Spyware entfernen - aber richtig..
Es gibt schon Anleitungen / Threads hierzu, jedoch empfinde ich die als veraltet.. Müsst es ja nicht genauso machen wie ich, aber so mach ich das:
Kleiner Tipp: Ein Image vorher schadet nie!
1. Autostart bereinigen
Macht das mit dem PC-Welt Autostart Manager. Der prüft nahezu alle möglichen Standard AutoRuns ab und zeigt diese an (HTML-Applik., Portabel). http://pcwelt-praxis.de/downloads/pcwautostart
2. Internet Explorer putzen
Mit HiJackThis könnt ihr alle möglichen Arten von BHOs (Browser Helper Objects / Addons) und teilweise die IE Konfiguration deaktivieren. Teilweise kann man damit auch AutoRuns entfernen, aber nicht so gut wie der PC-Welt AutostartManager. Ihr müsst gucken was ihr da abwählt, da sind auch DNS Server aufgeführt, wenn ihr die deaktiviert gibts kein Internet mehr^^. Wenn ihr nicht einschätzen könnt, welcher Wert richtig oder falsch ist schaut mal hier: http://www.hijackthis.de/de nach, da kann man LogFiles automatisiert auswerten lassen.
Falls beim Browsen immer andere Webseiten angezeigt werden statt die die man aufruft ist es Spyware namens CWS / CoolWebSearch, anbei der Remover: http://www.download.com/CWShredder/3000-8022_4-10301587.html
3. Spyware Scan
Nehmt dafür kein Ad-Aware, hab damit schon Systeme zerschossen.. Nehmt Spybot. Es gibt teilweise Spyware die Registry-Werte zur Programm-Konfiguration von Spybot machen. Dies macht sich durch einen Scan der sehr schnell beendet ist bemerkbar, das liegt an der Suchauswahl, wählt oben unter Modus -> Erweiterter Modus -> Einstellungen -> Datensätze wieder anhaken. Bevor ihr scant löscht temporäre Dateien, das spart viel Zeit! Falls ihr Spybot auf dem PC installiert habt könnt ihr auch einfach den kompletten Programmordner auf einen USB-Stick packen, es ist portable, empfehle jedoch vor dem Scan das auf die HDD von nem USB Stick zu kopieren, da ich dort Geschwindigkeits-Unterschiede vermute. Dass ihr Spybot vorher aktualisieren solltet ist klar. Im Grunde kann alles was Spybot findet gelöscht werden, Nerviger weise ist da aber auch die Reaktivierung des Windows-Sicherheitscenters darunter.
Es gibt Spyware, die einer Art Virenprogramm nachempfunden ist und Tausend gefundene Trojaner nur dann löschen kann wenn man 30$ irgendwohin bezahlt.. Diese Fake Programme kriegt ihr hiermit SmitfraudFix weg. Wird Fälschlicherweise selbst als Virus erkannt, ist aber sicher. http://www.bleepingcomputer.com/files/smitfraudfix.php
4. Viren Scan
Nehmt dafür ruhig AntiVir, falls ihr das nicht installieren wollt / könnt,
bzw. nehmt die aktuelle Version der Avira Rescue CD: http://dlpro.antivir.com/down/vdf/rescuecd/rescuecd.iso
5. Wirklich alles Weg?
Nehmt PC-Welt Process Viewer, das ist ein Taskmanager der direkt den AusführungsOrt anzeigt, um die Datei schneller finden zu können, falls selbst die Entfernung des Autostarts fehlschlug. Damit kann man auch direkt eine Websuche starten um sich von einer Gefahrenquelle die von dem Programm ausgeht überzeugen zu können.
Mit "Unlocker" löscht ihr dann Dateien die in Benutzung / aktiv sind. http://unlocker.softonic.de/
Sonstige Tools:
Hijack Free ist eine Mischung aus einem Autostart-Manager, HijackThis und einem Task-Manager mit Dienste-Verwaltung.
Sehr gut und umfangreich, jedoch etwas komplex. Gut um versteckte AutoRuns wie Explorer-Shell integrierte DLLs zu finden. http://www.hijackfree.de/de/
ComboFix ist ein legitimer Spyware-Entferner. Es wurde entwickelt, um gezielt SurfSideKick, QooLogic und Look2Me sowie jede andere Kombination der genannten Spyware-Anwendungen zu beseitigen.
http://virus-protect.org/artikel/tools/combofix.html
Macht vorher ein Image! Ich bin auf keinesfalls für einen Datenverlust verantwortlich. Alles auf eure eigene Verantwortung..
Solltet ihr nicht auf ein Image zurückgreifen können oder eine Neu-Installation machen könnt oder wollt, und zur Methode der Spyware-Entfernung zurückgreift seid hiermit gewarnt dass selbst nach Anwenden bzw. Durchführen aller Prozeduren keine Garantie auf ein sauberes System vorhanden ist.
