Kack Virus, Wurm oder Spyware!

[darkY]

Hi,

hab seit heute Mittag irgend eine Spyware auf dem Computer der alle Virenscanner deaktiviert! Dieser hat mein Hintergrundbild in Spyware Infection mit roter Schrift geändert...

Hab schon versucht alle möglichen Virenscanner zu installieren nur leider werden alle nicht geladen!

Ad-Aware hab ich auch durchlaufen lassen, nur hat sich leider nichts geändert!

Benutze Windows 2000 SP4, Router mit FW und anfangs AntiVir PE

Kann mir evtl jemand helfen? Wenn nicht dann muss ich formatieren!

P.S. Kann das Hintergrundbild sowie einige Einstellungen bei den Hintergrundeinstellung nicht mehr ändern...

[huegenbegger]

grundsätzlich:

Arbeiten im abgesicherten Modus ausführen

online Virencheck von Symantec oä. ausführen

googlen nach Deinem Virus und die Anleitungen zum Beseitigen beachten.

Im Taskmanager die einzelnen Prozesse heraussuchen evtl. unbekannte googlen

im schlimmsten Fall Knoppix herunterladen und dann über Linux die betroffenen Dateien entfernen, meistens geht das aber über die Windowskonsole einfacher.

Ich kenne keinen Virus oder Wurm der die Neuinstallation des Systems erfordert.

ich habe mir mal die Mühe gemacht und für Dich gegoogelt.... wahnsinn, 2 Klicks und schon am Ziel

http://forum.hijackthis.de/showthread.php?t=11193

Bearbeitet 9. Dezember 2005 von huegenbegger

[Lacknase]

Versuch mal einen Scan im abgesicherten Modus. Wenn Du die Installtion "retten" willst, empfiehlt sich noch am ehesten BartsPE (WixDOS von CD). Ich würde aber so oder so neu aufsetzen. Die Kiste ist "erobert". Wer weiß, was da noch alles verändert wurde. Selbst, wenn Du den Schädling/die Schädlinge entfernen kannst ... sicher (im Sinne der kalkulierbaren Sicherheit) biste so nie wieder.

Ich kenne keinen Virus oder Wurm der die Neuinstallation des Systems erfordert.

Sorry. Aber bloße "ungesicherte Kenntnis" hilft nicht weiter, wenn man sich verlassen will. Jedes Schadprogramm, das offensichtlich die Dienste manipulieren kann und also mit Systemprivilegien läuft, kann auch ALLES Andere auf dem System verändern. Und selbst wenn wir annehmen, ein Schadprogramm hat nur "feste" Strukturen und Fähigkeiten, die eine eindeutige Revision zum "Ursprungszustand" zuließen: was ist, wenn diese Strukturen darauf hinauslaufen, daß sich beliebige andere Personen Zugriff verschaffen können? Wurm macht Telnet auf, Meldung des "offenen" Rechners in irgendeinem IRC?

Zudem ist eh die primäre Frage, wie das Ding da drauf kam. Das Problem ist in diesem Sinne nicht der Wurm oder das Virus. Die Lücke, die er benutzte ist kritisch.

[huegenbegger]

Ich würde aber so oder so neu aufsetzen. Die Kiste ist "erobert". Wer weiß, was da noch alles verändert wurde. Selbst, wenn Du den Schädling/die Schädlinge entfernen kannst ... sicher (im Sinne der kalkulierbaren Sicherheit) biste so nie wieder.

das halte ich für absoluten Quatsch!!! :plemplem:

[Lacknase]

Kannst Du Deine Meinung auch technisch begründen? Wenn der Schädling draufkam, existiert eine Lücke. Was bringt da das Entfernen des Schädlings? Woher weißt Du, daß das, was der durchschnittliche PersonalFirewall-Benutzer "merkt" - hier: Schädling der AV-Programm deaktiviert -, die "ganze Wahrheit" ist? Halte ich für fahrlässig, andere da in falscher Sicherheit zu wiegen.

[darkY]

Ich danke euch beiden! Das System läuft wieder richtig!

Ging einwandfrei dieser Remover!

[huegenbegger]

Kannst Du Deine Meinung auch technisch begründen? Wenn der Schädling draufkam, existiert eine Lücke. Was bringt da das Entfernen des Schädlings? Woher weißt Du, daß das, was der durchschnittliche PersonalFirewall-Benutzer "merkt" - hier: Schädling der AV-Programm deaktiviert -, die "ganze Wahrheit" ist? Halte ich für fahrlässig, andere da in falscher Sicherheit zu wiegen.

