hab mir superviele würmer, trojaner und so eingefangen…. dabei war ich nur kurz ohne schutz, da mein abo von NIS abgelaufen war(schönen dank)
bin schon dabei das prob zu fixen.. hab die HD schon an andere rechner angeschlossen und gescannt, schon rausgefunden um was es sich teils für viren handelt, etc…

hab auf der HD XP prof engl laufen

aba vielleicht könnt ihr mir nochmal helfen….


hier mal einige facts:

-sdbot.worm.gen.g, korgoworm.v und forbot gefunden
-tasks wie svchosting.exe, sepate.exe, winfw.exe am laufen
-25.000 temporary internet files
-auf der OS partition files wie ssys.txt, crash.exe (auch ein trojaner), crash.html und noch ander merkwürdige files entstanden….
-kurzer aufenthalt im inet bescherte mir schonmal 300
sniffel, malware etc.

kann leider auch kein neues NIS installieren, da das wohl vom forbot geblockt wird… hab jetzt schonmal an nem andern NIS und mc Afee durchlaufen lasssen…. wobei es aber immernoch probs gibt.
hab mal was von hijack.this gelesen, kennt jemand das programm? normalerweise brauch ich doch für würmer auch ein removaltool, das registryeinträge, etc entfernt, evtl. nen patch…..

wär schön wenn ihr mir helfen könnt…

da mein abo von NIS abgelaufen war

Das führt dazu, dass man keine kostenlosen Updates über Liveupdate bekommt und NICHT sofort zu einem verseuchten Rechner. Deine Firewallkonfiguration ist anscheinend ziemlich für den …

dabei war ich nur kurz ohne schutz, da mein abo von NIS abgelaufen war(schönen dank)

Alle 360 Tage NIS neu installieren und das Problem ist keines.

-25.000 temporary internet files

Cache kleiner konfigurieren

kurzer aufenthalt im inet bescherte mir schonmal 300
sniffel, malware etc.

nicht auf jede Schrottinterseite gehen und Filesharing betreiben. Falls das doch gewünscht ist, siehe erster Kommentar

normalerweise brauch ich doch für würmer auch ein removaltool

Ja, macht Sinn. Gibts unter anderem unter www.symantec.com und ebenso den Online-Virenscan.

hab die HD schon an andere rechner angeschlossen und gescannt, schon rausgefunden um was es sich teils für viren handelt, etc.

Und warum nicht auch gleich entfernt?

Ansonsten hat sich bei mir die BartPE-CD bewährt (www.nu2.nu/pebuilder)

da mein abo von NIS abgelaufen

Die hingegen hat sich eigentlich noch nie bewährt -> kerio.com

leude, ich will hier nicht eure klugscheisser ratschläge…..
und ich hatte euch auch kein bock die ganze geschichte zu erzählen…… jedenfalls hat sich NIS deaktiviert und die würmer sind drauf…..

frage ist nach dem warum…..

wär nett, wenn noch was kontruktives von euch kommt

thx

jedenfalls hat sich NIS deaktiviert und die würmer sind drauf…..

frage ist nach dem warum…..

weil dein Betriebssystem sicherheitslücken hat, für die du keinen patch eingespielt hast

Also ich benutze ja Linux :)

(mittlerweile auf 4 Boxen!)

Abo laeuft nie ab, Update ueber:
apt-get update && apt-get upgrade

Mo

PS: Mit Linux waer das nicht passiert.

PS: Mit Linux waer das nicht passiert.

Wo ist hier der rote Button mit dem doppeltem Minus?


[img]http://www.fb18.de/gfx/1.gif[/img] noch ~16.5 Stunden

Jetzt hoert mal auf mit dem dem sinnlosen Bashing hier und helft dem Mann. Windowsuser vortreten!

- infizierten Rechner physikalisch vom Netz trennen
- folgende Anleitung durchlesen, verstehen, benötigte Tools von einem anderen Rechner auf eine saubere CD brennen
- infizierten Rechner neuinstallieren
- SP2 installieren
- sämtliche überflüssigen Dienste abschalten (z.B. mit dem Tool von dingens.org)
- dann erst den Rechner wieder ans Netz hängen
- windowsupdate.com aufrufen
- in Zukunft von komischen Personal Firewalls und anderem Norton Dreck fernhalten.

Jetzt hoert mal auf mit dem dem sinnlosen Bashing hier und helft dem Mann. Windowsuser vortreten!

*ROTFL*

Mo

Hm? Ja.. wasn los?
Erstma Handwerkszeug laden:

Start -> Run -> taskmgr
hier die laufenden Prozesse schauen. Am besten wär ja ein Prozessviewer, der dir den kompletten Pfad angibt, aber es geht auch so.
Nun schaust du dir die Prozessliste an und guckst nach verdächtigen Prozesssen. Nicht schlimm sind: Leerlaufprozess (*lol* Es gibt viele geile Threads in Foren über den omniösen Leerlaufprozess… :D ROFL), svchost.exe, alg.exe, lsass.exe, winlogon.exe, wscntfy.exe (bei SP2), smss.exe, tcpsvcs.exe
Sachen wie scvhost.exe, svcshost.exe, svchosts.exe oder halt auch svchosting.exe sind sehr verdächtig und bedarf einer Überprüfung.
Wenn du den Pfad des Prozesses noch nicht kennst, am besten mit der Suchen Funktion die Datei suchen lassen und den Pfad merken oder so. Dann würd ich
Start -> Run -> start $pfad
machen und die Datei anklicken und die Eigenschaften angucken. Wenn der Hersteller Microsoft ist, ist es wahrscheinlicher, dass die Datei ungefährlich ist, als wenn dort HackerSoft oder so steht… Also mal den entsprechenden Prozess killen und die DAtei fix umbenennen. Am besten mit der Endung .bak oder sowas.
Das ganze solange wiederholen, bis kein verdächtiger Prozess mehr übrig ist.
Dann würde ich mal in die Registry schauen:
Start -> Run -> Regedit
und dort HKLM\Software\Micorosoft\Windows\CurrentVerison\Run und die anderen Keys die mit Run anfangen beleuchten und evtl. löschen.

Dann gibt es noch das Tool msconfig mit dem man die ganzen AutoStart Dinger bearbeiten kann. Also fast das selbe wie gerade beschrieben.

Das Hijack tool ist ganz sinnvoll, weil es viele Informationen über dein laufendes System sammelt und man daraus meist die Ursachen des Problems festmachen kann. Also mach das ruhig mal und poste dein Resultat.

Ich kann dir mal fürs erste PestPatrol, AdAware und SpyBot Search & Destroy empfehlen um die gröbste Spyware recht einfach zu entfernen.

Viel Glück, Spaß, was auch immer…

Pies

Ne, ist klar. Und damit kriegt man so einen Zoo wieder sauber?

LOL
sh. Post

LOL
sh. Post

Der hilft aber nur begrenzt. Wenn die lieben Schädlinge unter dem Systemaccount laufen kann man sie schonmal so nicht killen oder ihnen die exe-Files klauen. Und wer garantiert dass wenn du einen Schädling entfernt hast ihn nicht ein anderer wieder einschleppt, während du den dann entfernst holt der erste diesen wieder etc. etc. etc.

um die gröbste Spyware recht einfach zu entfernen.

http://oschad.de/wiki/index.php/Virenscanner

LOL
sh. Post

Der hilft aber nur begrenzt. Wenn die lieben Schädlinge unter dem Systemaccount laufen kann man sie schonmal so nicht killen oder ihnen die exe-Files klauen. Und wer garantiert dass wenn du einen Schädling entfernt hast ihn nicht ein anderer wieder einschleppt, während du den dann entfernst holt der erste diesen wieder etc. etc. etc.

!?
Na klaro kannst du System Prozesse killen. Vorrausgesetzt, du bist Administrator. Und wenn du den Prozess des Wurms klaust und im selben Moment die Datei löscht respektive umbenennst, _kann_ es gar nichts mehr machen. Bzw. besser wäre erst umbennen dann killen, weil es gibt mittlerweile Malware, die sich selber wieder aufruft :D
Ich würde nicht sagen, dass das nur begrenzt hilft. Das ist eigtl. die einzige Methode etwas sinnvoll zu entfernen.

Nen präventiv Tipp für den anonymen um nicht sofort nach dem cleanen wieder betroffen zu sein: Einfach mal NetBios per Firewall blocken (TCP, Incoming, Port: 135-139) oder besser ganz deaktivieren und dann die neuestes Patches für Windows ziehen und _kein_ IExpl. benutzen, es sei denn du deaktivierst ActiveX, was aber irgendwie blöd ist, weil dann deaktiviert man auch flash :-< Wobei es gibt glaub ich so ein Tool für den IE das gezielte Plugins und Browser-Helper zulässt…

MfG

Na klaro kannst du System Prozesse killen. Vorrausgesetzt, du bist Administrator.

Über extreme Umwege ja, aber so direkt nicht. Die Systemaccout-Prozesse darf nichtmal der Admin killen, da muss man sich schon erst zum Systemaccou durcharbeiten

Und wenn du den Prozess des Wurms klaust und im selben Moment die Datei löscht respektive umbenennst, _kann_ es gar nichts mehr machen.

Wo ein Mensch quasi im selben Moment sieht ist für den Wurm schon eine unzahl an Prozessortakten vergangen, sorry aber als Mensch kannst du nicht so schnell sein

Und wenn du den Prozess des Wurms klaust und im selben Moment die Datei löscht respektive umbenennst, _kann_ es gar nichts mehr machen.

<sarkasmus>Mir war nicht bewußt, daß es ein Kommando gibt, mit dem man atomar einen Prozeß beendet und eine Datei löscht.</sarkasmus>

Ernsthaft: Selbst wenn das ginge, würde es nur begrenzt helfen, denn nicht nur gilt, was Du selbst schreibst:

Bzw. besser wäre erst umbennen dann killen, weil es gibt mittlerweile Malware, die sich selber wieder aufruft :D
Ich würde nicht sagen, dass das nur begrenzt hilft.

Nein, mittlerweile ist es eigentlich üblich geworden, daß Spyware gleich im dutzend billiger kommt und sich gegenseitig installiert. Das veranschaulicht nicht nur der Bericht vom Zimmermännchen, sondern auch die Reihe "Schädlingen auf der Spur", die neulich auf heise Security lief. (Übersetzung von http://isc.sans.org//diary.php?date=2004-11-24)

Aber so ein Vorgehen ist ja auch nichts neues. Man schaue sich nur mal den dritten (unschädlichen) Hack auf http://www.catb.org/~esr/jargon/html/meaning-of-hack.html an (Ab "Here is a story about one of the classic computer hacks")

Zitat:
id1: Friar Tuck... I am under attack! Pray save me! id1: Off (aborted) id2: Fear not, friend Robin! I shall rout the Sheriff of Nottingham's men! id1: Thank you, my good fellow!Ein echter Klassiker [img]http://www.fb18.de/gfx/17.gif[/img]

Das ist eigtl. die einzige Methode etwas sinnvoll zu entfernen.

Nein, meiner Erfahrung nach ist die sinnvollste Methode, wenn man sich solches Viehzeug schon eingefangen hat, der kombinierte Einsatz aus Virenscanner und Anti-Spyware-Software (was Du ja auch erwähnt hast). Auf jeden Fall würde ich nach einem solch massiven Befall das System noch einmal prüfen, ohne daß es läuft, z.B. mit einer Knoppicilin.

Wirklich am zuverlässigsten ist zu Beseitigung eines befallenen Systems ist aber nur - wie hier auch schon erwähnt - eine sichere Neuinstallation.

Und wenn du den Prozess des Wurms klaust und im selben Moment die Datei löscht respektive umbenennst, _kann_ es gar nichts mehr machen.

<sarkasmus>Mir war nicht bewußt, daß es ein Kommando gibt, mit dem man atomar einen Prozeß beendet und eine Datei löscht.</sarkasmus>

$ killall -sSTOP malware
$ rm malware
$ killall -sTERM malware
$ killall -sCONT malware

Also ich kann das.
Ziemlich atomar sogar. Und schneller als alle anderen *ggg

Mo

$ killall -sSTOP malware
$ rm malware
$ killall -sTERM malware
$ killall -sCONT malware

Also ich kann das.
Ziemlich atomar sogar. Und schneller als alle anderen *ggg

Also erstmal ist das geschummelt weil man unter Unix den Prozessen ja sowieso die Files unterm hintermn wegklauen kann. Außerdem muss die Malware nicht auf SIGTERM reagieren, SIGKILL wäre hübscher oder?

Unter UNIX? Naja… afaik ist Windows ein zertifiziertes UNIX, also insofern…

Und ja, SIGKILL waere schoener, aber dann braeuchte man ja das SIGCONT nicht mehr, und das hiesse, dass ich nicht atomar schnell bin aus Sicht des Prozesses, weil der dann keine Sicht mehr hat :)

Mo

Unter UNIX? Naja… afaik ist Windows ein zertifiziertes UNIX, also insofern…

Nein. Die WinNTs haben eine POSIX-Schnittstelle, womit sie aber kein Unix sind. Aber ich denke, das ist Dir klar.

Und ja, SIGKILL waere schoener, aber dann braeuchte man ja das SIGCONT nicht mehr, und das hiesse, dass ich nicht atomar schnell bin aus Sicht des Prozesses, weil der dann keine Sicht mehr hat :)

Wobei der Prozeß das TERM-Signal abfangen und die Datei wieder schreiben kann, oder? Ich sehe da keinen Weg, der an SIGKILL vorbeiführt.

Na klaro kannst du System Prozesse killen. Vorrausgesetzt, du bist Administrator.

Über extreme Umwege ja, aber so direkt nicht. Die Systemaccout-Prozesse darf nichtmal der Admin killen, da muss man sich schon erst zum Systemaccou durcharbeiten

Nein.. Dienste werden zB mit Systemrechten gestartet und ich kann dir jeden Prozess killen der so läuft. Ganz normal mit dem Taskmanager.

Und wenn du den Prozess des Wurms klaust und im selben Moment die Datei löscht respektive umbenennst, _kann_ es gar nichts mehr machen.

Wo ein Mensch quasi im selben Moment sieht ist für den Wurm schon eine unzahl an Prozessortakten vergangen, sorry aber als Mensch kannst du nicht so schnell sein

Ö.ö Wie gesagt, erst umbennen, dann killen.

Nein, meiner Erfahrung nach ist die sinnvollste Methode, wenn man sich solches Viehzeug schon eingefangen hat, der kombinierte Einsatz aus Virenscanner und Anti-Spyware-Software (was Du ja auch erwähnt hast).

Klar ist es ohne Frage sehr nützlich im Zweifelsfall mal nen Spyware-Removal Tool rüber zu jagen oder nen Virenscanner laufen zu lassen. Aber wie in dem Beispiel von Sören ist des nich des Maß der Dinge. Ich geb mich nicht mit den Ergebnissen eines solchen Tools zufrieden, ich lasse das grobe durch solche Tools erledigen und schaue dann von Hand nach, was mit Systemstart geladen wird und handele dann entsprechend. [NortonHateMode] NAV ist so beknackt und erkennt nen Optix Server nicht, nur weil beliebige Textstellen in dem compilierten Teil nicht mehr kleingeschrieben sind.[/NortonHateMode] Somit ist verlasse ich mich nicht auf die Aussagen eines solchen Tools und schau selber nach.
Des mit der gegenseitigen Installation ist natürlich heikel , aber da würde ich mir die Registry anschauen, die Keys mit den entsprechenden Prozessen löschen. In der Regel wird das durch einen Hook abgefangen und der Key neu geschrieben. Das bekomme ich ja mit und schreibe in meine Autoexec.bat reg.exe DELETE key /v value /f und boote neu.

Wirklich am zuverlässigsten ist zu Beseitigung eines befallenen Systems ist aber nur - wie hier auch schon erwähnt - eine sichere Neuinstallation.

Hmm… Ich finde, dass das bisschen zu krass ist, bei jedem Befall von Malware die Neuinstallation des kompletten Systems zu empfehlen. Natürlich ist bei einem zerfetzen System (Wie es zB Norton nach deinstallation hinterlässt) wohl nichts anderes mehr wirklich sinnvoll.

Ich geb mich nicht mit den Ergebnissen eines solchen Tools zufrieden, ich lasse das grobe durch solche Tools erledigen und schaue dann von Hand nach, was mit Systemstart geladen wird und handele dann entsprechend.

Ja, da stimme ich Dir zu: Ich prüfe sowas auch selber noch einmal nach.

Aber überprüfen ist eben ungleich entfernen. Und falls ich feststelle, daß ein Werkzeug nicht alles entfernt hat, schaue ich mich eher nach einem besseren Werkzeug um, als dies händisch zu übernehmen.

Hmm… Ich finde, dass das bisschen zu krass ist, bei jedem Befall von Malware die Neuinstallation des kompletten Systems zu empfehlen.

Nein, ich installiere ein System deswegen auch nicht gleich neu. Aber man sollte eben bei "normalem" entfernen aufmerksam bleiben (s.o.) und wenn alles nichts hilft, oder das System wichtig ist, ist eine Neuinstallation die ultima ratio.

Ist es nicht ungemein sinnvoller, gerade weil sich verschiedene Malware gegenseitig neulädt, alle Aktionen (sprich böse Dateien entfernen) im abgesicherten Modus durchzuführen (wenn es unbedingt vom infizierten System passieren muss)? Wurde hier irgendwie noch nicht erwähnt.

Hmm… Ich finde, dass das bisschen zu krass ist, bei jedem Befall von Malware die Neuinstallation des kompletten Systems zu empfehlen.

Ich nicht. Insbesondere nicht, wenn das System danach wieder auf den Rest der Menschheit (aka Internet) losgelassen werden soll. Es reicht doch schon einen der n Würmer zu übersehen, und am nächsten Tag hast Du wieder die ganze Bande am Hals. Schlimm genug, wenn Du das an Deinem eigenen Rechner machst; anderen Leuten zu empfehlen, den Rechner nicht neu aufzusetzen halte ich für ziemlich fahrlässig.

Einfach mal NetBios per Firewall blocken

Versteht sich von selbst.

dann die neuestes Patches für Windows ziehen

s.o.

_kein_ IExpl. benutzen

Geschmackssache

es sei denn du deaktivierst ActiveX

Zum Glück kann man die jetzt ja auch einzeln abschalten

es sei denn du deaktivierst ActiveX

Falls du das ct-Ding meinst, das kann gerne bleiben wo es ist.

es sei denn du deaktivierst ActiveX

Zum Glück kann man die jetzt ja auch einzeln abschalten

es sei denn du deaktivierst ActiveX

Falls du das ct-Ding meinst, das kann gerne bleiben wo es ist.

Wie dann?

Wie dann?

Wenn man die neuesten Updates unter XP installiert, dann wohl auch SP2, womit der Internet Explorer um eine Add-On-Verwaltung erweitert wird. Da lassen sich dann die ActiveX-Dinger einzeln an-&abschalten.

Na klaro kannst du System Prozesse killen. Vorrausgesetzt, du bist Administrator.

Über extreme Umwege ja, aber so direkt nicht. Die Systemaccout-Prozesse darf nichtmal der Admin killen, da muss man sich schon erst zum Systemaccou durcharbeiten

Nein.. Dienste werden zB mit Systemrechten gestartet und ich kann dir jeden Prozess killen der so läuft. Ganz normal mit dem Taskmanager.

Aha? Wenn ich einen Systemprozes killen will heisst es "Zugriff verweigert". Das ist auch gut so denn Dinge wie die Systemprozesse soll man ja auch nicht killen

Und wenn du den Prozess des Wurms klaust und im selben Moment die Datei löscht respektive umbenennst, _kann_ es gar nichts mehr machen.

Wo ein Mensch quasi im selben Moment sieht ist für den Wurm schon eine unzahl an Prozessortakten vergangen, sorry aber als Mensch kannst du nicht so schnell sein

Ö.ö Wie gesagt, erst umbennen, dann killen.

Das geht wenn der Prozess noch laeuft? Und wer garantiert dir dass nach dem Umbenennen der WUrm die Datei nicht wiederherstellt?

Das geht wenn der Prozess noch laeuft? Und wer garantiert dir dass nach dem Umbenennen der WUrm die Datei nicht wiederherstellt?

Eben. Der Wurm kann die Datei beobachten, und sobald sich irgendwas aendert, seine eigenen Sachen wieder reinschreiben. (und das geht ohne Polling. Das OS bietet Funktionen, die einen ueber Dateiaenderungen informieren.)

Mo

Wie dann?

Wenn man die neuesten Updates unter XP installiert, dann wohl auch SP2, womit der Internet Explorer um eine Add-On-Verwaltung erweitert wird. Da lassen sich dann die ActiveX-Dinger einzeln an-&abschalten.

immerhin…

Mein Beileid allen die sich damit (Würmer, Windows-Systemadministration) auseinandersetzen müssen.

Aha? Wenn ich einen Systemprozes killen will heisst es "Zugriff verweigert". Das ist auch gut so denn Dinge wie die Systemprozesse soll man ja auch nicht killen

Was wollteste denn killen!? Das, was als "System" im Taskmngr angezeigt wird?! Das geht natürlich nicht. Ansonsten hab ich als Admin auf meinem XP System keine Probleme Systemthreads zu killen. Was heißt man soll systemprozesse nicht killen!? Wer sagt denn sowas? Und wieso sollte man das nicht wollen?

Das geht wenn der Prozess noch laeuft? Und wer garantiert dir dass nach dem Umbenennen der WUrm die Datei nicht wiederherstellt?

Das Umbenennen geht schon. OK, wenn es wirklich so hart kommt ist es erstmal ein Problem, aber wenn ich mitbekomme, dass sich eine Datei hartnäckig hält, editier ich meine autoexec.bat bzw. starte im KOnsolenmode und lösche von da aus. Man könnte auch mit mehr Aufwand den reboot umgehen und die Handles des Prozesses löschen.

Ich nicht. Insbesondere nicht, wenn das System danach wieder auf den Rest der Menschheit (aka Internet) losgelassen werden soll. Es reicht doch schon einen der n Würmer zu übersehen, und am nächsten Tag hast Du wieder die ganze Bande am Hals. Schlimm genug, wenn Du das an Deinem eigenen Rechner machst; anderen Leuten zu empfehlen, den Rechner nicht neu aufzusetzen halte ich für ziemlich fahrlässig.

Du setzt also bei jeder Malware gleich ein neues System auf? Ich finde es fahrlässig dem User den kompletten Datenschwund anzuraten. Wenn du ein zerfetztes System hast, ist es unumgänglich, klar, aber ich setze doch kein neues System auf, weil es einen verdächtigen Prozess gibt. Bisher ist es mir nicht untergekommen, dass sich ein Prozess nicht vollends verabschiedet hat nach einem reboot, sodass es für mich absolut nicht gegeben mit Kanonen auf Spatzen zu scheißen <- lol

Aha? Wenn ich einen Systemprozes killen will heisst es "Zugriff verweigert". Das ist auch gut so denn Dinge wie die Systemprozesse soll man ja auch nicht killen

Was wollteste denn killen!? Das, was als "System" im Taskmngr angezeigt wird?!

Die, die dem User "SYSTEM" gehören.

Das geht natürlich nicht.

Ach. Sagt Tri doch die ganze Zeit.

Ich nicht. Insbesondere nicht, wenn das System danach wieder auf den Rest der Menschheit (aka Internet) losgelassen werden soll. Es reicht doch schon einen der n Würmer zu übersehen, und am nächsten Tag hast Du wieder die ganze Bande am Hals. Schlimm genug, wenn Du das an Deinem eigenen Rechner machst; anderen Leuten zu empfehlen, den Rechner nicht neu aufzusetzen halte ich für ziemlich fahrlässig.

Du setzt also bei jeder Malware gleich ein neues System auf?

Nein. Ich krieg eventuell noch 'ne Analyse hin, was genau da jetzt auf dem System drauf ist, und kann dann gezielt desinfizieren. Nur
a) trau ich Zimmermännchen diese Analyse nicht zu (sorry…)
b) wenn die Anzahl der Infektionen schon im dreistelligen Bereich ist, ist IMHO eh Hopfen und Malz verloren.

Ist es nicht ungemein sinnvoller, gerade weil sich verschiedene Malware gegenseitig neulädt, alle Aktionen (sprich böse Dateien entfernen) im abgesicherten Modus durchzuführen (wenn es unbedingt vom infizierten System passieren muss)? Wurde hier irgendwie noch nicht erwähnt.

kann man sich da wirklich drauf verlassen, das so keine malware gestartet wird?

Aha? Wenn ich einen Systemprozes killen will heisst es "Zugriff verweigert". Das ist auch gut so denn Dinge wie die Systemprozesse soll man ja auch nicht killen

Was wollteste denn killen!? Das, was als "System" im Taskmngr angezeigt wird?! Das geht natürlich nicht.

Das ist meien Definition von Systemprozess und es gibt genug Viren/Würmer sie sich als genau solche Installieren wenn der lokale User als Administrator rumläuft.

Du setzt also bei jeder Malware gleich ein neues System auf?

Es gibt ne offizielle Microsoftseite die exakt das empfiehlt weils die ienzig sichere Variante ist

kann man sich da wirklich drauf verlassen, das so keine malware gestartet wird?

Kann ich nicht genau sagen. Würde mich auch mal interessieren. Auf alle Fälle die Programme, die in den Run*-Einträgen in der Registry, in Autostart-Ordnern und AFAIK auch win.ini stehen. Also auf jeden Fall ein Vorteil gegenüber dem normalen Modus.

Aha? Wenn ich einen Systemprozes killen will heisst es "Zugriff verweigert". Das ist auch gut so denn Dinge wie die Systemprozesse soll man ja auch nicht killen

Was wollteste denn killen!? Das, was als "System" im Taskmngr angezeigt wird?!

Die, die dem User "SYSTEM" gehören.

Das geht natürlich nicht.

Sagt Tri doch die ganze Zeit.

Nein. Es gibt einen Eintrag der sich "System" nennt. Und es gibt diverse Einträge, die unter dem Nutzer "System" laufen. Und ich als Admin hab die Rechte, diese Prozesse zu killen. Wär ja auch blöd wenn nicht. Und so wie ich Tri verstehe, sagt er, dass der diejenigen Prozesse nicht killen darf, die mit Systemrechten laufen (also bei denen der User System der Eigentümer ist).

Nein. Ich krieg eventuell noch 'ne Analyse hin, was genau da jetzt auf dem System drauf ist, und kann dann gezielt desinfizieren. Nur
a) trau ich Zimmermännchen diese Analyse nicht zu (sorry…)
b) wenn die Anzahl der Infektionen schon im dreistelligen Bereich ist, ist IMHO eh Hopfen und Malz verloren.

Ja, klar, wenn das System entsprechend zerlegt ist, musst du aber auch deine Aussage dementsprechend treffen und nicht allgemein im Raum liegen lassen:

Ich nicht. Insbesondere nicht, wenn das System danach wieder auf den Rest der Menschheit (aka Internet) losgelassen werden soll. Es reicht doch schon einen der n Würmer zu übersehen, und am nächsten Tag hast Du wieder die ganze Bande am Hals. Schlimm genug, wenn Du das an Deinem eigenen Rechner machst; anderen Leuten zu empfehlen, den Rechner nicht neu aufzusetzen halte ich für ziemlich fahrlässig.

Es gibt ne offizielle Microsoftseite die exakt das empfiehlt weils die ienzig sichere Variante ist

Das zeigt das Vertrauen von Microsoft, was in die eigenen Produkte bzw. User gesetzt wird. Wobei ich nicht mal glaube, dass die die komplett Löschung ihrer eigenen Software empfehlen und sich somit eingestehen, dass im Endeffekt alles verloren ist wenn man Windows benutzt…..
Ich beharre immernoch darauf, dass eine Neuinstallation des kompletten Systems nur im äußersten Notfall angebracht ist (also im Fall, dass der User versagt :P ). Ich würde keinem Kunden von vorherein Empfehlen, das System komplett platt zu machen. Da würde ich auch schnell alle Kunden wieder verlieren, wenn sich rumspricht, dass ich Datenlöscher wäre…

Da würde ich auch schnell alle Kunden wieder verlieren, wenn sich rumspricht, dass ich Datenlöscher wäre…

Für solche Fälle hat der Kunde ein Backup.

Da würde ich auch schnell alle Kunden wieder verlieren, wenn sich rumspricht, dass ich Datenlöscher wäre…

Für solche Fälle hat der Kunde ein Backup.

LOL Ja.. geile Einstellung: Tut mir Leid Fa. Karstadt. Sie haben sich um heute Mittag 12h einen Browserhelper eingefangen. Der ist zwar ungefährlich, ich könnte ihn auch entfernen, aber Micorsoft sagt, es ist besser, wenn ich ihre Festplatte leer mache und sie somit auf den Stand von gestern Mittag zurückgeworfen werden.

Davon ab, dass es nicht unbedingt selbstverständlich ist, ein Backup zu haben, ist auch nicht immer unbedingt erwünscht dieses wieder einzuspielen. Auch hier gilt wieder: Nur im Notfall sollte man zu dieser letzten Masßnahme greifen…

Also privat mit nur einem Client kann man ruhig mal versuchen alles sauberzumachen, ohne Neuinstallation. Aber im Firmennetzwerk gilt nur eines: Netzstecker ziehen, persönliche Daten sichern und die Kiste überbügeln. Lieber einen halben Tag so verbringen, als dass ein infizierte Client Amok läuft.

@muelli Firma ohne Backup ist etwas so wie Geld im Kamin anzünden, oder aus dem Fenster werfen, oder….

Da würde ich auch schnell alle Kunden wieder verlieren, wenn sich rumspricht, dass ich Datenlöscher wäre…

Für solche Fälle hat der Kunde ein Backup.

LOL Ja.. geile Einstellung: Tut mir Leid Fa. Karstadt. Sie haben sich um heute Mittag 12h einen Browserhelper eingefangen.

auf dem zentralen Fileserver, wo die Daten liegen?

Nein. Es gibt einen Eintrag der sich "System" nennt. Und es gibt diverse Einträge, die unter dem Nutzer "System" laufen. Und ich als Admin hab die Rechte, diese Prozesse zu killen. Wär ja auch blöd wenn nicht. Und so wie ich Tri verstehe, sagt er, dass der diejenigen Prozesse nicht killen darf, die mit Systemrechten laufen (also bei denen der User System der Eigentümer ist).

Also ich habe als Admin keine Rechte Dinge zu killen die unter dem User System laufen und das ist auch verdammt richtig so.

Edit: Igitt seit wann ist das denn so? Schlimmschlimm…

Es gibt ne offizielle Microsoftseite die exakt das empfiehlt weils die ienzig sichere Variante ist

Das zeigt das Vertrauen von Microsoft, was in die eigenen Produkte bzw. User gesetzt wird. Wobei ich nicht mal glaube, dass die die komplett Löschung ihrer eigenen Software empfehlen und sich somit eingestehen, dass im Endeffekt alles verloren ist wenn man Windows benutzt…..

Das hat nichts mit Windows zu tun. Alle Daten auf einem kompromittierten System sind potentiell infiziert und können auch nicht desinfiziert werden da es genug Mittel zur Re-Infektion gibt. Purer realismus.

Bei suchen hab ich immerhin gefunden dass es nur ein Kolumnenartikel ist, dafür ist der ansich recht Systemübergreifend und gibt gute gründe warum das so ist: http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx

Also ich habe als Admin keine Rechte Dinge zu killen die unter dem User System laufen und das ist auch verdammt richtig so.

Wieso? Wenn ich root bin, oder wie Windows das auch nennt, will ich auch Vollzugriff auf das System haben!
Es ist i.A. doch so gedacht, das man mittels root-Account nachweist, das man Ahnung vom System hat. Und wenn man weiß was man tut, soll man das auch tun dürfen.

Das so viele Leute ständig mit dem Administrator arbeiten, ist ein anderes Problem. Dem ist IMO aber entgegenzuwirken, indem man es erschwert, Admin zu sein, und nicht den Admin generell einschränkt. zB ist es doch sicher immernoch so, das bei der Installation von WinXP angelegte Accounts automatisch Admins sind. Das muß ja nicht sein.

Also ich habe als Admin keine Rechte Dinge zu killen die unter dem User System laufen und das ist auch verdammt richtig so.

Wieso? Wenn ich root bin, oder wie Windows das auch nennt, will ich auch Vollzugriff auf das System haben!

Jein, es gibt unter Windows zuviele Administratoren, die die möglichkeiten haben, root zu werden. Man könnte es als sowas wie nen Normaluser mit unbeschränktem sudo-Recht nennen, der Admin KANN wenn er will zum höchsten aller User nämlich dem Systemuser aufsteigen, aber normal ist ers nicht.

Es ist i.A. doch so gedacht, das man mittels root-Account nachweist, das man Ahnung vom System hat. Und wenn man weiß was man tut, soll man das auch tun dürfen.

Nein. Wenn unter Windows XP die bei der Installation erstellten zusätzlichen User in die Gruppe "Administratoren" kommt, dann zeigt das garnichts. Da muss erstmal grundsätzlich was bei der User-Einrichtung für DAUs geändert werden [img]http://www.fb18.de/gfx/28.gif[/img]

SO LEUTE, DAMIT IHR NICHT WEITER EUCH HIER UNQUALIFIZIERTE POSTINGS AN DEN KOPF WERFT DÜRFT IH REUCH MAL GEDANKEN MACHEN, WELCHE VIREN; WÜRMER WHATEVER PROZESSE WIE

SEPATE.EXE
SVCHOSTING.EXE
WINFW.EXE

HERVORRUFT… BIN ÜBER GOOGLE.DE UND http://www.liutilities.com/products/wintaskspro/processlibrary/ LEIDER AUCH NICHT SCHLAUER

UND NICHT SONE WINDOWS EINFÜHRUNGSKURS POSTINGS.. GILT BESONDERS FÜR MUELLI…..

DANKE

Jein, es gibt unter Windows zuviele Administratoren, die die möglichkeiten haben, root zu werden.

Ich mache da keine qualitative Unterscheidung - entweder ist man superuser, oder nicht. Wenn es Zwischenstufen gibt, sehe ich die als Nicht-Super-User an, die brauchen dann natürlich auch keine volle Macht über das System. Bzw sie dürfen sie nicht haben.

Nein. Wenn unter Windows XP die bei der Installation erstellten zusätzlichen User in die Gruppe "Administratoren" kommt, dann zeigt das garnichts. Da muss erstmal grundsätzlich was bei der User-Einrichtung für DAUs geändert werden [img]http://www.fb18.de/gfx/28.gif[/img]

Ja, das habe ich doch selber geschrieben. An dann soll bitte auch *genau* da was geändert werden, und nicht dem Superuser Möglichkeiten verboten werden…

SO LEUTE, DAMIT IHR NICHT WEITER EUCH HIER UNQUALIFIZIERTE POSTINGS AN DEN KOPF WERFT DÜRFT IH REUCH MAL GEDANKEN MACHEN, WELCHE VIREN; WÜRMER WHATEVER PROZESSE WIE

SEPATE.EXE
SVCHOSTING.EXE
WINFW.EXE

HERVORRUFT… BIN ÜBER GOOGLE.DE UND http://www.liutilities.com/products/wintaskspro/processlibrary/ LEIDER AUCH NICHT SCHLAUER

UND NICHT SONE WINDOWS EINFÜHRUNGSKURS POSTINGS.. GILT BESONDERS FÜR MUELLI…..

DANKE

auf diese Weise wird Dir mit Sicherheit nicht geholfen [img]http://www.fb18.de/gfx/14.gif[/img]

WELCHE VIREN; WÜRMER WHATEVER PROZESSE WIE

SEPATE.EXE
SVCHOSTING.EXE
WINFW.EXE

HERVORRUFT…

Schlimme Viren.

Du könntest natürlich auch die Dinger mal disassemblieren und vielleicht String-Referenzen finden, die dir dann eventuell weiterhelfen. Ist aber nur so ein Gedanke, bin ja kein Informatikstudent im Hauptstudium. [img]http://www.fb18.de/gfx/15.gif[/img]
Wenn du mehr Hilfe willst, ändere doch mal deinen bescheuerten Avatar.

SO LEUTE, DAMIT IHR NICHT WEITER EUCH HIER UNQUALIFIZIERTE POSTINGS AN DEN KOPF WERFT DÜRFT IH REUCH MAL GEDANKEN MACHEN, WELCHE VIREN; WÜRMER WHATEVER PROZESSE WIE

Hey, die Diskussion über Administratoren und so war doch interessant, außerdem kein Grund, Capslock rauszuholen [img]http://www.fb18.de/gfx/22.gif[/img]

SEPATE.EXE
SVCHOSTING.EXE
WINFW.EXE

HERVORRUFT… BIN ÜBER GOOGLE.DE UND http://www.liutilities.com/products/wintaskspro/processlibrary/ LEIDER AUCH NICHT SCHLAUER

Hm. Google, svchosting.exe eingegeben, erster Hit ist ne Virenbeschreibung von WORM_SDBOT.HU, immerhin geben die anderen beiden nichts wirkliches. Hast du zufällig noch ne Firewall am laufen?

Hast du zufällig noch ne Firewall am laufen?

Eher nicht. [img]http://www.fb18.de/gfx/15.gif[/img]

Hast du zufällig noch ne Firewall am laufen?

Eher nicht. [img]http://www.fb18.de/gfx/15.gif[/img]

Personal Firewalls schützen nicht, die können auch auf einem Virenrechenr laufen [img]http://www.fb18.de/gfx/28.gif[/img]

Personal Firewalls schützen nicht

Äähh ja!?

die können auch auf einem Virenrechenr laufen

Ich auch. Könnte das der Grund sein, warum man neben einer Firewall auch einen Virenscanner haben sollte?

Personal Firewalls schützen nicht

Äähh ja!?

Ja!

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Sehr schön. War mir dann doch zuviel Text. Habe aber schon mal meine Firewall abgestellt. Schaue wieder rein, wenn Zimmermännchen mir helfen kann.

Kacke, bin ich lustig.

Sehr schön. War mir dann doch zuviel Text.

Wer nicht will, der hat schon. Aber irgendwie nehm ich Dir nicht ab, dass Du schon verstanden hast.

Aber irgendwie nehm ich Dir nicht ab, dass Du schon verstanden hast.

harrharr

SO LEUTE, DAMIT IHR NICHT WEITER EUCH HIER UNQUALIFIZIERTE POSTINGS AN DEN KOPF WERFT

Reg Dich ab, Deine Frage war doch schon längst beantwortet.

sorry leute, aber wenn so bescheuerte ideen kommen wie virenscanner laufen lassen, taksmanager processe killen und regedit einträge löschen….

da solltet ihr schon so eine reaktion erwarten. und anonyme hosenscheisser sollten hier mal gebannt werden.

falls ihr sonst noch ideen habt wär ich dankbar…

@tri: der prozess wird in der reg als win firewall beschrieben…. kann aber nicht sein, da liutility den nicht kennt…

@tri: der prozess wird in der reg als win firewall beschrieben…. kann aber nicht sein, da liutility den nicht kennt…

Jo auf die Aussage der Reg auf keienn Fall verlassen, aber muss liutility denn alle Software der Welt kennen?

sorry leute, aber wenn so bescheuerte ideen kommen wie virenscanner laufen lassen, taksmanager processe killen und regedit einträge löschen….

da solltet ihr schon so eine reaktion erwarten. und anonyme hosenscheisser sollten hier mal gebannt werden.

Du willst keine Hilfe? Gut *notier*

Du willst keine Hilfe? Gut *notier*

du solltest es doch besser wissen
und nicht auch so daherreden..

(egal wie sich Zimmermaennchen anstellt ;) )

Wieso daherreden? Er hat meinen ernstgemeinten Rat bekommen, und meckert jetzt rum.

SO LEUTE, DAMIT IHR NICHT WEITER EUCH HIER UNQUALIFIZIERTE POSTINGS AN DEN KOPF WERFT

Unqualifiziert? Ich weiß net, ich halte einen Großteil der Posts für sehr qualifiziert.

sorry leute, aber wenn so bescheuerte ideen kommen wie virenscanner laufen lassen, taksmanager processe killen und regedit einträge löschen….

da solltet ihr schon so eine reaktion erwarten.

bescheuerte Ideen? Das IST im Zweifel das, was dir hilft. Wenn Du damit ein Problem hast, würde ich ja mal die Microsoft Support Hotline anrufen, die erklären Dir dann haarklein, welche Tasten Du drücken mußt…

SCNR

bescheuerte Ideen? Das IST im Zweifel das, was dir hilft. SCNR

ja, und wenn man intelligent ist (was bei dir muelli und so wohl nicht der fall ist), würde man aus den postings von mir lesen, das ich das schon versucht hatte..

nannte sich in der schule interpretieren… anyway

ja, und wenn man intelligent ist (was bei dir muelli und so wohl nicht der fall ist), würde man aus den postings von mir lesen, das ich das schon versucht hatte..

Eigentlich konnte man (ich zumindest) aus deinen Beiträgen bisher nur rauslesen dass du zwar keinen Plan hast, aber trotzdem keine Ratschläge haben möchtest.

ja, und wenn man intelligent ist (was bei dir muelli und so wohl nicht der fall ist), würde man aus den postings von mir lesen, das ich das schon versucht hatte..

Du hast schon neuinstalliert? Warum heulst Du dann hier noch rum?

Ich glaub kaum, dass hier noch was sinnvolles kommt, oder? (closed)