Gruß
Thomas
Kleiner Tipp: Ein Image vorher schadet nie!
1. Autostart bereinigen
Macht das mit dem PC-Welt Autostart Manager. Der prüft nahezu alle möglichen Standard AutoRuns ab und zeigt diese an (HTML-Applik., Portabel). http://pcwelt-praxis.de/downloads/pcwautostart
2. Internet Explorer putzen
Mit HiJackThis könnt ihr alle möglichen Arten von BHOs (Browser Helper Objects / Addons) und teilweise die IE Konfiguration deaktivieren. Teilweise kann man damit auch AutoRuns entfernen, aber nicht so gut wie der PC-Welt AutostartManager. Ihr müsst gucken was ihr da abwählt, da sind auch DNS Server aufgeführt, wenn ihr die deaktiviert gibts kein Internet mehr^^. Wenn ihr nicht einschätzen könnt, welcher Wert richtig oder falsch ist schaut mal hier: http://www.hijackthis.de/de nach, da kann man LogFiles automatisiert auswerten lassen.
Falls beim Browsen immer andere Webseiten angezeigt werden statt die die man aufruft ist es Spyware namens CWS / CoolWebSearch, anbei der Remover: http://www.download.com/CWShredder/3000-8022_4-10301587.html
3. Spyware Scan
Nehmt dafür kein Ad-Aware, hab damit schon Systeme zerschossen.. Nehmt Spybot. Es gibt teilweise Spyware die Registry-Werte zur Programm-Konfiguration von Spybot machen. Dies macht sich durch einen Scan der sehr schnell beendet ist bemerkbar, das liegt an der Suchauswahl, wählt oben unter Modus -> Erweiterter Modus -> Einstellungen -> Datensätze wieder anhaken. Bevor ihr scant löscht temporäre Dateien, das spart viel Zeit! Falls ihr Spybot auf dem PC installiert habt könnt ihr auch einfach den kompletten Programmordner auf einen USB-Stick packen, es ist portable, empfehle jedoch vor dem Scan das auf die HDD von nem USB Stick zu kopieren, da ich dort Geschwindigkeits-Unterschiede vermute. Dass ihr Spybot vorher aktualisieren solltet ist klar. Im Grunde kann alles was Spybot findet gelöscht werden, Nerviger weise ist da aber auch die Reaktivierung des Windows-Sicherheitscenters darunter.
Es gibt Spyware, die einer Art Virenprogramm nachempfunden ist und Tausend gefundene Trojaner nur dann löschen kann wenn man 30$ irgendwohin bezahlt.. Diese Fake Programme kriegt ihr hiermit SmitfraudFix weg. Wird Fälschlicherweise selbst als Virus erkannt, ist aber sicher. http://www.bleepingcomputer.com/files/smitfraudfix.php
4. Viren Scan
Nehmt dafür ruhig AntiVir, falls ihr das nicht installieren wollt / könnt,
bzw. nehmt die aktuelle Version der Avira Rescue CD: http://dlpro.antivir.com/down/vdf/rescuecd/rescuecd.iso
5. Wirklich alles Weg?
Nehmt PC-Welt Process Viewer, das ist ein Taskmanager der direkt den AusführungsOrt anzeigt, um die Datei schneller finden zu können, falls selbst die Entfernung des Autostarts fehlschlug. Damit kann man auch direkt eine Websuche starten um sich von einer Gefahrenquelle die von dem Programm ausgeht überzeugen zu können.
Mit "Unlocker" löscht ihr dann Dateien die in Benutzung / aktiv sind. http://unlocker.softonic.de/
Sonstige Tools:
Hijack Free ist eine Mischung aus einem Autostart-Manager, HijackThis und einem Task-Manager mit Dienste-Verwaltung.
Sehr gut und umfangreich, jedoch etwas komplex. Gut um versteckte AutoRuns wie Explorer-Shell integrierte DLLs zu finden. http://www.hijackfree.de/de/
ComboFix ist ein legitimer Spyware-Entferner. Es wurde entwickelt, um gezielt SurfSideKick, QooLogic und Look2Me sowie jede andere Kombination der genannten Spyware-Anwendungen zu beseitigen.
http://virus-protect.org/artikel/tools/combofix.html
Macht vorher ein Image! Ich bin auf keinesfalls für einen Datenverlust verantwortlich. Alles auf eure eigene Verantwortung..
Solltet ihr nicht auf ein Image zurückgreifen können oder eine Neu-Installation machen könnt oder wollt, und zur Methode der Spyware-Entfernung zurückgreift seid hiermit gewarnt dass selbst nach Anwenden bzw. Durchführen aller Prozeduren keine Garantie auf ein sauberes System vorhanden ist.
