c't-Notfallsystems Desinfec't

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    Unsere Datenschutzerklärung wurde aktualisiert. Mit der Nutzung unseres Forums akzeptierst Du unsere Datenschutzerklärung. Du bestätigst zudem, dass Du mindestens 16 Jahre alt bist.

    • c't-Notfallsystems Desinfec't

      Hallo,
      nachdem es nun Desinfec´t 2018 gibt, würde mich interessieren, was Ihr von diesem Tool haltet, bzw. was Ihr für Erfahrungen damit gemacht habt.

      Gruß
      Bosco
    • Naja, ich hab mir etwas ähnliches, kostenlos erstellt :-D
      Bootpartion (Ext4) mit Linux (Ubuntu Mate 32) und diversen Tools (zum Imagen, zum Virenscannen, zum Partionieren usw.).
      Eine Partion (NTFS) mit div. Portable-Applications.

      Beide Partionen sind ca. 64 GB groß, auf meinem USB-Stick Corsair GTX (hat einen SSD Controller, ist also fast so schnell wie eine SSD).

      Unter Linux werden keine propitären Treiber geladen, so das der Stick zu den meisten Computern kompatible sein sollte. Der Einsatzzweck sind aber auch, hauptsächlich Fremdrechner.
      Gruß Thomas
      Meine Hardware
      Programmieren ist wie Küssen: Man kann darüber reden, man kann es beschreiben, aber man weiß erst was es bedeutet, wenn man es getan hat.
      ComputerInfo für PPF
    • Wenn ich nur schon lese, wie das angepriesen wird ... :roll:

      Zitat heise.de:

      "Mit dem c’t-Notfallsystem geht man jetzt noch einfacher auf Trojaner-Pirsch und säubert Windows-PCs. Damit das reibungslos klappt, muss man kein Computer-Experte sein. Mit diesen Tipps wird jeder zum Desinfec’t-Profi."
      Ich bin immer artig. Mal eigenartig, mal unartig, aber immer einzigartig. ;-)
    • Man müsste das eigentlich mal mit einem extra dafür manipuliertem System austesten. :-) Wäre das nicht mal was für unsere Viren-Experten? :-D
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Volkmar schrieb:

      Und da Windows selbst zum Zeitpunkt

      Ja, das ist der eigentliche Grund. Im Prinzip legt man RootKits lahm.
      Wegen der Verbesserungen in der Sicherheit des Betriebssystems, tauchen Kernelmode-RootKits fast nur noch in Adware auf. Ob die überhaupt als Malware eingestuft werden, hängt vom Scanner ab.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Schwabenpfeil! schrieb:

      Wäre das nicht mal was für unsere Viren-Experten?
      Bei botfrei.de gibt es z.Z. zwei ähnliche CDs.

      Cleaner von Botfrei.de

      Als erster Check ist Version mit HitmanPro erste Sahne, wenn noch kein anderer Scanner aktiv war.

      Man sollte mit den Live-Systemen eh nur Daten sichern und Windows neu installieren.
      Um als ONU das System zu säubern braucht es zuviel Zeit und sicher ist es immer noch nicht.

      Tschau
    • Ich meine eher, dass man mal einen Textrechner mit 2-3 Sachen infizieren sollte und dann testet, ob Desinfec´t hier wirklich hält was es verspricht und die Sachen entfernt.

      Die Scanner von Botfrei sind jeweils für bestimmte Schädlinge gedacht, oder kann ich z.B. mit der HitmanPro-Version nach verschiedenen Schurken suchen lassen?
      Meine aktuellen Bücher: Windows 7 Tipps & Tricks · · Windows 10 Schritt für Schritt erklärt · · Windows 10 Tipps & Tricks · · Gern zum Schlern

      »Nur wo du zu Fuß warst, bist du auch wirklich gewesen.«
      Johann Wolfgang von Goethe.
    • Zumindest mein System mach ich lieber einmal platt als Stunden mit Fehlersuche zu vergeuden. Aufgrund der portablen Programme geht das recht zügig. :-)

      Bei Kunden-PCs ist das meist was anderes. Da muss man versuchen was zu finden.
      Meist sind auch die Daten auf c, statt auf einer extra Partition. Ohne Backup davon :pfeifend:

      Begreife auch nicht, warum Microsoft noch an einem solch alten Vorgehen festhält, statt selbst bei Installation eine weitere Partition zu erstellen. Kann doch nicht so schwer sein :roll:
      LG Mac :sieg:

      Hier jetzt statt "MK70" als "Mac" :freude:


      Ich nutze nach Möglichkeit "Portable" Programme ;-)
      So kann ich vieles von A nach B mitnehmen ;-)
    • Mac schrieb:

      Begreife auch nicht, warum Microsoft noch an einem solch alten Vorgehen festhält, statt selbst bei Installation eine weitere Partition zu erstellen.
      So habe ich auch gedacht, bis vor ein paar Jahren noch. Inzwischen ist MS aber in der Lage, ohne extra Partion, zu Unterscheiden zwischen Systemdaten, Programmen und Benutzerdaten und kann diese auch entsprechend wiederherstellen. Eine extra Partion ist dafür nicht mehr notwendig und würde sowieso andere Probleme bringen.

      Mac schrieb:

      Aufgrund der portablen Programme geht das recht zügig.
      Nichts gegen portable Programme auf einem Stick, wenn diese wirklich portable genutzt werden, aber ständig "installierte" portable Programme stellen ein Sicherheitsproblem dar. Aufgrund fehlender Rechte in den Ordnern sind z.B. DLL-Hijacking problemlos möglich.

      Es ist also nicht so einfach, wie manche denken ;-)
      Gruß Thomas
      Meine Hardware
      Programmieren ist wie Küssen: Man kann darüber reden, man kann es beschreiben, aber man weiß erst was es bedeutet, wenn man es getan hat.
      ComputerInfo für PPF
    • Schwabenpfeil! schrieb:

      Ich meine eher, dass man mal einen Textrechner mit 2-3 Sachen infizieren sollte und dann testet, ob Desinfec´t hier wirklich hält was es verspricht und die Sachen entfernt.
      Das muss man gar nicht. Würde ich persönlich Malware schreiben, würde die nicht gefunden werden. Sicher sauber bekommt man mit automatischen Mitteln einen Rechner nicht.
      Die Malware, die man zum Testen nehmen könnte, ist bekannt.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • ts-soft schrieb:

      Inzwischen ist MS aber in der Lage, ohne extra Partion, zu Unterscheiden zwischen Systemdaten, Programmen und Benutzerdaten und kann diese auch entsprechend wiederherstellen.
      naja, ich stelle mir vor, Win kippt ab und ich muss formatieren, dann ist alles weg, es sei denn, ich bau die HDD aus und setz sie in ein Zweitgerät um dort die Sachen erstmal zu sichern. :8O: Dann doch lieber gleich woanders lagern. ;-)


      ts-soft schrieb:

      Nichts gegen portable Programme auf einem Stick
      Nix Stick, HDD :saint:


      ts-soft schrieb:

      Aufgrund fehlender Rechte in den Ordnern sind z.B. DLL-Hijacking problemlos möglich.
      Hmm... Davon hab ich noch nix gelesen, aber den Link nehm ich mir noch in Ruhe vor. :saint:
      LG Mac :sieg:

      Hier jetzt statt "MK70" als "Mac" :freude:


      Ich nutze nach Möglichkeit "Portable" Programme ;-)
      So kann ich vieles von A nach B mitnehmen ;-)
    • ts-soft schrieb:

      Aufgrund fehlender Rechte in den Ordnern sind z.B. DLL-Hijacking problemlos möglich.
      Eine sehr schöne Art, Malware auszuführen. Man kopiert eine DLL mit gleichem Namen wie eine System-DLL irgendwo in den Programmordner zu Prozesserzeugenden EXE hinzu. Sind im Code des Programms keine Pfade zur DLL angegeben (wohl fast der Regelfall), wird dann brav die Malware geladen.
      Die Rechte im Ordner %ProgramFiles% sind schon nicht ohne Grund da.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • AHT schrieb:

      Die Rechte im Ordner %ProgramFiles% sind schon nicht ohne Grund da.
      Wenigstens einer versteht das ;-) . Ich bin da sehr vorsichtig mit portablen Programmen, aber die meisten gehen da auf die Sicherheitsstufe von WinXP zurück :-D , die nicht gegeben ist, die haben auch alle noch so andere Sachen von XP im Kopf, obwohl das Sicherheitskonzept von Windows gewachsen ist. Leider die Benutzer nicht unbedingt mit Ihm :-D .

      Meine Empfehlung für Windows:
      Nur eine Partion für Programme, System, Einstellungen, Anwendungsdaten usw. Nichts mehr trennen, das ist Out!
      Auf einer weiteren Festplatte, oder notfalls auch Partion, können dann Backups von allen Dateien oder ähnlich gespeichert werden, damit diese dann jederzeit wieder hergestellt werden können!

      Ein Image vom Betriebssystem ist ja obligatorisch, außer für die Schnarchnasen :-D
      Gruß Thomas
      Meine Hardware
      Programmieren ist wie Küssen: Man kann darüber reden, man kann es beschreiben, aber man weiß erst was es bedeutet, wenn man es getan hat.
      ComputerInfo für PPF
    • ts-soft schrieb:

      Wenigstens einer versteht das
      Ich schreibe Tools zur Malwareanalyse. Im PPFScanner sitzt ein Scriptingbefehl (den ich normalerweise auch ausführen lasse), der genau nach solchen DLLs sucht, die genau diese Sache versuchen.
      Wenn ich das nicht verstanden hätte, wie das geht, wäre das ganz schlecht.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT
    • Der verwendete Scriptteil sieht da in etwa so aus:

      Quellcode

      1. SET_SCANLIST->1
      2. EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\winsxs
      3. EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%\assembly
      4. SET_HEADLINE->Unsigned known executables#Unsignierte bekannte EXE-Dateien
      5. SEARCH_UNSIGNED_DOUBLES->*.exe
      6. ->%SYSTEMROOT%
      7. ->%SYSTEMDRIVE%\
      8. SEARCH_UNSIGNED_DOUBLES->*.exe
      9. ->%SYSTEMROOT%\System32
      10. ->%SYSTEMDRIVE%\
      11. EXCLUDE_SEARCH_FOLDER->%SYSTEMROOT%
      12. SET_HEADLINE->Unsigned known modules#Unsignierte bekannte DLLs
      13. SEARCH_UNSIGNED_DOUBLES->*.dll
      14. ->%SYSTEMROOT%
      15. ->%SYSTEMDRIVE%\
      16. SEARCH_UNSIGNED_DOUBLES->*.dll
      17. ->%SYSTEMROOT%\System32
      18. ->%SYSTEMDRIVE%\
      19. EXCLUDE_SEARCH_FOLDER->
      Alles anzeigen
      Den WINSXS Ordner klammere ich da von der Suche aus. Bei SEARCH_UNSIGNED_DOUBLES->*.exe suche ich nach EXE Dateien, die dem Namen einer Windowsdatei unter System32 oder im Ordner Windows entsprechen. Malware macht oft so etwas, um im Taskmanager nicht so ins Auge zu stechen.
      Hier SEARCH_UNSIGNED_DOUBLES->*.dll wird nach DLLs gesucht, die Namen von DLLs in diesen Ordnern haben (und nicht von Microsoft signiert sind). Diese DLL-Suche erfolgt genau aus dem Grund, den du da angesprochen hast - DLL-Hijacking.

      Macht man das ganz geschickt, kann man die DLL nach dem Laden auch aus der prozesseigenen Liste der DLLs entfernen.
      Das heißt: Die DLL hat gar keinen Starteintrag und man sieht die noch nicht einmal im Prozess, wenn man sich die DLLs mit TH32CS_SNAPMODULE listen lässt. Die ist einfach weg...
      Eine extrem leckere Methode, um Malware auszuführen.
      ________________________________________________________

      PPFScanner PPFS Android MisterXMail@web.de
      Mfg AHT