Hi, ich hatte hier in diesem Forum ja schon ein paar Postings bezgl. des Trojaners und der Datei ntos.exe, die sich auf meinem Rechner eingenistet hatte. Fazit war, dass der Rechner neu aufgesetzt werden muss - was er sich aber hat nicht gefallen lassen. Der Kumpel, der ihn in der Mangel hat, meint, er bootet zwar von CD, bricht aber ab, wenn es um die Laufwerke geht, die er anzeigen soll.
Jetzt ist der Kumpel der Meinung, dass die Festplatte im Eimer ist, weil es mit einer anderen tadellos funktioniert. Was meint Ihr dazu? Ist so ein Virus in der Lage, das Ding so zu zerstören? Und warum hat Antivir den Schädling nicht abgewehrt, sondern erst bei der Systemprüfung festgestellt? Ich war immer auf dem neuesten Stand mit meinen updates.
Danke schon mal für Eure Meinung,
Gruß Gaby
Die unendliche Geschichte
Re: Die unendliche Geschichte
Nein Gaby, das hat sicher andere Gründe. In grauer Vorzeit gab es mal Viren, die tatsächlich die Festplatte hätten zerstören können, weil sie lediglich permanent die Schreib/Leseköpfe beansprucht haben. Das ist hier definitiv nicht der Fall. Ich kenne ja nicht den Kenntnisstand deines Bekannten, doch wurde mal versucht, die Festplatte von Live- CD oder Windows- Install CD zu formatieren ? (nicht über Recovery- CD) Ebenso läßt sich mit entsprechenden Tools der Festplattenhersteller ziemlich genau feststellen, ob ein Hardwaredefekt vorliegt...Ist so ein Virus in der Lage, das Ding so zu zerstören?
Virenscanner und Co. sind Hilfsmittel aber keine Allheilmittel. Das ist wie mit der Bremse am Auto - selbst wenn diese tadellos funktioniert, kannst du einen Unfall nie 100% ausschließen. Außerdem kommt es auf die Untersuchungstechnik an...Und warum hat Antivir den Schädling nicht abgewehrt, sondern erst bei der Systemprüfung festgestellt?
Gruß,
Thomas
Re: Die unendliche Geschichte
Antivir untersucht standardmässig nicht alle Dateien, wenn es im Hintergrund läuft, sondern nur nach "intelligenter Dateiauswahl" (was immer man darunter versteht).
Dies sollte man aber einstellen. Performanceverluste halten sich auf modernen Systemen im nicht-messbaren Bereich auf.
Rechtsklick auf das Icon -> Antivir konfigurieren -> Guard -> alle Dateien
Es reicht, wenn beim Schreiben durchsucht wird, solange die schädliche Datei nicht schon vor der Installation von Antivir auf dem Rechner war.
Dies sollte man aber einstellen. Performanceverluste halten sich auf modernen Systemen im nicht-messbaren Bereich auf.
Rechtsklick auf das Icon -> Antivir konfigurieren -> Guard -> alle Dateien
Es reicht, wenn beim Schreiben durchsucht wird, solange die schädliche Datei nicht schon vor der Installation von Antivir auf dem Rechner war.
Re: Die unendliche Geschichte
Also bei mir sucht er nach Dateierweiterung in Antivir8. Was ich selbst als sinnvoll betrachte, denn ich muss nicht jede Textdatei scannen. Klar, kann man die Dateiendung ändern und dadurch versuchen Schadsoftware zu verbreiten. Aber wie oft kommt das vor?Antivir untersucht standardmässig nicht alle Dateien, wenn es im Hintergrund läuft, sondern nur nach "intelligenter Dateiauswahl" (was immer man darunter versteht).
Re: Die unendliche Geschichte
Meine Aussage bezog sich auf die Frage warum Antivir den Schädling erst festgestellt hatte bei einem Komplettscan...
Szenario wie ein Schädling über eine Textdatei kommen kann:
Internetseite mit einem "harmlosen" Script, 1 Zeile Code reicht, benennt einfach eine .txt-Datei im Cache des Browsers um und startet diese... Das Umbennenen wird nicht als Schreibvorgang vom System erfasst, demzufolge springt der Virenscanner nicht an, die Datei tarnt sich bevor sie irgendwelche Aktivitäten ausführt und schiesst im schlechtesten Fall den Virenscanner erstmal ab...