Gruß
Thomas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 105438
Url: https://administrator.de/contentid/105438
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
25 Kommentare
Neuester Kommentar
guten morgen,
nette kleine Anleitung, aber "richtig" sauber kriegt man einen kompromittierten Rechner nur, wenn man ihn komplett neu installiert
wenn man sich etwas einfängt, dann sollte man eher mal darüber nachdenken, wie man sein System nach der Neuinstallation sicherer bekommt und sich vor allem mal über sein Surfverhalten Gedanken machen
nette kleine Anleitung, aber "richtig" sauber kriegt man einen kompromittierten Rechner nur, wenn man ihn komplett neu installiert
wenn man sich etwas einfängt, dann sollte man eher mal darüber nachdenken, wie man sein System nach der Neuinstallation sicherer bekommt und sich vor allem mal über sein Surfverhalten Gedanken machen
mit Firewall meinst du sicherlich eine Hard- und keine Softwarefirewall
wie gesagt, es geht um "Normalo"-User, die ihren Fertig-PC bei Aldi & Co. kaufen
die sind dann schön brav mit Adminrechten unterwegs, ignorieren Updates einfach und achten vor allem nicht auf ihren Virenscanner
der "Normalo"-User hat meistens keine Ahnung, was DDoS, Malware oder Trojaner sind und hält Botnetze für ein System, wo man sich für Spiele Bots laden kann
der "Normalo"-User hält Sasser auch für eine Art Vogelgrippe und Blaster für eine neue Pistole der Polizei
aber ok, der "Normalo"-User würd sich wohl eher auch nicht hier im Forum aufhalten (Ausnahmen bestätigen die Regel)
wie gesagt, es geht um "Normalo"-User, die ihren Fertig-PC bei Aldi & Co. kaufen
die sind dann schön brav mit Adminrechten unterwegs, ignorieren Updates einfach und achten vor allem nicht auf ihren Virenscanner
der "Normalo"-User hat meistens keine Ahnung, was DDoS, Malware oder Trojaner sind und hält Botnetze für ein System, wo man sich für Spiele Bots laden kann
der "Normalo"-User hält Sasser auch für eine Art Vogelgrippe und Blaster für eine neue Pistole der Polizei
aber ok, der "Normalo"-User würd sich wohl eher auch nicht hier im Forum aufhalten (Ausnahmen bestätigen die Regel)
Zitat von @zensbert:
Nervigerweise ist da aber auch die Reaktivierung des
Windows-Sicherheitscenters darunter.
Nervigerweise ist da aber auch die Reaktivierung des
Windows-Sicherheitscenters darunter.
Dieses kann man jedoch deaktivieren. Einfach rechte Taste auf den Eintrag und dort ist dafür eine Option zu finden. Aber wer dies deaktiviert hat sollte einfach den Dienst des Sicherheitscenters komplett abschalten.
Sehr hilfreich finde ich übrigens auch den Immunisierer vom Spybot. Passt für IE, Opera und FF soweit ich weiss. Blockt um die 40.000 "schlechte" Websites. Also 1x alle 2 Wochen sollte man hier reingucken und neu immunisieren.
Den TeaTimer sollte man übrigens bei der Installation abwählen. Zumindest habe ich damit schlecht Erfahrungen gemacht.
Gagarin, die drei von Dir beschriebenen Schritte sind ja auch die, die das Sicherheitscenter rät, sowie Microsoft auch den Normalnutzern nahe legt. Die gesamte Software zu patchen ist ein ziemlicher Aufwand, hier kann man sich jedoch von psi von secunia.com unterstützen lassen - das sollte man kennen und es ist kostenfrei.
Dennoch ist das bloß reagieren. Kommt ein Exploit dem Patch/Virenupdate zuvor, hast Du verloren. Jetzt sollte man sich fragen, wie oft wohl Schurken eher eine Sicherheitslücke ausmachen als die Hersteller... oft genug um Angst zu haben in jedem Fall.
Der einzige echte Schutz bleibt, keine Inhalte aus unvertrauter Quelle zu nutzen - jeglicher Art. Dies beim Internet zu gewährleisten, ist unmöglich. Da bleibt nur, das Risiko soweit zu mindern, dass alle Startmöglichkeiten für einen Virus verbaut werden. Ansätze hierzu bietet kafu.exe von der cT. Außerdem kann man die kritischen Prozesse (Browser- und Mailprogramm,...) mit einem Konto starten, das weniger Rechte hat, als ein eingeschränktes (für Interessierte: dropmyrights.msi, Schalter /u). Auch der IE im geschützten Modus unter Vista und generell Vista helfen einem ungeübten Nutzer weiter.
