Infizierte PCs "säubern"?

Eigentlich dachte ich, das Thema sei seit Jahren durch. Aber immer wieder beobachte ich in den Foren, dass Helfer versprechen, infizierte PCs wieder zu säubern, odar gar "gesund zu machen". Also möchte ich mal (wieder) folgendes in Erinnerung rufen:

Sicherheit
Wenn Malware ausgeführt wurde, kann niemals mit gutem Gewissen behauptet werden, der PC sei nach der Säuberungsaktion wieder "gesund". Dazu reichen die Mittel der Ferndiagnose nicht aus. Zu diesem Thema ist schon so viel geschrieben worden, dass ich mir Einzelheiten spare.

Daher mal ein paar Aspekte, die häufig vergessen werden:

Herr im eigenen Haus
Schon in dem Augenblick, in dem die Malware zuschlägt, ist man nicht mehr Herr über den eigenen PC. Irgend jemand hat mit dem System etwas angestellt, was man nicht wollte. Aber es wird noch schlimmer, wen man dann einem "Helfer" in irgendeinem Forum überlässt, den "Virus wegzumachen".

Meistens werden weniger versierte User von Malware heimgesucht. Sie vertrauen sich dann einem anonymen Helfer an, der sie anweist, bestimmte Programme runterzuladen, auszuführen und Logs zu posten. Da sie die Vorgehensweise des Helfers gar nicht durchschauen können, müssen sie ihm blind vertrauen. Das hat mit einem eigenverantwortlichen Umgang mit dem PC nichts zu tun. Das selbe gilt für das Ergbnis. Das Urteil des Helfers, der PC sei nun nach erfolgreicher Behandlung wieder sauber, ist für den betroffenen User nicht nachprüfbar.

Zweifelhafte Tools
Viele Tools, die nach Anweisung der Helfer ausgeführt werden sollen, greifen tief in das System ein. Sie haben in den Händen unerfahrener User nichts zu suchen. Außerdem stellt sich die Frage nach der Sachkunde des Helfers. Der betroffene Anwender kann in einem Forum nicht überprüfen, ob der Helfer die nötige Sachkunde hat oder nur Tipps von anderswo nachplappert.

Privatsphäre
Als Hijackthis aufkam, gehörte es zum guten Ton, den Anwender zu bitten, private Einträge im Logfile zu editieren. Davon liest man kaum noch und es erstaunt immer wieder, was User, die bei jedem Tracking Cookie hyperventilieren, so alles in den Combofix- und HJT-Logs preisgeben.

Man erfährt, dass der User "Ratlos" mit Klarnamen Rudi heißt, einen Gebrauchtwagenhandel betreibt und welche Programme er so installiert hat. Und wenn es ganz dick kommt, ist die Gegend, in der Rudi wohnt, Google-fähig einzugrenzen und man kann ihn mal persönlich fragen, was ihn denn so in die Seitenstraßen des Netzes treibt.

Ausweg
Ein verantwortungsvoller Umgang mit Fragen zu verseuchten PCs ist frustrierend. Die meisten User haben keine Images und Backups und wollen den richtigen Rat nicht hören.

Gefragt sind Rattenfänger.

 

Hallo tempranillo

In allen Punkten stimme ich dir vollstens zu. Das Problem ist aber auch, dass gerade PC-Neulinge sich wenig bis gar nicht mit dem Thema "Sicherheit am PC" beschäftigen, warum auch immer. Sie befassen sich erst dann mit dem Thema, wenn es bereits zu spät ist.

Hier könnten PC-Händler vorbeugend eingreifen, indem Sie dem Käufer eines PC's kostenlos oder gegen eine geringe Gebühr von maximal 5 € eine Anleitung mitgeben, wie man den PC virensicher einrichtet. Oder aber der PC wird vom Händler entsprechend virensicher eingerichtet und eine Anleitung zur virensicheren Einrichtung wird dem Kunden mitgegeben, falls mal eine Neuinstallation nötig sein sollte.