Es gibt Unternehmen, die beschäftigen sich mit nichts anderem, warum geben die dann Remover heraus statt zu sagen "besser du installierst das neu" ?

Und wer sein System mit Firewall und Virenscanner schützt sollte in der Regel keine Probleme haben, es sei denn er ist nicht in der Lage die Scanner und Firewall zu bedienen.

Ich nutze seit Jahren relativ offene Rechner und musste noch keine Neuinstallation aufgrund eines Virus/Wurm/whatever machen.

Dies bestätigten mir auch die Netztools, daß kein ungeregelter Verkehr durch mein Netz geht

Naja trotz alledem es geht doch nichts über backups und redundante Datensicherung

[Lacknase]

Vorneweg: Du hast es nicht technisch begründet. Warum?

Es gibt Unternehmen, die beschäftigen sich mit nichts anderem, warum geben die dann Remover heraus statt zu sagen "besser du installierst das neu" ?

[...]

Den Rest halte ich für tolerierbar, deswegen gehe ich nur auf diesen Punkt ein:

Zugegeben es gibt Unternehmen, die produzieren Virenscanner. Und Removal-Tools. Und das nur für Kunden, die das kaufen. Es ist deswegen vom Standpunkt der Sicherheit aus betrachtet trotzdem Placebo. Nur zum Vergleich: Es gibt auch Unternehmen, die produzieren Hochleistungszündkabel, Unterbodenbeleuchtung, aufblasbare Gummischafe, Zigaretten, Defragmentierungsprogramme und Herbalife. Was sagt das über die Produkte? Genau: nix. Das sagt nur was über die Käufer der Produkte aus. $Firmen machen das, weil es für die Kunden weniger Arbeit/Ausfallzeit ist, die also froh um die Werbe-Botschaft sind, und Sicherheit öfter als man es glauben mag keine bedeutende Rolle spielt. Wenn ich mit solchen Idioten Geld machen kann, produziere ich auch, was die wollen. Ganz einfach, oder?

Wir können jetzt auch darüber diskutieren, daß Bananenprodukte, die beim Kunden reifen, für bestimmte Firmen eine Geldmaschine sind, und ein Millionengrab für jede Volkswirtschaft. Aber belassen wir es beim Analogie-Vergleich: Daß ein kaputtes Auto ab und an eine Reparatur braucht, ist meinetwegen klar. (Wobei ich noch zwischen Verschleiß und Herstellerschlamperei unterscheiden wollen würde.) Aber statt den platten Reifen zu tauschen ein Stützrad an die Karre zu schweißen ist nicht meine Vorstellung von der "Lösung" des Problems. Würde niemand akzeptieren. Nur bei Software geht das. Und insbesondere bei bestimmter $Software: Nirgendwo ist die Fehlertoleranz auf der ganzen Welt so groß, wie vor dem Monitor eines Windows-PCs. Wie kommt denn die Scheiße auf den Rechner, wie wird sie dort ausgeführt und hat dann auch noch genug Rechte, rumzumanipulieren? Teils vollautomatisch/by default? Kann es wohl nicht sein, oder? Von den ganzen kaputten Anwendungen - sei es jetzt Excel oder Outlook - mal ganz zu schweigen.

Eigentlich kann hier die Diskussion schon enden. Denn genaugenommen hatten wir zwei das alles eh schonmal:

http://www.germanscooterforum.de/index.php...ndpost&p=953233

Ich frage darum hier auch nur nochmal: was bringen technisch gesehen Virenschutzprogramme unter Security-Aspekten? Bitte Argumente jenseits des bunten Werbeblättchens oder des Computer-Bild-Artikels. Denn, daß es anders - sprich: ohne solchen resourcenfressenden Kram - geht, beweist so ziemlich jedes sonstige halbwegs brauchbare netzwerkfähige Multiuser-Betriebssystem auf der Welt.

Und für den interessierten Leser, der das nicht alles bei Tante Google zusammensuchen möchte, nochmal kurz und knapp zusammengefaßt:

\Gebetsmühlenmodus{on}

Damit wir uns recht verstehen: Sicherheit im absoluten Sinne gibt es nicht. Aber im Sinne des kalkulierbaren Risikos als kalkulierbare Sicherheit.

Just kalkulierbare Sicherheit bringen Virenscanner etc. nicht. Virenscanner können nur bearbeiten, was sie kennen, sie stopfen nicht die Sicherheitslöcher, die Schädlinge benutzen, um auf das System zu gelangen. Und bereits dann ist es zu spät, wie gesagt. (Denn diese Lücken können auch von anderen genutzt werden, zu Instabilitäten führen etc.) Virenscanner erhöhen als Zusatzprogramme hingegen zusätzlich die Komplexität des Systems und damit die Fehleranfälligkeit desselben. Sie verwirren den Benutzer im angeblichen "Ernstfall" durch ein paar Warnmeldungen mehr, mit denen er gequält wird, weil er selbige interpretieren muß. Mal ganz abgesehen davon, daß jedes Fensterchen, jede eingeblendete Meldung (incl. der Aufforderung, irgendwas abzuschalten, einer Löschung zuzustimmen etc.) und jeder $KRASSESICHERHEITSCHIEBEREGLER im $SECURITYCENTER beliebig manipulierbar sind. Selbst wenn es kein Fake ist: was da wirklich passiert, weiß kein Benutzer. Sonst bräuchte er den angeblichen "Schutz" nicht. Darum und nur darum funktioniert diese Industrie. Weil es Leute gibt, die sich um nix kümmern wollen. Die ein kuscheliges "Sicherheitsgefühl" wollen. Bevorzugt durch regelmäßiges Blinken in der Taskleiste reaktualisiert. "Nur Benutzer sein, ohne Führerschein." Ganz analog die Verarsche in anderen Bereichen der Softwareindustrie. Darum nochmal: Der Kollege oben hat doch einen Virenscanner. Was hat der denn nun gebracht? War unser werter Kollege sicher?

Der klassische Einwand lautet jetzt von ganz besonders merkbefreiten/realitätsresistenten Existenzen: immerhin hilft es ein bischen.

Frei nach Felix von Leitner:

Nun frage ich mich: wo wohnt ihr? Im Erdgeschoß? Habt ihr da Fenster, die man nicht aufmachen darf, weil sie einem sonst auf den Fuß fallen, aber immerhin schützen sie vor Insekten? Oder vielleicht im 3. Stock? Habt ihr da einen Fahrstuhl, der manchmal abstürzt oder stecken bleibt? Aber immerhin bringt er einen manchmal hoch? Das ist doch besser als nichts, gell? Und man kann ja immer noch das Treppenhaus nehmen. Gegen das Geländer darf man sich nicht gegenlehnen, weil es sonst abbricht und zu schweren Verletzungen führen kann, aber es ist immerhin besser als wenn man gar keines hätte, nicht? Sicherheitsanforderungen an Programme, sei es ein Virenschutzprogramm oder ein sonstiges "Sicherheitsprogramm" oder -konzept sind in vielerlei Hinsicht wie die an ein Geländer. Es muß Halt geben. Bei Sicherheit geht es um Verläßlichkeit, egal ob im Computer oder im Leben! Es muß deterministisch sein, gegen welche Attacken es hilft und gegen welche es nicht hilft. Wenn das Geländer maximal 200 Kilogramm Druck aushält, dann kann man damit kalkulieren. Wie gut ist da im Vergleich das Versprechen "erkennt 98% aller bekannten Viren, wenn man regelmäßig updatet"? Was ist mit den unbekannten? Soll ich zum Testfall werden? Wie oft soll ich updaten? Was ist, wenn ein Virus das Schutzprogramm angreift, weil der DAU mit Systemprivilegien surft/Mails liest? Da hilft ein Virenschutzprogramm? Ich kann keinen Zeitpunkt voraussagen, zu dem ich mich von diesem Zeug geschützt fühlen kann. Ergo: Alles Humbug. Es gibt keine "halbe Sicherheit" nach dem Muster "aber oft hilft es". Daß manche auf kalkulierbare Sicherheit keinen Wert legen, sagt dabei über den Sachverhalt als solchen nichts aus.

\Gebetsmühlenmodus{off}

[dare]

vielleicht noch eine kleinigkeit. bei einer neuinstallation den "normalen" microsoft-weg zu gehen ist nicht ratsam.

es dauert in den meisten fällen nämlich nur sekunden bis ein rpc,lsass,ldap-wurm (sober etc.) den pc anfällt wenn er im netz ist. installiert der anwender nun eine ältere winxp-version wird das system befallen bevor er den service pack und die updates aufspielen kann.

aus diesem grund sollte man servicepack2 und am besten noch einige sicherheitsupdates zur hand haben und einsetzen bevor man das netzwerkkabel einsteckt.

den iexplorer zu meiden macht sicher auch sinn. ich persönlich halte es einfach so: es interessiert mich nicht was mit meiner windows-möhre passiert so lange mein linux-server (und meine daten) sicher ist (sind). sollen sich da doch ruhig ein paar kiddies tummeln (falls sie an meinem router vorbeikommen).