svxhost.exe und wincfg.exe / kompromittierte System neu aufsetzen?

#46

Zitat

gelassen sehen aber als Kampf bezeichnen

Wieso, denn als Kampf...

Zitat

Was fehlt ist nun eigentlich nur ein kurzer knackiger Erklärungsthread!

Also ich bin dabei.
Fragt sich bloß wer diesen Erklärungsthread ausarbeiten will?
Aber da würde man nicht viel Gegenargumente finden, wenn ich ihn erstellen soll *MUHAHAH*
Nee, im Ernst wer stellt sich der Verantwortung?
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#47 @Cidre

Muß mich erst mal ein bißchen entschuldigen, wie auch schon MobyDuck per PN schrieb, ging mir im letzten Post ein bißchen der Hut hoch

Egal, so wie aussieht haben wir hier mal zumindest einen Thread geschaffen bei dem alle mal mitdiskutieren. Das ist doch was.

Zitat

Was fehlt ist nun eigentlich nur ein kurzer knackiger Erklärungsthread!

Ich probiere den Anfang. Ist nur mal eine Ideensammlung.

1. Mit was bin ich infiziert.
HiJacker, Bot, Virus, Trojaner.
Was meldet Virenscanner, HJT Logfile, AdAware

2. Seit wann tritt die Infektion auf.

3. Will ich formatieren oder will ich rausfinden was Sache ist um mein "Sicherheitsleck" zu stopfen.

4. Welche Tools wurden schon ausprobiert.

5. Prävention für Danach. Also wie kann später eine Infektion verhindert werden.

6. Am Ende sollte ein Linksammlung stehen.
a. Links zu allen wichtigen Virenbeschreibungen und Cleanern.
b. Links zu PräeventionsTutorials und Tools
c. Formatierungserklärungen für alle BS.

7. Wie oft müßen wir diese Anleitung modifizieren , damit Sie auf der Höhe der Zeit bleibt?

8.Wir sollten auch Erfahrungsberichte der TO's die die Anleitung benutzen irgendwie sammeln.

So das ist als Startsignal zu verstehen. Wir sollten erstmal sammeln.
Dann die Sachen in die richttige Reihenfolge bringen und dann ausformulieren.
Wer sich dann als "Versuchskaninchen" zur Verfügung stelllen will oder jemand kennt der's machen will.
Einfach EMail reinschreiben

Vielleicht sollten die Admins doch 'nen neuen Thread einrichten.
Oder einen ganz neuen Forumsteil
Kompromittiert was n(t)un?

Also Postet was das Zeug hält.

Gruß paff
P.S. Ich bin dafür, die gesammelten Werke, dann auch als pdf zu verewigen. Kann sich dann jeder TO runterladen und als "Gebetbuch" benutzen
Wir natürlich auch.
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#48 Ihr dreht euch im Kreis...
Meiner Meinung nach, sollten wir je nach Stand der Dinge zum Neuaufsetzen oder Sauebern raten.
Eventuelle grundsaetzliche Vorgehensweisen kann man nur sehr schwer in einem Thread mit Fuer\und Gegenargument festhalten.
Sonst steht @Cidre wieder auf der einen Seite, wenn er denn einen Backdoor nur ansatzweise ahnt und zum Formatieren raet und die anderen, die immer reinigen und wiederum diejenigen,die von Fall zu Fall zu entscheiden.

(wobei ich gerade die Ideen von @paff gelesen habe und sehr einverstanden damit bin, vor allem mit NR.6, um bestimmte Dinge nicht endlos wiederholen zu muessen)
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#49 Auch Noch

9. Standardvoraussetzungen um dann zu posten bzw. Hilfe zu kriegen.
Also schon mal Virenscanner im Abgesicherten Modus drüber gejagt, AdAware gescannt. usw.

Gibt's hier schon.
http://board.protecus.de/t9373.htm

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#50 @ paff

Zitat

Muß mich erst mal ein bißchen entschuldigen, wie auch schon MobyDuck per PN schrieb, ging mir im letzten Post ein bißchen der Hut hoch

Angenommen, ist schon ok.

Zitat

ch probiere den Anfang. Ist nur mal eine Ideensammlung.

