Hinterwäldler
Aktives Mitglied
Hallo und Grüezi Mitanand
Ich bin kein Eidgenosse, sondern wohne ganz zufällig nicht weit weg vom nördlichen Ufer des Ryn und bin für euch eigentlich der Vorderwäldler. Ausgehend von der Tatsache, das jede installierte Malware einen Prozess erzeugt, ist die oft propagierte Anwendung toller Scanner-Tools immer mit Fehlern behaftet. Einesteils weil die Signaturen niemals auf dem neuesten Stand sein können und anderseits Heuristiken immer fehlerhaft arbeiten. Um letzteres auszuschalten, hat jeder Scanner mit heuristischer Erkennung neben der Signaturdatenbank auch eine sogenannte WitheList, die ständig vergrößert wird und in der alle Dateien eingetragen sind, die eine FalsePosetive erzeugen können. Damit sind schon die Grenzen jeder Heuristik festgeschrieben.
Der nachfolgende Beitrag wurde vor einiger Zeit in einem anderen Forum in ähnlicher Form schon mal von mir veröffentlicht. Er bestätigt die Einwürfe und Erklärungen von Regulars, Mods und Redaktionsmitarbeitern und widerspricht allen, welche auf tolle Scannertools schwören.
--- schnippel ------ schnippel ------ schnippel ------ schnippel ------ schnippel ---
Wie wird es richtig gemacht und welche nicht mehr kalkulierbare Risiken bleiben trotz Elimination!
Malware ist die allgemeine Bezeichnung für eine Schadsoftware. Welche Eigenschaften sie wirklich besitzt, ist nur in aufwändigen Untersuchungen feststellbar. Anderseits bezeichnen die Scannerhersteller die Malware nach der ersten festgestellten Eigenschaft. Diese können von Hersteller zu Hersteller unterschiedlich sein.
Immer wieder werden in einschlägigen Foren Methoden und Vorgehensweisen praktiziert, welche nur noch mit Rutengängerpraxis vergleichbar sind. Die Möglichkeit eine aktuelle Malware auf diese Art und Weiße zu eliminieren ist sehr gering, denn sie stützt sich im wesentlichen auf die Funktion der Scanner und den Inhalt deren Signaturdatenbanken.
In einer Zeit, in welcher neue Malwareversionen im Minutentakt weltweit verteilt wird, gelangen Scanner sehr schnell an die Grenzen ihrer Möglichkeiten. Das ist kein Vorwurf, sondern vielmehr eine realistische Betrachtung. Besteht ein Infekt mit einer Malware in der Art wie http://www.viruslist.com/de/viruses/encyclopedia?virusid=74841 oder http://www.viruslist.com/de/viruses/encyclopedia?virusid=74841 (und wer weiß dies schon), ist das System rettungslos verloren.
Dies sind nur zwei Beispiele. Jedoch gibt es Abertausende davon. Sie werden aus Zeitgründen nicht mehr dokumentiert! Uns hilft weder ein Scanner noch eine PFW oder ein Removertool. Die Daten, Dateien und Programme sind trotz vorgeblicher Schutzwirkung der Securityware verloren. Keine einzige Datei des Systems ist vertrauenswürdig. Das System ist kompromittiert und der User besitzt nur noch das Recht, den Netzschalter zu bedienen. Eine Kompromittierung des Systems ist unter den Bedingungen von DSL1000 in weniger als 20 Sekunden vollzogen. Das verhindert auch kein Router mit Firewall. Letzteres ist mehr das gute Gewissen des Anwenders, dem Hersteller nicht in die Verarmung getrieben und die Wurst vom Brot geklaut zu haben.
Eine Möglichkeit wäre nun, das eigene System wie für den Einsatz im Dschungelkrieg aufzurüsten. Das Ergebnis wäre, das selbst aktuelle Hardware mit einigen 100 MByte Secureware im RAM zum Schneckengang verurteilt ist oder man informiert sich auf geeigneten Homepagen erfahrener Anwender, wie Malware ins System kommt, konfiguriert sein System so, das ein Infekt weitestgehend vermieden wird und korrigiert seine Verhaltensweise. Was seit mehreren Jahren mir gelingt, sollte jeden von euch auch möglich sein.
Lest mal hier ein wenig:
http://malte-wetz.de.vu/index.php?viewPage=sec-compromise.html
http://malte-wetz.de.vu/index.php?viewPage=sec-removal.html
selbst wenn es euch langweilt und überdrüssig erscheint.
Wird mal mit einem eurer Indikatoren (fünf Sinne) ein Infekt festgestellt, sollte man sich auf das Wesentliche konzentrieren. Unwesentlich ist, wie die Malware heißt und welchen Schaden sie eventuell anrichten könnte. Das erste Ziel ist die sofortige und wirkungsvolle Eliminierung. Eine Aufbewahrung in einem Quarantäne-Verzeichnis ändert nichts an ihrer Gefährlichkeit. Unter Umständen ist sie schon obsolet und wurde von einer nachgeladenen Malware ersetzt. Dann besitzt ihr eine noch größere Gefahr auf der Festplatte und beschäftigt euch noch immer mit einem Lapsus.
Für dieses Problem gibt es zwei Lösungen. Eine sichere wird in http://faq.jors.net/virus.html beschrieben. Alternativ ist meine Anleitung in http://www.hinterwaeldlers-home.de/tutorials.html eine gültige Lösung. Diese Vorgehensweise ist immer die erste Wahl. Eine weitere weniger sichere und viel aufwändigere Lösung beschreibe ich jetzt. Diese Methode zeichnet sich dadurch aus, das fremde, unbekannte Prozesse im System erkannt und entfernt werden können. Dazu wird kein Scanner benötigt, sondern ausschließlich eure Augen, ein wacher Verstand und ein paar Kenntnisse der Zusammenhänge.
Registryeinträge können mit diesen Mitteln nur im begrenzten Rahmen korrigiert werden! Ein Scanner ist dahingehend schon überfordert. Das wäre eventuell nur mit der Systemwiederherstellung möglich, aber diese birgt auch Risiken in sich, denn es gibt zweifellos Malware, die sich selbst einen Wiederherstellungspunkt setzen kann und damit beginnt das Ringelspiel von vorn. Der Zeitpunkt müsste also weit vor dem Zeitpunkt des Infektes liegen. Es werden jedoch Voraussetzungen geschaffen, selbst erstellte Daten und Dateien relativ gefahrlos zu sichern.
Nun meine vorgeschlagene Vorgehensweise:
1. Mit den aktuellsten Versionen von Autoruns, ProcessExplorer und TCPView von http://www.sysinternals.com herausfinden, welcher ungewünschte Prozess von welcher Datei ausgelöst wird und eventuell die Verbindung zum Internet sucht. Verschafft euch eine bessere Übersicht in Autoruns, in dem ihr im Menü die Option "Hide Microsoft Entrys" aktiviert. Benutzt nicht das Register "Everything". Dies ist nur eine Zusammenfassung aller nachfolgenden Register und dient der Dokumentation (drucken, speichern etc.). Auffällig sind die meist undokumentierten Einträge mit kryptischen Namen. Der FreeDownloadManager besitzt auch ein solche Merkmal. Die Löschung dieses Prozesses ist aber nicht schlimm und über die Optionen des DownloadManagers wieder herstellbar. Auch aufpassen bei HP-Produkten.
2. Versuche mit Autoruns und/oder ProcessExplorer den unerwünschten Prozess zu entfernen (Rechtsklick auf Eintrag und wähle "Delete") und beobachte weiter. Starte dazu auch alle vorhandenen Browser, Mailclients und Messenger. Sollte trotz Löschversuche der Prozess noch noch immer oder wieder aktiv sein, entferne ihn auf gleicher Art mit dem ProzessExplorer.
3. Benutzt in Autoruns und ProcessExplorer zusätzlich über das Kontextmenü die Möglichkeit gezielte Infos aus dem Internet zu holen. Rechtsklick auf die Datei und "Search Online" wählen. Grundsätzlich findet ihr zu den meisten gestarteten Dateien bei Google Treffer. Ist dort nur allgemeines Gewäsch zu finden, dürfte es keine Probleme geben. Anders dann wenn in den verlinkten Foren immer von Malware im Zusammenhang mit der betreffenden Datei geschrieben wird. Höchste Alarmstufe, wenn es zu dieser Datei überhaupt keinen Eintrag gibt. Dann ist es hoher Wahrscheinlichkeit eine nagelneue Schadsoftware.
4. Punkt 2. funktioniert in der Regel nicht bei Schadsoftware und Google zeigt ausschließlich Forenadessen, welche sich mit dieser Problemdatei befassen.
Nochmal: Zu fast jeder Datei findet sich eine Meldung. Oft englisch, versuche sie dann wenigstens ebissl zu interpretieren. Höchste Alarmstufe wenn zu der aktiven Datei überhaupt nichts gesagt wird.
5. Aufschreiben wo sich diese unerwünschte Datei(en) befinden und wie sie heißen.
6. Startet den PC von einer BartPE, Knoppix oder ähnlicher LiveCD mit Schreibberechtigung auf NTFS (sollte jeder im Schreibtisch haben) und löscht die betreffende Datei mit dem integrierten Dateimanager.
7. Startet wieder den PC normal und kontrolliert erneut mit den Proggis aus Punkt 1 alle Register in Autoruns
8. Einträge in Autoruns, in denen nun auf fehlende Dateien verwiesen wird, werden entfernt.
9. Erstelle einen neuen Wiederherstellungspunkt und lösche alle vorherigen. Erkundige dich wie es gemacht wird.
10. Es gibt keinen Garantieschein für den Erfolg und das alle persönlichen Daten dem Angreifer unbekannt blieben. Darum ist der beschriebene Handlungsablauf in jedem Fall die zweite Wahl.
Danach seit ihr in der Lage Maßnahmen zu treffen, welche einen erneuten Infekt ausschließt. Auch euer Hausarzt behandelt bei jedem Patienten die Grippe, ohne sich anzustecken. Er hält bestimmte Verhaltensregeln ein, die einen Infekt ausschließen.
- Lernt mit der Gefahr eines Infektes umzugehen und erlernt den Umgang mit Malware.
- Lernt die Unterscheidungsmerkmale zwischen einer anwesenden und einer installierten Malware. Erstere kann bedenkenlos und ohne spätere Probleme gelöscht werden.
- Malware fliegt nicht durch das Internet wie die Schmeißfliegen im abendlichen Stadtpark.
- Gewöhnt euch die lächerliche Behauptung ab: "Ich habe mir eine Vire (Trojaner etc.) eingefangen."
- Glaubwürdiger ist: "Ich bin trotz meines umfangreichen Wissens unvorsichtig gewesen und habe wider der menschlichen Vernunft eine verdächtige Mail bzw. suspekten Download geöffnet, ihren Inhalt nicht ausreichend geprüft und dennoch ausgeführt".
- Schafft euch eine für euer System geeignete LiveCD. Übt den Umgang mit ihr und den darauf befindlichen Programmen. Der Anfang ist hier: http://nu2german.de/ und http://www.win-tipps-tweaks.de/forum/news/15292-vista-live-cd-gratis.html
- Erweitert eure Erfahrungen mit den Tools von (MS)-Sysinternals. Dies nutzt euch bei der täglichen Arbeit sowie im Ernstfall und ihr könnt wesentlich schneller reagieren.
- Eine BartPE oder ähnliche LiveCD sollte jeder im Schreibtisch haben. Sie ist das wichtigste Werkzeugset, das ihr besitzt und es lässt sich jederzeit erweitern. Der investierte Zeitaufwand lohnt sich immer.
- Erlernt wie man verhindern kann, das in Webseiten inkludierte Scripte oder Adware vom Browser unausgeführt bleiben.
-Benutzt trotz aller massiver Unkerei der IÄ-Verehrer einen alternativen Browser von Moz&Co mit den Erweiterungen AdBlockPlus und NoScript. Er ersetzt mit diesen Extensionen komplett einen OnDemand-Scanner und hilft damit eurem System besser mit seinen Ressourcen umzugehen.
Ich bin kein Eidgenosse, sondern wohne ganz zufällig nicht weit weg vom nördlichen Ufer des Ryn und bin für euch eigentlich der Vorderwäldler. Ausgehend von der Tatsache, das jede installierte Malware einen Prozess erzeugt, ist die oft propagierte Anwendung toller Scanner-Tools immer mit Fehlern behaftet. Einesteils weil die Signaturen niemals auf dem neuesten Stand sein können und anderseits Heuristiken immer fehlerhaft arbeiten. Um letzteres auszuschalten, hat jeder Scanner mit heuristischer Erkennung neben der Signaturdatenbank auch eine sogenannte WitheList, die ständig vergrößert wird und in der alle Dateien eingetragen sind, die eine FalsePosetive erzeugen können. Damit sind schon die Grenzen jeder Heuristik festgeschrieben.
Der nachfolgende Beitrag wurde vor einiger Zeit in einem anderen Forum in ähnlicher Form schon mal von mir veröffentlicht. Er bestätigt die Einwürfe und Erklärungen von Regulars, Mods und Redaktionsmitarbeitern und widerspricht allen, welche auf tolle Scannertools schwören.
--- schnippel ------ schnippel ------ schnippel ------ schnippel ------ schnippel ---
Wie wird es richtig gemacht und welche nicht mehr kalkulierbare Risiken bleiben trotz Elimination!
Malware ist die allgemeine Bezeichnung für eine Schadsoftware. Welche Eigenschaften sie wirklich besitzt, ist nur in aufwändigen Untersuchungen feststellbar. Anderseits bezeichnen die Scannerhersteller die Malware nach der ersten festgestellten Eigenschaft. Diese können von Hersteller zu Hersteller unterschiedlich sein.
Immer wieder werden in einschlägigen Foren Methoden und Vorgehensweisen praktiziert, welche nur noch mit Rutengängerpraxis vergleichbar sind. Die Möglichkeit eine aktuelle Malware auf diese Art und Weiße zu eliminieren ist sehr gering, denn sie stützt sich im wesentlichen auf die Funktion der Scanner und den Inhalt deren Signaturdatenbanken.
In einer Zeit, in welcher neue Malwareversionen im Minutentakt weltweit verteilt wird, gelangen Scanner sehr schnell an die Grenzen ihrer Möglichkeiten. Das ist kein Vorwurf, sondern vielmehr eine realistische Betrachtung. Besteht ein Infekt mit einer Malware in der Art wie http://www.viruslist.com/de/viruses/encyclopedia?virusid=74841 oder http://www.viruslist.com/de/viruses/encyclopedia?virusid=74841 (und wer weiß dies schon), ist das System rettungslos verloren.
Dies sind nur zwei Beispiele. Jedoch gibt es Abertausende davon. Sie werden aus Zeitgründen nicht mehr dokumentiert! Uns hilft weder ein Scanner noch eine PFW oder ein Removertool. Die Daten, Dateien und Programme sind trotz vorgeblicher Schutzwirkung der Securityware verloren. Keine einzige Datei des Systems ist vertrauenswürdig. Das System ist kompromittiert und der User besitzt nur noch das Recht, den Netzschalter zu bedienen. Eine Kompromittierung des Systems ist unter den Bedingungen von DSL1000 in weniger als 20 Sekunden vollzogen. Das verhindert auch kein Router mit Firewall. Letzteres ist mehr das gute Gewissen des Anwenders, dem Hersteller nicht in die Verarmung getrieben und die Wurst vom Brot geklaut zu haben.
Eine Möglichkeit wäre nun, das eigene System wie für den Einsatz im Dschungelkrieg aufzurüsten. Das Ergebnis wäre, das selbst aktuelle Hardware mit einigen 100 MByte Secureware im RAM zum Schneckengang verurteilt ist oder man informiert sich auf geeigneten Homepagen erfahrener Anwender, wie Malware ins System kommt, konfiguriert sein System so, das ein Infekt weitestgehend vermieden wird und korrigiert seine Verhaltensweise. Was seit mehreren Jahren mir gelingt, sollte jeden von euch auch möglich sein.
Lest mal hier ein wenig:
http://malte-wetz.de.vu/index.php?viewPage=sec-compromise.html
http://malte-wetz.de.vu/index.php?viewPage=sec-removal.html
selbst wenn es euch langweilt und überdrüssig erscheint.
Wird mal mit einem eurer Indikatoren (fünf Sinne) ein Infekt festgestellt, sollte man sich auf das Wesentliche konzentrieren. Unwesentlich ist, wie die Malware heißt und welchen Schaden sie eventuell anrichten könnte. Das erste Ziel ist die sofortige und wirkungsvolle Eliminierung. Eine Aufbewahrung in einem Quarantäne-Verzeichnis ändert nichts an ihrer Gefährlichkeit. Unter Umständen ist sie schon obsolet und wurde von einer nachgeladenen Malware ersetzt. Dann besitzt ihr eine noch größere Gefahr auf der Festplatte und beschäftigt euch noch immer mit einem Lapsus.
Für dieses Problem gibt es zwei Lösungen. Eine sichere wird in http://faq.jors.net/virus.html beschrieben. Alternativ ist meine Anleitung in http://www.hinterwaeldlers-home.de/tutorials.html eine gültige Lösung. Diese Vorgehensweise ist immer die erste Wahl. Eine weitere weniger sichere und viel aufwändigere Lösung beschreibe ich jetzt. Diese Methode zeichnet sich dadurch aus, das fremde, unbekannte Prozesse im System erkannt und entfernt werden können. Dazu wird kein Scanner benötigt, sondern ausschließlich eure Augen, ein wacher Verstand und ein paar Kenntnisse der Zusammenhänge.
Registryeinträge können mit diesen Mitteln nur im begrenzten Rahmen korrigiert werden! Ein Scanner ist dahingehend schon überfordert. Das wäre eventuell nur mit der Systemwiederherstellung möglich, aber diese birgt auch Risiken in sich, denn es gibt zweifellos Malware, die sich selbst einen Wiederherstellungspunkt setzen kann und damit beginnt das Ringelspiel von vorn. Der Zeitpunkt müsste also weit vor dem Zeitpunkt des Infektes liegen. Es werden jedoch Voraussetzungen geschaffen, selbst erstellte Daten und Dateien relativ gefahrlos zu sichern.
Nun meine vorgeschlagene Vorgehensweise:
1. Mit den aktuellsten Versionen von Autoruns, ProcessExplorer und TCPView von http://www.sysinternals.com herausfinden, welcher ungewünschte Prozess von welcher Datei ausgelöst wird und eventuell die Verbindung zum Internet sucht. Verschafft euch eine bessere Übersicht in Autoruns, in dem ihr im Menü die Option "Hide Microsoft Entrys" aktiviert. Benutzt nicht das Register "Everything". Dies ist nur eine Zusammenfassung aller nachfolgenden Register und dient der Dokumentation (drucken, speichern etc.). Auffällig sind die meist undokumentierten Einträge mit kryptischen Namen. Der FreeDownloadManager besitzt auch ein solche Merkmal. Die Löschung dieses Prozesses ist aber nicht schlimm und über die Optionen des DownloadManagers wieder herstellbar. Auch aufpassen bei HP-Produkten.
2. Versuche mit Autoruns und/oder ProcessExplorer den unerwünschten Prozess zu entfernen (Rechtsklick auf Eintrag und wähle "Delete") und beobachte weiter. Starte dazu auch alle vorhandenen Browser, Mailclients und Messenger. Sollte trotz Löschversuche der Prozess noch noch immer oder wieder aktiv sein, entferne ihn auf gleicher Art mit dem ProzessExplorer.
3. Benutzt in Autoruns und ProcessExplorer zusätzlich über das Kontextmenü die Möglichkeit gezielte Infos aus dem Internet zu holen. Rechtsklick auf die Datei und "Search Online" wählen. Grundsätzlich findet ihr zu den meisten gestarteten Dateien bei Google Treffer. Ist dort nur allgemeines Gewäsch zu finden, dürfte es keine Probleme geben. Anders dann wenn in den verlinkten Foren immer von Malware im Zusammenhang mit der betreffenden Datei geschrieben wird. Höchste Alarmstufe, wenn es zu dieser Datei überhaupt keinen Eintrag gibt. Dann ist es hoher Wahrscheinlichkeit eine nagelneue Schadsoftware.
4. Punkt 2. funktioniert in der Regel nicht bei Schadsoftware und Google zeigt ausschließlich Forenadessen, welche sich mit dieser Problemdatei befassen.
Nochmal: Zu fast jeder Datei findet sich eine Meldung. Oft englisch, versuche sie dann wenigstens ebissl zu interpretieren. Höchste Alarmstufe wenn zu der aktiven Datei überhaupt nichts gesagt wird.
5. Aufschreiben wo sich diese unerwünschte Datei(en) befinden und wie sie heißen.
6. Startet den PC von einer BartPE, Knoppix oder ähnlicher LiveCD mit Schreibberechtigung auf NTFS (sollte jeder im Schreibtisch haben) und löscht die betreffende Datei mit dem integrierten Dateimanager.
7. Startet wieder den PC normal und kontrolliert erneut mit den Proggis aus Punkt 1 alle Register in Autoruns
8. Einträge in Autoruns, in denen nun auf fehlende Dateien verwiesen wird, werden entfernt.
9. Erstelle einen neuen Wiederherstellungspunkt und lösche alle vorherigen. Erkundige dich wie es gemacht wird.
10. Es gibt keinen Garantieschein für den Erfolg und das alle persönlichen Daten dem Angreifer unbekannt blieben. Darum ist der beschriebene Handlungsablauf in jedem Fall die zweite Wahl.
Danach seit ihr in der Lage Maßnahmen zu treffen, welche einen erneuten Infekt ausschließt. Auch euer Hausarzt behandelt bei jedem Patienten die Grippe, ohne sich anzustecken. Er hält bestimmte Verhaltensregeln ein, die einen Infekt ausschließen.
- Lernt mit der Gefahr eines Infektes umzugehen und erlernt den Umgang mit Malware.
- Lernt die Unterscheidungsmerkmale zwischen einer anwesenden und einer installierten Malware. Erstere kann bedenkenlos und ohne spätere Probleme gelöscht werden.
- Malware fliegt nicht durch das Internet wie die Schmeißfliegen im abendlichen Stadtpark.
- Gewöhnt euch die lächerliche Behauptung ab: "Ich habe mir eine Vire (Trojaner etc.) eingefangen."
- Glaubwürdiger ist: "Ich bin trotz meines umfangreichen Wissens unvorsichtig gewesen und habe wider der menschlichen Vernunft eine verdächtige Mail bzw. suspekten Download geöffnet, ihren Inhalt nicht ausreichend geprüft und dennoch ausgeführt".
- Schafft euch eine für euer System geeignete LiveCD. Übt den Umgang mit ihr und den darauf befindlichen Programmen. Der Anfang ist hier: http://nu2german.de/ und http://www.win-tipps-tweaks.de/forum/news/15292-vista-live-cd-gratis.html
- Erweitert eure Erfahrungen mit den Tools von (MS)-Sysinternals. Dies nutzt euch bei der täglichen Arbeit sowie im Ernstfall und ihr könnt wesentlich schneller reagieren.
- Eine BartPE oder ähnliche LiveCD sollte jeder im Schreibtisch haben. Sie ist das wichtigste Werkzeugset, das ihr besitzt und es lässt sich jederzeit erweitern. Der investierte Zeitaufwand lohnt sich immer.
- Erlernt wie man verhindern kann, das in Webseiten inkludierte Scripte oder Adware vom Browser unausgeführt bleiben.
-Benutzt trotz aller massiver Unkerei der IÄ-Verehrer einen alternativen Browser von Moz&Co mit den Erweiterungen AdBlockPlus und NoScript. Er ersetzt mit diesen Extensionen komplett einen OnDemand-Scanner und hilft damit eurem System besser mit seinen Ressourcen umzugehen.