Aber auch Microsoft sehe ich in der Pflicht, dass bei der Installation des Betriebssystems neben einem Admin-Konto auch ein Benutzerkonto mit eingeschränkten Rechten zu erstellen ist.

Gruß
Nevok

 

...genau deshalb poste ich in dem Bereich äußerst selten.

...die meisten Tools sind nicht zweifelhaft und auch nicht unsicher. Analysetools sollen einem letztlich nur Gewissheit verschaffen, ob der Verdacht einer Infektion auch begründet ist. Nicht mehr und nicht weniger. Das Desaster beginnt erst im nächsten Schritt.

Das ist ganz normal und in meinen Augen auch verständlich. Für viele Menschen ist diese Technik einfach zu kompliziert, zu undurchsichtig oder auch unlogisch. Wenn nun noch etwas unvorhergesehenes passiert, geraten sie in Panik. Das ist dann die Zeit der Scharlatane und Heilsbringer - die einen füllen ihren Geldbeutel und die anderen streicheln ihr Ego.

 

Dieser Thread ist in ein paar tagen Geschichte und dann genauso vergessen wie die Sig vom Doc. Ungesicherte Daten sind verlorene Daten.
Danach wird weiter gewurschtelt wie bis her.
Jemand läd was runter verbiegt sich sein System, der böse Bill ist schuld, jemand sagt dann mach das und das....
Und eine menge User im Back ground grinsen sich eins.....

 

Paint

 

Soviel zum diskutieren!

Ich drehe die Sache mal um - durch die Einstellung nicht zu analysieren, und mit eigenen Beitragen meine Bemühungen zu bagatellisieren versuchen und einfach sagen - installiere dein Windows neu, kommt man nie hinter das Warum der rechner infiziert wurde.

Meine Kritikaster verstehen ja auch nicht, dass ich dass gerade heraus zu finden versuche.
Damit der TO wirklich geholfen werden kann!

In Amerikanischen Foren gibt es schon langer die Warnung: P2P User und Torrent Downloaders leben gefährlich.
Und so ist es.
Wenn Cracks und Keygens Ursache sind, dann ist halt eine Neuinstallation fällig, weil in das Windowsregister dadurch geheime Einstellungen gemacht werden!
Und auch Musikdownloads können infiziert sein!

Dann sind da auch noch die User, die mit einem illegales Windows arbeiten.
Und es gibt Diehards die ohne Antivirus surfen, weil der Antivirus angeblich der PC verlangsamt

Kurz - ohne Analyse kann überhaupt nichts gesagt werden ob Windows repariert werden kann oder nicht.
Dann wird meistens der TO die gleichen Fehler wieder machen!
Und sucht sich dann ein Forum wo er/sie dann wohl weiter gehofen wird - z.B. hijackthis.de

Und auch versierte User machen gebrauch von Foren Analytikern!

 

http://de.wikipedia.org/wiki/Schadprogramm

Für manche Leute ist nervende Software schon Malware. Sie schädigt die Nerven.
Wer aber unüberlegt drauf los installiert und hinterher nervt, ist selbst Malware.

 

Du möchtest #3 noch mal lesen

Es ist sicher pädagogisch hilfreich zu wissen, wie ein Rechner infiziert wurde - aber nur, um in Zukunft genau diesen Fehler nicht noch einmal zu machen. Nach dieser Erkenntnis ist aber IMMER eine Neuinstallation bzw. das Rückspielen eines unverseuchten Images angesagt. Alle anderen Methoden bergen ein nicht kalkulierbares Restrisiko. Basta.