Ich werd mich mal die nächsten Tage damit beschäftigen.
Wobei ich auch sagen muß, daß diese FAQ oder Tutorials leider wenig gelesen werden, aber ein Versuch ist es wert.

@ Sabina

Du bist mir noch mindestens eine Antwort schuldig.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#51

Zitat

Cidre postete
@ paff

Zitat

Muß mich erst mal ein bißchen entschuldigen, wie auch schon MobyDuck per PN schrieb, ging mir im letzten Post ein bißchen der Hut hoch

Angenommen, ist schon ok.

Thanx

Ich stell mich freiwillig als "Sortier" bzw. "Zusammenfass" Kraft zur Verfügung.
Cidre ließt dann gegen und wir haben so beide "Pole" abgedeckt.

Fürchtet euch ihr Mal/Trojan und Virenschreiber.
Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#52 Hallo @paff und @cidre
Es muessen so einfach wie moeglich handhabbare Tools und Erklaerungen sein.
Denn wir muessen davon ausgehen, dass der groesste Teil der User komplizierte Anwendungen nicht nachvollziehen kann und sie stillschweigend uebergeht.
Und wir wundern uns dann, dass die Reinigung nicht erfolgreich war..

geklaut, aber schoen: "Fürchtet euch ihr Mal/Trojan und Virenschreiber"

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#53

Zitat

geklaut, aber schoen: "Fürchtet euch ihr Mal/Trojan und Virenschreiber"

Hab ich eigentlich (für mich zumindest ) selbst erfunden.
Wer hat das den Gesagt ?

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#54 @paff
Ich habs geklaut...
_______________________________________________
"Fürchtet euch ihr Mal/Trojan und Virenschreiber

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#55 Hallo,

ich bin ehrlich gesagt skeptisch, ob ein FAQ wirklich weiterhilft.

Mir ist nämlich nicht ganz klar, an wen sich der FAQ richten soll. Die Leute, die hier helfen, brauchen keine Bedienungsanleitung (meine ich nicht abwertend). Die wissen, was zu tun ist und die Frage, ob sie zum Neuaufsetzen raten, entscheiden sie im Einzelfall und nach ihrer Einstellung zu diesem Thema.

Die Hilfesuchenden wiederum sind IMHO mit so einer Anleitung überfordert.

Also bleibt eine Art Statement, warum man unter welchen Umständen zum Neuaufsetzen rät. Diese Beiträge gibt's aber schon, s. z.B. die Links von Cidre.

Ist wie gesagt, meine persönliche Meinung und meine Skepsis soll mich -falls gewünscht- nicht an einer Mitarbeit hindern.

#56 Es gibt grundlegende Vorgehensweisen, was die Reinigung betrifft.
Frueher beschraenkten sich unsere Tipps aufs <fixen< und fertig.

1. Die TemporaryInternetfiles sollten immer geloescht werden.
es muss erklaert werden, wie.
2. Die Wiederherstellung sollte in einigen bestimmten Faellen deaktiviert werden...erklaeren, wie.
3. Bevor in der Registry rumgeloescht wird , muss man erklaeren, wie man hinkommt (fuer alle Betriebssysteme) und wie man im Zweifelsfall eine Sicherung der Registry erstellt.
4. In bestimmten Faellen muss erklaert werden, wie man in die Hosts kommt und sie oeffnet und bestimmte Eintraege loescht (fuer alle Betriebssysteme)
5.Ein Portscann (in Deutsch) sollte nach der Reinigung erstellt werden
PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
und einfach erklaert werden, wie man ueber <Dienste< einen sicherheitsrevelanten Dienst (wenigstens)auf manuell stellen kann.
6. Ein Alternativbrowser sollte empfohlen werden (Firefox, Opera)
7.Es sollte an die Windowsupdates erinnert werden und auch die nicht uebergehen, die Angst haben(aus welchen Gruenden auch immer... welche zu machen und es ihnen erklaeren wie usw....)
8. Es sollte auf Firewall oder Router hingewiesen werden.
9. Wie deaktiviert man die Wiederherstellung ? erklaeren....
10. ??
11. ??
________________________________________________________
"Fürchtet euch ihr Mal/Trojan und Virenschreiber" von @paff

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#57 @all
1. Weiß nicht ob's hilft, aber zumindest könnten wir für uns eine
"Aufstellung" der Gefährlichkeit , bzw.. Abschätzung der möglichen Komprimitierung machen.
Ähnlich wie hier
http://www.heise.de/security/artikel/50517

Kategorien für Virus-Einstufungen (formatieren oder nicht formatieren)

2. Nochwas schön abschreckendes für alle die mit dem IE surfen
http://www.heise.de/security/artikel/50377

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#58 @paff

Zitat

1. Weiß nicht ob's hilft, aber zumindest könnten wir für uns eine
"Aufstellung" der Gefährlichkeit , bzw.. Abschätzung der möglichen Komprimitierung machen.

Glaubst Du wirklich das würde weiterhelfen
Ich erinnere Dich an dein Statement bezüglich 'hxd'

Zitat

Kaum geeinigt, schon gehts los
Hab mir mal die Payload angeschaut
..................................
Das schreit eigentlich nicht nach Formatierung.

Mag auch dieser Rootkit nicht der gefährlichste unter den Rootkits zu sein und mag seine Entfernung auch ohne Formatierung möglich sein,so sollte man manuelles Entfernen nur dann versuchen wenn man seiner Sache gewissermaßen sicher ist.
Jedenfalls waren die Ratschläge in diesem Fall keinesweges überzeugend
Dabei hätten Tools wie ProcessExplorer oder TaskInfo schon gereicht um den versteckten Prozess erkenntlich zu machen und zu killen.

Was ich damit sagen möchte:
Bei aller Bewunderung für die unermüdliche Hilfeleistung,wäre in ähnliche Fälle wo man seiner Sache nicht ganz so sicher ist,ein diskreter Hinweis auf die Möglichkeit und Sinnmäßigkeit einer Formatierung vielleicht die beste Lösung.
Letztendlich sollte aber immer der Hilfesuchende entscheiden dürfen ob er formatiert oder weitere Hilfestellung in Anspruch nehmen möchte.

Gruß
Ajax

#59

Zitat

1. Weiß nicht ob's hilft, aber zumindest könnten wir für uns eine
"Aufstellung" der Gefährlichkeit , bzw.. Abschätzung der möglichen Komprimitierung machen.

Ich hab das einfach mal gepostet. Nicht weil's furchtbar wichtig oder hilfreich ist, sondern weil's der Ideensammung dient. Mir gefiel das Format und die Einfachheit.
Wir haben uns hier dazu durchgerungen ein FAQ aufstellen, zwecks
Formatieren oder nicht formatieren
Nur dafür als Anregung gedacht.

Zitat

Mag auch dieser Rootkit nicht der gefährlichste unter den Rootkits zu sein und mag seine Entfernung auch ohne Formatierung möglich sein,so sollte man manuelles Entfernen nur dann versuchen wenn man seiner Sache gewissermaßen sicher ist.
Jedenfalls waren die Ratschläge in diesem Fall keinesweges überzeugend
Dabei hätten Tools wie ProcessExplorer oder TaskInfo schon gereicht um den versteckten Prozess erkenntlich zu machen und zu killen.

Ist alles schon klar, meine Antwort war in diesem Fall sicher nicht als umfassende Antwort gedacht , sondern um mit raman zu diskutieren.
Hab mit ihm dann noch über PM weitergemailt
Wollte nicht noch eine Diskussion vom Zaun brechen

Zitat

Letztendlich sollte aber immer der Hilfesuchende entscheiden dürfen ob er formatiert oder weitere Hilfestellung in Anspruch nehmen möchte.
Gruß
Ajax

Darauf wollen wir hinaus, nur wollen wir Tipps geben
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#60 @All
Gut, das wir uns hier einigermaßen friedlich geeinigt haben.

Mal ein paar Beispiele wie's anders ausgehen kann.
Im TrojanerBoard wird der Ton schon rauher, wenn's um die Neuformatierung geht.
http://www.trojaner-board.com/showthread.php?t=7033&page=6&pp=10

Das hier kann aber auch nicht der Weisheit letzter Schluß sein.
Einfach sagen formatieren, ohne Erklärung bzw. so einer Erklärung? So solltens wir's nicht machen
http://www.trojaner-board.com/showthread.php?t=7297

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware