Rootkit?

Hallo,

Post by Ante Auber
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|46763
(Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\msaciirza.exe
Ich finde im System weder diese exe noch einen Eintrag in der Registry.
Unter Policies gibts keinen Explorer-Eintrag.
Was kann man tun (ausser vll. neu aufsetzen)?

^^^^^^^^^^^^^
Genau das ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Ante Auber

2013-07-12 11:00:30 UTC

Post by Juergen Ilse
Hallo,

^^^^^^^^^^^^^
Genau das ...
Tschuess,

Ob evtl. ein Inplace-Upgrade ausreichen wird?

Heiko Schlenker

2013-07-12 12:18:15 UTC

Post by Ante Auber

^^^^^^^^^^^^^
Genau das ...
Tschuess,

Ob evtl. ein Inplace-Upgrade ausreichen wird?

Ist denn sichergestellt, dass der vermutete Schädling niemals zur
Ausführung gelangt ist und so beispielsweise keinen weiteren
Schadecode nachladen konnte?

Den antiken Trojaner hätte es nichts gebracht, lediglich das Vehikel,
also das trojanische Pferd, zu vernichten. Sie hätten auch alle
Griechen finden müssen, die in dessen Bauch saßen, und dann ferner
auch deren Aktionen, u.a. das Öffnen von Hintertüren bzw. das
Hereinlassen weiterer Unholde, rückgängig machen müssen.

Gruß, Heiko

Heiko Schlenker

2013-07-12 12:19:39 UTC

Post by Ante Auber

^^^^^^^^^^^^^
Genau das ...
Tschuess,

Ob evtl. ein Inplace-Upgrade ausreichen wird?

Vorausgesetzt, dass Du tatsächlich ein Schadprogramm gefunden hast:
Ist denn sichergestellt, dass der vermutete Schädling niemals zur
Ausführung gelangt ist und so beispielsweise keinen weiteren
Schadecode nachladen konnte?

Den antiken Trojaner hätte es nichts gebracht, lediglich das Vehikel,
also das trojanische Pferd, zu vernichten. Sie hätten auch alle
Griechen finden müssen, die in dessen Bauch saßen, und dann ferner
auch deren Aktionen, u.a. das Öffnen von Hintertüren bzw. das
Hereinlassen weiterer Unholde, rückgängig machen müssen.

Gruß, Heiko

Pegasus

2013-07-12 17:48:23 UTC

Post by Ante Auber
Ob evtl. ein Inplace-Upgrade ausreichen wird?

Nein, auf keinen Fall. Säubern eines gefährdeten Systems:
http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx
http://malte-wetz.de/wiki/pmwiki.php/De/RemovalTools

Und es gibt eine sichere Methode, im Netz Vollidioten zu erkennen:
man erkennt sie daran, dass sie für eine Reparatur infizierter Systeme sind.
Wer das macht, riskiert sowas:
http://oschad.de/wiki/index.php/Virenscanner
Und nein: es gibt keine sichere Möglichkeit, den genauen Typ eines Virus
erkennen zu können. Das, was solch eine Software zu erkennen glaubt, könnte
auch eine ihr noch unbekannte Variante eines bekannten Virus sein.

--
Peter Hagendorf

Helmut Hullen

2013-07-12 18:34:00 UTC

Hallo, hpm,

Post by Pegasus
man erkennt sie daran, dass sie für eine Reparatur infizierter Systeme sind.

Auch das BSI empfiehlt ggfs. die Reparatur.

Aber Du ersetzt ja lieber Sachargumente oder Fakten durch absurde
Übertreibungen.
Und verkleisterst ggfs. irgendwann diese Übertreibungen als "rhetorische
Stilmittel".

Viele Gruesse!
Helmut

Harald Klotz

2013-07-14 13:48:53 UTC

Post by Pegasus
man erkennt sie daran, dass sie für eine Reparatur infizierter
http://oschad.de/wiki/index.php/Virenscanner

Eine reichlich dümmliche Geschichte.

Post by Pegasus
Und nein: es gibt keine sichere Möglichkeit, den genauen Typ eines
Virus erkennen zu können. Das, was solch eine Software zu erkennen
glaubt, könnte auch eine ihr noch unbekannte Variante eines bekannten
Virus sein.

Wenn ein Virus eine Remote Shell installiert, werden das auch dei
Hersteller der Virenscanner mitbekommen.
Wenn nicht, nutzt es auch nichts, keinen Virenscanner zu haben.

Die Geschichte strotzt vor Dummheit, denn ohne Scanner wäre im fiktiven
Fall das selbe passiert.

Es ist einfach nur dumm mit solchen Argumenten gegen Scanner
aufzutreten.

Lass dir etwas besseres einfallen.

Grüße Harald

Pegasus

2013-07-14 17:49:23 UTC

Post by Harald Klotz
Die Geschichte strotzt vor Dummheit, denn ohne Scanner wäre im fiktiven
Fall das selbe passiert.

Nein, diese Antwort ist es, die vor Dummheit strotzt. Du machst dem Meister
der Merkbefreiung arge Konkurrenz.

--
Peter Hagendorf

Harald Klotz

2013-07-15 14:59:52 UTC

Post by Harald Klotz
Die Geschichte strotzt vor Dummheit, denn ohne Scanner wäre im
fiktiven Fall das selbe passiert.

Nein, diese Antwort ist es, die vor Dummheit strotzt. Du machst dem
Meister der Merkbefreiung arge Konkurrenz.

Pack deine Märchenstunde wianders hin.

Dummheit ist zu glauben, alles was man sich installiert ist sauber.

Die Geschichte ist eine reine dümmliche Phantasie, tatsächlich sit sie
denkbar, tatsächlich kann es so geschehen.

Nur, wer sich einen Virust installiert, wird es auch dann tun, wenn er
keinen Virenscanner und keine Firewall hat.

Die Tatsache, dass nicht jeder Virus erkannt wird, dass eine Firewall
umgehbar ist, ist in der Geschichte ein reichlich dümmliches Argument,
denn ohne selbiges passiert eben genau das selbe.

Wer natürlich so blöd ist jeden Dreck zu installieren, weil er ja einen
Virenscanner hat, der wird ohne selbiges nicht intelligenter und den
Dreck trotzdem installieren.
Es ist schlicht dumm anzunehmen, dass sich Normaluser zu strengen
Administratoren erziehen lassen.

Und wie gesagt, in dem genannten Szenario ist es sehr unwahrscheinlich,
dass es völlig unentdeckt bleibt und der Virenscannerhersteller nicht
nachbessert und das langfristig nicht erkannt wird.

Wir sollten Verkehrsschilder abschaffen, denn man kann sie umgehen. ;-)

Grüße Harald

Pegasus

2013-07-16 14:11:16 UTC

Post by Harald Klotz
Dummheit ist zu glauben, alles was man sich installiert ist sauber.

Papperlapapp. Ein von einem Original Windows-Datenträger installiertes
System ist sauber. Weiterhin sind die hinzuinstallierten, verifizierten
Anwendungsprogramme ebenfalls sauber. Dummheit wäre es, dies zu bezweifeln.

Post by Harald Klotz
Die Geschichte ist eine reine dümmliche Phantasie, tatsächlich sit sie
denkbar, tatsächlich kann es so geschehen.

Und es geschah auch schon oft so. Die Geschichte ist also nicht abwegig,
sondern häufige Praxis.

Post by Harald Klotz
Nur, wer sich einen Virust installiert, wird es auch dann tun, wenn er
keinen Virenscanner und keine Firewall hat.

Wer sich einen Virus installiert, hat schon etwas falsch gemacht. Der Witz
ist, sich keinen zu installieren. Ich hab mir schon öfter welche
installiert, allerdings nur bewusst zu Testzwecken, ansonsten verzichte ich
einfach darauf.

Post by Harald Klotz
Die Tatsache, dass nicht jeder Virus erkannt wird, dass eine Firewall
umgehbar ist, ist in der Geschichte ein reichlich dümmliches Argument,
denn ohne selbiges passiert eben genau das selbe.

Es ist ein Argument *gegen* AV-Ware-Placebos und *für* geeignete Maßnahmen.

Post by Harald Klotz
Wer natürlich so blöd ist jeden Dreck zu installieren, weil er ja einen
Virenscanner hat, der wird ohne selbiges nicht intelligenter und den
Dreck trotzdem installieren.
Es ist schlicht dumm anzunehmen, dass sich Normaluser zu strengen
Administratoren erziehen lassen.

Jeder fortgeschrittene User war mal Normaluser. Diese Meinung ist also
dümmer als die Polizei erlaubt. Es gibt unzählige User, die diesbezüglich
dazu lernen wollen. Genau um diese geht es. Der Rest, der DAU bleiben will,
ist mit den AV-Placebos eh hoffnungslos verloren. Es ist unmöglich, jeden
ONU dahin zu bringen, aber ist leicht möglich, interessierte ONUs dahin zu
bringen.

Post by Harald Klotz
Und wie gesagt, in dem genannten Szenario ist es sehr unwahrscheinlich,
dass es völlig unentdeckt bleibt und der Virenscannerhersteller nicht
nachbessert und das langfristig nicht erkannt wird.

Es ist Hackern völlig wurscht, ob ihre Malware nach einiger Zeit allgemein
bekannt ist, die hat ihre Dienste dann nämlich schon lange getan und die
nächste Version wird verbreitet, wiederum mit Erfolg, den Virenscanner sind
dagegen wiederum machtlos. Die Blackhats sind jeder Sicherheitssoftware
immer mehrere Schritte voraus, das alte Hase/Igel-Spiel.
Deshalb gilt es, den Spieß umzudrehen und das System und Verhalten so
einzurichten, dass man selbst zum Igel wird und die Malware zum Hasen macht.
DAS sind die Maßnahmen, die Blackhats den Usern empfehlen, also SRP/SAFER.
Sie sind diejenigen, die genau wissen, was sie gegen ihresgleichen zu tun
haben. Zitat Blackhat:
------------------------------------------------------------------------------------------------
DDoS-Schutz allgemein ist ernstzunehmen, auch wenn viele Crews bei
veralteten Lösungen auf diesem Gebiet das Gegenteil bewiesen haben. Was sich
gar nicht lohnt, ist Antivirus, totale Geldverschwendung - ja, es schützt
Sie vor Skript-Kiddies, die dumme Viren schreiben, aber das war es schon.
Jedes Botnetz, das verkauft und benutzt wird, kann schon allein durch seine
verteilte Architektur nicht entdeckt werden. Auch Anti-Spam-Software ist
überflüssig, sieht man einmal von den Captchas ab, die aber von vielen
Nutzern gehasst werden.
Denken Sie immer daran, dass der Kriminelle dem, was es an
Sicherheitstechnologie zu kaufen gibt, zehn Schritte voraus ist. Wenn eine
Zero-Day-Schwachstelle öffentlich wird, ist sie bereits seit Monaten im
Einsatz gewesen.
--------------------------------------------------------------------------------------------------
Das ganze Interview:
http://www.computerwoche.de/a/mit-einem-botnetz-geld-zu-verdienen-ist-einfacher-als-zaehneputzen,2540793

Post by Harald Klotz
Wir sollten Verkehrsschilder abschaffen, denn man kann sie umgehen. ;-)

Nicht alles, was hinkt, ist ein Vergleich. Leute wie dich, die hier zu
diesem Thema blühenden Nonsens verblasen, mögen sie. Sowas erleichtert ihr
Geschäft nämlich erheblich.

--
Peter Hagendorf

Helmut Hullen

2013-07-16 15:00:00 UTC

Hallo, hpm,

Post by Harald Klotz
Dummheit ist zu glauben, alles was man sich installiert ist sauber.

Papperlapapp. Ein von einem Original Windows-Datenträger
installiertes System ist sauber.

Mal abgesehen von den zwischenzeitlich entdeckten sowie den immer noch
unentdeckten Sicherheitslücken.

Post by Pegasus
Weiterhin sind die
hinzuinstallierten, verifizierten Anwendungsprogramme ebenfalls
sauber. Dummheit wäre es, dies zu bezweifeln.

Das wäre nicht Dummheit, sondern ganz normale Skepsis.

Die pure Existenz von Sicherheits-Updates zeigt, dass ein von Grund auf
re-installiertes System immer noch unsicher ist.

Wer behauptet, dass auf diesem Weg ein "sicheres" System erzeugt werde,
der verkauft Schlangenöl.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 16:33:19 UTC

Hallo,

Post by Harald Klotz
Dummheit ist zu glauben, alles was man sich installiert ist sauber.

Papperlapapp. Ein von einem Original Windows-Datenträger
installiertes System ist sauber.

Mal abgesehen von den zwischenzeitlich entdeckten sowie den immer noch
unentdeckten Sicherheitslücken.

"sauber" heisst hier "nicht kompromittiert" und nicht etwa "nicht
kompromittierbar". Du zeigst mal wieder ueberdeutlich, dass du
absichtlich missverstehen *willst*.

Post by Helmut Hullen
Die pure Existenz von Sicherheits-Updates zeigt, dass ein von Grund auf
re-installiertes System immer noch unsicher ist.

Es ging nicht um "unsicher" sondern um "unkompromittiert" ...

Post by Helmut Hullen
Wer behauptet, dass auf diesem Weg ein "sicheres" System erzeugt werde,
der verkauft Schlangenöl.

Das sichere System erhaelt man aus einem unkompromittierten System,
indem man die Luecken schliesst. Aus einem kompromittierten System
kann man hingegen kein sicheres System erhalten, solange man nicht
*alle* bei der Kompromittierung durchgefuehrten Aenderungen voll-
staendig erkennt und rueckgaengig machen kann (i.d.R. kann man
das nicht, weil man nicht alle Veraenderungen kennt).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-16 16:46:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Mal abgesehen von den zwischenzeitlich entdeckten sowie den immer
noch unentdeckten Sicherheitslücken.

"sauber" heisst hier "nicht kompromittiert" und nicht etwa "nicht
kompromittierbar". Du zeigst mal wieder ueberdeutlich, dass du
absichtlich missverstehen *willst*.

Du weisst doch eigentlich, dass "nicht befallen" nicht feststellbar ist
- da ist stets ganz viel Hoffnung nötig.

Post by Helmut Hullen
Die pure Existenz von Sicherheits-Updates zeigt, dass ein von Grund
auf re-installiertes System immer noch unsicher ist.

Es ging nicht um "unsicher" sondern um "unkompromittiert" ...

Bei der letzten Runde zu diesem Dauerbrenner hast Du von "definierter
Zustand" gesprochen - das ist eine korrekte Bezeichnung. "nicht
kompromittiert" ist Wunschdenken.

Nur am Rande: wenn ein System eine Hintertür für die NSA hat, die der
Hersteller mir verschweigt: ist es dann "kompromittiert"?

Klar - "kompromittiert" klingt so schön fachmännisch. Aber der Inhalt
dieses Begriffs ist mindestens unklar.

Post by Helmut Hullen
Wer behauptet, dass auf diesem Weg ein "sicheres" System erzeugt
werde, der verkauft Schlangenöl.

Das sichere System erhaelt man aus einem unkompromittierten System,
indem man die Luecken schliesst.

Dazu müsste "man" sie kennen ...

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 17:09:55 UTC

Hallo,

Post by Juergen Ilse
kompromittierbar". Du zeigst mal wieder ueberdeutlich, dass du
absichtlich missverstehen *willst*.

Du weisst doch eigentlich, dass "nicht befallen" nicht feststellbar ist
- da ist stets ganz viel Hoffnung nötig.

Wenn man bei einem frisch aufgesetzten System nicht von unkomprimittiert
ausgehen kann, ist mab chancenlos, jemals ein unkompromittiertes System
zu erhalten, und das System gehoert nicht auf einen Rechner sondern in
die Tonne.

Post by Helmut Hullen
Nur am Rande: wenn ein System eine Hintertür für die NSA hat, die der
Hersteller mir verschweigt: ist es dann "kompromittiert"?

Ja. Da man aber nicht alles pruefen kann (weder mit noch ohne Viren-
scanner), bleibt einem ab einem bestimmten Punkt nur uebrig, davon
auszugehen, dass die entsprechenden Komponenten unkompromittiert
sind (siehe auch "Reflections on Trusting Trust" von Ken Thompson).
Das Betriebssystem ist fuer die meisten Personen eine solche
Komponente. Andererseits ist das Betriebssystem unverzichtbar.
Schlussfolgerungen bitte selbst ziehen (auch wenn du das wieder
verweigern wirst). Die selben Ueberlegungen, die du ueber eine
moegliche Kompromittierung des frisch installierten Systems
anstellst, gelten uebrigens genauso fuer jede zusaetzlich
installierte Software, *einschliesslich* des Scanners, wenn
du also so argumentierst, musst du davon ausgehen, dass *jede*
installierte Software dein System potentiell kompromittiert,
du erhoehst also durch jede zusaetzlich installierte Software
(einschliesslich des Scanners) das Risiko ...

Post by Helmut Hullen
Klar - "kompromittiert" klingt so schön fachmännisch. Aber der Inhalt
dieses Begriffs ist mindestens unklar.

Nein.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Harald Klotz

2013-07-16 19:23:14 UTC

Post by Juergen Ilse
Wenn man bei einem frisch aufgesetzten System nicht von
unkomprimittiert ausgehen kann, ist mab chancenlos,

Endlich gibst du zu, dass du, dass DU chancenlos bist.

Post by Juergen Ilse
jemals ein
unkompromittiertes System zu erhalten, und das System gehoert nicht
auf einen Rechner sondern in die Tonne.

Spätestens nach der Installation der ersten Software gibt es keine
Sicherheit mehr, mal angenommen, dass BS selbst wird als sauber
angenommen.

Grüße Harald

Pegasus

2013-07-16 22:12:43 UTC

Post by Harald Klotz
Spätestens nach der Installation der ersten Software gibt es keine
Sicherheit mehr, mal angenommen, dass BS selbst wird als sauber
angenommen.

Wenn man das unbedingt so sehen will, meinetwegen. Man installiert sich also
Opera und muss von da an um seine Sicherheit bangen. :-))
Und was ändert dann ein Scanner an dieser Tatsache? Na siehste, nichts.
Subjektiv allerdings sieht's ganz anders aus: Die Dummscanner geben ja alle
einen Statusbericht aus wie "Das System ist sicher". Das erzeugt bei ONU
dann ein warmes, wohliges Gefühl der Sicherheit, auch wenn diese Meldungen
nichts anderes als unverschämter Betrug und Beutelschneiderei sind.
http://dummenfang.info/

--
Peter Hagendorf

Helmut Hullen

2013-07-16 23:21:00 UTC

Hallo, hpm,

Post by Harald Klotz
Spätestens nach der Installation der ersten Software gibt es keine
Sicherheit mehr, mal angenommen, dass BS selbst wird als sauber
angenommen.

Du behauptest mal wieder etwas, was Du (allemal in dieser Allgemeinheit)
frei erfunden hast.
Gebricht es Dir an Fakten?

Viele Gruesse!
Helmut

Harald Klotz

2013-07-17 14:09:02 UTC

Post by Harald Klotz
Spätestens nach der Installation der ersten Software gibt es keine
Sicherheit mehr, mal angenommen, dass BS selbst wird als sauber
angenommen.

Wenn man das unbedingt so sehen will, meinetwegen.

Nicht deinetwegen, grundsätzlich.

Post by Pegasus
Man installiert
sich also Opera und muss von da an um seine Sicherheit bangen. :-))

Ja, natürlich.

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Ohne Scanner, wer erkennt was?

Post by Pegasus
Na siehste, nichts.

Er ändert einiges.

Alles wo du drauf setzt, erfordert, dass die Anwender sich aners
verhalten als sie sich verhalten.
Es ist aber deine Dummheit, dass du dir einbildest du könnstes die Welt
verändern.

Grüße Harald

Pegasus

2013-07-17 16:07:24 UTC

Post by Harald Klotz
Spätestens nach der Installation der ersten Software gibt es keine
Sicherheit mehr, mal angenommen, dass BS selbst wird als sauber
angenommen.

Wenn man das unbedingt so sehen will, meinetwegen.

Nicht deinetwegen, grundsätzlich.

Post by Pegasus
Man installiert
sich also Opera und muss von da an um seine Sicherheit bangen. :-))

Ja, natürlich.

Ah ja, das nennt sich im Fachjargon Paranoia.

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

LOL, von Glück ist die Sache bei dir abhängig? Alles klar. :o)
Bei mir nicht.

Post by Harald Klotz
Ohne Scanner, wer erkennt was?

Du musst jetzt stark sein: ich habe meine Geräte hinreichend im Griff und
unter Kontrolle. Einige der Kontrollen: Taskmanager, Netzwerkmonitor,
Process Explorer, Process Monitor, CPU-Aktivität, Datenträgeraktivität
usw... Ich erkenne z.B. sofort einen Prozess, der sonst nicht vorhanden ist.
Und von all der Malware, die ich bisher testweise installierte, gab es
keine, die ich nicht sofort erkannt hätte. Was garantiert NICHT zur
Kontrolle gehört, ist ein Dummscanner. Und selbst wenn ich mal nachlässig
wäre: das System ist hier so eingerichtet, dass eine Malware spätestens am
nächsten Patch-Day automatisch (auch ohne mein Wissen oder Zutun) absolut
restlos entfernt würde.

Post by Pegasus
Na siehste, nichts.

Er ändert einiges.

Ja, er verhindert nicht, dass Hacker das System kapern, verhindert keinen
Virenbefall, Schutzwirkung nahe bei Null. Das ändert nicht nur Einiges,
sondern ist, verglichen mit den wirksamen Maßnahmen, reines Placebo.

Post by Harald Klotz
Alles wo du drauf setzt, erfordert, dass die Anwender sich aners
verhalten als sie sich verhalten.

Richtig, und es gibt jede Menge Leute, die sich sehr gern darauf einlassen.
Der Rest ist verloren.

Post by Harald Klotz
Es ist aber deine Dummheit, dass du dir einbildest du könnstes die Welt
verändern.

Ich hatte dir jetzt schon MEHRFACH erklärt, dass ich genau das NICHT will.
Da schlägt wieder deine Merkbefreiung zu. Ist das jetzt ein für alle Mal
klar?
Es wäre Idiotie zu glauben, man können das erreichen. Es geht darum,
einer INTERESSIERTEN Gruppe Möglichkeiten aufzuzeigen, wie man's
besser machen kann. Die Welt hingegen ist mir wurscht!

--
Peter Hagendorf

Juergen Ilse

2013-07-17 17:10:52 UTC

Hallo,

Post by Pegasus
Man installiert
sich also Opera und muss von da an um seine Sicherheit bangen. :-))

Ja, natürlich.

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Und wenn du weniger Glueck hast, reisst der Scanner Sicherheitsluecken
in das System, telefoniert nach haus, spioniert dein System aus oder
verursacht sonstige Probleme (oder eine Kombination aus mehreren
dieser Effekte). Welchen Grund koennte es geben, dem Virenscanner
mehr zu trauen, als irgend einer anderen Software?

Post by Harald Klotz
Ohne Scanner, wer erkennt was?

Woher weisst du, dass bei dir die "phone home" Software die dein
System ausspioniert nicht gerade der Virenscanner oder die Personal
Firewall ist?

Post by Pegasus
Na siehste, nichts.

Er ändert einiges.

Stimmt. Es ist ein weiteres installiertes Programm, das dein System
ausspionieren koennte. Ausserdem erhoeht er die Gesamtkomplexitaet
des Systems. Er *erhoeht* also evt. die Risiken statt sie zu vermindern ...

Post by Harald Klotz
Alles wo du drauf setzt, erfordert, dass die Anwender sich aners
verhalten als sie sich verhalten.

Intelligente Menschen haben die Faehigkeit zu lernen und ihr Verhalten
zu aendern. Du etwa nicht?

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-18 13:38:00 UTC

Hallo, Juergen,

Du meintest am 17.07.13:

[...]

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Und wenn du weniger Glueck hast, reisst der Scanner
Sicherheitsluecken in das System, telefoniert nach haus, spioniert
dein System aus oder verursacht sonstige Probleme (oder eine
Kombination aus mehreren dieser Effekte). Welchen Grund koennte es
geben, dem Virenscanner mehr zu trauen, als irgend einer anderen
Software?

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht. Also sollte als Minimum für einen leidlich sicheren
Rechner erst mal alle Software gelöscht werden. Und weil die Löschung
per Software unsicher ist, sollte besser ein Schredder oder
Schneidbrenner benutzt werden.

Habe ich Deinen Einwand gegen die Software "Virenscanner" soweit richtig
verstanden und weitergedacht?

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-18 13:54:38 UTC

Post by Juergen Ilse
Und wenn du weniger Glueck hast, reisst der Scanner
Sicherheitsluecken in das System, telefoniert nach haus, spioniert
dein System aus oder verursacht sonstige Probleme (oder eine
Kombination aus mehreren dieser Effekte). Welchen Grund koennte es
geben, dem Virenscanner mehr zu trauen, als irgend einer anderen
Software?

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht. Also sollte als Minimum für einen leidlich sicheren
Rechner erst mal alle Software gelöscht werden. Und weil die Löschung
per Software unsicher ist, sollte besser ein Schredder oder
Schneidbrenner benutzt werden.
Habe ich Deinen Einwand gegen die Software "Virenscanner" soweit richtig
verstanden und weitergedacht?

Wie zu erwarten war: Nein. Weder, noch.

Helmut Hullen

2013-07-18 14:04:00 UTC

Hallo, Lars,

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht. Also sollte als Minimum für einen leidlich
sicheren Rechner erst mal alle Software gelöscht werden. Und weil
die Löschung per Software unsicher ist, sollte besser ein Schredder
oder Schneidbrenner benutzt werden.
Habe ich Deinen Einwand gegen die Software "Virenscanner" soweit
richtig verstanden und weitergedacht?

Wie zu erwarten war: Nein. Weder, noch.

Aha - erhöht demanch nicht jede Software die Unsicherheit des Rechners?
Sollte etwa Jürgen sich irren?

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-18 14:11:18 UTC

Post by Helmut Hullen
Habe ich Deinen Einwand gegen die Software "Virenscanner" soweit
richtig verstanden und weitergedacht?

Wie zu erwarten war: Nein. Weder, noch.

Aha - erhöht demanch nicht jede Software die Unsicherheit des Rechners?
Sollte etwa Jürgen sich irren?

Nein.

Du hast es weder richtig verstanden noch richtig weitergedacht. Wobei
das 2. natürlich aus dem 1. folgt und ich getrost davon ausgehen kann,
daß Du es gar nicht verstehen willst bzw. trotz richtigem Verstehen
einfach nur weiterbrabbelst.

Helmut Hullen

2013-07-18 14:44:00 UTC

Hallo, Lars,

Post by Helmut Hullen
Habe ich Deinen Einwand gegen die Software "Virenscanner" soweit
richtig verstanden und weitergedacht?

Wie zu erwarten war: Nein. Weder, noch.

Aha - erhöht demnach nicht jede Software die Unsicherheit des
Rechners? Sollte etwa Jürgen sich irren?

Nein.
Du hast es weder richtig verstanden noch richtig weitergedacht.

Könntest Du Deine Zusammenfassung ("nein") vielleicht ein wenig
aufdröseln? Was habe ich (nach Deiner Meinung) nicht "richtig
verstanden"?

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-18 15:15:40 UTC

Post by Lars Gebauer
Du hast es weder richtig verstanden noch richtig weitergedacht.

Könntest Du Deine Zusammenfassung ("nein") vielleicht ein wenig
aufdröseln?

Können schon; aber wollen eher nicht - wozu auch?

Schau' mal, es gibt doch nur 2 Möglichkeiten:

Entweder, Du bist intelligent genug um ganz genau zu wissen was ich
meine - wovon ich eigentlich ausgehe -; dann benötigst Du keine weitere
Erläuterung. Denn dann weißt Du's ja.

Oder: Du bist einfach nur zu dumm um's zu kapieren (wovon ich
ausdrücklich nicht ausgehe); dann würde Dir eine Erläuterung
wahrscheinlich auch nicht weiterhelfen.

Wozu also?

Helmut Hullen

2013-07-18 15:21:00 UTC

Hallo, Lars,

Post by Helmut Hullen
Könntest Du Deine Zusammenfassung ("nein") vielleicht ein wenig
aufdröseln?

Können schon; aber wollen eher nicht - wozu auch?
Entweder, Du bist intelligent genug um ganz genau zu wissen was ich
meine - wovon ich eigentlich ausgehe -; dann benötigst Du keine
weitere Erläuterung. Denn dann weißt Du's ja.

Es wäre hilfreich, wenn Du das, was Du meinst, auch schreibst. Das
erspart Interpretationen.

Deshalb: warum meinst du, dass ich Jürgens Aussage über die Sicherheit
eines Systems nicht richtig verstanden hätte?

Jürgen hat mir ja in der Konsequenz soweit zugestimmt, dass er jetzt
eine Risiko-Bewertung empfiehlt.

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-18 15:39:38 UTC

Post by Helmut Hullen
Deshalb: warum meinst du, dass ich Jürgens Aussage über die Sicherheit
eines Systems nicht richtig verstanden hätte?

Oh simpel: Das hat Deine Antwort hinreichend belegt. HTH

Helmut Hullen

2013-07-18 16:40:00 UTC

Hallo, Lars,

Post by Helmut Hullen
Deshalb: warum meinst du, dass ich Jürgens Aussage über die
Sicherheit eines Systems nicht richtig verstanden hätte?

Oh simpel: Das hat Deine Antwort hinreichend belegt. HTH

"Beweis durch Behauptung" - na ja.

Kööntest Du die Behauptung vielleicht mit Fakten und/oder Zitaten
unterfüttern? Danke!

Jürgen scheint Deine Meinung nicht zu teilen.

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-18 18:34:47 UTC

Post by Helmut Hullen
Deshalb: warum meinst du, dass ich Jürgens Aussage über die
Sicherheit eines Systems nicht richtig verstanden hätte?

Oh simpel: Das hat Deine Antwort hinreichend belegt. HTH

"Beweis durch Behauptung" - na ja.

Das hätte ich jetzt auch geschrieben.

Post by Helmut Hullen
Kööntest Du die Behauptung vielleicht mit Fakten und/oder Zitaten
unterfüttern?

Wozu? Hast Du schon vergessen, was Du geschrieben hast? Wenn ja, kein
Problem. So lange ist das ja noch gar nicht her. Auch Dein Newsserver
sollte über hinreichende Haltezeit verfügen.

Post by Helmut Hullen
Danke!

Gern geschehen!

Post by Helmut Hullen
Jürgen scheint Deine Meinung nicht zu teilen.

Meinst Du? - Ich halte das eher für eine weitere klassische
Fehleinschätzung deinerseits.

Helmut Hullen

2013-07-18 20:17:00 UTC

Hallo, Lars,

Post by Lars Gebauer
Oh simpel: Das hat Deine Antwort hinreichend belegt. HTH

"Beweis durch Behauptung" - na ja.

Das hätte ich jetzt auch geschrieben.

Post by Helmut Hullen
Kööntest Du die Behauptung vielleicht mit Fakten und/oder Zitaten
unterfüttern?

Wozu? Hast Du schon vergessen, was Du geschrieben hast?

Nein.

Bist Du so nett und erklärst, was daran (nach Deiner Meinung) falsch
war?

Du windest Dich wie ein Aal.

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-19 07:31:26 UTC

Post by Helmut Hullen
Kööntest Du die Behauptung vielleicht mit Fakten und/oder Zitaten
unterfüttern?

Wozu? Hast Du schon vergessen, was Du geschrieben hast?

Nein.

Was soll dann Deine Frage? Brauchst Du jemanden, der Dir Deine Postings
vorliest?

Helmut Hullen

2013-07-19 08:25:00 UTC

Hallo, Lars,

Post by Helmut Hullen
Kööntest Du die Behauptung vielleicht mit Fakten und/oder Zitaten
unterfüttern?

Wozu? Hast Du schon vergessen, was Du geschrieben hast?

Nein.

Was soll dann Deine Frage? Brauchst Du jemanden, der Dir Deine
Postings vorliest?

Nein - natürlich nicht.
Du hattest behauptet, ich hätte Jürgens Ausführungen nicht richtig
verstanden - Du eierst jetzt (mal wieder) herum, indem Du Dich
beharrlich weigerst, Deine Behauptung zu belegen.

Wenn Du die Behauptung nicht belegen kannst: das kannst Du auch
einfacher eingestehen.

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-19 08:54:43 UTC

Post by Lars Gebauer
Wozu? Hast Du schon vergessen, was Du geschrieben hast?

Nein.

Was soll dann Deine Frage? Brauchst Du jemanden, der Dir Deine
Postings vorliest?

Nein - natürlich nicht.

Dann verstehe ich Deine Frage immer weniger.

Post by Helmut Hullen
Du hattest behauptet, ich hätte Jürgens Ausführungen nicht richtig
verstanden

Das ist korrekt.

Post by Helmut Hullen
- Du eierst jetzt (mal wieder) herum, indem Du Dich beharrlich
weigerst, Deine Behauptung zu belegen.

Das hingegen ist dummes Zeug. Deine eigenen "Beiträge" sind die Belege.
Darauf habe ich nun schon mehrfach hingewiesen. Warum ignorierst Du
diese Hinweise?
Kann ich doch. Siehe Deine eigenen "Beiträge". Was ich allerdings nicht
kann ist, Dich zur Aufgabe Deiner Ignoranz zu bewegen. Tja.

Helmut Hullen

2013-07-19 09:40:00 UTC

Hallo, Lars,

Könntest Du die Behauptung vielleicht mit Fakten und/oder Zitaten
unterfüttern?

Wozu? Hast Du schon vergessen, was Du geschrieben hast?

Nein.

Was soll dann Deine Frage? Brauchst Du jemanden, der Dir Deine
Postings vorliest?

Nein - natürlich nicht.

Dann verstehe ich Deine Frage immer weniger.

Post by Helmut Hullen
Du hattest behauptet, ich hätte Jürgens Ausführungen nicht richtig
verstanden

Das ist korrekt.

Post by Helmut Hullen
- Du eierst jetzt (mal wieder) herum, indem Du Dich beharrlich
weigerst, Deine Behauptung zu belegen.

Das hingegen ist dummes Zeug. Deine eigenen "Beiträge" sind die
Belege. Darauf habe ich nun schon mehrfach hingewiesen. Warum
ignorierst Du diese Hinweise?

Du weigerst Dich immer noch, die pauschale Behauptung "nicht richtig
verstanden", mit Fakten zu stützen. Bisher hast Du nur unentwegt
erwähnt, dass ich etwas geschrieben hätte. Aber das weiss ich sowieso
noch.

Und ich erlaube mir nun mal die Annahme, dass das, was ich geschrieben
habe, richtig sei. Wenn Du also glaubst, Fehler entdeckt zu haben, dann
solltest Du nicht einfach auf die Existenz meines Textes verweisen,
sondern etwas konkreter werden bei der Benennung der von Dir geglaubten
Fehler.

Post by Lars Gebauer
Kann ich doch. Siehe Deine eigenen "Beiträge".

Nein - daraus ergibt sich nicht, dass Du Deine Behauptung "nicht richtig
verstanden" auch nur näherungsweise belegt hast. Die pure Existenz
meiner Beiträge belegt nicht das, was Du behauptest.

Du eierst herum. Du wirfst anscheinend nur mit Dreck in der Hoffnung,
dass irgendwas schon hängenbleibt.

Post by Lars Gebauer
Was ich allerdings
nicht kann ist, Dich zur Aufgabe Deiner Ignoranz zu bewegen. Tja.

Wobei Du auch diese vorgebliche Ignoranz nur locker-flockig behauptest,
aber nicht mit Fakten unterfütterst.

Ach ja: wenn ich der Behauptung, dass die Erde eine Scheibe sei,
unentwegt widerspräche: wäre das (nach Deinen Kriterien) auch Ignoranz?

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-19 09:54:45 UTC

Post by Helmut Hullen
Und ich erlaube mir nun mal die Annahme, dass das, was ich geschrieben
habe, richtig sei.

Das steht Dir doch vollkommen frei. Und, ehrlich gesagt, überhaupt
nichts anderes habe ich von Dir erwartet.

Post by Helmut Hullen
Ach ja: wenn ich der Behauptung, dass die Erde eine Scheibe sei,
unentwegt widerspräche: wäre das (nach Deinen Kriterien) auch Ignoranz?

Nein.

Ignoranz wäre es, wenn Du meiner Behauptung, "die Erde ist ein
kugelähnliches Gebilde" unentwegt widersprächest. Tust Du das?

Helmut Hullen

2013-07-19 10:19:00 UTC

Hallo, Lars,

Post by Helmut Hullen
Und ich erlaube mir nun mal die Annahme, dass das, was ich
geschrieben habe, richtig sei.

Das steht Dir doch vollkommen frei. Und, ehrlich gesagt, überhaupt
nichts anderes habe ich von Dir erwartet.

Ach - bewertest Du etwa das, was Du schreibst, anders?

Post by Helmut Hullen
Ach ja: wenn ich der Behauptung, dass die Erde eine Scheibe sei,
unentwegt widerspräche: wäre das (nach Deinen Kriterien) auch Ignoranz?

Nein.
Ignoranz wäre es, wenn Du meiner Behauptung, "die Erde ist ein
kugelähnliches Gebilde" unentwegt widersprächest. Tust Du das?

Du hast aber im konkreten Fall nur behauptet, dass ich Jürgens
Ausführungen "nicht richtig verstanden" hätte. Ohne auch nur ansatzweise
zu erläutern, was ich denn (nach Deiner Meinung) nicht richtig
verstanden hätte.

Das ist was anderes als eine Bewertung der Aussagen "Die Erde ist eine
Scheibe" oder aber "die Erde ist ein kugelähnliches Gebilde".

Und auch bei diesen beiden (mindestens theoretisch möglichen)
Behauptungen sollte die Frage "warum" nicht einfach mit "lies doch Deine
Behauptung noch mal" abgewimmelt werden. Und Du eierst nur mit ähnlichen
Abwimmelversuchen herum. Anscheinend kannst Du Deine Behauptung nicht
belegen und versuchst das nur zu verkleistern. Sieht so aus, als ob Du
nur mit Dreck wirfst.

Viele Gruesse!
Helmut

Lars Gebauer

2013-07-19 11:49:17 UTC

Post by Lars Gebauer
Das steht Dir doch vollkommen frei. Und, ehrlich gesagt, überhaupt
nichts anderes habe ich von Dir erwartet.

Ach - bewertest Du etwa das, was Du schreibst, anders?

Anders als Du? - Aber selbstverständlich doch!

Pegasus

2013-07-18 18:48:05 UTC

Post by Helmut Hullen
Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht.

Richtig. Es wird auch die Angriffsfläche erhöht.

Post by Helmut Hullen
Also sollte als Minimum für einen leidlich sicheren
Rechner erst mal alle Software gelöscht werden.

Völliger Blödsinn. Man sieht sich Software gut an und installiert nur das,
was man auch wirklich braucht. Man analysiert Software auch dahingehend,
dass man ihre Einmischung ins System prüft. Wenn es z.B. um Imager geht,
heißt das, man nimmt nicht das Acronis-Monster, das wie die Pest ins System
einmischt und sich als zweites Betrübssystem aufspielt, sondern besser einen
Imager wie Drive Snapshot, der nur aus einer winzigen Exe besteht und sogar
mit komplettem GUI in Win PE läuft. Das Zauberwort nennt sich KISS!

Post by Helmut Hullen
Und weil die Löschung
per Software unsicher ist, sollte besser ein Schredder oder
Schneidbrenner benutzt werden.

Weiterer Lötzinn.

Post by Helmut Hullen
Habe ich Deinen Einwand gegen die Software "Virenscanner" soweit richtig
verstanden und weitergedacht?

Wie zu erwarten war: Nein. Weder, noch.

Eben, Herr Hullen ist wohl nur ein Skript, das alle Antworten einfach nur
verdreht wiedergibt. Wer sich mit Skripten unterhält....

--
Peter Hagendorf

Helmut Hullen

2013-07-18 20:19:00 UTC

Hallo, hpm,

Post by Helmut Hullen
Woraus zwanglos folgt, dass jegliche Software auf dem Rechner
dessen Unsicherheit erhöht.

Richtig. Es wird auch die Angriffsfläche erhöht.

Post by Helmut Hullen
Also sollte als Minimum für einen leidlich sicheren
Rechner erst mal alle Software gelöscht werden.

Völliger Blödsinn. Man sieht sich Software gut an und installiert nur
das, was man auch wirklich braucht.

Toll!
Brain 1.0 als Kriterium. Damit kann der Installateur alles
rechtfertigen.
Insbesondere Otto Endanwender hat natürlich (so suggerierst Du hier) den
grossen Überblick darüber, was er "wirklich" braucht.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-18 14:44:47 UTC

Hallo,

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Und wenn du weniger Glueck hast, reisst der Scanner
Sicherheitsluecken in das System, telefoniert nach haus, spioniert
dein System aus oder verursacht sonstige Probleme (oder eine
Kombination aus mehreren dieser Effekte). Welchen Grund koennte es
geben, dem Virenscanner mehr zu trauen, als irgend einer anderen
Software?

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht.

Das ist voellig korrekt. Ich habe auch nie etwas anderes behauptet.
Nun muss man aber in der Praxis einen Kompromiss eingehen zwischen
"Benutzbarkeit des Rechners" (was durchaus das Betriebssystem und
darueberhinaus noch die eine oder andere Software erfordert, je nach
geplantem Verwendungszweck des Rechners) und "Sicherheit des Rechners"
(was man unter anderem durch "sparsame Software-Ausstattung", also
nur das installieren, was man benoetigt, foerdern kann). Die Frage
ist also "benoetigt man einen Virenscanner?" und "bringt ein Viren-
scanner so viele Vorteile in punkto Sicherheit, dass er die Nachteile
durch die zusaetzlich installierte und ggfs. sogar immer im Hinter-
grund mitlaufende Software wettmacht?". Ich teile nicht die Selbst-
verstaendlichkeit, mit der beide Fragen von einigen Personen mit "JA"
beantwortet werden ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-18 15:04:00 UTC

Hallo, Juergen,

Du meintest am 18.07.13:

[...]

Post by Helmut Hullen
Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht.

Das ist voellig korrekt. Ich habe auch nie etwas anderes behauptet.
Nun muss man aber in der Praxis einen Kompromiss eingehen

Eben!
Deshalb ist eine pauschale Verteufelung von bestimmten Programmen nur
sehr selten auch tatsächlich technisch sinnvoll begründet.

Solange ich das Scanner-Paket nicht "installiere" (im Microsoft-Jargon),
kann es die Sicherheit des Systems nicht ändern.

Post by Juergen Ilse
Die Frage ist also "benoetigt man einen
Virenscanner?" und "bringt ein Viren- scanner so viele Vorteile in
punkto Sicherheit, dass er die Nachteile durch die zusaetzlich
installierte und ggfs. sogar immer im Hinter- grund mitlaufende
Software wettmacht?".

Solange ich das Scanner-Paket nicht "installiere" (im Microsoft-Jargon),
kann es die Sicherheit des Systems nicht ändern.

Viele Gruesse!
Helmut

Stefan Kanthak

2013-07-18 18:53:07 UTC

Post by Juergen Ilse
Hallo,

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Und wenn du weniger Glueck hast, reisst der Scanner
Sicherheitsluecken in das System, telefoniert nach haus, spioniert
dein System aus oder verursacht sonstige Probleme (oder eine
Kombination aus mehreren dieser Effekte). Welchen Grund koennte es
geben, dem Virenscanner mehr zu trauen, als irgend einer anderen
Software?

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht.

Das ist voellig korrekt.

Nein.

Die Unsicherheit wird NICHT erhoeht, wenn die Software nicht ausgefuehrt
werden kann (sei es aufgrund restriktiver Konfiguration oder fehlender
Unterstuetzung durch Hard- oder Software: beispielsweise ein fuer x64
erstelltes Programm, dass auf x86 nicht laeuft, ein DOS-Programm, das
auf Windows fuer x64 nicht laeuft, ein Java-Applet, das ohne JVM nicht
laeuft, ein .NET-Programm, das ohne .NET Framework nicht laeuft, ...)

Ggf. vorhandene Unsicherheit wird i.d.R. erniedrigt, wenn fuer vorhandene
Software eine (Sicherheits-)Korrektur installiert und dabei unsicherer
Code entfernt und durch sicher(er)en Code ersetzt wird.

Stefan
[

--
Die unaufgeforderte Zusendung werbender E-Mails verstoesst gegen §823
Abs. 1 sowie §1004 Abs. 1 BGB und begruendet Anspruch auf Unterlassung.
Beschluss des OLG Bamberg vom 12.05.2005 (AZ: 1 U 143/04)

Juergen Ilse

2013-07-18 19:33:15 UTC

Hallo,

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Und wenn du weniger Glueck hast, reisst der Scanner
Sicherheitsluecken in das System, telefoniert nach haus, spioniert
dein System aus oder verursacht sonstige Probleme (oder eine
Kombination aus mehreren dieser Effekte). Welchen Grund koennte es
geben, dem Virenscanner mehr zu trauen, als irgend einer anderen
Software?

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht.

Das ist voellig korrekt.

Nein.

Doch, sofern man nur "auch ausfuehrbare Software" zaehlt. Die zusaetzliche
Software (sofern sie auch vebutzt wird) erhoeht die Angriffsflaeche und
macht das System damit zumindest "potentiell unsicherer".

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Stefan Kanthak

2013-07-18 20:07:20 UTC

Post by Juergen Ilse
Hallo,

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Und wenn du weniger Glueck hast, reisst der Scanner
Sicherheitsluecken in das System, telefoniert nach haus, spioniert
dein System aus oder verursacht sonstige Probleme (oder eine
Kombination aus mehreren dieser Effekte). Welchen Grund koennte es
geben, dem Virenscanner mehr zu trauen, als irgend einer anderen
Software?

Woraus zwanglos folgt, dass jegliche Software auf dem Rechner dessen
Unsicherheit erhöht.

Das ist voellig korrekt.

Nein.

Doch, sofern man nur "auch ausfuehrbare Software" zaehlt.

"Jegliche" <> "auch ausfuehrbare Software".

Mein "Nein" bezog sich explizit auf die Komplementaermenge.

Post by Juergen Ilse
Die zusaetzliche Software (sofern sie auch vebutzt wird)

Und sofern nicht, dann nicht!

Post by Juergen Ilse
erhoeht die Angriffsflaeche und macht das System damit zumindest
"potentiell unsicherer".

Stefan
[

Stefan Kanthak

2013-07-18 14:19:14 UTC

"Juergen Ilse" <***@usenet-verwaltung.de> schrieb:

JFTR: das Klotz ist genauso dumm und merkbefreit wie das Hullen!

Post by Juergen Ilse
Hallo,

Post by Pegasus
Man installiert
sich also Opera und muss von da an um seine Sicherheit bangen. :-))

Ja, natürlich.

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Der soll aber schaedliche Software erkennen, keine Probleme!
Und das nicht mit Glueck, sondern ZUVERLAESSIG!

Post by Juergen Ilse
Und wenn du weniger Glueck hast,

erkennt der Scanner schaedliche Software nicht,

Post by Juergen Ilse
reisst der Scanner Sicherheitsluecken
in das System, telefoniert nach haus, spioniert dein System aus oder
verursacht sonstige Probleme (oder eine Kombination aus mehreren
dieser Effekte). Welchen Grund koennte es geben, dem Virenscanner
mehr zu trauen, als irgend einer anderen Software?

Post by Harald Klotz
Ohne Scanner, wer erkennt was?

Es ist UEBERHAUPT nicht notwendig, Schaedlinge zu erkennen (abgesehen
davon, dass eine solche Erkennung gar nicht ZUVERLAESSIG erfolgen kann).

NICHT merkbefreite Benutzer suchen sich einen Administrator, der ihr
Systeme so konfiguriert, dass nur die vom Administrator installierten
und gegen Veraenderungen durch den Benutzer geschuetzten Programme
ausgefuehrt werden koennen, verzichten auf notorisch anfaellige Software
und aktualisieren die installierten Programme regelmaessig.

Stefan
[

Helmut Hullen

2013-07-18 14:43:00 UTC

Hallo, Stefan,

Post by Stefan Kanthak

Post by Pegasus
Und was ändert dann ein Scanner an dieser Tatsache?

Wenn ich Glück habe erkennt er Probleme.

Der soll aber schaedliche Software erkennen, keine Probleme!
Und das nicht mit Glueck, sondern ZUVERLAESSIG!

Du stellst an Virenscanner höhere Ansprüche als an andere
Schutzmechanismen.

Das von Dir so gern empfohlene "safer.inf" ist bei Otto Endanwender
schon deshalb unzuverlässig, weil Otto Endanwender diesen Schutz dadurch
ganz einfach abschalten kann, indem er als Administrator arbeitet.

Du misst mit zweierlei Maß.

Viele Gruesse!
Helmut

Helmut Hullen

2013-07-16 20:02:00 UTC

Hallo, Juergen,

Post by Juergen Ilse
kompromittierbar". Du zeigst mal wieder ueberdeutlich, dass du
absichtlich missverstehen *willst*.

Du weisst doch eigentlich, dass "nicht befallen" nicht feststellbar
ist - da ist stets ganz viel Hoffnung nötig.

Wenn man bei einem frisch aufgesetzten System nicht von
unkomprimittiert ausgehen kann, ist mab chancenlos, jemals ein
unkompromittiertes System zu erhalten,

So isses.
Willkommen in der Realität.

Post by Juergen Ilse
und das System gehoert nicht auf einen Rechner sondern in die Tonne.

Nein - nicht unbedingt. Klar: Du kennst nur diese eine Möglichkeit, mit
möglicherweise verseuchten Systemen zu arbeiten.

Post by Helmut Hullen
Nur am Rande: wenn ein System eine Hintertür für die NSA hat, die
der Hersteller mir verschweigt: ist es dann "kompromittiert"?

Also doch nicht "in die Tonne"?
Seltsam ...
Jetzt kommst Du doch mit dem "Prinzip Hoffnung".

Da bleibe ich lieber bei meinem immerwährenden Misstrauen.

Post by Juergen Ilse
(siehe auch "Reflections on Trusting Trust" von Ken Thompson).
Das Betriebssystem ist fuer die meisten Personen eine solche
Komponente. Andererseits ist das Betriebssystem unverzichtbar.
Schlussfolgerungen bitte selbst ziehen (auch wenn du das wieder
verweigern wirst).

Du gehst mal wieder von falschen Annahmen über meine Schlussfolgerungen
aus.

Post by Juergen Ilse
Die selben Ueberlegungen, die du ueber eine
moegliche Kompromittierung des frisch installierten Systems
anstellst, gelten uebrigens genauso fuer jede zusaetzlich
installierte Software, *einschliesslich* des Scanners, wenn
du also so argumentierst, musst du davon ausgehen, dass *jede*
installierte Software dein System potentiell kompromittiert,
du erhoehst also durch jede zusaetzlich installierte Software
(einschliesslich des Scanners) das Risiko ...

Wenn ich sie "installiere". Gerade bei Virenscannern ist das nicht
unbedingt nötig.

Ansonsten: immerwährendes Misstrauen. "Kontrolle ist besser" - u.a.
durch Virenscanner, aber auch mit anderen Verfahren.

Viele Gruesse!
Helmut

Harald Klotz

2013-07-16 19:12:26 UTC

Post by Juergen Ilse
Es ging nicht um "unsicher" sondern um "unkompromittiert" ...

Und nach der ersten Softwaerinstallation kannst du immer noch sicher
sein?
Warum?

Original CDs mit Viren existieren!

Grüße Harald

Pegasus

2013-07-16 22:23:29 UTC

Post by Juergen Ilse
Es ging nicht um "unsicher" sondern um "unkompromittiert" ...

Und nach der ersten Softwaerinstallation kannst du immer noch sicher
sein?
Warum?

Weil man die Software vorher nach allen Regeln der Kunst überprüft hat.
Das bietet hinreichende Sicherheit. Mehr kann man nicht tun. Sollte das
schief gehen, hat man per Backup innerhalb von 2 Minuten sein System
wieder auf dem sauberen Stand. Wann kann man deiner Meinung nach
denn sicher sein? Na? Auf dieser Welt ist leider genau nichts sicher, außer
dem Tod.

Post by Harald Klotz
Original CDs mit Viren existieren!

Wenn ein Scanner sie kennt, kennt sie auch schon die ganze Welt!
Wenn noch niemand sie kennt, kennt sie auch kein Scanner!
Welche bekannten Original-CDs mit Viren sind denn derzeit in Umlauf?

--
Peter Hagendorf

Helmut Hullen

2013-07-16 23:24:00 UTC

Hallo, hpm,

Post by Juergen Ilse
Es ging nicht um "unsicher" sondern um "unkompromittiert" ...

Und nach der ersten Softwaerinstallation kannst du immer noch sicher
sein?
Warum?

Weil man die Software vorher nach allen Regeln der Kunst überprüft hat.

Das mag für klitzekleine Mengen von "man" zutreffen. Das trifft
sicherlich nicht für Otto Endanwender zu.

Post by Pegasus
Das bietet hinreichende Sicherheit. Mehr kann man nicht tun.

Was auch immer "hinreichende Sicherheit" bedeutet. "Man muss nur fest
dran glauben!"

Viele Gruesse!
Helmut

Harald Klotz

2013-07-16 19:09:18 UTC

Post by Pegasus
Papperlapapp. Ein von einem Original Windows-Datenträger installiertes
System ist sauber.

Mit den berühmten Lücken. ;-)
Aber betrachten wir es einmal als sauber.
Man will ja damit arbeiten und installiert eine Software.
Ist es dann noch sauber?
Hat nicht sogar Microsoft infizierte Programme ausgeliefert?

Post by Pegasus
Weiterhin sind die hinzuinstallierten,
verifizierten Anwendungsprogramme ebenfalls sauber. Dummheit wäre es,
dies zu bezweifeln.

Nein, genau das Gegenteil, Dummheit ist es das zu gleuben.
Was überhaupt ist verifiziertes Programm? FSK 6 oder erst FSK 18

Post by Harald Klotz
Die Geschichte ist eine reine dümmliche Phantasie, tatsächlich sit
sie denkbar, tatsächlich kann es so geschehen.

Und es geschah auch schon oft so. Die Geschichte ist also nicht
abwegig, sondern häufige Praxis.

Du wirst sicher belegen können wann und wo das passierte.
Solche Sachen sind Fressen für die Presse.

Post by Harald Klotz
Nur, wer sich einen Virust installiert, wird es auch dann tun, wenn
er keinen Virenscanner und keine Firewall hat.

Wer sich einen Virus installiert, hat schon etwas falsch gemacht.

Stimmt, du würdest rein im Vertrauen auf den Überbringer einer Software
gedankenlos einen Virus installieren.
Danke deiner weiteren Fahlässigkeit würdest du es auch nicht erkennen.

Post by Pegasus
Der Witz ist, sich keinen zu installieren.

Stimmt, wie macht man das?
Es wurden bereits PC vom Hersteller selbst mit Viren ausgeliefert.

Post by Harald Klotz
Die Tatsache, dass nicht jeder Virus erkannt wird, dass eine Firewall
umgehbar ist, ist in der Geschichte ein reichlich dümmliches
Argument, denn ohne selbiges passiert eben genau das selbe.

Es ist ein Argument *gegen* AV-Ware-Placebos und *für* geeignete Maßnahmen.

Das Problem ist, die geeigneten Massnahmen kennt niemend, nicht einmal
die aus Sicherheit bedachte Bundeswehr. Die hatten ihre Rechner auch
schon infiziert.
Dank solcher Klugscheisser ala Ilse, Kanthack, dir und anderen, die
Virenfreiheit einfach daran fest machen, dass sie selbst glauben, was
sie installieren ist virenfrei.

Post by Pegasus
Jeder fortgeschrittene User war mal Normaluser. Diese Meinung ist also
dümmer als die Polizei erlaubt. Es gibt unzählige User, die
diesbezüglich dazu lernen wollen.

Die meisten wollen es nicht!
Die meisten wollen daddeln und ein paar Anwendungen.

Es erinnert mich, lang ist es her, an einen Amigafreak.
Der prahlt, wie gut er sich auskennt.
Ich fragte ihne wie man ein Programm startet - Diskette rein und
einschalten - und wenn das nicht funtioniert? - Ausschalten und wieder
einschalten. ;-)

Wie man sich den Inhalt einer Diskette anzeigen lassen konnte, das
wusste er nicht.

Grüße Harald

Pegasus

2013-07-17 16:07:25 UTC

Post by Pegasus
Papperlapapp. Ein von einem Original Windows-Datenträger installiertes
System ist sauber.

Mit den berühmten Lücken. ;-)

Lücken sind keine Malware. Somit schaden sie nicht, solange sie nicht
erkannt und ausgenutzt werden. Und sollte das mal der Fall sein, wird ein
Scanner es erst dann verhindern, wenn sie schon lange ausgenutzt worden
sind, das Kind also schon lange im Brunnen ist.

Post by Harald Klotz
Aber betrachten wir es einmal als sauber.
Man will ja damit arbeiten und installiert eine Software.
Ist es dann noch sauber?

Natürlich, denn man installiert nur saubere Software, bei der man die
üblichen Methoden zur Prüfung durchgeführt hat. Nein, Scanner gehören nicht
zu diesen Methoden.

Post by Harald Klotz
Hat nicht sogar Microsoft infizierte Programme ausgeliefert?

Und das waren welche? Und welche Scanner hatten sie entdeckt, bevor es
bekannt war?

Post by Pegasus
Weiterhin sind die hinzuinstallierten,
verifizierten Anwendungsprogramme ebenfalls sauber. Dummheit wäre es,
dies zu bezweifeln.

Nein, genau das Gegenteil, Dummheit ist es das zu gleuben.
Was überhaupt ist verifiziertes Programm? FSK 6 oder erst FSK 18

Die Frage zeigt deine Ahnungslosigkeit. Zertifikate, Signaturen, Hashes
sind prüfbar. Scanner braucht man dazu nicht. Sie können da eh nichts
finden. Wenn die etwas finden, weiß es eh schon die gesamte Welt.
Man muss die Software dann nur Google einfüttern und von hundert Seiten
springt einem die Nachricht entgegen.

Post by Harald Klotz
Die Geschichte ist eine reine dümmliche Phantasie, tatsächlich sit
sie denkbar, tatsächlich kann es so geschehen.

Und es geschah auch schon oft so. Die Geschichte ist also nicht
abwegig, sondern häufige Praxis.

Du wirst sicher belegen können wann und wo das passierte.
Solche Sachen sind Fressen für die Presse.

LOL
Das belegen weltweit Millionen Rechner in Botnetzen, auf denen brav Scanner
installiert sind.

Post by Harald Klotz
Nur, wer sich einen Virust installiert, wird es auch dann tun, wenn
er keinen Virenscanner und keine Firewall hat.

Wer sich einen Virus installiert, hat schon etwas falsch gemacht.

Stimmt, du würdest rein im Vertrauen auf den Überbringer einer Software
gedankenlos einen Virus installieren.
Danke deiner weiteren Fahlässigkeit würdest du es auch nicht erkennen.

Flasch, erst Prüfung, dann Vertrauen.

Post by Pegasus
Der Witz ist, sich keinen zu installieren.

Stimmt, wie macht man das?

Durch ein brauchbares Sicherheitskonzept, bestehend aus entsprechender
restriktiver Konfiguration des Systems und entsprechendem Verhalten.
Scanner haben in diesem Konzept keinen Platz mehr, sie würden die Sicherheit
dann nur noch verringern, statt erhöhen.

Post by Harald Klotz
Es wurden bereits PC vom Hersteller selbst mit Viren ausgeliefert.

Na und? Was ich ganz gewiss nicht tun würde, wäre die Nutzung eines
vorinstallierten, mit Malware in Form von Scannern und sonstiger Crapware
verseuchten Systems. Sowas ist völlig unbrauchbar und eine Garantie für
Murks. Dessen Platte wird also zuallererst gelöscht und dann erfolgt eine
saubere Neuinstallation. Und dann ist das System garantiert sauber, ganz
ohne Wunschdenken.

Post by Harald Klotz
Die Tatsache, dass nicht jeder Virus erkannt wird, dass eine Firewall
umgehbar ist, ist in der Geschichte ein reichlich dümmliches
Argument, denn ohne selbiges passiert eben genau das selbe.

Es ist ein Argument *gegen* AV-Ware-Placebos und *für* geeignete Maßnahmen.

Das Problem ist, die geeigneten Massnahmen kennt niemend, nicht einmal
die aus Sicherheit bedachte Bundeswehr.

LOL
Da diese Maßnahmen mit einfacher Suche per Tante Google an allen Ecken
aufdringlich winken, kennen nur Merkbefreite diese nicht.

Post by Harald Klotz
Die hatten ihre Rechner auch
schon infiziert.
Dank solcher Klugscheisser ala Ilse, Kanthack, dir und anderen, die
Virenfreiheit einfach daran fest machen, dass sie selbst glauben, was
sie installieren ist virenfrei.

Die Dummköpfe sind diejenigen, die glauben, wenn ihr Dummscanner nichts
fand, sei ihr System sauber, also Leute wie du.

Post by Pegasus
Jeder fortgeschrittene User war mal Normaluser. Diese Meinung ist also
dümmer als die Polizei erlaubt. Es gibt unzählige User, die
diesbezüglich dazu lernen wollen.

Die meisten wollen es nicht!
Die meisten wollen daddeln und ein paar Anwendungen.

Ja und? Diese Typen sind mir wurscht. Du glaubst, durch Dummköpfe wie dich,
die die geeigneten Maßnahmen einfach ignorieren, würde die Maßnahmen an sich
schlechter? Nein, Kleines, die bleiben auch dann effektiv, wenn Dummköpfe
sie ignorieren, allerdings nur für die, die sie anwenden. Deshalb macht es
Sinn, dafür zu werben.
Deine Ignoranz zeigt sich schon darin, dass du die Aussage des Blackhats zum
Nutzen von Scannern mal eben unterschlagen hast, weil er all die Dummköpfe
und Scannerfans wie dich perfekt vorführt. Das muss man natürlich unter den
Tisch kehren.

Ich hab aber nichts dagegen, wenn Leute esoterisch veranlagt sind und ohne
Wohlfühl-Placebos nicht leben können. Die dürfen sich gerne zusätzlich MSE
installieren und ihr System damit verlangsamen. Das ist der einzige Scanner,
der derzeit akzeptabel ist. Nicht, weil er besser als die anderen wäre,
sondern weil er zumindest nicht mehr schadet als er nützt. Das tun nämlich
alle Fremdprodukte dieser Art. Für die gilt dies hier:
http://www.borncity.com/blog/2012/11/04/windows-8-anwenderwahn-und-die-virenscanner/
Das Wort Merkbefreiung hat auch deshalb seine Berechtigung: diese von Born
genannten Fakten kannst du Esoterikern wie dir 100 Mal unter die Nase
reiben, sie haben sie garantiert beim nächsten Mal verdrängt.
Auch wenn Blackhats mal Tacheles reden und damit rausrücken, welche
Maßnahmen am besten vor ihnen Schutz bieten, geht das garantiert an den
Scheuklappen der Placebo-Hörigen vorbei.

Also an alle Esoteriker: immer schön brav nur MSE nutzen, nichts anderes.
Wer allerdings glaubt, damit sei der Sicherheit Genüge getan, irrt
natürlich, denn neben dem Placebo braucht es halt immer die effektiven
Maßnahmen.
Wie gesagt, mit halbwegs normalem IQ ist das alles verständlich und auch ONU
kann das erreichen - wenn er denn will. Der Rest ist mit seinen Dummscannern
nur hilfloses Opfer.

--
Peter Hagendorf

Helmut Hullen

2013-07-12 11:29:00 UTC

Hallo, Ante,

Post by Ante Auber
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|
46763 (Trojan.Agent) -> Daten: C:\PROGRA~3\LOCALS~1\Temp\msaciirza.ex
e
Ich finde im System weder diese exe noch einen Eintrag in der
Registry. Unter Policies gibts keinen Explorer-Eintrag.
Was kann man tun (ausser vll. neu aufsetzen)?

Diese Datei (wenn sie denn noch auf dem Rechner liegt) erst mal
umbenennen, z.B. nach *.ex$

Aus den "Eigenschaften" könnte ablesbar sein, wann sie auf den Rechner
gekommen ist.

Dann: "jotti.org" und "virustotal.com" vorwerfen, damit sie den Typ des
Schädlings erkennen.

Per Google etc. suchen, was dieser Schädling macht, ob und wie er
entfernt werden kann (pures Umbenennen hilft nicht immer).

----------------

"Neu aufsetzen" wird gern empfohlen, ist aber in etlichen Fällen nicht
nötig.
Und für eine derartige Aktion wäre es mehr als hilfreich, wenn ein
Backup aus der Zeit vor dem Befall bereitliegt.

Durchaus wichtig wäre, anhand des Befallsdatums zu erahnen, wann und wie
der Schädling auf den Rechner gekommen ist.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-12 13:55:46 UTC

Hallo,

Post by Helmut Hullen
Per Google etc. suchen, was dieser Schädling macht, ob und wie er
entfernt werden kann (pures Umbenennen hilft nicht immer).

Wenn Schadsoftware zur Ausfuehrung gekommen ist, kann man bei heutzutage
ueblichen Schaedlingen i.d.R. nur "neuaufsetzen" als einzig sinnvolle
Massnahme empfehlen. Die Faelle, in denen eine "Reinigungsaktion" anderer
Art erfolgversprechend sein koennten, sind im Laufe der Jahre immer seltener
geworden, heutzutage gibt es sie praktisch ueberhaupt nicht mehr, weil fast
jede Schadsoftware eine "Nachladefunktion" hat, die weitere Komponenten aus
dem Netz nachlaedt, und es nicht mehr sicher nachzuvollziehen ist, was denn
genau nachgeladen wurde.

Post by Helmut Hullen
----------------
"Neu aufsetzen" wird gern empfohlen, ist aber in etlichen Fällen nicht
nötig.

IBTD. Bei erfolgter Kompromittierung *nicht* neu aufzusetzen ist fahrlaessig.

Post by Helmut Hullen
Und für eine derartige Aktion wäre es mehr als hilfreich, wenn ein
Backup aus der Zeit vor dem Befall bereitliegt.

Das ist richtig.

Post by Helmut Hullen
Durchaus wichtig wäre, anhand des Befallsdatums zu erahnen, wann und wie
der Schädling auf den Rechner gekommen ist.

Auch das waere hilfreich (wenn man denn dieses Datum ermitteln kann).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-12 14:22:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Per Google etc. suchen, was dieser Schädling macht, ob und wie er
entfernt werden kann (pures Umbenennen hilft nicht immer).

Wenn Schadsoftware zur Ausfuehrung gekommen ist, kann man bei
heutzutage ueblichen Schaedlingen i.d.R. nur "neuaufsetzen" als
einzig sinnvolle Massnahme empfehlen. Die Faelle, in denen eine
"Reinigungsaktion" anderer Art erfolgversprechend sein koennten, sind
im Laufe der Jahre immer seltener geworden, heutzutage gibt es sie
praktisch ueberhaupt nicht mehr, weil fast jede Schadsoftware eine
"Nachladefunktion" hat, die weitere Komponenten aus dem Netz
nachlaedt, und es nicht mehr sicher nachzuvollziehen ist, was denn
genau nachgeladen wurde.

Das mag so ganz allgemein ja vielleicht des öfteren zutreffen. Für einen
speziellen Therapievorschlag ist es allerdings hilfreich, den Typ des
Schädlings von "jotti.org" o.ä. diagnostizieren zu lassen.

Und die Therapie auf diesen Schädling abzustimmen.

Post by Helmut Hullen
----------------
"Neu aufsetzen" wird gern empfohlen, ist aber in etlichen Fällen
nicht nötig.

IBTD. Bei erfolgter Kompromittierung *nicht* neu aufzusetzen ist fahrlaessig.

Das setzt eine "erfolgte Kompromittierung" voraus, und einen Schädling,
der sich nicht einfacher unschädlich machen lässt.

Das hatten wir schon mehrfach durchdiskutiert ...

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-12 19:40:01 UTC

Hallo,

Post by Juergen Ilse
Wenn Schadsoftware zur Ausfuehrung gekommen ist, kann man bei
heutzutage ueblichen Schaedlingen i.d.R. nur "neuaufsetzen" als
einzig sinnvolle Massnahme empfehlen. Die Faelle, in denen eine
"Reinigungsaktion" anderer Art erfolgversprechend sein koennten, sind
im Laufe der Jahre immer seltener geworden, heutzutage gibt es sie
praktisch ueberhaupt nicht mehr, weil fast jede Schadsoftware eine
"Nachladefunktion" hat, die weitere Komponenten aus dem Netz
nachlaedt, und es nicht mehr sicher nachzuvollziehen ist, was denn
genau nachgeladen wurde.

Das mag so ganz allgemein ja vielleicht des öfteren zutreffen. Für einen
speziellen Therapievorschlag ist es allerdings hilfreich, den Typ des
Schädlings von "jotti.org" o.ä. diagnostizieren zu lassen.
Und die Therapie auf diesen Schädling abzustimmen.

Fast alle halbwegs aktuellen Schaedlinge versuchen ggfs. Teile aus
dem Netz nachzuladen. Ist einem Schaedling das gelungen, kann man
den Zustand des Systems praktisch nie wirklich diagnostizieren, weil
man nicht die geringste Chance hat, herauszubekommen, was eigentlich
nachgeladen und ausgefuehrt wurde (der Inhalt auf dem jeweiligen
Server kann sich ja von einer Minute zur naechsten aendern ...).
In dem Fall fuehrt dann kein Weg mehr an der Neuinstallation vorbei.
Aber selbst wenn das nicht der Fall ist, weiss man i.a. nicht, ob
man es nicht ggfs. mit einer unterschiedlich agierenden Mutation
eines bekannten Schaedling zu tun hat. In letzterem Fall ist wie-
derum "neu aufsetzen" die einzig sinnvolle Option.

Post by Helmut Hullen
----------------
"Neu aufsetzen" wird gern empfohlen, ist aber in etlichen Fällen
nicht nötig.

IBTD. Bei erfolgter Kompromittierung *nicht* neu aufzusetzen ist fahrlaessig.

Das setzt eine "erfolgte Kompromittierung" voraus,

Ist ein Schaedling wirklich zur Ausfuehrung gekommen, und kann man
nicht ausschliessen, dass er genug Rechte erlangen konnte, um sich
im System einzunisten, muss man von einer "erfolgreichen Kompro-
mittierung" ausgehen.

Post by Helmut Hullen
und einen Schädling, der sich nicht einfacher unschädlich machen lässt.

Bei den meisten halbwefs aktuellen Schaedlingen kann man noch nicht
einmal sicher sein, wo ueberall am System Veraenderungen vorgenommen
wurden ... Ergo ist dann "neu audsetzen" die einzig sinnvolle Alter-
native.

Post by Helmut Hullen
Das hatten wir schon mehrfach durchdiskutiert ...

... und du hast dich in der Diskussion wie immer als 100%ig lern-
resistent erwiesen ...

Tschuess,
Juergen Ilse (***@usenet-ferwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-12 19:57:00 UTC

Hallo, Juergen,

Du meintest am 12.07.13:

[...]

Post by Helmut Hullen
Das mag so ganz allgemein ja vielleicht des öfteren zutreffen. Für
einen speziellen Therapievorschlag ist es allerdings hilfreich, den
Typ des Schädlings von "jotti.org" o.ä. diagnostizieren zu lassen.
Und die Therapie auf diesen Schädling abzustimmen.

Fast alle halbwegs aktuellen Schaedlinge versuchen ggfs. Teile aus
dem Netz nachzuladen.

Ich hatte empfohlen, erst mal den Typ des Schädlings zu ermitteln.

Du empfiehlst "aus Prinzip" den Kahlschlag, egal was für ein Schädling
das war. Das klingt sehr "undifferenziert".

Post by Helmut Hullen
"Neu aufsetzen" wird gern empfohlen, ist aber in etlichen Fällen
nicht nötig.

IBTD. Bei erfolgter Kompromittierung *nicht* neu aufzusetzen ist fahrlaessig.

Das setzt eine "erfolgte Kompromittierung" voraus,

Ja und? Du empfiehlst ganz pauschal den Kahlschlag, ohne auch nur das
geringste Indiz dafür zu haben, dass ein Schädling auf dem Rechner
sitzt.

Post by Helmut Hullen
Das hatten wir schon mehrfach durchdiskutiert ...

... und du hast dich in der Diskussion wie immer als 100%ig lern-
resistent erwiesen ...

Klar - in der Beziehung ähneln wir einander. Auch Du beharrst auf Deinem
Vorschlag (nämlich erst mal alles löschen). Bist also auch
"lernresistent" ...

Viele Gruesse!
Helmut

Helmut Hullen

2013-07-13 10:15:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Ich hatte empfohlen, erst mal den Typ des Schädlings zu ermitteln.
Du empfiehlst "aus Prinzip" den Kahlschlag, egal was für ein
Schädling das war. Das klingt sehr "undifferenziert".

Da fast *jeder* halbwegs aktuelle Schaedling versucht, Komponenten
aus dem Netz nachzuladen, muesste man bei den meisten Infektionen
ohnehin neu aufsetzen.

Du wiederholst eine Annahme, die mit dem tatsächlich vorhandenen
Schädling nichts zu tun haben muss ("fast jeder").

Und Du wiederholst einen Therapie-Vorschlag, der längst nicht bei jedem
Schädling nötig ist.

Du verallgemeinerst Spezialfälle.

Viele Gruesse!
Helmut

Harald Klotz

2013-07-14 14:20:05 UTC

Post by Helmut Hullen
Ja und? Du empfiehlst ganz pauschal den Kahlschlag, ohne auch nur das
geringste Indiz dafür zu haben, dass ein Schädling auf dem Rechner
sitzt.

Damit verdient er wohl sein Geld.
Bange machen und die Hand aufhalten, eine miese Masche, aber die
Funktioniert, wenn man Deppen findet die dafür zahlen.

Grundsäzlich gilt, nach der Installation irgend eines beliebigen
Programms, weisst du nicht mehr über den Zustand des Rechners.
Nur ohne Installation kannst du nicht arbeiten.

Selbst scheibar seriöse Hersteller, Sony. z.B., erdreisteten sich ein
Rootkit zu installieren.

Post by Juergen Ilse
... und du hast dich in der Diskussion wie immer als 100%ig lern-
resistent erwiesen ...

Klar - in der Beziehung ähneln wir einander. Auch Du beharrst auf
Deinem Vorschlag (nämlich erst mal alles löschen). Bist also auch
"lernresistent" ...

Sollte das Szenario zutreffen, welches Jürgen hier malt, wird das den
Herstellern von Virenscannern nicht verborgen bleiben´und sie werden
nachbessern.

Ein 100% sicheres System gibt es nicht, auch nicht bei Jürgen.

Grüße Harald

Juergen Ilse

2013-07-14 19:16:22 UTC

Hallo,

Post by Helmut Hullen
Ja und? Du empfiehlst ganz pauschal den Kahlschlag, ohne auch nur das
geringste Indiz dafür zu haben, dass ein Schädling auf dem Rechner
sitzt.

Damit verdient er wohl sein Geld.

Ich verdiene mein Geld mit Netzwerken, und ich bin heilfroh, dass ich
mich weder mit idiotischen Usern, die immer mit Admin-Rechten arbeiten
wollen, noch mit fremden Rechnern herumschlsgen muss, um meine Broetchen
zu verdienen.

Post by Juergen Ilse
... und du hast dich in der Diskussion wie immer als 100%ig lern-
resistent erwiesen ...

Klar - in der Beziehung ähneln wir einander. Auch Du beharrst auf
Deinem Vorschlag (nämlich erst mal alles löschen). Bist also auch
"lernresistent" ...

Sollte das Szenario zutreffen, welches Jürgen hier malt, wird das den
Herstellern von Virenscannern nicht verborgen bleiben??und sie werden
nachbessern.

Du weisst, dass es mittlerweile sogar "Virenbaukaesten" gibt, aus
denen man sich per Mazsklicks nahezu beliebige Schaedlingsvarianten
zusammenklicken kann, ohne grossartig was von Programmierung zu
verstehen? Und das es trivial ist, die "Schadfunktion durch etwas
beliebiges eigenes zu ersetzen, ohne grossen Aufwand zu treiben?
Und da gleubst du, dass die Scannerhersteller *alle* Varianten
kennen und verlaesslich unterscheiden koennen? Mach dich nicht
noch laecherlicher als bisher schon ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-14 20:05:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Ja und? Du empfiehlst ganz pauschal den Kahlschlag, ohne auch nur
das geringste Indiz dafür zu haben, dass ein Schädling auf dem
Rechner sitzt.

Damit verdient er wohl sein Geld.

Ich verdiene mein Geld mit Netzwerken, und ich bin heilfroh, dass ich
mich weder mit idiotischen Usern, die immer mit Admin-Rechten
arbeiten wollen, noch mit fremden Rechnern herumschlsgen muss, um
meine Broetchen zu verdienen.

Ja - das ist Deinen Empfehlungen anzumerken. Du hängst den BOFH heraus.
Otto Endanwender muss sich aber nicht unter die Fuchtel eines BOFH
begeben - er kann selbst als Administrator arbeiten.

Viele Gruesse!
Helmut

Harald Klotz

2013-07-15 15:13:01 UTC

Post by Juergen Ilse
Du weisst, dass es mittlerweile sogar "Virenbaukaesten" gibt,

Interessant, dass du das auch schon mitbekommen hast.
Ich kenne das schon aus DOS-Zeiten.

Post by Juergen Ilse
aus denen man sich per Mazsklicks nahezu beliebige
Schaedlingsvarianten
zusammenklicken kann, ohne grossartig was von Programmierung zu
verstehen? Und das es trivial ist, die "Schadfunktion durch etwas
beliebiges eigenes zu ersetzen, ohne grossen Aufwand zu treiben?

Ohne Kenntnisse wird man auf dem Pfad der Programmöglichkeiten bleiben
müssen.

Post by Juergen Ilse
Und da gleubst du, dass die Scannerhersteller *alle* Varianten
kennen und verlaesslich unterscheiden koennen? Mach dich nicht
noch laecherlicher als bisher schon ...

Du bist ein hoffnungloser Spinner.
Ich glaube es nicht und ich habe es nie gesagt.
Allerdings dürften die Baukastenviren die leichteste Übung für
Scannerhersteller sein, weil aus dem Bauskasten dürften sie *alle*
identische Merkmale haben aus denen sich mindestens ein Verdacht
herleiten lässt.

Grüße Harald

Pegasus

2013-07-16 14:19:53 UTC

Post by Harald Klotz
Du bist ein hoffnungloser Spinner.

Nein, Leute wie du, die für AV-Ware eintreten, sind die hoffnungslosen
Spinner. Sie sind absolut merkbefreit, denn die Argumente dagegen werden von
allen Leuten mit halbwegs normaler Intelligenz erkannt.

--
Peter Hagendorf

Helmut Hullen

2013-07-16 15:01:00 UTC

Hallo, hpm,

Post by Harald Klotz
Du bist ein hoffnungloser Spinner.

Nein, Leute wie du, die für AV-Ware eintreten, sind die
hoffnungslosen Spinner. Sie sind absolut merkbefreit, denn die
Argumente dagegen werden von allen Leuten mit halbwegs normaler
Intelligenz erkannt.

Eben - wenn's nur zu halbwegs normaler Intelligenz reicht, dann kann ein
solcher Kreuzzug gegen Virenscanner (wie Du ihn unter verschiedenen
Namen führst) das Ergebnis sein.

Wer mit kompletter Intelligenz ausgestattet ist, der erkennt die
Vorteile dieses weiteren Prüfverfahrens.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 16:46:16 UTC

Hallo,

Post by Helmut Hullen
Wer mit kompletter Intelligenz ausgestattet ist, der erkennt die
Vorteile dieses weiteren Prüfverfahrens.

Sind die Vorteile gross genug, um die *erheblich* hoehere Gesamt-
komplexitaet des Systems mit Virenscanner und die Gefahren durch
die Virenscanner ("Verschieben von wichtigen Systemkomponenten in
Charantaene" bedingt durch "false positives") zu kompensieren?
Bei einem restriktiv konfiguriertem und aktuell gehaltenen System
wohl kaum. Die Schlussfolgerung darfst du selbst ziehen (was du
aufgrund deiner Lernresistenz aber wohl wieder verweigerst ...).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-16 16:55:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Wer mit kompletter Intelligenz ausgestattet ist, der erkennt die
Vorteile dieses weiteren Prüfverfahrens.

Wenn der (besser: die) Virenscanner per Live-CD gestartet wird/werden,
dann wird die Gesamtkomplexität des Systems nicht geändert.
Wenn er/sie als "portables" Programm aufgerufen werden können, dann
dürften sie die Gesamtkomplexität auch nicht ändern.

Und das Verhalten bei (vermeintlichen) Treffern lässt sich einstellen;
mir ist kein Virenscanner bekannt, bei dem "verschieben" oder gar
"löschen" vor-eingestellt ist. Aber ich kenne nicht alle Virenscannner.

Du hingegen behauptest, dass alle Virenscanner nach Vor-Einstellung
verschieben.

Post by Juergen Ilse
Bei einem restriktiv konfiguriertem und aktuell gehaltenen System
wohl kaum. Die Schlussfolgerung darfst du selbst ziehen (was du
aufgrund deiner Lernresistenz aber wohl wieder verweigerst ...).

Nicht jeder Endanwender hat sein System restriktiv konfiguriert und hält
es aktuell. Der braucht andere Hilfsmittel, um wenigstens ab und zu den
Verseuchungsgrad festzustellen.

Bei meinen System bräuchte ich weder Scanner noch restriktive
Konfiguration. Vermisch diese beiden möglichen Konfigurationsweisen (und
Betriebsweisen) nicht.

Viele Gruesse!
Helmut

Harald Klotz

2013-07-16 19:26:09 UTC

Post by Helmut Hullen
Und das Verhalten bei (vermeintlichen) Treffern lässt sich einstellen;
mir ist kein Virenscanner bekannt, bei dem "verschieben" oder gar
"löschen" vor-eingestellt ist. Aber ich kenne nicht alle
Virenscannner.

Leidliche Erfahrung mit Avira und einem anderen Programm, welche
absichtlich gesammelte Viren auf meinem Rechner gnadenlos gelöscht, bzw.
verschoben und umbenannt haben.
Die Viren hatten die Endung .VIR, waren damit also ab
Bei Avira war es eine Rescue CD, die verschoben und umbenannt hat.
Ob es bei den aktuellen so ist, weiss ich nicht.
Das andere Programm war weniger aus Viren spezialisiert, mehr auf die
Datensammler. Das hat einfach gelöscht in der Voreinstellung.

Grüße Harald

Harald Klotz

2013-07-16 19:16:28 UTC

Post by Harald Klotz
Du bist ein hoffnungloser Spinner.

Nein, Leute wie du, die für AV-Ware eintreten, sind die hoffnungslosen
Spinner. Sie sind absolut merkbefreit, denn die Argumente dagegen
werden von allen Leuten mit halbwegs normaler Intelligenz erkannt.

Dein Fehler ist, dass dir jede Intelligenz fehlt.

Grüße Harald

Guido Hennecke

2013-07-12 21:53:49 UTC

[...]

Mal ganz im Ernst, Juergen...

Mit Helmut ueber dieses Thema zu diskutieren ist im hoechsten Masse
sinnlos. Das solltest Du wirklich langsam einsehen. Helmut hab ich im
Filter, Dich wollte ich da nicht rein packen.

Heiko Rost

2013-07-12 13:30:52 UTC

Wenn MBAM die Datei als Trojaner indentifiziert, ist sie mit hoher
Sicherheit auch vorhanden.

Post by Ante Auber
Was kann man tun (ausser vll. neu aufsetzen)?

Du könntest den Rechner mit einem Linux-Live-System booten und von da
aus untersuchen. Die Kaspersky Rescue Disc
<http://support.kaspersky.com/4162> enthält Virenscanner (nach dem
Update der Datenbank einmal den Rechner komplett scannen), Dateimanager
und IIRC auch einen Registry Editor. Wenn die Datei damit zu finden ist,
ist Dein Windows infiziert.

In dem Fall wäre am sichersten, ein nicht infiziertes Backup
einzuspielen oder das System komplett neu aufzusetzen. Zusätzlich wäre
es nicht verkehrt, nach der Bereinigung die Kennwörter von allen
Web-Seiten zu ändern, die Du seit der Infektion besucht hast. Es könnte
sein, daß Deine Zugangsdaten ausgespäht wurden.

Falls Dir diese Arbeit zu viel ist, kannst Du in
<http://www.trojaner-board.de/> nachfragen, ob dieser Schädling und
seine Wirkungen genau bekannt sind und er evtl. manuell entfernt werden
kann.

Gruß Heiko

Ante Auber

2013-07-14 11:25:27 UTC

Wenn MBAM die Datei als Trojaner indentifiziert, ist sie mit hoher
Sicherheit auch vorhanden.

Post by Ante Auber
Was kann man tun (ausser vll. neu aufsetzen)?

Du könntest den Rechner mit einem Linux-Live-System booten und von da
aus untersuchen. Die Kaspersky Rescue Disc
<http://support.kaspersky.com/4162> enthält Virenscanner (nach dem
Update der Datenbank einmal den Rechner komplett scannen), Dateimanager
und IIRC auch einen Registry Editor. Wenn die Datei damit zu finden ist,
ist Dein Windows infiziert.
In dem Fall wäre am sichersten, ein nicht infiziertes Backup
einzuspielen oder das System komplett neu aufzusetzen. Zusätzlich wäre
es nicht verkehrt, nach der Bereinigung die Kennwörter von allen
Web-Seiten zu ändern, die Du seit der Infektion besucht hast. Es könnte
sein, daß Deine Zugangsdaten ausgespäht wurden.
Falls Dir diese Arbeit zu viel ist, kannst Du in
<http://www.trojaner-board.de/> nachfragen, ob dieser Schädling und
seine Wirkungen genau bekannt sind und er evtl. manuell entfernt werden
kann.
Gruß Heiko

Hallo Heiko,
ich bin Deinem Rat gefolgt; und nach dem Kaspersky nichts gefunden
hatte, habe ich den Pfad zu der (nicht auf dem System existenten)
Virus-exe händisch gelöscht. Der betreffende Eintrag in der Registry war
mit "Nur Lese"-Rechten ausgestattet und lies sich erst nach korrekter
Rechtevergabe löschen. Hierbei hat mir ein Bekannter geholfen.
Nun findet MBAM nichts mehr.

Danke für Deine Hinweise (und die aller anderen Schreiber hier), ich
werde nun noch alle Passwörter ändern und hoffe, das Neuaufsetzen noch
hinausschieben zu können.

Viele Grüße.

Juergen P. Meier

2013-07-14 12:20:55 UTC

Post by Ante Auber

Post by Heiko Rost
Falls Dir diese Arbeit zu viel ist, kannst Du in
<http://www.trojaner-board.de/> nachfragen, ob dieser Schädling und
seine Wirkungen genau bekannt sind und er evtl. manuell entfernt werden
kann.
Gruß Heiko

Hallo Heiko,
ich bin Deinem Rat gefolgt; und nach dem Kaspersky nichts gefunden
hatte, habe ich den Pfad zu der (nicht auf dem System existenten)
Virus-exe händisch gelöscht. Der betreffende Eintrag in der Registry war
mit "Nur Lese"-Rechten ausgestattet und lies sich erst nach korrekter
Rechtevergabe löschen. Hierbei hat mir ein Bekannter geholfen.
Nun findet MBAM nichts mehr.
Danke für Deine Hinweise (und die aller anderen Schreiber hier), ich
werde nun noch alle Passwörter ändern und hoffe, das Neuaufsetzen noch
hinausschieben zu können.

Ein schoenes Beispiel, was passiert, wenn die Einfaehltigen den
Unwissenden einen "Rat" geben...

Geh bitte mit deiner Virenschleuder woanders hin.

Du: "Ui !!!11elf Bunti-Klicki-Toolz hat die Viren-WArnungen
meiner drei Virenwaechter entfernt!111elf Jetzt bin ich wieder Total
Toll Sicha!!11lef"

Analogie fuer die, die sowas moegen:
Ante hat das westliche Einfallstor Trojas, an dem das Grichische Pferd
mit seiner Klappe angeeckt ist und einen dicken Kratzer hinterliess
mit einem Bunten Plakat ueberklebt.

Jetzt sieht man diesen Kratzer nicht mehr.

WARNUNG: Um dieses Posting zu verstehen muss man das Gehirn vorher
undbedingt einschalten!

fup2p
Juergen

--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Helmut Hullen

2013-07-14 13:15:00 UTC

Hallo, Juergen,

Post by Juergen P. Meier

Post by Ante Auber
ich bin Deinem Rat gefolgt; und nach dem Kaspersky nichts gefunden
hatte, habe ich den Pfad zu der (nicht auf dem System existenten)
Virus-exe händisch gelöscht.

[...]

Post by Juergen P. Meier
Ein schoenes Beispiel, was passiert, wenn die Einfaehltigen den
Unwissenden einen "Rat" geben...
Geh bitte mit deiner Virenschleuder woanders hin.

Du verbreitest Gräuelpropaganda.
Wenn die Datei nicht (mehr) existiert und mehrere Virenscanner nichts
finden, dann kann es durchaus sein, dass das System keine Schadsoftware
enthält.

Mit mehreren Scannern prüfen ist schliesslich eines von mehreren
möglichen Verfahren, auf Befall zu prüfen.

Du wirst ja sicherlich nicht die Theorie verbreiten wollen, dass ein
System auch dann neu aufzusetzen sei, wenn kein Prüfverfahren einen
Schädling gefunden hat.

Denn dann müsste der arme ONU sein System nur noch unentwegt neu
aufsetzen.

-----------------------

Nur am Rande:
wenn einer meiner Scanner "eicar.com" als Virus meldet: neu aufsetzen?
wenn einer meiner Scanner "bzImage" als Virus meldet: neu aufsetzen?
wenn Clamscan einige meiner Batchdateien als Virus meldet: neu
aufsetzen?
wenn "StopZilla" auf meinem System 4 Dateien als Schadsoftware meldet
(und kein anderer Scanner diese Meinung teilt): neu aufsetzen?

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-14 14:47:46 UTC

Hallo,

Post by Helmut Hullen
Du verbreitest Gräuelpropaganda.
Wenn die Datei nicht (mehr) existiert und mehrere Virenscanner nichts
finden, dann kann es durchaus sein, dass das System keine Schadsoftware
enthält.

Wenn da ein autostart-Eintrag fuer irgendwelchen Unfug existiert hat,
dann muss irgendwas den ja erzeugt haben. Wenn der admin des Systems
das nicht war, ist wohl irgendwelche Malware auf dem System zur Aus-
fuehrung gekommen, die den Eintrag erzeugt hat. Wir muessen daher
von einer Kompromittierung ausgehen. Nun kann aber der genaue Typ der
Malware nicht bestimmt werden, weil keine Malware-Datei gefunden wurde
(was aber bekanntlich nicht heisst, dass auch keine vorhanden ist).
Also: Kompromittierter Rechner, aber die Art der Malware ist unbekannt.
Wenn das kein Grund fuer "platt machen und neuaufsetzen" ist ...

Post by Helmut Hullen
Mit mehreren Scannern prüfen ist schliesslich eines von mehreren
möglichen Verfahren, auf Befall zu prüfen.

Der Befall ist durch den ansonsten unerklaerlichen Autostart-Eintrag
bereits nachgewiesen. Wenn dann kein Scanner einen Schaedling erkennt,
heisst das, dass es sich offenbar um einen unbekannten Schaedling handelt
und nicht etwa, dass keine Kompromittierung vorliegt.

Post by Helmut Hullen
Du wirst ja sicherlich nicht die Theorie verbreiten wollen, dass ein
System auch dann neu aufzusetzen sei, wenn kein Prüfverfahren einen
Schädling gefunden hat.

Wenn kein Befall vorliegen wuerde: woher kommt dann der seltsame
Autostart-Eintrag? So lange du dafuer keine sinnvolle Erklaerung
liefern kannst, ist deine Argumentation als gefaehrlicher Bloedsinn
entlarvt.

Post by Helmut Hullen
wenn einer meiner Scanner "eicar.com" als Virus meldet: neu aufsetzen?

Das waere einer der *ganz* *wenigen* Ausnahmen, in denen der angebliche
Schaedling als unschaedlich erkennbar ist, also nein.

Post by Helmut Hullen
wenn einer meiner Scanner "bzImage" als Virus meldet: neu aufsetzen?

Wenn es sich um ein funktionierendes Linux-Image handelt, und der
gemeldete Schaedling ein Windows-Schaedling ist, handelt es sich
nachgewiesenermassen um einen Fehlalarm, also nein.

Der in diesem Thread diskutierte Fall liegt anders: es wurden gefaehrliche
Veraenderungen (unerklaerbare Autostart-Eintraege) am System festgestellt.
Wenn niemand von den regulaeren Nutzern des Rechners diese Veraenderungen
vorgenommen hat, bleibt eigentlich nur "Malware" als einzige Erklaerung,
und damit ist (voellig unabhaengig von irgendwelchen Scannerergebnissen)
das System als kompromittiert anzusehen. Statt nun die notwendigen
Konsequenzen zu ziehen, gibst du noch immer sehr zweifelhafte Ratschlaege
und faselst etwas von Panikmache. WAS SOLL DAS???

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-14 15:13:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Du verbreitest Gräuelpropaganda.
Wenn die Datei nicht (mehr) existiert und mehrere Virenscanner
nichts finden, dann kann es durchaus sein, dass das System keine
Schadsoftware enthält.

Wenn da ein autostart-Eintrag fuer irgendwelchen Unfug existiert hat,
dann muss irgendwas den ja erzeugt haben. Wenn der admin des Systems
das nicht war, ist wohl irgendwelche Malware auf dem System zur Aus-
fuehrung gekommen, die den Eintrag erzeugt hat. Wir muessen daher
von einer Kompromittierung ausgehen. Nun kann aber der genaue Typ der
Malware nicht bestimmt werden, weil keine Malware-Datei gefunden
wurde (was aber bekanntlich nicht heisst, dass auch keine vorhanden
ist). Also: Kompromittierter Rechner, aber die Art der Malware ist
unbekannt. Wenn das kein Grund fuer "platt machen und neuaufsetzen"
ist ...

Wenn ich (mit verschiedenen Verfahren) kein Indiz für Schadsoftware
finde, dann setze ich nicht den Rechner neu auf.

Denn wenn ich den neu aufgesetzten Rechner erneut (mit verschiedenen
Verfahren) prüfe und kein Indiz für Schadsoftware finde: was soll ich
dann machen? Neu aufsetzen?

[...]

Post by Helmut Hullen
Du wirst ja sicherlich nicht die Theorie verbreiten wollen, dass ein
System auch dann neu aufzusetzen sei, wenn kein Prüfverfahren einen
Schädling gefunden hat.

Es könnte auch sein (eine von etlichen Möglichkeiten), dass die
verdächtige Datei längst von jemandem anders beseitigt worden ist.

Wenn eine Tür quietscht, reisse ich nicht das ganze Haus ab.

Post by Helmut Hullen
wenn einer meiner Scanner "eicar.com" als Virus meldet: neu
aufsetzen?

Das waere einer der *ganz* *wenigen* Ausnahmen, in denen der
angebliche Schaedling als unschaedlich erkennbar ist, also nein.

Danke - es gibt also Ausnahmen von der hier so gern pauschal
präsentierten Forderung "alles abreissen".

Post by Helmut Hullen
wenn einer meiner Scanner "bzImage" als Virus meldet: neu aufsetzen?

Wenn es sich um ein funktionierendes Linux-Image handelt, und der
gemeldete Schaedling ein Windows-Schaedling ist, handelt es sich
nachgewiesenermassen um einen Fehlalarm, also nein.

Eine weitere Ausnahme - danke!

Post by Juergen Ilse
Der in diesem Thread diskutierte Fall liegt anders: es wurden
gefaehrliche Veraenderungen (unerklaerbare Autostart-Eintraege) am
System festgestellt.

In der Registry können sehr viele "unerklärliche" Einträge herumliegen.
Die kann ich mit einem simplen Skript erzeugen ...

Und im speziellen Fall scheint es sich nicht um mehrere Veränderungen zu
handeln, sondern nur um eine.

Post by Juergen Ilse
Wenn niemand von den regulaeren Nutzern des
Rechners diese Veraenderungen vorgenommen hat, bleibt eigentlich nur
"Malware" als einzige Erklaerung, und damit ist (voellig unabhaengig
von irgendwelchen Scannerergebnissen) das System als kompromittiert
anzusehen.

Wenn - die Vorgeschichte dieses Rechners kennen wir beide nicht.

Und wir beide wissen nicht, ob ein leidlich aktuelles Backup (ohne
diesen Eintrag) existiert, und wir wissen nicht, ob sämtliche fürs
Neuaufsetzen erforderliche Software noch verfügbar ist.

Du scheinst (mal wieder) aus der Sicht eines Systemadministrators in
einer Firma zu argumentieren, der für die Clients ein Backup
bereitliegen hat. Nicht aus der Sicht von Otto Endanwender. Oder aus der
Sicht eines IT-Betriebs, bei dem Otto Endanwender mit seinem Rechner
aufkreuzt und um (kostengünstige) Wiederherstellung des alten Zustandes
bittet.

Harald Klotz

2013-07-14 16:46:32 UTC

Post by Helmut Hullen
Denn wenn ich den neu aufgesetzten Rechner erneut (mit verschiedenen
Verfahren) prüfe und kein Indiz für Schadsoftware finde: was soll ich
dann machen? Neu aufsetzen?

Selbstverständlich. ;-)

Wenn Jürgen ernst nimmt, was er hier verbreitet, wird er es machen,
tagein, tagaus.

Grüße Harald

Juergen Ilse

2013-07-14 19:40:42 UTC

Hallo,

Post by Helmut Hullen
Wenn ich (mit verschiedenen Verfahren) kein Indiz für Schadsoftware
finde, dann setze ich nicht den Rechner neu auf.

Eine unerwuenschte und unerklarliche Registr<-Aenderung ist ein sehr
starkes Indiz fuer eine Kompromittierung, sehr viel staerker als jede
"nicht Meldung" eines Virenscanners.

Post by Helmut Hullen
Du wirst ja sicherlich nicht die Theorie verbreiten wollen, dass ein
System auch dann neu aufzusetzen sei, wenn kein Prüfverfahren einen
Schädling gefunden hat.

Es könnte auch sein (eine von etlichen Möglichkeiten), dass die
verdächtige Datei längst von jemandem anders beseitigt worden ist.

Das beantwortet nicht die Frage, wo die Registry-Eintraege herkommen.
Und wenn auf dem Rechner Schadsoftware ausgefuehrt wurde, die da in der
Registry herumgepfuscht hat und die jetztz nicht mehr auffindbar ist,
ist der Rechner neu aufzusetzen, denn man hat kaum eine Chance, alle
durch die Schadsoftware vorgenommenen Aenderungen aufzufinden, noch
ncht einmal der Typ des urspruenglichen Schaedlings liesse sich dann
ermitteln ...

Was haette es den Trojanern genuetzt, das Holzpferd ui beseitigen,
nachdem die Griechen ausgestiegen sind und sich in der Stadt ver-
breitet haben?

Post by Juergen Ilse
Der in diesem Thread diskutierte Fall liegt anders: es wurden
gefaehrliche Veraenderungen (unerklaerbare Autostart-Eintraege) am
System festgestellt.

In der Registry können sehr viele "unerklärliche" Einträge herumliegen.
Die kann ich mit einem simplen Skript erzeugen ...

Welche Software, welches script, welcher User hat die Aenderungen erzeugt?
Laesst sich das nicgt feststellen, muss man von einer kompromittierung
ausgehen. Das scheinst du aber mit fadenscheinigen Argumenten beiseite
schieben zu wollen ...

Post by Helmut Hullen
Und im speziellen Fall scheint es sich nicht um mehrere Veränderungen zu
handeln, sondern nur um eine.

Und wo kam die her? Wenn das nicht ermittelt werden kann, muss man
von einer Kompromittierung ausgehen (auch wenn immer wieder Vollidioten
das wedzudiskutieren versuchen) ...

Post by Helmut Hullen
Du scheinst (mal wieder) aus der Sicht eines Systemadministrators in
einer Firma zu argumentieren, der für die Clients ein Backup
bereitliegen hat. Nicht aus der Sicht von Otto Endanwender.

Im Falle einer Kompromittierung ist das sinnvolle Vorgehen in beiden
Faellen exakt identisch. Das scheinst du aber noch immer nicht begriffen
zu haben ... Schade.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-14 20:11:00 UTC

Hallo, Juergen,

Im Falle einer Kompromittierung ist das sinnvolle Vorgehen in beiden
Faellen exakt identisch.

Aber bisher gibt es allerhöchstens den Verdacht auf Befall mit
Schadsoftware. Mehr nicht.

-------------------

Ich misstraue meinen Installationen stets. Ich halte es jederzeit für
möglich, dass sie von Schadsoftware befallen ist. Das ist für mich
allerdings kein Anlass, sie stets neu aufzusetzen.

-------------------

Wir beide waren in einer ähnlichen Diskussionsrunde schon mal so weit,
dass Du einräumtest, dass das Neuaufsetzen nur einen definierten Zustand
schafft, nicht aber ein "sicheres System" oder ein "System, das frei von
Schadsoftware ist". Also müsstest auch Du einem frisch aufgesetzten
System misstrauen ...

Viele Gruesse!
Helmut

Harald Klotz

2013-07-15 16:49:54 UTC

Post by Juergen Ilse
Hallo,

Post by Helmut Hullen
Wenn ich (mit verschiedenen Verfahren) kein Indiz für Schadsoftware
finde, dann setze ich nicht den Rechner neu auf.

Eine unerwuenschte und unerklarliche Registr<-Aenderung ist ein sehr
starkes Indiz fuer eine Kompromittierung, sehr viel staerker als jede
"nicht Meldung" eines Virenscanners.

Sag mal, glaubst du an den Schwachsinn den du von dir gibst?
Ein Nichtmeldung ist also ein Indiz?

Natürlich ist die Reg-Änderung ein starkes Indiz.
Offensichtlich hat sich mindestens ein Virus versucht einzunisten.
Was sonst noch passiert ist steht in den Sternen.

Da wäre es wirklich besser, man hätte keinen Scanner gehabt, man hätte
es nicht entdeckt und wäre weiterhin sorglos.
So gesehen sind Virenscanner wirklich schlecht, da hast du recht. ;-)

Post by Helmut Hullen
Es könnte auch sein (eine von etlichen Möglichkeiten), dass die
verdächtige Datei längst von jemandem anders beseitigt worden ist.

Das beantwortet nicht die Frage, wo die Registry-Eintraege herkommen.
Und wenn auf dem Rechner Schadsoftware ausgefuehrt wurde, die da in
der Registry herumgepfuscht hat und die jetztz nicht mehr auffindbar
ist,
ist der Rechner neu aufzusetzen, denn man hat kaum eine Chance, alle
durch die Schadsoftware vorgenommenen Aenderungen aufzufinden, noch
ncht einmal der Typ des urspruenglichen Schaedlings liesse sich dann
ermitteln ...

Stimmt, allerdings gilt das für jede Software, die du installierst. ;-)

Keine Chance. Nach jeder Installation, immer gleich den Rechner neu
installieren. ;-)

Post by Juergen Ilse
Was haette es den Trojanern genuetzt, das Holzpferd ui beseitigen,
nachdem die Griechen ausgestiegen sind und sich in der Stadt ver-
breitet haben?

Du musst bei deinen Beispielen schon am Thema bleiben.
Du meinst, die Trojaner hätten die Stadt abreissen und neu aufbauen
sollen, nur weil sie ein leeres Holzpferd gefunden haben.

Sie hätten in dem Fall schlauerweise nach Eindringlingen suchen sollen,
nur was tun wenn die sich nicht finden lassen, Stadt abreissen und neu
bauen?

Post by Juergen Ilse
Welche Software, welches script, welcher User hat die Aenderungen
erzeugt? Laesst sich das nicgt feststellen, muss man von einer
kompromittierung ausgehen. Das scheinst du aber mit fadenscheinigen
Argumenten beiseite schieben zu wollen ...

Es sit nicht jeder so ein Hellseher wie du, der überall nur Viren sieht,
auf ganz entfernten Rechnern, die nie gesehen hat.

Post by Helmut Hullen
Und im speziellen Fall scheint es sich nicht um mehrere
Veränderungen zu handeln, sondern nur um eine.

Und wo kam die her? Wenn das nicht ermittelt werden kann, muss man
von einer Kompromittierung ausgehen (auch wenn immer wieder
Vollidioten das wedzudiskutieren versuchen) ...

Irgendetwas war da, das diskutiert keiner weg.
Die Frage ist eher, was ist evtl. noch vorhanden?

Genau, das wissen wir nicht und die sichere Lösung ist neu aufsetzen,
dabei stellt sich allerdings die Frage ob der Trojaner dabei nicht auch
wieder neu installiert wird.
Wer weiss schon wo der hergekommen ist, das neue Programm hat ihn
mitgebracht, wird natürlich auf dem neu aufgesetzen Rechner gleich
installiert, die Quelle hält man ja für vertrauenswürdig.
Dank deines Rat wir auch Virenscanner installiert. ;-)
Nichts warnt, nichts stört und man ist beruhigt.

Ich glaube, vor der Neuinstallation war es besser.

Im Falle einer Kompromittierung ist das sinnvolle Vorgehen in beiden
Faellen exakt identisch. Das scheinst du aber noch immer nicht
begriffen zu haben ... Schade.

Du hast nichts begriffen und bist extrem lernresistent.

Grüße Harald

Juergen Ilse

2013-07-16 03:23:10 UTC

Hallo,

Post by Juergen Ilse
Eine unerwuenschte und unerklarliche Registr<-Aenderung ist ein sehr
starkes Indiz fuer eine Kompromittierung, sehr viel staerker als jede
"nicht Meldung" eines Virenscanners.

Sag mal, glaubst du an den Schwachsinn den du von dir gibst?
Ein Nichtmeldung ist also ein Indiz?

Einem denkenden Menschen wuerde sich azs dem Zusammenhang erschliessen,
dass hier die "nicht Meldung eines Virenscanners" als Indiz fuer die
"nicht Kompromittierung des Systems" gemeint war ...
Gehoerst du zu dieser Spezies?

Post by Harald Klotz
Natürlich ist die Reg-Änderung ein starkes Indiz.
Offensichtlich hat sich mindestens ein Virus versucht einzunisten.
Was sonst noch passiert ist steht in den Sternen.

Um den Registry-Eintrag anzulegen oder zu aendern, sind Admin-Rechte
erforderlich, wie gier im Thread bereits erlaeutert wurde. Ein Schaedling
der mit Admin-Rechten ausgefuehrt wird *kann* sich auch einnisten. Es
ist ausgesprochen naiv, anzunehmen dass es einem mit Admin-Rechten aus-
gefuehrten Schaedling nicht gelungen sein soll, sich im System einzunisten.
Das ist fast wie bei dem Mann, der vom Hochhaus faellt und auf Hoehe des
ersten Stocks sagt "bis jetzt ging ja alles gut ...".

Es sit nicht jeder so ein Hellseher wie du, der überall nur Viren sieht,
auf ganz entfernten Rechnern, die nie gesehen hat.

Wer hat den Registry-Eintrag angelegt?

Post by Juergen Ilse
Und wo kam die her? Wenn das nicht ermittelt werden kann, muss man
von einer Kompromittierung ausgehen (auch wenn immer wieder
Vollidioten das wedzudiskutieren versuchen) ...

Irgendetwas war da, das diskutiert keiner weg.
Die Frage ist eher, was ist evtl. noch vorhanden?

Das ist fuer die Beurteilung einer Kompromittierung unerheblich.

Im Falle einer Kompromittierung ist das sinnvolle Vorgehen in beiden
Faellen exakt identisch. Das scheinst du aber noch immer nicht
begriffen zu haben ... Schade.

Du hast nichts begriffen und bist extrem lernresistent.

Du solltest nicht von dir auf andere schliessen ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Heiko Rost

2013-07-15 16:53:04 UTC

Post by Juergen Ilse
Der Befall ist durch den ansonsten unerklaerlichen Autostart-Eintrag
bereits nachgewiesen.

Das ist er nicht, weil die entsprechende Datei nicht zu Analysezwecken
vorhanden ist. Offensichtlich gefällt MBAM irgend etwas an diesem
Schlüssel nicht (vielleicht die in <kru1r7$76i$***@news.albasani.net>
erwähnten Nur-Lese-Rechte) und hat in deshalb als Trojaner gemeldet.
Genausogut könnten das die Reste eines schlampig programmierten
(De)Installers eines ganz harmlosen Programmes sein.

Gruß Heiko

Stefan Kanthak

2013-07-15 17:05:35 UTC

Post by Juergen Ilse
Der Befall ist durch den ansonsten unerklaerlichen Autostart-Eintrag
bereits nachgewiesen.

Das ist er nicht, weil die entsprechende Datei nicht zu Analysezwecken
vorhanden ist.

Falsch!

1. Der OP findet diese Datei im laufenden System nicht. Bei einem Rootkit
ist das normal!

2. Unter
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
traegt sich KEIN legitimes Programm ein.

JFTR: Eintraege unter "Policies" koennen (und werden) NUR von einem
Administrator vorgenommen. Normalbenutzer haben dort keine Schreibrechte!

3. Der Pfad "C:\PROGRA~3\LOCALS~1\Temp\msaciirza.exe" ist NICHT der
eines legitimen Programms.

JFTR: "C:\PROGRA~3" ist typischerweise der 8.3-Dateiname von C:\ProgramData\
Und wie schon dieser Name sagt: dort liegen DATEN, keine Programme.

Post by Heiko Rost
Offensichtlich gefällt MBAM irgend etwas an diesem
erwähnten Nur-Lese-Rechte) und hat in deshalb als Trojaner gemeldet.
Genausogut könnten das die Reste eines schlampig programmierten
(De)Installers eines ganz harmlosen Programmes sein.

Falsch. S.o!

Stefan
[

Helmut Hullen

2013-07-15 17:35:00 UTC

Hallo, Stefan,

Post by Stefan Kanthak

Post by Juergen Ilse
Der Befall ist durch den ansonsten unerklaerlichen
Autostart-Eintrag bereits nachgewiesen.

Das ist er nicht, weil die entsprechende Datei nicht zu
Analysezwecken vorhanden ist.

Falsch!
2. Unter
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
\Run] traegt sich KEIN legitimes Programm ein.

Echt?
Die Google-Suche zeigt etliche Meldungen auch für "legitime Programme".

u.a.

<http://technet.microsoft.com/en-us/magazine/ee851671.aspx>

Post by Stefan Kanthak
JFTR: Eintraege unter "Policies" koennen (und werden) NUR von einem
Administrator vorgenommen. Normalbenutzer haben dort keine
Schreibrechte!

Ja und?
Otto Endanwender ist in Personalunion Normalbenutzer und Administrator.
Er kann (und muss) ab und zu als Administrator arbeiten.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 02:58:19 UTC

Hallo,

Post by Stefan Kanthak
JFTR: Eintraege unter "Policies" koennen (und werden) NUR von einem
Administrator vorgenommen. Normalbenutzer haben dort keine
Schreibrechte!

Ja und?
Otto Endanwender ist in Personalunion Normalbenutzer und Administrator.

Dann sollte "Otto Endanwender" sich vielleicht mal ein sinnvolleres
Verhalten am Rechner amhewoehnen ...

Post by Helmut Hullen
Er kann (und muss) ab und zu als Administrator arbeiten.

Fuer administrative Aufgaben, ja. Dazu kann man sich dann als User
mit Administratorrechten anmelden. Und bevor du behauptest, das
waere in der Praxis nicht machbar: meine Praxis unter Windows sieht
bereits seit NT4 so aus (fruehere Windowsversionen hatte ich nie
selbst verwendet).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-16 05:22:00 UTC

Hallo, Juergen,

Post by Stefan Kanthak
JFTR: Eintraege unter "Policies" koennen (und werden) NUR von einem
Administrator vorgenommen. Normalbenutzer haben dort keine
Schreibrechte!

Ja und?
Otto Endanwender ist in Personalunion Normalbenutzer und
Administrator.

Dann sollte "Otto Endanwender" sich vielleicht mal ein sinnvolleres
Verhalten am Rechner amhewoehnen ...

Toll!
Das würde bedeuten, dass er ein Betriebssystem nehmen sollte, das ihn
stärker gängelt.
Er nimmt aber eines, das ihm diese Rechte gewährt.

Wie willst Du das Verhalten des Endanwenders ändern?

Post by Helmut Hullen
Er kann (und muss) ab und zu als Administrator arbeiten.

Fuer administrative Aufgaben, ja. Dazu kann man sich dann als User
mit Administratorrechten anmelden.

Ja und?

"Man" muss es aber nicht. Das Betriebssystem besteht nicht darauf. Und
die Programmierer von Schadsoftware nutzen das aus, z.B. indem sie mit
"social engineering" arbeiten. Sie sind erfolgreich.

Und hinreichend viele Endanwender arbeiten nun mal (meistens aus
Bequemlichkeit) stets als Administrator.

Wie willst Du das ändern?

Post by Juergen Ilse
Und bevor du behauptest, das waere in der Praxis nicht machbar: meine
Praxis unter Windows sieht bereits seit NT4 so aus (fruehere
Windowsversionen hatte ich nie selbst verwendet).

Ja - Du gehörst zu den Braven.
Wie willst Du erreichen, dass alle Endanwender sich so verhalten wie Du?

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 07:30:05 UTC

Hallo,

Post by Juergen Ilse
Fuer administrative Aufgaben, ja. Dazu kann man sich dann als User
mit Administratorrechten anmelden.

Die Hersteller von Kuechenmessern verbieten es den Kaeufern auch nicht,
sich mit dem Ding die finger abzuschneiden. Heisst dass, das man diese
"Freiheit" auch nutzen muss? Nein. Weil es nicht sinnvoll ist, sich die
Finger abzusaebeln. Ebenso ist es nicht sinnvoll, auf vom System bereit-
gestellte Sicherheitsmechanismen *bewusst* zu verzichten. Wer's trotzdem
tut, muss eben mit den Konsequenzen (ggfs. Kompromittierung des Rechners)
rechnen, und ehrlich gesagt wuensche ich manchen von diesen Vollidioten,
dass die Polizei ihren Rechner wegen der von ihm ausgehenden Aktivitaeten
beschlagnahmt ("lernen durch Schmerzen").

Post by Helmut Hullen
Und hinreichend viele Endanwender arbeiten nun mal (meistens aus
Bequemlichkeit) stets als Administrator.

Sicherheit und Bequemlichkeit sind oftmals *gegensaetzliche* Ziele.
Das ist seit langem bekannt. Das heisst aber nicht, dass man nun fuer
Bequemlichkeit und *gegen* Sicherheit plaedieren (bzw. zu *sehr*
zweifelhaften Sicherungsmassnahmen raten) muesste. Der einzig sinn-
volle Ratschlag ist nun mal, die Rechtetrennung zu nutzen und den
Rechner restriktiv zu konfigurieren, sowie Vorsicht bei der Auswahl
der installierten Software walten zu lassen und die installierte
Software aktuell zu halten. Dem entgegenstehenden Massnahmen sind
*GEFAEHRLICHER* *BLOEDSINN* und sollten in dieser Gruppe unterbleiben,
auch wenn manche Vollidioten das wohl nie begreifen werden.

Post by Helmut Hullen
Wie willst Du das ändern?

Wer so vorgeht, *OBWOHL* er weiss, dass er anders agieren sollte, ist
voellig lernresistent, merkebefreit und man kann ihn ohnehin nicht zu
einem sinnvollen Umgang mit dem Rechner bekommen, also lass ihn mit
seiner Virenschleuder untergehen. Das klaingt zwar hart, aber das ist
das einzige was man tun kann (ausser dem Idioten den Internetanschluss
zu kappen, wenn er Malware verteilt).

Ja - Du gehörst zu den Braven.
Wie willst Du erreichen, dass alle Endanwender sich so verhalten wie Du?

Ich erklaere es ihnen (was sehr viel erfolgreicher waere, wenn Leute wie
du nicht immer dagegen reden wuerden).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-16 09:03:00 UTC

Hallo, Juergen,

Post by Juergen Ilse
Fuer administrative Aufgaben, ja. Dazu kann man sich dann als User
mit Administratorrechten anmelden.

Die Hersteller von Kuechenmessern verbieten es den Kaeufern auch
nicht, sich mit dem Ding die finger abzuschneiden. Heisst dass, das
man diese "Freiheit" auch nutzen muss? Nein. Weil es nicht sinnvoll
ist, sich die Finger abzusaebeln. Ebenso ist es nicht sinnvoll, auf
vom System bereit- gestellte Sicherheitsmechanismen *bewusst* zu
verzichten. Wer's trotzdem tut, muss eben mit den Konsequenzen (ggfs.
Kompromittierung des Rechners) rechnen,

Ja und?
Dann rechnet er eben mit den Konsequenzen (wenn er imstande war, sie zu
erahnen).
Es gibt aber auch Leute, die gefährliches Zeugs benutzen, ohne zu
wissen, dass es gefährlich ist.

Betriebssysteme scheint der Gesetzgeber nicht dazuzuzählen, anders als
z.B. Dynamit oder H2O2.

Post by Juergen Ilse
und ehrlich gesagt wuensche ich manchen von diesen Vollidioten, dass
die Polizei ihren Rechner wegen der von ihm ausgehenden Aktivitaeten
beschlagnahmt ("lernen durch Schmerzen").

Auf welcher rechtlichen Grundlage?
Träumst Du etwa von einem Polizeistaat?

Post by Helmut Hullen
Und hinreichend viele Endanwender arbeiten nun mal (meistens aus
Bequemlichkeit) stets als Administrator.

Ja. Und?
Wenn ich beim nächsten xxx-Markt einen Rechner kaufe: wer gibt mir dort
einen solchen Ratschlag?

Oder: was passiert mir als Otto Endanwender, wenn ein solcher Ratschlag
bei mir ungebremst beim einen Ohr hereinkommt und zum anderen wieder
hinausgeht?

Post by Juergen Ilse
Dem entgegenstehenden Massnahmen sind *GEFAEHRLICHER* *BLOEDSINN* und
sollten in dieser Gruppe unterbleiben, auch wenn manche Vollidioten
das wohl nie begreifen werden.

Aha!
Bist Du hier der Moderator?
Noch mal: nicht jeder Schädling lässt sich nur dadurch unschädlich
machen, dass das System niedergebrannt und neu aufgebaut wird. Wenn ein
"Fachmann" mir als Endanwender einen solchen Ratschlag gibt, dann bin
ich geneigt, den nächsten "Fachmann" zu suchen.

Siehe "eicar.com", siehe "bzImage", siehe "xyz.bat".
"StopZilla" hat mir unlängst einige weitere "false positive"-Warnungen
präsentiert.

Und irgendwo müsste ich noch mein klitzekleines Assemblerprogramm haben,
das den MBR löscht - das haben einige Virenscanner auch stets bemängelt.

Post by Helmut Hullen
Wie willst Du das ändern?

Na also! Endlich räumst Du (mal wieder) ein, dass nicht jeder
Endanwender sich an Deine Ratschläge hält - warum tut er das nicht? Weil
er weiss, dass es auch anders geht (jedenfalls soweit er blicken kann
oder will).

Solche Endanwender darfst Du gern verfluchen und/oder ignorieren - es
gibt sie auch weiterhin. Und Windows fördert deren leichtfertiges
Handeln.

Post by Helmut Hullen
Ja - Du gehörst zu den Braven.
Wie willst Du erreichen, dass alle Endanwender sich so verhalten wie Du?

Ich erklaere es ihnen (was sehr viel erfolgreicher waere, wenn Leute
wie du nicht immer dagegen reden wuerden).

Sorry - ich rede nicht "dagegen", sorgsam mit dem Rechner umzugehen.

Wenn aber das Kind in den Brunnen gefallen ist, dann versuche ich erst
mal, es herauszuholen. Nicht aber, den Brunnen zuzuschütten und den
nächsten zu graben.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 09:30:14 UTC

Hallo,

Auf welcher rechtlichen Grundlage?

Vertragsklauseln wie "... kann zum Schutz der eigenen Infrastruktur ..."
(Rest bitte nach eigener Phantasie ergaenzen) koennen ggfs. den ISP dazu
berechtigen.

Post by Helmut Hullen
Träumst Du etwa von einem Polizeistaat?

Nein. Aber ich weiss, dass Provider in manchen Faellen bei Traffic, der
"typischem Malware Verhalten" entspricht (festgestellt durch automatisierte
nicht personenbezogene auswertung des Traffics, z.B. durch ein IDS) den
Kunden zuerst darauf hingewiesen und bei "nicht Rekation" den Anschluss
abgeklemmt haben, und das durch die Vertragsbedingungen gedeckt war.

Post by Helmut Hullen
Und hinreichend viele Endanwender arbeiten nun mal (meistens aus
Bequemlichkeit) stets als Administrator.

Ja. Und?
Wenn ich beim nächsten xxx-Markt einen Rechner kaufe: wer gibt mir dort
einen solchen Ratschlag?

Ich sage so etwas jedem, der mich um Rat oder nach meiner Meinung zu
solchen Themen fragt, du scheinst zumindest hier in der Gruppe eher auf
dem Standpunkt zu stehen, dass man den Leuten eher Unfug erzeugen sollte,
weil sie ja auf die sinnvollen Massnahmen ohnehin nicht vertrauen ...

Post by Helmut Hullen
Oder: was passiert mir als Otto Endanwender, wenn ein solcher Ratschlag
bei mir ungebremst beim einen Ohr hereinkommt und zum anderen wieder
hinausgeht?

Dann hat er *PECH* *GEHABT*.

Post by Juergen Ilse
Dem entgegenstehenden Massnahmen sind *GEFAEHRLICHER* *BLOEDSINN* und
sollten in dieser Gruppe unterbleiben, auch wenn manche Vollidioten
das wohl nie begreifen werden.

Aha!
Bist Du hier der Moderator?

Nein, sonst waeren deine Beitraege nicht hier in der Gruppe gelandet.
Nein nicht "Noch mal", diesen Bloedsinn kannst du dir dort hin schieben,
wo die Sonne (hoffentlich) eher nur selten hinscheint.

Post by Helmut Hullen
Siehe "eicar.com", siehe "bzImage", siehe "xyz.bat".

In diesem Thread ging es aber um keinen dieser Faelle, hier ging es um
einen Rechner, auf dem offenbar Schadsoftware zur ausfuehrung mit Admin-
Rechten gekommen ist und diese in einem nur fuer Administratoren beschreib-
baren Bereich in der Registry einen "autostart" Eintrag vorgenommen hat.

Post by Helmut Hullen
"StopZilla" hat mir unlängst einige weitere "false positive"-Warnungen
präsentiert.

Hier ging es um eine zwar von Virenscannern unentdeckt gebliebene aber
mit an Sicherheit grenzender Wahrscheinlichkeit *erfolgte* Kompromit-
tierung. Schadsoftware wurde mit Admin-Rechten ausgefuehrt, als Beweis
gibt es den Registry-Eintrag. Hier noch mit "false positives von Scannern"
argumentieren zu wollen, ist an Ignoranz kaum zu uebertreffen.

Post by Juergen Ilse
Wer so vorgeht, *OBWOHL* er weiss, dass er anders agieren sollte, ist
voellig lernresistent, merkebefreit und man kann ihn ohnehin nicht zu
einem sinnvollen Umgang mit dem Rechner bekommen, also lass ihn mit
seiner Virenschleuder untergehen.

Na also! Endlich räumst Du (mal wieder) ein, dass nicht jeder
Endanwender sich an Deine Ratschläge hält - warum tut er das nicht?

Weil er bloed, dumm und lernresistent ist und sich auch noch weigert,
die Administration jemandem zu ueberlassen der sich damit auskennt (wenn
er schon nicht selbst bereit ist, sich das notwendige Wissen anzueigenen).
Leider gibt es solche Leute. Aber das ist kein Grund, deswegen oeffentlich
auch noch zu solcher Idiotie zu raten oder sie zu rechtfertigen.

Post by Helmut Hullen
Ja - Du gehörst zu den Braven.
Wie willst Du erreichen, dass alle Endanwender sich so verhalten wie Du?

Ich erklaere es ihnen (was sehr viel erfolgreicher waere, wenn Leute
wie du nicht immer dagegen reden wuerden).

Sorry - ich rede nicht "dagegen", sorgsam mit dem Rechner umzugehen.

Doch. Deine Ratschlaege sind fast vollstaendig fuer die tonne, sinnvolle
Ratschlaege versuchst du mit "es geht auch anders" abzuwimmeln, du raetst
zu untauglichen Sicherheitsmassnahmen, und tust so, als waere es selbst-
verstaendlich *kein* Backup zu haben, keine Ahnung zu haben, sinvolle
Sicherheitsmassnahmen zu ignorieren, etc.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-16 10:51:00 UTC

Hallo, Juergen,

Post by Juergen Ilse
und ehrlich gesagt wuensche ich manchen von diesen Vollidioten,
dass die Polizei ihren Rechner wegen der von ihm ausgehenden
Aktivitaeten beschlagnahmt ("lernen durch Schmerzen").

Auf welcher rechtlichen Grundlage?

Vertragsklauseln wie "... kann zum Schutz der eigenen Infrastruktur
..." (Rest bitte nach eigener Phantasie ergaenzen) koennen ggfs. den
ISP dazu berechtigen.

Beschlagnahmen? Wohl kaum. Die Polizei braucht dazu mehr als nur die
AGB.

Post by Helmut Hullen
Träumst Du etwa von einem Polizeistaat?

Nein. Aber ich weiss, dass Provider in manchen Faellen bei Traffic,
der "typischem Malware Verhalten" entspricht (festgestellt durch
automatisierte nicht personenbezogene auswertung des Traffics, z.B.
durch ein IDS) den Kunden zuerst darauf hingewiesen und bei "nicht
Rekation" den Anschluss abgeklemmt haben, und das durch die
Vertragsbedingungen gedeckt war.

Verbindung kappen: ok.
Rechner beschlagnahmen: wohl kaum.

[...]

Post by Helmut Hullen
Wenn ich beim nächsten xxx-Markt einen Rechner kaufe: wer gibt mir
dort einen solchen Ratschlag?

Ich sage so etwas jedem, der mich um Rat oder nach meiner Meinung zu
solchen Themen fragt, du scheinst zumindest hier in der Gruppe eher
auf dem Standpunkt zu stehen, dass man den Leuten eher Unfug erzeugen
sollte, weil sie ja auf die sinnvollen Massnahmen ohnehin nicht
vertrauen ...

Du interpretierst sehr frei.
Ich hatte gefragt, wer im xxx-Markt dem Käufer eines Rechners Ratschläge
zum (sicheren) Betrieb gibt.

Du spekulierst stattdessen über meinen mutmasslichen Standpunkt (und Du
spekulierst falsch).

Post by Helmut Hullen
Oder: was passiert mir als Otto Endanwender, wenn ein solcher
Ratschlag bei mir ungebremst beim einen Ohr hereinkommt und zum
anderen wieder hinausgeht?

Dann hat er *PECH* *GEHABT*.

Prima. Du näherst Dich der bösen Realität.

Post by Juergen Ilse
Dem entgegenstehenden Massnahmen sind *GEFAEHRLICHER* *BLOEDSINN*
und sollten in dieser Gruppe unterbleiben, auch wenn manche
Vollidioten das wohl nie begreifen werden.

Aha!
Bist Du hier der Moderator?

Nein, sonst waeren deine Beitraege nicht hier in der Gruppe gelandet.

"Eine Zensur findet nicht statt" - das gilt glücklicherweise sowohl für
Deine als auch für meine Meinung.

Post by Juergen Ilse
Nein nicht "Noch mal", diesen Bloedsinn kannst du dir dort hin
schieben, wo die Sonne (hoffentlich) eher nur selten hinscheint.

Post by Helmut Hullen
Siehe "eicar.com", siehe "bzImage", siehe "xyz.bat".

In diesem Thread ging es aber um keinen dieser Faelle, hier ging es
um einen Rechner, auf dem offenbar Schadsoftware zur ausfuehrung mit
Admin- Rechten gekommen ist

Offenbar? Das hast Du frei erfunden. Um auf dieser morastigen Basis dann
ein Horrorszenario aufzubauen.

Post by Helmut Hullen
"StopZilla" hat mir unlängst einige weitere "false
positive"-Warnungen präsentiert.

Hier ging es um eine zwar von Virenscannern unentdeckt gebliebene
aber mit an Sicherheit grenzender Wahrscheinlichkeit *erfolgte*
Kompromit- tierung.

Echt?
Du kennst die Vorgeschichte des vom Erstfrager erwähnten Systems? Du
kennst sie besser als der Erstfrager?

Post by Juergen Ilse
Schadsoftware wurde mit Admin-Rechten
ausgefuehrt, als Beweis gibt es den Registry-Eintrag.

Echt?
Einen solchen Eintrag kann ich auch mit "regedit" erzeugen.

[...]

Post by Helmut Hullen
Na also! Endlich räumst Du (mal wieder) ein, dass nicht jeder
Endanwender sich an Deine Ratschläge hält - warum tut er das nicht?

Weil er bloed, dumm und lernresistent ist und sich auch noch weigert,
die Administration jemandem zu ueberlassen der sich damit auskennt

Mag ja sein. dass Du viele Rechnerbenutzer derart geringschätzst -fäält
allemal unter Meinungsfreiheit. Aber selbst wenn das die Realität
richtig beschreibt: Du kannst nun mal keinen dieser Endanwender dazu
zwingen, "die Administration jemandem zu ueberlassen der sich damit
auskennt". Insbesondere nicht, wenn sie als Betriebssystem Windows
benutzen.

Post by Juergen Ilse
(wenn er schon nicht selbst bereit ist, sich das notwendige Wissen
anzueigenen). Leider gibt es solche Leute. Aber das ist kein Grund,
deswegen oeffentlich auch noch zu solcher Idiotie zu raten oder sie
zu rechtfertigen.

Nur sicherheitshalber: ich rechtfertige solche Ignoranz nicht. Ich gehe
nur davon aus, dass sie existiert und dass ich sie berücksichtigen muss.

[...]

Post by Helmut Hullen
Sorry - ich rede nicht "dagegen", sorgsam mit dem Rechner umzugehen.

Doch. Deine Ratschlaege sind fast vollstaendig fuer die tonne,
sinnvolle Ratschlaege versuchst du mit "es geht auch anders"
abzuwimmeln, du raetst zu untauglichen Sicherheitsmassnahmen, und
tust so, als waere es selbst- verstaendlich *kein* Backup zu haben,
keine Ahnung zu haben, ,
etc.

"neu aufsetzen" ist nicht in jedem Fall "sinnvoll".
Welche der von mir empfohlenen Sicherheitsmassnahmen sind nach Deiner
Meinung "untauglich"?

Ich tue nicht so, als wäre es selbstverständlich, kein Backup zu haben.
Ich gehe nur davon aus, dass viele Endanwender entweder gar kein oder
aber ein sehr altes Backup haben.

Dass viele Endanwender keine Ahnung haben: davon scheinst ja auch Du
auszugehen.
Dass viele Endanwender "sinvolle (sic!) Sicherheitsmassnahmen ...
ignorieren": davon scheinst ja auch Du auszugehen.

Viele Gruesse!
Helmut

Juergen Ilse

2013-07-16 11:30:37 UTC

Hallo,

Post by Juergen Ilse
und ehrlich gesagt wuensche ich manchen von diesen Vollidioten,
dass die Polizei ihren Rechner wegen der von ihm ausgehenden
Aktivitaeten beschlagnahmt ("lernen durch Schmerzen").

Auf welcher rechtlichen Grundlage?

Vertragsklauseln wie "... kann zum Schutz der eigenen Infrastruktur
..." (Rest bitte nach eigener Phantasie ergaenzen) koennen ggfs. den
ISP dazu berechtigen.

Beschlagnahmen? Wohl kaum.

Das bezog sich aufs "abklemmen". Beschlagnahme durch die Polizei kann es
dann geben, wenn ueber den Rechner z.B. KiPo verbreitet wird (und ja, so
etwas gab es auch schon). Wenn der Rechner mit einer "Hintertuer" versehen
ist, hat man als legaler Nutzer nicht mehr unbedingt Kontrolle darueber,
wofuer die Kiste verwendet wird ...

Post by Helmut Hullen
Die Polizei braucht dazu mehr als nur die AGB.

Richtig, aber der genuegen die Gesetze und die Notwendigkeit zur Beweis-
Sicherung. Das hat sogar schon dazu gefuehrt, dass der Inhalt ganzer
Schraenke in Rechenzentren beschlagnahmt wurde (prominenter Fall: kurz
vor einer Wahl die gesamte bei einem ISP gehostete Infrastruktur der
Gruenen, weil angeblich ueber einen von deren Servern ein Passwort fuer
den Zugriff auf Server eines franzoesischen Energie-Konzerns verbreitet
wurde ...).

Post by Helmut Hullen
Träumst Du etwa von einem Polizeistaat?

Nein. Aber ich weiss, dass Provider in manchen Faellen bei Traffic,
der "typischem Malware Verhalten" entspricht (festgestellt durch
automatisierte nicht personenbezogene auswertung des Traffics, z.B.
durch ein IDS) den Kunden zuerst darauf hingewiesen und bei "nicht
Rekation" den Anschluss abgeklemmt haben, und das durch die
Vertragsbedingungen gedeckt war.

Verbindung kappen: ok.
Rechner beschlagnahmen: wohl kaum.

Das kommt darauf an, ob, und wenn ja, welche ueber diesen Rechner im
Hintergrund gelaufenen illegalen Aktivitaeten aufgedeckt werden konnten.
Ja, es gab (auch ohne Polizeistaat) Faelle, wo aus solchen Gruenden
Rechnersysteme beschlagnahmt wurden.

Post by Helmut Hullen
Wenn ich beim nächsten xxx-Markt einen Rechner kaufe: wer gibt mir
dort einen solchen Ratschlag?

Ich sage so etwas jedem, der mich um Rat oder nach meiner Meinung zu
solchen Themen fragt, du scheinst zumindest hier in der Gruppe eher
auf dem Standpunkt zu stehen, dass man den Leuten eher Unfug erzeugen
sollte, weil sie ja auf die sinnvollen Massnahmen ohnehin nicht
vertrauen ...

Du interpretierst sehr frei.

Im Gegensatz zu dir: du interpretierst im wesentlichen *gar* *nicht*
(nimmst noch nicht einmal den Sinn der Beitraege wzur Kenntnis), und
wenn doch, dann interpretierst du sie *bewusst* *falsch*.

Post by Helmut Hullen
Ich hatte gefragt, wer im xxx-Markt dem Käufer eines Rechners Ratschläge
zum (sicheren) Betrieb gibt.

Niemand, aber ein Autoverkaeufer gibt dir auch keinen Fahrschulunterricht.
Ein bischen Eigenverantwortung, sich ueber die korrekte Nutzung der Dinge
zu informieren, die man so einkauft, gehoert fuer den Kaeufer i.d.R. dazu.

Post by Helmut Hullen
Oder: was passiert mir als Otto Endanwender, wenn ein solcher
Ratschlag bei mir ungebremst beim einen Ohr hereinkommt und zum
anderen wieder hinausgeht?

Dann hat er *PECH* *GEHABT*.

Prima. Du näherst Dich der bösen Realität.

... von der du dich mit deinenatschlaegen immer weiter entfernst, sogar
ohne es zu merken ...

Post by Juergen Ilse
In diesem Thread ging es aber um keinen dieser Faelle, hier ging es
um einen Rechner, auf dem offenbar Schadsoftware zur ausfuehrung mit
Admin- Rechten gekommen ist

Offenbar? Das hast Du frei erfunden. Um auf dieser morastigen Basis dann
ein Horrorszenario aufzubauen.

1. Es wurde ein "autostrat" Registry-Eintrag gesetzt, der nur mit Admin-
Rechten gesetzt werden kann, und der auf eine (nicht mehr) existierende
Datei in einem eigentlich nicht fuer Programme verwendeten Pfad verweist
2. Es ist in keiner Weise mehr nachvollziehbar, durch wen oder wodurch dieser
Eintrag gesetzt wurde.

Wenn das als (nahezu *sicheres*) Indiz fuer eine Kompromittierung nicht
ausreicht, dann muss man wohl wahlweise voellig hinrverbrannt, total
verbloedet, restlos mekrbefreit oder ignorant sein. Es wurde etwas un-
gewolltes am System veraendert, dass nur mit Admin-Rechten veraendert
werden kann, und von dem niemand weiss, wer oder was das war. Was braucht
es da denn noch fuer zusaetzliche Beweise?

Post by Helmut Hullen
"StopZilla" hat mir unlängst einige weitere "false
positive"-Warnungen präsentiert.

Hier ging es um eine zwar von Virenscannern unentdeckt gebliebene
aber mit an Sicherheit grenzender Wahrscheinlichkeit *erfolgte*
Kompromit- tierung.

Echt?

Ja.

Post by Helmut Hullen
Du kennst die Vorgeschichte des vom Erstfrager erwähnten Systems? Du
kennst sie besser als der Erstfrager?

Der OP hat von der Vorgewschichte genug erzaehlt: das System wurde veraendert,
die Art der Veraenderung weist mehr als deutliche Kriterien fuer Malware auf
(das verwendete Verzeichnis, die mittlerweile nicht mehr existierende Datei,
die Zugriffsrechte auf das Verzeichnis als er versuchte es zu loeschen, ...),
die Ursache der Veraenderung kann nicht nachvollzogen werden. Das *reicht*
als Hinweis, mehr braucht man nicht, um eine neuinstallation zu rechtfertigen.

Post by Juergen Ilse
Schadsoftware wurde mit Admin-Rechten
ausgefuehrt, als Beweis gibt es den Registry-Eintrag.

Echt?
Einen solchen Eintrag kann ich auch mit "regedit" erzeugen.

Hat der User den mit "regedit" erzeugt? Nein (sonst waere seine Frage nicht
zu erklaeren). Also wo kommt der sonst her, wenn nicht von Malware?

Post by Juergen Ilse
Weil er bloed, dumm und lernresistent ist und sich auch noch weigert,
die Administration jemandem zu ueberlassen der sich damit auskennt

Windows laesst sich (entgegen anders lautender Behauptungen) durchaus
sicher betreiben (auch wenn es dem Nutzer sehr leicht gemacht wird, es
anders zu machen).

Post by Helmut Hullen
Sorry - ich rede nicht "dagegen", sorgsam mit dem Rechner umzugehen.

Doch. Deine Ratschlaege sind fast vollstaendig fuer die tonne,
sinnvolle Ratschlaege versuchst du mit "es geht auch anders"
abzuwimmeln, du raetst zu untauglichen Sicherheitsmassnahmen, und
tust so, als waere es selbst- verstaendlich *kein* Backup zu haben,
keine Ahnung zu haben, ,
etc.

"neu aufsetzen" ist nicht in jedem Fall "sinnvoll".

Bei einer mit hoher Wahrscheinlichkeit erfolgten Kompromittierung (wie in
diesem Fall) schon.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)

--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

Helmut Hullen

2013-07-16 13:13:00 UTC

Hallo, Juergen,

Post by Helmut Hullen
Du interpretierst sehr frei.

Im Gegensatz zu dir: du interpretierst im wesentlichen *gar* *nicht*
(nimmst noch nicht einmal den Sinn der Beitraege wzur Kenntnis), und
wenn doch, dann interpretierst du sie *bewusst* *falsch*.

Wobei Du definierst, was (nach Deiner Meinung) "falsch" sei ...

Post by Helmut Hullen
Ich hatte gefragt, wer im xxx-Markt dem Käufer eines Rechners
Ratschläge zum (sicheren) Betrieb gibt.

Niemand, aber ein Autoverkaeufer gibt dir auch keinen
Fahrschulunterricht. Ein bischen Eigenverantwortung, sich ueber die
korrekte Nutzung der Dinge zu informieren, die man so einkauft,
gehoert fuer den Kaeufer i.d.R. dazu.

Ok. Und was ist, wenn Otto Endanwender diese Eigeninitiative nicht
aufbringt, warum auch immer?

Post by Helmut Hullen
Oder: was passiert mir als Otto Endanwender, wenn ein solcher
Ratschlag bei mir ungebremst beim einen Ohr hereinkommt und zum
anderen wieder hinausgeht?

Dann hat er *PECH* *GEHABT*.

Prima. Du näherst Dich der bösen Realität.

... von der du dich mit deinenatschlaegen immer weiter entfernst,
sogar ohne es zu merken ...

Mit welchen Ratschlägen bitte? Könntest Du diese pauschale Behauptung
bitteschön ein wenig konkretisieren? Danke!

Post by Juergen Ilse
In diesem Thread ging es aber um keinen dieser Faelle, hier ging es
um einen Rechner, auf dem offenbar Schadsoftware zur ausfuehrung
mit Admin- Rechten gekommen ist

Offenbar? Das hast Du frei erfunden. Um auf dieser morastigen Basis
dann ein Horrorszenario aufzubauen.

So isses. Deine bisherige Interpretation über den Ablauf ist nur eine
von mehreren möglichen Interpretationen.

Noch mal: einen solchen Eintrag kann ich problemlos per "regedit"
erzeugen.

Post by Juergen Ilse
Wenn das als (nahezu *sicheres*) Indiz fuer eine Kompromittierung
nicht ausreicht, dann muss man wohl wahlweise voellig hinrverbrannt,
total verbloedet, restlos mekrbefreit oder ignorant sein.

Aha - es gebricht Dir an Fakten.
Ein solcher Eintrag ist ganz gewiss kein "nahezu sicheres Indiz". Das
kann genausogut ein Hoax sein. oder ein missratenes Experiment. oder ...

Post by Juergen Ilse
Es wurde etwas un- gewolltes am System veraendert,

Sicher? Du weisst also, wie der Eintrag ins System kam?

Post by Helmut Hullen
Du kennst die Vorgeschichte des vom Erstfrager erwähnten Systems? Du
kennst sie besser als der Erstfrager?

Der OP hat von der Vorgewschichte genug erzaehlt: das System wurde
veraendert, die Art der Veraenderung weist mehr als deutliche
Kriterien fuer Malware auf (das verwendete Verzeichnis, die
mittlerweile nicht mehr existierende Datei, die Zugriffsrechte auf
das Verzeichnis als er versuchte es zu loeschen, ...), die Ursache
der Veraenderung kann nicht nachvollzogen werden. Das *reicht* als
Hinweis, mehr braucht man nicht, um eine neuinstallation zu
rechtfertigen.

Das mag Dir reichen. Das reicht mir noch lange nicht.

Post by Juergen Ilse
Schadsoftware wurde mit Admin-Rechten
ausgefuehrt, als Beweis gibt es den Registry-Eintrag.

Echt?
Einen solchen Eintrag kann ich auch mit "regedit" erzeugen.

Hat der User den mit "regedit" erzeugt? Nein (sonst waere seine Frage
nicht zu erklaeren).

Woher weisst Du, dass Ante der (einzige) Benutzer des verdächtigten
Rechners ist? Du arbeitest mal wieder mit Spekulatius.

Post by Juergen Ilse
Windows laesst sich (entgegen anders lautender Behauptungen) durchaus
sicher betreiben (auch wenn es dem Nutzer sehr leicht gemacht wird,
es anders zu machen).

So isses.
Und viele Endanwender wählen nun mal den bequemen Weg. Isso.

Viele Gruesse!
Helmut

Heiko Rost

2013-07-15 17:59:28 UTC

Post by Stefan Kanthak

Post by Heiko Rost
Das ist er nicht, weil die entsprechende Datei nicht zu Analysezwecken
vorhanden ist.

Falsch!
1. Der OP findet diese Datei im laufenden System nicht. Bei einem Rootkit
ist das normal!

Die Antwort in <kru1r7$76i$***@news.albasani.net> habe ich so verstanden,
daß die Datei auch nach Booten mit der Kaspersky Rescure Disc nicht zu
finden war.

Post by Stefan Kanthak
2. Unter
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
traegt sich KEIN legitimes Programm ein.

Ich schrieb bereits: Schlampig programmiert. Das heißt nicht unbedingt
bösartig.

Post by Stefan Kanthak
JFTR: Eintraege unter "Policies" koennen (und werden) NUR von einem
Administrator vorgenommen. Normalbenutzer haben dort keine Schreibrechte!

Ein Installationsprogramm läuft mit Administrator-Rechten.

Post by Stefan Kanthak
3. Der Pfad "C:\PROGRA~3\LOCALS~1\Temp\msaciirza.exe" ist NICHT der
eines legitimen Programms.
JFTR: "C:\PROGRA~3" ist typischerweise der 8.3-Dateiname von C:\ProgramData\
Und wie schon dieser Name sagt: dort liegen DATEN, keine Programme.

Keine Regel ohne Ausnahme. BOINC legt seine Workunits mit den
entsprechenden ausführbaren Dateien in C:\ProgramData\BOINC\... ab und
startet diese von dort aus. Soweit ich mich erinnere, ist das die
Standardeinstellung bei der Installation. Das ist vielleicht kein guter
Programmierstil, wird aber trotzdem gemacht.

Gruß Heiko

Helmut Hullen

2013-07-15 17:45:00 UTC

Hallo, Heiko,

Post by Juergen Ilse
Der Befall ist durch den ansonsten unerklaerlichen Autostart-Eintrag
bereits nachgewiesen.

Das ist er nicht, weil die entsprechende Datei nicht zu
Analysezwecken vorhanden ist. Offensichtlich gefällt MBAM irgend
etwas an diesem Schlüssel nicht

Und die Schnellsuche nach

CurrentVersion Policies Explorer Run

zeigt, dass anscheinend nur "Malwarebyte" dort etwas findet - das könnte
auch "false positive'" sein.

Mich wundert, dass einige Leute, die sonst Virenscanner in Grund und
Boden verdammen, bei einer solchen Meldung vielleicht nur eines einzigen
Scanners plötzlich '"Gefahr! alles niederbrennen!" rufen.

Viele Gruesse!
Helmut

Pegasus

2013-07-14 18:02:29 UTC

Post by Ante Auber
Danke für Deine Hinweise (und die aller anderen Schreiber hier)

Das nützt nur nichts, wenn man den Ratschlägen von Glücksrittern und
Dummköpfen folgt und die richtigen Ratschläge ignoriert.
Die Dummköpfe hier werden jedenfalls nur bedauernd mit den Schultern zucken,
wenn doch noch Malware übrig blieb. Schadensersatz leisten die garantiert
keinen für ihre Nonsens-Tipps.

Post by Ante Auber
und hoffe, das Neuaufsetzen noch hinausschieben zu können.

Und wer regelmäßig seine Hausaufgaben in Sachen "Sicherung" macht, kommt
auch niemals in die Verlegenheit, neu aufsetzen zu müssen. Sowas scheint dir
auch fremd zu sein.

--
Peter Hagendorf

Harald Klotz

2013-07-15 17:14:47 UTC

Post by Pegasus
Und wer regelmäßig seine Hausaufgaben in Sachen "Sicherung" macht,
kommt auch niemals in die Verlegenheit, neu aufsetzen zu müssen.
Sowas scheint dir auch fremd zu sein.

Wer macht das wirklich?
Wer garantiert, dass noch eine saubere Sicherung vorhanden ist?

Die Sicherung nutzt nur, wenn ein Problem auftritt, welches kurzfristig
entdeckt wird.

Die meisten Privatleute sichern nicht einmal ihre wichtigen Daten,
geschweige denn das BS.

Grüße Harald

Heiko Schlenker

2013-07-15 10:59:23 UTC

Post by Ante Auber
ich bin Deinem Rat gefolgt; und nach dem Kaspersky nichts gefunden
hatte, habe ich den Pfad zu der (nicht auf dem System existenten)
Virus-exe händisch gelöscht. Der betreffende Eintrag in der Registry war
mit "Nur Lese"-Rechten ausgestattet und lies sich erst nach korrekter
Rechtevergabe löschen. Hierbei hat mir ein Bekannter geholfen.
Nun findet MBAM nichts mehr.

Das heißt aber nicht, dass das System jetzt sauber ist. Beispielsweise
entsteht so ein Registry-Eintrag nicht von selbst. Da war womöglich
ein Schadprogramm am Werk.

Mir wäre nicht wohl bei der vermeintlichen Säuberung, insbesondere
wenn es auf dem Rechner (Onlinebanking-)Zugangsdaten, Passwörter,
Kreditkarteninformationen und dergleichen gibt.

Gruß, Heiko

Harald Klotz

2013-07-15 17:16:44 UTC

Post by Heiko Schlenker
Das heißt aber nicht, dass das System jetzt sauber ist. Beispielsweise
entsteht so ein Registry-Eintrag nicht von selbst. Da war womöglich
ein Schadprogramm am Werk.

Stimmt, das gilt übriges für jeden Rechner. ;-)

Post by Heiko Schlenker
Mir wäre nicht wohl bei der vermeintlichen Säuberung, insbesondere
wenn es auf dem Rechner (Onlinebanking-)Zugangsdaten, Passwörter,
Kreditkarteninformationen und dergleichen gibt.

Die wäre wohler, wenn das System neu aufgesetzt wird?
Das hilt auch nur, wenn bei Neuinstallation seiner Lieblingsprogramme
nicht den Trojaner gleich wieder neu installiert.

Grüße Harald

Helmut Hullen

2013-07-13 11:13:00 UTC