 

Aufgrund des Datenschutzes, sollten die Logs im Anhang hoch geladen werden. Dann werden sie nur von angemeldeten Benutzern eingesehen, es wird angezeigt, wie oft sie geladen wurden und hinterher kann der TO sie wieder entfernen. Übersichtlicher wird es dann auch.
Das ist mal wieder ein Paradebeispiel
http://www.pcwelt.de/forum/sicherhe...79952-lsass-exe-virenmeldung.html#post2156068

 

?
*
unabhängig davon:
imo muss nicht jedes infizierte system zwingend neuaufgesetzt werden.
ich denke da an sponsor-mist wie favorit, circle development, relevant knowledge etc..

 

Jo, geschenkt. Aber ich wollte keine längere Abhandlung schreiben. Der Umstand, dass längere Beiträge in Foren schlichtweg nicht gelesen werden, zwingst schon mal zu einer gewissen Vereinfachung.

 

Vor allem solche Beiträge ohne Absätze, ohne Satzzeichen und durchweg Kleinschreibung.

Gruß
Nevok

 

Naja, durchweg Kleinschreibung finde ich nicht so schlimm. Das ist mir lieber als Groß- und Kleinschreibung nach dem Würfelprinzip, das einige Stammuser hier veranstalten.
Ellenlange Sätze, vollkommen ohne Satzzeichen, finde ich dagegen echt ätzend.

 

Ähmm, könntet Ihrr diese Frage im Small Talk ausdiskutieren?

 

Moin,

Das ist für mich einer der Hauptgründe, warum ich mich nicht mehr/kaum aktiv in der Sicherheit bewege,
Es werden nur die Hälfte der Tips befolgt- wenn überhaupt.
Viele wollen nur den einfachsten Weg gehen- und somit ist dann für mich eine "sinnvolle" Bereinigung sinnfrei, da diese User dann sowieso immer wieder kommen....

Wenn sich ein User total dagegen sträubt, sein System neu aufzusetzen, ist mir aber eine grossteilige/bestmögliche Bereinigung lieber, als dass ein total Verseuchter PC unterwegs ist....

Wie Deo sagt, wenn die Logs als Anhang gepostet werden, kann jeder sein Log wieder entfernen....

Ist aber nicht nur im Sicherheitsbereich so, überall tauchen Laberbacken auf, die ihren Gedankenmüll loswerden wollen- und sich aber nicht bewusst sind, dass andere User/Systeme darunter leiden bzw Schaden nehmen können.
Man sieht aber schon, wenn man dann ein Forum durchforstet, wer inwiefern gute Ratschläge gibt, wenn man dann noch Zweifel hat, kann man sich eine 2./3. Meinung einholen....

 

Tolle Aussage.
Ja, manche lernen auch erst Auto fahren, wenn sie die ersten Unfälle hatten ^^
Aber wessen Schuld ist das?

Ich kenne Händler, die tun das.
Kostenpflichtig.
Nun rate mal, wieviele sich diese Infos mitnehmen...

Kann man bei vielen Händlern in Auftrag geben.
Natürlich kostet diese Sonderdienstleistung Geld, wer will schon für umsonst arbeiten.

Bei Vista ist das Adminkonto standardmäßig deaktiviert und UAC aktiv.
Und nun rate mal, was vielen Usern wichtiger ist, als den Rechner sicher und sauber zu halten?

Richtig, UAC deaktivieren, Adminkonto aktivieren und paßwortftrei lassen, damit man damit immer im Netz unterwegs sein kann ^^

Sorry, solange der PC Nutzer nicht entsprechend geschult wird, BEVOR er mit einen Rechner ins Internet kann, solange wird sich der Zustand mit den 66% verseuchter Rechner allein in Deutschland nicht ändern.

Aktuelle OS sind bei Auslieferung grundlegend sicher und nur schwer zu infiltrieren, wenn man die simpelsten Grundregeln beachtet.



Ach ja, zum Thema:
Ein infizierter Rechner ist kompromittiert. Punkt.
100% Sicherheit nach Reinigung kann nicht gewährleistet werden, also sauber neu installieren, patchen und dann schnelltsmöglich alle Paßworte, die in Verwendung sind, ändern.