innerhalb von 20 Minuten(!) aufspielen lassen.
I
IRON67
Gast
Merle schrieb:
Nein, können sie eben nicht und der TE kann so viel entscheiden, wie er will. Das ändert rein gar nichts an der Realität. Kein Mensch kann aus der Ferne mit Hilfe irgendwelcher Scans evaluieren, wie der Status des Systems ist. Das ist absolut unmöglich. So eine Analyse bleibt zwangsläufig Stückwerk und unterliegt obendrein Kommunikationsfehlern auf beiden Seiten. Solange du das nicht verstehst, hat es keinen Sinn, das Thema weiter zu vertiefen.
Nicht einmal ein erfahrener Nutzer könnte mit unmittelbarem physischen Zugriff auf das System definitive Aussagen machen - außer eben der, dass es kompromittiert wurde.
scooter010
Commander
- Registriert
- Sep. 2014
- Beiträge
- 2.813
@iron67: ich Stimme die ja zu. Muss ich mir jetzt aber auch nach jeder Infektion (seit Jahren keine mehr gehabt) einen neuen rechnet zulegen, weil es ja nun sich bootkits im uefi gibt/geben kann (uefi sind ja löchriger als ein schweizer Käse, da nützt auch secureboot nichts), bzw in der SSD/HDD Firmware, im RAID controller, im BIOS Dr Graka?
Was ich damit sagen will: IT-Sicherheit ist immer relativ, nie absolut. Man muss immer Kompromisse eingehen. Je nachdem, wozu man bereit ist, kann auch ein Trojaner forum helfen, den Kompromiss für sich selbst abzuwägen. Nur weil der Kompromiss offensichtlich und auch für dich schlecht ist, kann er trotzdem (wie auch immer) für einen Einzellnen DAU (=die meißten) annehmbar sein.
Was ich damit sagen will: IT-Sicherheit ist immer relativ, nie absolut. Man muss immer Kompromisse eingehen. Je nachdem, wozu man bereit ist, kann auch ein Trojaner forum helfen, den Kompromiss für sich selbst abzuwägen. Nur weil der Kompromiss offensichtlich und auch für dich schlecht ist, kann er trotzdem (wie auch immer) für einen Einzellnen DAU (=die meißten) annehmbar sein.
Zuletzt bearbeitet:
I
IRON67
Gast
Bootkits sind eine nicht sonderlich verbreitete Bedrohungs-Variante im privaten Bereich. Ausgerechnet sowas als Argument zu verwenden, ist ein bissel extrem. Wie ernsthaft möchtest du die Diskussion denn führen? Und ich widerspreche nochmals: das gelbe Board kann einem beim Finden eines Kompromisses nicht helfen. Natürlich entscheidet der Betroffene, was für ihn "annehmbar" ist. Das Problem ist, dass dieses Board nicht haftbar gemacht werden kann und daher - so sehe ich das jedenfalls - in erster Linie auf die "Kundenzufriedenheit" und das eigene Prestige Rücksicht nimmt und nicht auf die Sicherheit der betroffenen Systeme.
Was dort zu kurz kommt, ist den Opfern in aller Deutlichkeit und ohne jegliches Schönreden die Konsequenzen zu verdeutlichen, die ein kompromittiertes System nicht nur für das fragende Opfer sondern auch für alle anderen Internet-Nutzer hat und in Zukunft haben wird, wenn es nicht komplett neu aufgesetzt wird.
Man sieht doch auch hier, wie es läuft immer wieder aufs Neue. Erklärt man einem Neuling, er müsse neuaufsetzen, kommt zwangsläufig die Frage "Muss das wirklich sein?" und neben dem "JA" von den verantwortungsbewussten Helfern kommen eben auch andere Lösungsvorschläge und genau für diese entscheidet sich das Opfer fast immer entgegen dem Tenor der Empfehlungen.
Was dort zu kurz kommt, ist den Opfern in aller Deutlichkeit und ohne jegliches Schönreden die Konsequenzen zu verdeutlichen, die ein kompromittiertes System nicht nur für das fragende Opfer sondern auch für alle anderen Internet-Nutzer hat und in Zukunft haben wird, wenn es nicht komplett neu aufgesetzt wird.
Man sieht doch auch hier, wie es läuft immer wieder aufs Neue. Erklärt man einem Neuling, er müsse neuaufsetzen, kommt zwangsläufig die Frage "Muss das wirklich sein?" und neben dem "JA" von den verantwortungsbewussten Helfern kommen eben auch andere Lösungsvorschläge und genau für diese entscheidet sich das Opfer fast immer entgegen dem Tenor der Empfehlungen.
TheInterceptor
Banned
- Registriert
- Feb. 2016
- Beiträge
- 545
scooter010 schrieb:
Nö, musst du nicht. Du kannst die Dinger ja theoretisch auch flashen.
Wenn ich mir aber die Frage stellen soll zwischen einer Neuinstallation/einem Backup (dauert wirklich 20 Minuten, ich habs gemessen) und einem Vollscan mit einem/zwei/drei/vier/zehn AV-Scannern, die mir meinen Rechner nicht bereinigen können...
scooter010 schrieb:
Du vergleichst hier gerade Äpfel mit Birnen. Da kannst du auch sagen, ich installiere nicht neu, schließlich kann ja jemand in meine Wohnung einbrechen, aus mir alle Passwörter herauspeügeln und mich dann ins Koma schicken. Genauso wahrscheinlich, wie ein Virus im UEFI oder im Controller, die werden nämlich für gezielte Angriffe genutzt.
Kommen wir jetzt aber mal zur normalen Computersabotage. Genau Malware, Trojaner und Viren laden gerne noch einiges nach, gerade damit sie im Fall einer Entdeckung nicht komplett entfernt werden, oder sie reißen Lücken ins System, die von Anderen ausgenutzt werden können.
Wenn du diese alle suchen willst, bitte. Da geht aber Neuaufsetzen schneller.
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.742
.........tja dann pack ich mir das Paragon Boot Medium ins CD Laufwerk, boote den Rechner und habe hier die freie Auswahl:
und das einspielen eines Backups der Partition C dauert ca. 25-30 Minuten und wen es eine der anderen 2 Partitionen wäre, dauert es ungefähr 10 Minuten weniger. Das Problem aber hier und TB Forum ist auch das: User die sich melden mit infizierten Systemen haben warum auch immer keinerlei Backups und schrecken davor zurück alles komplett neu installieren zu müssen. Nehmen wir meinen PC mit Windows 7 auf dem nicht wirklich viel installiert ist als Beispiel: müsste ich da alles komplett neu aufspielen, säße ich garantiert 2-3 Tage dran und mit den Backups hätte ich alle 3 Partitionen in ungefähr 1 Stunde 15 Minuten wieder eingespielt. Ist das ein Zeitunterschied oder nicht? Auch deshalb schreib ich immer wieder in Foren zu Usern: kauft euch eine USB Festplatte und macht regelmässig Backups.Lese mal das Posting hier von mir
so geht es noch schneller
maikrosoft
Commander
- Registriert
- Mai 2007
- Beiträge
- 2.433
Das Wichtigste übersehen die meisten: ist Windows open Source?
Können AV Hersteller und Cleaningtoolanbieter den gesamten Quellcode des OS einsehen und dementsprechend auch alles wieder richten?
Nein!
Man sieht ja wie oft AV Programme Systemdateien als schädlich einstufen und damit im schlimmsten Fall das OS killen. Das passiert nicht nur bei Free AVs.
Auch bekommen es viele AV Hersteller nicht ein mal hin ihr Produkt zu einer reibungslosen Zusammenarbeit mit dem Wartungscenter von Windows zu programmieren.
Ich lese auch des öfteren im Trojaner Board mit und finde es toll wie sich da bemüht wird den geholfenen Usern falsche Sicherheit vorzugaukeln. Denn auch die Helfer vom TB kennen den Quellcode von Windows nicht. Und nur weil deren Tools dann nichts mehr anzeigen heißt das noch lange nicht das alle Systemdateien wieder i.O. sind.
Ein kompromittiertes System ist einfach nicht mehr vertrauenswürdig, da helfen auch keine Tools usw.
Können AV Hersteller und Cleaningtoolanbieter den gesamten Quellcode des OS einsehen und dementsprechend auch alles wieder richten?
Nein!
Man sieht ja wie oft AV Programme Systemdateien als schädlich einstufen und damit im schlimmsten Fall das OS killen. Das passiert nicht nur bei Free AVs.
Auch bekommen es viele AV Hersteller nicht ein mal hin ihr Produkt zu einer reibungslosen Zusammenarbeit mit dem Wartungscenter von Windows zu programmieren.
Ich lese auch des öfteren im Trojaner Board mit und finde es toll wie sich da bemüht wird den geholfenen Usern falsche Sicherheit vorzugaukeln. Denn auch die Helfer vom TB kennen den Quellcode von Windows nicht. Und nur weil deren Tools dann nichts mehr anzeigen heißt das noch lange nicht das alle Systemdateien wieder i.O. sind.
Ein kompromittiertes System ist einfach nicht mehr vertrauenswürdig, da helfen auch keine Tools usw.
TheInterceptor
Banned
- Registriert
- Feb. 2016
- Beiträge
- 545
purzelbär schrieb:
Das hat aber nichts damit zu tun, dass ein kompromittiertes System nicht mehr bereinigt werden kann.
Da muss ganz klar das Nutzerverhalten umerzogen werden. Da wird praktisch Suchties durch den falschen Rat dreckiges Heroin gegeben anstatt sie in ein Entzugsprogramm zu stecken. Das ist einfach keine Hilfe, sondern eine Verschlimmerung der Gesamtsituation in jederlei Hinsicht.
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.742
maikrosoft, egal ob hier oder im TB Forum oder in einem anderen Forum wo User mit Infizierungen Hilfe suchen wirst du immer einen gemeinsamen Nenner bei den hilfesuchenden Usern finden: Sie wollen sehr oft ihr System nicht neu aufsetzen müssen und so lange das so ist, wird es Diskussionen wie diese hier immer in den Foren geben auch deshalb weil viele der hilfesuchenden User zu faul, zu bequem, zu geizig oder was weiß ich sind, regelmässig Backups von ihren Systemen zu machen wenn diese neu aufgesetzt wurden bzw clean sind. Und diese Missachtung mancher hilfesuchenden User die ärgert mich weil auch wir helfenden User unsere Zeit für die aufbieten.
Würden die User mit infizierten Systemen mehr auf uns hören, bräuchte es gar keine Diskussion ob man ein komprimiertes System bereinigen kann oder nicht weil dann unsere Hilfestellungen in Richtung Userverhalten, Umgang mit dem System und Backups gefruchtet hätte.
Ergänzung ()
Lese dir mal durch was ich gerade maikrosoft geschrieben habeTheInterceptor schrieb:
Würden die User mit infizierten Systemen mehr auf uns hören, bräuchte es gar keine Diskussion ob man ein komprimiertes System bereinigen kann oder nicht weil dann unsere Hilfestellungen in Richtung Userverhalten, Umgang mit dem System und Backups gefruchtet hätte.TheInterceptor
Banned
- Registriert
- Feb. 2016
- Beiträge
- 545
purzelbär schrieb:Lese dir mal durch was ich gerade maikrosoft geschrieben habe
Definiere "uns".
Im Trojanerboard und auch hier bemühen sich ja Leute kräftig Hilfesuchende mit kompromittierten Systemen rumlaufen zu lassen.
purzelbär
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.742
Oh sorry das ich uns geschrieben habe, damit meinte ich allgemein User die Usern mit komprimierten Systemen helfen wollen. Einige plädieren zu recht auf neu aufsetzen, einige auf Bereinigung im besagten Forum und ich favorisiere ehrlich gesagt die Variante Backups obwohl ich die noch nie nutzen musste wegen Komprimietierung meines Systems bis auf eine Ausnahme das war glaube ich 2012 als ich einmal durch Eigenverschulden an einen BKA Ransom geriet. 30 Minuten später war Dank eines zeitnahen Backups der Schreck vorbei und seitdem plädiere ich auch verstärkt für regelmässige Backups.
Und zur Erinnerung extra für dich was ich in Posting 48 geschrieben habe:
Und zur Erinnerung extra für dich was ich in Posting 48 geschrieben habe:
Zuletzt bearbeitet:
