svxhost.exe und wincfg.exe / kompromittierte System neu aufsetzen? |
||
---|---|---|
#0
| ||
29.08.2004, 22:43
Member
Beiträge: 441 |
||
|
||
30.08.2004, 00:27
Member
Beiträge: 1095 |
#47
@Cidre
Muß mich erst mal ein bißchen entschuldigen, wie auch schon MobyDuck per PN schrieb, ging mir im letzten Post ein bißchen der Hut hoch Egal, so wie aussieht haben wir hier mal zumindest einen Thread geschaffen bei dem alle mal mitdiskutieren. Das ist doch was. Zitat Was fehlt ist nun eigentlich nur ein kurzer knackiger Erklärungsthread!Ich probiere den Anfang. Ist nur mal eine Ideensammlung. 1. Mit was bin ich infiziert. HiJacker, Bot, Virus, Trojaner. Was meldet Virenscanner, HJT Logfile, AdAware 2. Seit wann tritt die Infektion auf. 3. Will ich formatieren oder will ich rausfinden was Sache ist um mein "Sicherheitsleck" zu stopfen. 4. Welche Tools wurden schon ausprobiert. 5. Prävention für Danach. Also wie kann später eine Infektion verhindert werden. 6. Am Ende sollte ein Linksammlung stehen. a. Links zu allen wichtigen Virenbeschreibungen und Cleanern. b. Links zu PräeventionsTutorials und Tools c. Formatierungserklärungen für alle BS. 7. Wie oft müßen wir diese Anleitung modifizieren , damit Sie auf der Höhe der Zeit bleibt? 8.Wir sollten auch Erfahrungsberichte der TO's die die Anleitung benutzen irgendwie sammeln. So das ist als Startsignal zu verstehen. Wir sollten erstmal sammeln. Dann die Sachen in die richttige Reihenfolge bringen und dann ausformulieren. Wer sich dann als "Versuchskaninchen" zur Verfügung stelllen will oder jemand kennt der's machen will. Einfach EMail reinschreiben Vielleicht sollten die Admins doch 'nen neuen Thread einrichten. Oder einen ganz neuen Forumsteil Kompromittiert was n(t)un? Also Postet was das Zeug hält. Gruß paff P.S. Ich bin dafür, die gesammelten Werke, dann auch als pdf zu verewigen. Kann sich dann jeder TO runterladen und als "Gebetbuch" benutzen Wir natürlich auch. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 30.08.2004 um 00:28 Uhr von paff editiert.
|
|
|
||
30.08.2004, 00:28
Ehrenmitglied
Beiträge: 29434 |
#48
Ihr dreht euch im Kreis...
Meiner Meinung nach, sollten wir je nach Stand der Dinge zum Neuaufsetzen oder Sauebern raten. Eventuelle grundsaetzliche Vorgehensweisen kann man nur sehr schwer in einem Thread mit Fuer\und Gegenargument festhalten. Sonst steht @Cidre wieder auf der einen Seite, wenn er denn einen Backdoor nur ansatzweise ahnt und zum Formatieren raet und die anderen, die immer reinigen und wiederum diejenigen,die von Fall zu Fall zu entscheiden. (wobei ich gerade die Ideen von @paff gelesen habe und sehr einverstanden damit bin, vor allem mit NR.6, um bestimmte Dinge nicht endlos wiederholen zu muessen) Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.08.2004 um 00:34 Uhr von Sabina editiert.
|
|
|
||
30.08.2004, 00:46
Member
Beiträge: 1095 |
#49
Auch Noch
9. Standardvoraussetzungen um dann zu posten bzw. Hilfe zu kriegen. Also schon mal Virenscanner im Abgesicherten Modus drüber gejagt, AdAware gescannt. usw. Gibt's hier schon. http://board.protecus.de/t9373.htm Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
30.08.2004, 00:47
Member
Beiträge: 441 |
#50
@ paff
Zitat Muß mich erst mal ein bißchen entschuldigen, wie auch schon MobyDuck per PN schrieb, ging mir im letzten Post ein bißchen der Hut hochAngenommen, ist schon ok. Zitat ch probiere den Anfang. Ist nur mal eine Ideensammlung.Ich werd mich mal die nächsten Tage damit beschäftigen. Wobei ich auch sagen muß, daß diese FAQ oder Tutorials leider wenig gelesen werden, aber ein Versuch ist es wert. @ Sabina Du bist mir noch mindestens eine Antwort schuldig. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
30.08.2004, 00:54
Member
Beiträge: 1095 |
#51
Zitat Cidre posteteThanx Ich stell mich freiwillig als "Sortier" bzw. "Zusammenfass" Kraft zur Verfügung. Cidre ließt dann gegen und wir haben so beide "Pole" abgedeckt. Fürchtet euch ihr Mal/Trojan und Virenschreiber. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 30.08.2004 um 00:57 Uhr von paff editiert.
|
|
|
||
30.08.2004, 13:20
Ehrenmitglied
Beiträge: 29434 |
#52
Hallo @paff und @cidre
Es muessen so einfach wie moeglich handhabbare Tools und Erklaerungen sein. Denn wir muessen davon ausgehen, dass der groesste Teil der User komplizierte Anwendungen nicht nachvollziehen kann und sie stillschweigend uebergeht. Und wir wundern uns dann, dass die Reinigung nicht erfolgreich war.. geklaut, aber schoen: "Fürchtet euch ihr Mal/Trojan und Virenschreiber" mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.08.2004 um 13:21 Uhr von Sabina editiert.
|
|
|
||
30.08.2004, 13:45
Member
Beiträge: 1095 |
#53
Zitat geklaut, aber schoen: "Fürchtet euch ihr Mal/Trojan und Virenschreiber"Hab ich eigentlich (für mich zumindest ) selbst erfunden. Wer hat das den Gesagt ? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
30.08.2004, 18:06
Ehrenmitglied
Beiträge: 29434 |
#54
@paff
Ich habs geklaut... _______________________________________________ "Fürchtet euch ihr Mal/Trojan und Virenschreiber Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.08.2004 um 18:08 Uhr von Sabina editiert.
|
|
|
||
30.08.2004, 22:27
Member
Beiträge: 38 |
#55
Hallo,
ich bin ehrlich gesagt skeptisch, ob ein FAQ wirklich weiterhilft. Mir ist nämlich nicht ganz klar, an wen sich der FAQ richten soll. Die Leute, die hier helfen, brauchen keine Bedienungsanleitung (meine ich nicht abwertend). Die wissen, was zu tun ist und die Frage, ob sie zum Neuaufsetzen raten, entscheiden sie im Einzelfall und nach ihrer Einstellung zu diesem Thema. Die Hilfesuchenden wiederum sind IMHO mit so einer Anleitung überfordert. Also bleibt eine Art Statement, warum man unter welchen Umständen zum Neuaufsetzen rät. Diese Beiträge gibt's aber schon, s. z.B. die Links von Cidre. Ist wie gesagt, meine persönliche Meinung und meine Skepsis soll mich -falls gewünscht- nicht an einer Mitarbeit hindern. |
|
|
||
30.08.2004, 23:29
Ehrenmitglied
Beiträge: 29434 |
#56
Es gibt grundlegende Vorgehensweisen, was die Reinigung betrifft.
Frueher beschraenkten sich unsere Tipps aufs <fixen< und fertig. 1. Die TemporaryInternetfiles sollten immer geloescht werden. es muss erklaert werden, wie. 2. Die Wiederherstellung sollte in einigen bestimmten Faellen deaktiviert werden...erklaeren, wie. 3. Bevor in der Registry rumgeloescht wird , muss man erklaeren, wie man hinkommt (fuer alle Betriebssysteme) und wie man im Zweifelsfall eine Sicherung der Registry erstellt. 4. In bestimmten Faellen muss erklaert werden, wie man in die Hosts kommt und sie oeffnet und bestimmte Eintraege loescht (fuer alle Betriebssysteme) 5.Ein Portscann (in Deutsch) sollte nach der Reinigung erstellt werden PC-Selbsttest http://check.lfd.niedersachsen.de/start.php und einfach erklaert werden, wie man ueber <Dienste< einen sicherheitsrevelanten Dienst (wenigstens)auf manuell stellen kann. 6. Ein Alternativbrowser sollte empfohlen werden (Firefox, Opera) 7.Es sollte an die Windowsupdates erinnert werden und auch die nicht uebergehen, die Angst haben(aus welchen Gruenden auch immer... welche zu machen und es ihnen erklaeren wie usw....) 8. Es sollte auf Firewall oder Router hingewiesen werden. 9. Wie deaktiviert man die Wiederherstellung ? erklaeren.... 10. ?? 11. ?? ________________________________________________________ "Fürchtet euch ihr Mal/Trojan und Virenschreiber" von @paff mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.08.2004 um 23:36 Uhr von Sabina editiert.
|
|
|
||
02.09.2004, 11:34
Member
Beiträge: 1095 |
#57
@all
1. Weiß nicht ob's hilft, aber zumindest könnten wir für uns eine "Aufstellung" der Gefährlichkeit , bzw.. Abschätzung der möglichen Komprimitierung machen. Ähnlich wie hier http://www.heise.de/security/artikel/50517 Kategorien für Virus-Einstufungen (formatieren oder nicht formatieren) 2. Nochwas schön abschreckendes für alle die mit dem IE surfen http://www.heise.de/security/artikel/50377 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 02.09.2004 um 11:59 Uhr von paff editiert.
|
|
|
||
02.09.2004, 21:11
Member
Beiträge: 890 |
#58
@paff
Zitat 1. Weiß nicht ob's hilft, aber zumindest könnten wir für uns eineGlaubst Du wirklich das würde weiterhelfen Ich erinnere Dich an dein Statement bezüglich 'hxd' Zitat Kaum geeinigt, schon gehts losMag auch dieser Rootkit nicht der gefährlichste unter den Rootkits zu sein und mag seine Entfernung auch ohne Formatierung möglich sein,so sollte man manuelles Entfernen nur dann versuchen wenn man seiner Sache gewissermaßen sicher ist. Jedenfalls waren die Ratschläge in diesem Fall keinesweges überzeugend Dabei hätten Tools wie ProcessExplorer oder TaskInfo schon gereicht um den versteckten Prozess erkenntlich zu machen und zu killen. Was ich damit sagen möchte: Bei aller Bewunderung für die unermüdliche Hilfeleistung,wäre in ähnliche Fälle wo man seiner Sache nicht ganz so sicher ist,ein diskreter Hinweis auf die Möglichkeit und Sinnmäßigkeit einer Formatierung vielleicht die beste Lösung. Letztendlich sollte aber immer der Hilfesuchende entscheiden dürfen ob er formatiert oder weitere Hilfestellung in Anspruch nehmen möchte. Gruß Ajax Dieser Beitrag wurde am 02.09.2004 um 21:13 Uhr von Ajax editiert.
|
|
|
||
02.09.2004, 23:11
Member
Beiträge: 1095 |
#59
Zitat 1. Weiß nicht ob's hilft, aber zumindest könnten wir für uns eineIch hab das einfach mal gepostet. Nicht weil's furchtbar wichtig oder hilfreich ist, sondern weil's der Ideensammung dient. Mir gefiel das Format und die Einfachheit. Wir haben uns hier dazu durchgerungen ein FAQ aufstellen, zwecks Formatieren oder nicht formatieren Nur dafür als Anregung gedacht. Zitat Mag auch dieser Rootkit nicht der gefährlichste unter den Rootkits zu sein und mag seine Entfernung auch ohne Formatierung möglich sein,so sollte man manuelles Entfernen nur dann versuchen wenn man seiner Sache gewissermaßen sicher ist.Ist alles schon klar, meine Antwort war in diesem Fall sicher nicht als umfassende Antwort gedacht , sondern um mit raman zu diskutieren. Hab mit ihm dann noch über PM weitergemailt Wollte nicht noch eine Diskussion vom Zaun brechen Zitat Letztendlich sollte aber immer der Hilfesuchende entscheiden dürfen ob er formatiert oder weitere Hilfestellung in Anspruch nehmen möchte.Darauf wollen wir hinaus, nur wollen wir Tipps geben __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 02.09.2004 um 23:15 Uhr von paff editiert.
|
|
|
||
03.09.2004, 13:52
Member
Beiträge: 1095 |
#60
@All
Gut, das wir uns hier einigermaßen friedlich geeinigt haben. Mal ein paar Beispiele wie's anders ausgehen kann. Im TrojanerBoard wird der Ton schon rauher, wenn's um die Neuformatierung geht. http://www.trojaner-board.com/showthread.php?t=7033&page=6&pp=10 Das hier kann aber auch nicht der Weisheit letzter Schluß sein. Einfach sagen formatieren, ohne Erklärung bzw. so einer Erklärung? So solltens wir's nicht machen http://www.trojaner-board.com/showthread.php?t=7297 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Zitat
Wieso, denn als Kampf...Zitat
Also ich bin dabei.Fragt sich bloß wer diesen Erklärungsthread ausarbeiten will?
Aber da würde man nicht viel Gegenargumente finden, wenn ich ihn erstellen soll *MUHAHAH*
Nee, im Ernst wer stellt sich der Verantwortung?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung