Hallo,
nachdem es nun Desinfec´t 2018 gibt, würde mich interessieren, was Ihr von diesem Tool haltet, bzw. was Ihr für Erfahrungen damit gemacht habt.
Gruß
Bosco
Hallo,
nachdem es nun Desinfec´t 2018 gibt, würde mich interessieren, was Ihr von diesem Tool haltet, bzw. was Ihr für Erfahrungen damit gemacht habt.
Gruß
Bosco
Ich halte davon gar nichts.
Das beste Notfall-System ist ein aktuelles, keimfreies Betriebssystem-Image.
Besser sind davon mehrere verschiedenen Alters.
Das beste Notfall-System ist ein aktuelles, keimfreies Betriebssystem-Image.
O.k., das ist eigentlich auch meine Meinung - aber mal sehen, was noch für Antworten kommen. Es gibt ja sicher noch viele User, die kein regelmäßiges Backup machen - für die ist das Tool eventuell ganz gut.
Gruß
Bosco
Das einzige, womit ich versuchen würde, einen Rechner zu bereinigen, ist das, was zwischen den eigenen Ohren sitzt.
Und das auch nicht, um einen sauberen Rechner zu bekommen - sondern nur dazu, um Fehler nicht dauernd zu wiederholen.
Naja, ich hab mir etwas ähnliches, kostenlos erstellt
Bootpartion (Ext4) mit Linux (Ubuntu Mate 32) und diversen Tools (zum Imagen, zum Virenscannen, zum Partionieren usw.).
Eine Partion (NTFS) mit div. Portable-Applications.
Beide Partionen sind ca. 64 GB groß, auf meinem USB-Stick Corsair GTX (hat einen SSD Controller, ist also fast so schnell wie eine SSD).
Unter Linux werden keine propitären Treiber geladen, so das der Stick zu den meisten Computern kompatible sein sollte. Der Einsatzzweck sind aber auch, hauptsächlich Fremdrechner.
Tools zur Systemanalyse würde ich noch mit drauf packen.
Wenn ich nur schon lese, wie das angepriesen wird ...
"Mit dem c’t-Notfallsystem geht man jetzt noch einfacher auf Trojaner-Pirsch und säubert Windows-PCs. Damit das reibungslos klappt, muss man kein Computer-Experte sein. Mit diesen Tipps wird jeder zum Desinfec’t-Profi."
Man müsste das eigentlich mal mit einem extra dafür manipuliertem System austesten. Wäre das nicht mal was für unsere Viren-Experten?
Wie ich das gelesen habe, wollen die einfach die Trefferquote erhöhen, indem da mehrere AV-Programme an Bord sind. Und da Windows selbst zum Zeitpunkt des Scans nicht läuft, kann da auch nichts durch Windows gesperrt sein.
Gruß Volkmar
Und da Windows selbst zum Zeitpunkt
Ja, das ist der eigentliche Grund. Im Prinzip legt man RootKits lahm.
Wegen der Verbesserungen in der Sicherheit des Betriebssystems, tauchen Kernelmode-RootKits fast nur noch in Adware auf. Ob die überhaupt als Malware eingestuft werden, hängt vom Scanner ab.
Wäre das nicht mal was für unsere Viren-Experten?
Bei botfrei.de gibt es z.Z. zwei ähnliche CDs.
Als erster Check ist Version mit HitmanPro erste Sahne, wenn noch kein anderer Scanner aktiv war.
Man sollte mit den Live-Systemen eh nur Daten sichern und Windows neu installieren.
Um als ONU das System zu säubern braucht es zuviel Zeit und sicher ist es immer noch nicht.
Tschau
Ich meine eher, dass man mal einen Textrechner mit 2-3 Sachen infizieren sollte und dann testet, ob Desinfec´t hier wirklich hält was es verspricht und die Sachen entfernt.
Die Scanner von Botfrei sind jeweils für bestimmte Schädlinge gedacht, oder kann ich z.B. mit der HitmanPro-Version nach verschiedenen Schurken suchen lassen?
Zumindest mein System mach ich lieber einmal platt als Stunden mit Fehlersuche zu vergeuden. Aufgrund der portablen Programme geht das recht zügig.
Bei Kunden-PCs ist das meist was anderes. Da muss man versuchen was zu finden.
Meist sind auch die Daten auf c, statt auf einer extra Partition. Ohne Backup davon
Begreife auch nicht, warum Microsoft noch an einem solch alten Vorgehen festhält, statt selbst bei Installation eine weitere Partition zu erstellen. Kann doch nicht so schwer sein
Begreife auch nicht, warum Microsoft noch an einem solch alten Vorgehen festhält, statt selbst bei Installation eine weitere Partition zu erstellen.
So habe ich auch gedacht, bis vor ein paar Jahren noch. Inzwischen ist MS aber in der Lage, ohne extra Partion, zu Unterscheiden zwischen Systemdaten, Programmen und Benutzerdaten und kann diese auch entsprechend wiederherstellen. Eine extra Partion ist dafür nicht mehr notwendig und würde sowieso andere Probleme bringen.
Aufgrund der portablen Programme geht das recht zügig.
Nichts gegen portable Programme auf einem Stick, wenn diese wirklich portable genutzt werden, aber ständig "installierte" portable Programme stellen ein Sicherheitsproblem dar. Aufgrund fehlender Rechte in den Ordnern sind z.B. DLL-Hijacking problemlos möglich.
Es ist also nicht so einfach, wie manche denken
Ich meine eher, dass man mal einen Textrechner mit 2-3 Sachen infizieren sollte und dann testet, ob Desinfec´t hier wirklich hält was es verspricht und die Sachen entfernt.
Das muss man gar nicht. Würde ich persönlich Malware schreiben, würde die nicht gefunden werden. Sicher sauber bekommt man mit automatischen Mitteln einen Rechner nicht.
Die Malware, die man zum Testen nehmen könnte, ist bekannt.
Inzwischen ist MS aber in der Lage, ohne extra Partion, zu Unterscheiden zwischen Systemdaten, Programmen und Benutzerdaten und kann diese auch entsprechend wiederherstellen.
naja, ich stelle mir vor, Win kippt ab und ich muss formatieren, dann ist alles weg, es sei denn, ich bau die HDD aus und setz sie in ein Zweitgerät um dort die Sachen erstmal zu sichern. Dann doch lieber gleich woanders lagern.
Nichts gegen portable Programme auf einem Stick
Nix Stick, HDD
Aufgrund fehlender Rechte in den Ordnern sind z.B. DLL-Hijacking problemlos möglich.
Hmm... Davon hab ich noch nix gelesen, aber den Link nehm ich mir noch in Ruhe vor.
Aufgrund fehlender Rechte in den Ordnern sind z.B. DLL-Hijacking problemlos möglich.
Eine sehr schöne Art, Malware auszuführen. Man kopiert eine DLL mit gleichem Namen wie eine System-DLL irgendwo in den Programmordner zu Prozesserzeugenden EXE hinzu. Sind im Code des Programms keine Pfade zur DLL angegeben (wohl fast der Regelfall), wird dann brav die Malware geladen.
Die Rechte im Ordner %ProgramFiles% sind schon nicht ohne Grund da.
Die Rechte im Ordner %ProgramFiles% sind schon nicht ohne Grund da.
Wenigstens einer versteht das . Ich bin da sehr vorsichtig mit portablen Programmen, aber die meisten gehen da auf die Sicherheitsstufe von WinXP zurück , die nicht gegeben ist, die haben auch alle noch so andere Sachen von XP im Kopf, obwohl das Sicherheitskonzept von Windows gewachsen ist. Leider die Benutzer nicht unbedingt mit Ihm .
Meine Empfehlung für Windows:
Nur eine Partion für Programme, System, Einstellungen, Anwendungsdaten usw. Nichts mehr trennen, das ist Out!
Auf einer weiteren Festplatte, oder notfalls auch Partion, können dann Backups von allen Dateien oder ähnlich gespeichert werden, damit diese dann jederzeit wieder hergestellt werden können!
Ein Image vom Betriebssystem ist ja obligatorisch, außer für die Schnarchnasen
Wenigstens einer versteht das
Ich schreibe Tools zur Malwareanalyse. Im PPFScanner sitzt ein Scriptingbefehl (den ich normalerweise auch ausführen lasse), der genau nach solchen DLLs sucht, die genau diese Sache versuchen.
Wenn ich das nicht verstanden hätte, wie das geht, wäre das ganz schlecht.
Der verwendete Scriptteil sieht da in etwa so aus:
SET_SCANLIST->1
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\winsxs
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\assembly
SET_HEADLINE->Unsigned known executables#Unsignierte bekannte EXE-Dateien
SEARCH_UNSIGNED_DOUBLES->*.exe
->%SYSTEMROOT%
->%SYSTEMDRIVE%\
SEARCH_UNSIGNED_DOUBLES->*.exe
->%SYSTEMROOT%\System32
->%SYSTEMDRIVE%\
EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%
SET_HEADLINE->Unsigned known modules#Unsignierte bekannte DLLs
SEARCH_UNSIGNED_DOUBLES->*.dll
->%SYSTEMROOT%
->%SYSTEMDRIVE%\
SEARCH_UNSIGNED_DOUBLES->*.dll
->%SYSTEMROOT%\System32
->%SYSTEMDRIVE%\
EXCLUDE_SEARCH_FOLDER->
Alles anzeigen
Den WINSXS Ordner klammere ich da von der Suche aus. Bei SEARCH_UNSIGNED_DOUBLES->*.exe suche ich nach EXE Dateien, die dem Namen einer Windowsdatei unter System32 oder im Ordner Windows entsprechen. Malware macht oft so etwas, um im Taskmanager nicht so ins Auge zu stechen.
Hier SEARCH_UNSIGNED_DOUBLES->*.dll wird nach DLLs gesucht, die Namen von DLLs in diesen Ordnern haben (und nicht von Microsoft signiert sind). Diese DLL-Suche erfolgt genau aus dem Grund, den du da angesprochen hast - DLL-Hijacking.
Macht man das ganz geschickt, kann man die DLL nach dem Laden auch aus der prozesseigenen Liste der DLLs entfernen.
Das heißt: Die DLL hat gar keinen Starteintrag und man sieht die noch nicht einmal im Prozess, wenn man sich die DLLs mit TH32CS_SNAPMODULE listen lässt. Die ist einfach weg...
Eine extrem leckere Methode, um Malware auszuführen.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!