Abgesehen davon besteht Sicherheit, egal ob zu Hause oder in der Firma, in erster Linie aus dem Einhalten von Verhaltensregeln. Diese wiederrum basieren auf Wissen, das man haben und erweitern muss. Dies kann Otto Normaluser nicht.
Generell für Normaluser geeignet sind Deine Tipps auf jeden Fall. Ich würde Sie um PSI und ein eingeschränktes Konto erweitern. Evtl. (für Fortgeschrittene) um dropmyrights und kafu.
Dennoch ist das bloß reagieren. Kommt ein Exploit dem Patch/Virenupdate zuvor, hast Du verloren. Jetzt sollte man sich fragen, wie oft wohl Schurken eher eine Sicherheitslücke ausmachen als die Hersteller... oft genug um Angst zu haben in jedem Fall.
Der einzige echte Schutz bleibt, keine Inhalte aus unvertrauter Quelle zu nutzen - jeglicher Art. Dies beim Internet zu gewährleisten, ist unmöglich. Da bleibt nur, das Risiko soweit zu mindern, dass alle Startmöglichkeiten für einen Virus verbaut werden. Ansätze hierzu bietet kafu.exe von der cT. Außerdem kann man die kritischen Prozesse (Browser- und Mailprogramm,...) mit einem Konto starten, das weniger Rechte hat, als ein eingeschränktes (für Interessierte: dropmyrights.msi, Schalter /u). Auch der IE im geschützten Modus unter Vista und generell Vista helfen einem ungeübten Nutzer weiter.
Abgesehen davon besteht Sicherheit, egal ob zu Hause oder in der Firma, in erster Linie aus dem Einhalten von Verhaltensregeln. Diese wiederrum basieren auf Wissen, das man haben und erweitern muss. Dies kann Otto Normaluser nicht.
Generell für Normaluser geeignet sind Deine Tipps auf jeden Fall. Ich würde Sie um PSI und ein eingeschränktes Konto erweitern. Evtl. (für Fortgeschrittene) um dropmyrights und kafu.
Hallo,
ich kann keiner Meinung hier entsprechen. Ad-Aware ist ungeeignet, da stimme ich voll zu. Spybot Search & Destroy findet hartnäckigste Spyware kaum, blockiert sie auch nicht und kann sie auch nicht entfernen, wenn er sie findet.
Neben dem Neuaufsetzen eines Systems, welches extrem aufwendig sein kann, gibt es nur eine einzige Lösung, wenn alle Programme versagen: Webroot Spy Sweeper. Das einzige Programm, welches die hartnäckigste Spyware vollständig entfernen kann. Selbst wenn es sich um eine neue Spyware handelt, erhält man solange Unterstützung von Webroot, bis der Spy Sweeper aktualisiert wurde und die Spyware entfernen kann.
Von manuellem Entfernen muss man in jeder Hinsicht abraten, wenn es sich um Spyware handelt, die von Spybot und Ad-Aware nicht entfernt werden kann. Die Chancen, diese vollständig zu entfernen, sind extrem gering.
Beste Grüße,
Wulffy
ich kann keiner Meinung hier entsprechen. Ad-Aware ist ungeeignet, da stimme ich voll zu. Spybot Search & Destroy findet hartnäckigste Spyware kaum, blockiert sie auch nicht und kann sie auch nicht entfernen, wenn er sie findet.
Neben dem Neuaufsetzen eines Systems, welches extrem aufwendig sein kann, gibt es nur eine einzige Lösung, wenn alle Programme versagen: Webroot Spy Sweeper. Das einzige Programm, welches die hartnäckigste Spyware vollständig entfernen kann. Selbst wenn es sich um eine neue Spyware handelt, erhält man solange Unterstützung von Webroot, bis der Spy Sweeper aktualisiert wurde und die Spyware entfernen kann.
Von manuellem Entfernen muss man in jeder Hinsicht abraten, wenn es sich um Spyware handelt, die von Spybot und Ad-Aware nicht entfernt werden kann. Die Chancen, diese vollständig zu entfernen, sind extrem gering.
Beste Grüße,
Wulffy
Zitat von @Iwan:
genau, und jeder Normalo-User wird sich für knapp 35-40 US-$ (ca.
27€) ein solches Programm kaufen *augenverdreh*
genau, und jeder Normalo-User wird sich für knapp 35-40 US-$ (ca.
27€) ein solches Programm kaufen *augenverdreh*
Jeder Normaluser, dem seine Zeit pro Stunde mehr als ein paar Cent wert ist.
Hattest Du schon einmal einen Hijacker, den keine Antispyware-Lösung wegbekam? Kannst Du Dir vorstellen, wie dankbar man ist, wenn man für 27 EUR und etwas Zeitaufwand eine saubere, automatisierte Lösung bekommt? Und das ein Jahr lang?
da investier ich lieber 30€ in ein Backup-/Imageprogramm und habe davon länger wie ein Jahr was
wer keine Zeit investiert, sich mit der Sicherheit seines Rechners zu beschäftigen, der darf nachher nicht jammern
dazu gehören Virusscanner, ggfs. Firewall, nicht mit Adminrechten (und IE) surfen, Updates installierenund etliches anderes
leider sind viele nicht in der Lage, ihr System sicher zu machen, aber fragen auch nicht bei Spezis nach
ich vergleiche das gerne mit einem Auto, das alle 2 Jahre zum TÜV/AU muss und ggfs. zur Inspektion oder möchtest du mit einem Auto fahren, wo du nicht weisst, ob die Bremsen funktionieren?
aber es ist müßig darüber zu diskutieren, wie wo was das beste ist...
wer keine Zeit investiert, sich mit der Sicherheit seines Rechners zu beschäftigen, der darf nachher nicht jammern
dazu gehören Virusscanner, ggfs. Firewall, nicht mit Adminrechten (und IE) surfen, Updates installierenund etliches anderes
leider sind viele nicht in der Lage, ihr System sicher zu machen, aber fragen auch nicht bei Spezis nach
ich vergleiche das gerne mit einem Auto, das alle 2 Jahre zum TÜV/AU muss und ggfs. zur Inspektion oder möchtest du mit einem Auto fahren, wo du nicht weisst, ob die Bremsen funktionieren?
aber es ist müßig darüber zu diskutieren, wie wo was das beste ist...
Morgen
Bezüglich:
interessant wäre mal eine Anleitung für den "Normalo"-User, wie er sein System zu Hause halbwegs sicher bekommt
Zu meinem System im Privat gebrauch:
OS: Windows XP Pro SP3
AntiVirus: AVG AntiVir Free
Spyware: Spybot Search and Destroy
Firewall: (Original XP Firewall - eher optional) Hardware Firewall mit NAT
Browser: Mozilla Firefox
E-Mail: MS Office Outlook
System ist immer Up to Date und bis jetzt gab’s noch keine *Virusprobleme oder sonstiges* -> Natürlich ein dementsprechendes Surfverhalten gehört dazu sonst bring die gesamte Maßnahme nichts
Bezüglich:
interessant wäre mal eine Anleitung für den "Normalo"-User, wie er sein System zu Hause halbwegs sicher bekommt
Zu meinem System im Privat gebrauch:
OS: Windows XP Pro SP3
AntiVirus: AVG AntiVir Free
Spyware: Spybot Search and Destroy
Firewall: (Original XP Firewall - eher optional) Hardware Firewall mit NAT
Browser: Mozilla Firefox
E-Mail: MS Office Outlook
System ist immer Up to Date und bis jetzt gab’s noch keine *Virusprobleme oder sonstiges* -> Natürlich ein dementsprechendes Surfverhalten gehört dazu sonst bring die gesamte Maßnahme nichts
Der Titel „Spyware entfernen – aber richtig“ ist ungünstig gewählt.
In dem Beitrag wird u.a. von einem „Viren Scan“ gesprochen, weshalb der Titel „Malware entfernen“ besser geeignet wäre (Malware steht für Schadsoftware und schließt Spyware genauso mit ein, wie Viren).
Zum anderen werden hier ausschließlich Methoden beschrieben, die zeigen, wie man eine Malware „nicht richtig“ (im Sinne von „nicht restlos“ und „nicht zuverlässig“) entfernt. Da die beschriebenen Softwareprodukte nur bedingt dazu in der Lage sind, eine Malware zu erkennen und vollständig zu entfernen, ist der Titelanhang („aber richtig“) irreführend.
Es gibt unterschiedliche Verfahren zu Bereinigung von Malware. Allesamt bergen sie unterschiedliche Risiken und sind mit einem unterschiedlichen Aufwand verbunden und jedes dieser Verfahren kann seine Berechtigung haben. Der Leser muss selbst festlegen, für welchen Weg er sich entscheidet.
Andernfalls vermittelt der Artikels dem Leser den trügerischen Eindruck, er würde nun (nach Befolgung der dort beschriebenen Schritte) gewiss über ein „sauberes“ System verfügen. Das verkehrt die helfende Wirkung des gut gemeinten Artikels ins Gegenteil.
Besser wäre es daher, den Beitrag in „Malware entfernen“ (ohne Anhang „aber richtig“) umzubenennen. Im Idealfall könnte die Einleitung des Artikels auf gründlichere Methoden zur Bereinigung von Malware hinweisen (dazu müssen sie dort nicht zwingend näher beschrieben werden).
Bye, nz
Nachtrag: Da der Autor seit einiger Zeit nicht mehr aktiv in dem Forum ist, werden die nötigen Anpassungen wohl nicht vorgenommen. Daher habe ich die beiden wesentlichen Textpassagen optisch hervorgehoben, in der Hoffnung, dass sie dadurch dem Leser auffallen werden. -- NeonZero 20.01.2009
In dem Beitrag wird u.a. von einem „Viren Scan“ gesprochen, weshalb der Titel „Malware entfernen“ besser geeignet wäre (Malware steht für Schadsoftware und schließt Spyware genauso mit ein, wie Viren).
Zum anderen werden hier ausschließlich Methoden beschrieben, die zeigen, wie man eine Malware „nicht richtig“ (im Sinne von „nicht restlos“ und „nicht zuverlässig“) entfernt. Da die beschriebenen Softwareprodukte nur bedingt dazu in der Lage sind, eine Malware zu erkennen und vollständig zu entfernen, ist der Titelanhang („aber richtig“) irreführend.
Gründlichere Methoden (die in dem Artikel bislang nicht beschrieben werden) wären: |
---|
Zuverlässig lässt sich eine Malware per Einspielung des letzten „sauberen“ Festplattenimages oder (wenn das nicht vorhanden ist) mit einer Neuinstallation des Systems entfernen. Einen vollkommen anderen, ebenso wirkungsvollen Ansatz bietet ein System, das nach dem nächsten Reboot wieder in den ursprünglichen Zustand zurückfällt (für Windows siehe z.B. das Shared Computer Toolkit und suche dort nach „Windows Disk Protection“). Alternativ dazu gibt es virtuelle Maschinen für ein (schreib-)geschütztes Betriebssystem oder auch dedizierte Sandboxen (die so etwas - mehr oder weniger zuverlässig - für wenigstens einen Teil des Systems bewirken). |
Es gibt unterschiedliche Verfahren zu Bereinigung von Malware. Allesamt bergen sie unterschiedliche Risiken und sind mit einem unterschiedlichen Aufwand verbunden und jedes dieser Verfahren kann seine Berechtigung haben. Der Leser muss selbst festlegen, für welchen Weg er sich entscheidet.
Dazu darf ein solcher Artikel die verbleibenden Risiken jedoch nicht verschweigen: |
---|
Auf jeden Fall sollte der Leser im Artikeltext darüber in Kenntnis gesetzt werden, dass die weiter beschriebenen Methoden (Spyware- und Viren-Scan, Autostart-Bereinigung, etc.) nur ein eingeschränktes Maß an Zuverlässigkeit bieten können. |
Andernfalls vermittelt der Artikels dem Leser den trügerischen Eindruck, er würde nun (nach Befolgung der dort beschriebenen Schritte) gewiss über ein „sauberes“ System verfügen. Das verkehrt die helfende Wirkung des gut gemeinten Artikels ins Gegenteil.
Besser wäre es daher, den Beitrag in „Malware entfernen“ (ohne Anhang „aber richtig“) umzubenennen. Im Idealfall könnte die Einleitung des Artikels auf gründlichere Methoden zur Bereinigung von Malware hinweisen (dazu müssen sie dort nicht zwingend näher beschrieben werden).
Bye, nz
Nachtrag: Da der Autor seit einiger Zeit nicht mehr aktiv in dem Forum ist, werden die nötigen Anpassungen wohl nicht vorgenommen. Daher habe ich die beiden wesentlichen Textpassagen optisch hervorgehoben, in der Hoffnung, dass sie dadurch dem Leser auffallen werden. -- NeonZero 20.01.2009
Zitat von @zensbert:
ein sauberes frisches system / image wäre natürlich die bessere lösung, nur muss man ja nicht wegen jedem tracking cookie gleich formatieren^^
ein sauberes frisches system / image wäre natürlich die bessere lösung, nur muss man ja nicht wegen jedem tracking cookie gleich formatieren^^
Nein, dass gewiss nicht (ich habe ja auch geschrieben, dass jedes dieser Verfahren seine Berechtigung haben kann).
Zumindest aber sollte der Artikel darauf hinweisen, dass die dort beschriebenen Methoden nur ein eingeschränktes Maß an Zuverlässigkeit bieten können. Solange Du das verschweigst und den Titel auch noch so lässt, wie er ist, leitest Du den Leser bewusst in die Irre. Denn nicht jeder wird auch diesen Kommentar hier lesen (ich befürchte das werden sogar die wenigsten tun).
Diesen reißerischen Titel auf Computer-BILD-Niveau („Spyware entfernen – aber richtig“) hat der Artikel doch gar nicht nötig.
Bye, nz
Sorry wenn Du das in den falschen Hals bekommen hast. Es war nicht persönlich gemeint.
Bye, nz
Bei combofix ist dringend zu empfehlen Kollegen wie Avira zu entfernen bzw. zu deaktivieren bevor man startet.
Hijackthis ist bei Malware wie Rustock ineffektiv, da Rustock sich als Treiber initialisiert.
Um solche Malware zu finden sind helios und gmer gute Helfer.
Für verdächtige Dateien sind Seiten wie virustotal praktisch, da hochgeladene Dateien von allen gängigen Virenscannern durchgeprüft werden und es auch möglich ist, Prüfsummen abzugleichen.
Leider ist es nicht Gang und Gäbe, dass ein Hersteller von Sicherheitssoftware seine Definitionen mit allen andren teilt.
Auch bei älteren Schädlingen ist die Erkennungsquote bei virustotal fast nie bei 100% (alle Virenscanner schlagen Alarm)
Was auch erwähnt werden könnte sind die Heuristikmaschinen von threathexpert und sunbelt.
Hier kann man per mail das Verhalten der Malware in einem Report zugesendet bekommen.
Bei Threathexpert wird beispielsweise aufgeführt welche Internetadressen die Seite versuchte zu kontaktieren sowie geänderte Registrierungswerte etc.
Ob das Schadprogramm im Speicher läuft, lässt sich mit den Scans die diese beiden Tools integriert haben, herausfinden.
Die Gratisversion von avira finde ich ineffektiv, da alte Engines darin verwurstet sind.
Bei sehr vielen Kundenrechnern die zur Neuaufsetzung wegen Virenbefall herkamen war Avira installiert.
Die Heuristik hatte neu gepackte Malware nicht erkannt oder erst als sie schon aktiv war.
Allenfalls die Signatur ist auf dem aktuellsten Stand.
Gegen wirklich neue Schädlinge ist das nutzlos.
Am Besen für den Restescan wäre meiner Meinung nach eine Testversion einer professionellen Sicherheitslösung.
Hijackthis ist bei Malware wie Rustock ineffektiv, da Rustock sich als Treiber initialisiert.
Um solche Malware zu finden sind helios und gmer gute Helfer.
Für verdächtige Dateien sind Seiten wie virustotal praktisch, da hochgeladene Dateien von allen gängigen Virenscannern durchgeprüft werden und es auch möglich ist, Prüfsummen abzugleichen.
Leider ist es nicht Gang und Gäbe, dass ein Hersteller von Sicherheitssoftware seine Definitionen mit allen andren teilt.
Auch bei älteren Schädlingen ist die Erkennungsquote bei virustotal fast nie bei 100% (alle Virenscanner schlagen Alarm)
Was auch erwähnt werden könnte sind die Heuristikmaschinen von threathexpert und sunbelt.
Hier kann man per mail das Verhalten der Malware in einem Report zugesendet bekommen.
Bei Threathexpert wird beispielsweise aufgeführt welche Internetadressen die Seite versuchte zu kontaktieren sowie geänderte Registrierungswerte etc.
Ob das Schadprogramm im Speicher läuft, lässt sich mit den Scans die diese beiden Tools integriert haben, herausfinden.
Die Gratisversion von avira finde ich ineffektiv, da alte Engines darin verwurstet sind.
Bei sehr vielen Kundenrechnern die zur Neuaufsetzung wegen Virenbefall herkamen war Avira installiert.
Die Heuristik hatte neu gepackte Malware nicht erkannt oder erst als sie schon aktiv war.
Allenfalls die Signatur ist auf dem aktuellsten Stand.
Gegen wirklich neue Schädlinge ist das nutzlos.
Am Besen für den Restescan wäre meiner Meinung nach eine Testversion einer professionellen Sicherheitslösung.
Hi
zensbert schrieb:
Macht das mit dem PC-Welt Autostart Manager.
@zensbert
Komm traume weiter mit deiner Pc-Welt Anleitung. Entschuldige mich jetz schon für meine harten Worte !
Aber es muss einfach gesagt werden, denn es würde nur die Professionalität von diesem Forum darunter leiden.
Dies reicht vielleicht bei 60% der Malware, doch gut geschrieben Malware entferst du nicht so leicht mit deiner Anleitung.
Näher in die Materie möchte ich nicht eingehen den das würde Seiten füllen !!
Nur Pc-Welt tools nützen dir nichts, dazu brauchst du schon richtige Tools und verdamt viel Know-how.
Programmierung C/C++,JAVA ,PHP,Assembler etc.
Betriebsystem Konzepte/ Architekturen
Systemprogrammierung
Netzwerkprogrammierung
Netzwerke
Hardware
Betriebsysteme
Krypto.
und einiges mehr ...
So eine Anleitung kann man nicht einfach mit ein paar miderwertigen Zeilen widerlegen ... sorry
lowbyte
zensbert schrieb:
Macht das mit dem PC-Welt Autostart Manager.
@zensbert
Komm traume weiter mit deiner Pc-Welt Anleitung. Entschuldige mich jetz schon für meine harten Worte !
Aber es muss einfach gesagt werden, denn es würde nur die Professionalität von diesem Forum darunter leiden.
Dies reicht vielleicht bei 60% der Malware, doch gut geschrieben Malware entferst du nicht so leicht mit deiner Anleitung.
Näher in die Materie möchte ich nicht eingehen den das würde Seiten füllen !!
Nur Pc-Welt tools nützen dir nichts, dazu brauchst du schon richtige Tools und verdamt viel Know-how.
Programmierung C/C++,JAVA ,PHP,Assembler etc.
Betriebsystem Konzepte/ Architekturen
Systemprogrammierung
Netzwerkprogrammierung
Netzwerke
Hardware
Betriebsysteme
Krypto.
und einiges mehr ...
So eine Anleitung kann man nicht einfach mit ein paar miderwertigen Zeilen widerlegen ... sorry
lowbyte
Hi
Aber ich meinte das eigentlich ernst !
Und ob jetz das Programm von Pc-Welt oder weis ich was... spielt gar keine Rolle. Auf das Programm kommt es an. (Wollte dich ein bisschen hochnehmen. sorry)
Aber der ganze Ablauf gefällt mir schon nicht. Was machst du bei einem Rootkit der deine Av- oder Spyware Software nicht erkannt. Genau da beginnen ja die richtigen Problem.
Aber für ein Privat Rechner der Deutsche Haushalte reicht dieses Tutorial allemal. ;)
Da bist du mit mir hoffentlich einig.
Von meiner Sicht aus ist es einfach Lückenhaft. Ps: und Antivir vergesse mal.
lowybte
Aber ich meinte das eigentlich ernst !
Und ob jetz das Programm von Pc-Welt oder weis ich was... spielt gar keine Rolle. Auf das Programm kommt es an. (Wollte dich ein bisschen hochnehmen. sorry)
Aber der ganze Ablauf gefällt mir schon nicht. Was machst du bei einem Rootkit der deine Av- oder Spyware Software nicht erkannt. Genau da beginnen ja die richtigen Problem.
Aber für ein Privat Rechner der Deutsche Haushalte reicht dieses Tutorial allemal. ;)
Da bist du mit mir hoffentlich einig.
Von meiner Sicht aus ist es einfach Lückenhaft. Ps: und Antivir vergesse mal.
lowybte
Ihr ollen Leichenschänder :P
Also imo ist das "es scheint sauber zu sein ..." gerade das gefährliche. Ich habe schon Fälle erlebt in denen die Infektion über ein Jahr mit Avira koexistiert haben muss und es nur durch Post vom Provider bemerkt wurde. "Lieber Herr ... es häufen sich die Beschwerdemails über über ihren Anschluss versendete Massenmails ..."
Manche Bots optimieren den Pc, um nicht durch Performanceverlust aufzufallen. Avira hat ne Heuristik wie ein Türsteher, der dich mit anderer Sonnenbrille schon nicht mehr als den Schläger von gestern wiedererkennt und dich durchwinkt...
Von daher ist es imo nicht sinnvoll zu raten, dass da "nix ausser harmloser spyware" drauf ist und nur diese beachten zu wollen. Vor allem bei einer Dienstleistung wäre es FATAL zu "schätzen" das nix mehr drauf ist. Und auch bei den Bekannten ist das Gejaule gross, wenn "irgendwer" über paypal, ebay und die Kreditkarte Sachen nach Kasachstan bestellt.
Bevor ich mich weiter widerhole lasse ich das mal so stehen ;)
Also imo ist das "es scheint sauber zu sein ..." gerade das gefährliche. Ich habe schon Fälle erlebt in denen die Infektion über ein Jahr mit Avira koexistiert haben muss und es nur durch Post vom Provider bemerkt wurde. "Lieber Herr ... es häufen sich die Beschwerdemails über über ihren Anschluss versendete Massenmails ..."
Manche Bots optimieren den Pc, um nicht durch Performanceverlust aufzufallen. Avira hat ne Heuristik wie ein Türsteher, der dich mit anderer Sonnenbrille schon nicht mehr als den Schläger von gestern wiedererkennt und dich durchwinkt...
Von daher ist es imo nicht sinnvoll zu raten, dass da "nix ausser harmloser spyware" drauf ist und nur diese beachten zu wollen. Vor allem bei einer Dienstleistung wäre es FATAL zu "schätzen" das nix mehr drauf ist. Und auch bei den Bekannten ist das Gejaule gross, wenn "irgendwer" über paypal, ebay und die Kreditkarte Sachen nach Kasachstan bestellt.
Bevor ich mich weiter widerhole lasse ich das mal so stehen ;)