Zugegeben, etwas an den Haaren herbeigezerrt... Scripte von denen man nicht weiss was sie verursachen sollte man nicht zulassen... aber wie oft begegnen denn einem Sachen namens Bilderbuch-Applet oder Web-IRC ? Tarnen und täuschen, wie immer.
Szenario wie ein Schädling über eine Textdatei kommen kann:
Internetseite mit einem "harmlosen" Script, 1 Zeile Code reicht, benennt einfach eine .txt-Datei im Cache des Browsers um und startet diese... Das Umbennenen wird nicht als Schreibvorgang vom System erfasst, demzufolge springt der Virenscanner nicht an, die Datei tarnt sich bevor sie irgendwelche Aktivitäten ausführt und schiesst im schlechtesten Fall den Virenscanner erstmal ab...
Zugegeben, etwas an den Haaren herbeigezerrt... Scripte von denen man nicht weiss was sie verursachen sollte man nicht zulassen... aber wie oft begegnen denn einem Sachen namens Bilderbuch-Applet oder Web-IRC ? Tarnen und täuschen, wie immer.
Re: Die unendliche Geschichte
Diesem Szenario laufe ich schon eine ganze Zeit hinterher und kann keines finden. Wie soll denn eine solche HTML- Zeile (beispielhaft) aussehen mit eingebundenem (Java)script meinetwegen ?Internetseite mit einem "harmlosen" Script, 1 Zeile Code reicht, benennt einfach eine .txt-Datei im Cache des Browsers um und startet diese...
Neben dieser "gefährlichen" Zeile (oder auch 2 bzw. 3) müsste zunächst einmal eine bestimmte TXT- Datei in den Browser- Cache gelangen. Außerdem ist es erforderlich, dass die Datei ausgeführt werden kann, also es muss auch vorausgesetzt sein, dass der User mit administrativen Rechten arbeitet.
Zusätzlich ist es erforderlich, dass dieser Code unbemerkt auf Webserver bzw. in dessen Online- Dokumente eingeschleust werden muss (diesen Weg kenne ich), was aber auch bereits Sicherheitslücken des Webserver- Betreibers voraussetzt.
...oder der User begibt sich bewußt auf gefährliche Websites...
Ständig werden in Foren diese theoretischen Gebilde als möglichen Infektionsweg aufgeführt, doch praktische Beispiele sind Mangelware bzw. eine erheblich konstruierte Verkettung unglücklicher Umstände müsste zutreffen.
Ich möchte gewiss keine ungewisse Sicherheit suggerieren, aber die Standardinfektionswege sind andere...
Gruß,
thbrueck
Re: Die unendliche Geschichte
Zu 1. dachte ich da an VBscript, eine Zeile wird wohl wirklich nicht reichen...
Zu 2. Datei gelangt in den Browsercache wie alles andere auch: indem sie angezeigt wird. Vorzugsweise in einem verstecktem Frame. Auf einem Standardinstalliertem Windows XP (Install-Cd rein, durchlaufen lassen, nix speziell konfigurieren) arbeitet der User mit Adminrechten.
Zu 3. Genug kriminelle Energie setz ich bei einem, der versucht anderen zu schaden, schon vorraus.
Zu 4. Wie erkennt NormalUser gefährliche Webseiten? Will nur mal einen Klingelton suchen, oder ein Bild oder hat nach einem Update von irgendwas gegoogelt? Fake-sites gibt es doch genug.
Vorbedingungen zu genanntem Szenario:
XP Standardinstallation -> User surft als Admin
Internet-Explorer -> leichter Zugriff aufs Cache-Verzeichnis, in Standardeinstellung ist scripting erlaubt.
User ignoriert Sicherheitswarnungen von IE und evtl. Firewall/Virenscanner, weil er unbedingt was von der Seite will.
Diese Vorbedingungen sind vermutlich bei recht vielen unbedarften Nutzern erfüllt. Hoffentlich nicht mehr, nachdem er deine Sicherheitstipps gelesen hat.
Ist leider nunmal so: um Sicherheit macht Norman Normal sich erst Gedanken wenn schonmal was passiert ist.
Zu 2. Datei gelangt in den Browsercache wie alles andere auch: indem sie angezeigt wird. Vorzugsweise in einem verstecktem Frame. Auf einem Standardinstalliertem Windows XP (Install-Cd rein, durchlaufen lassen, nix speziell konfigurieren) arbeitet der User mit Adminrechten.
Zu 3. Genug kriminelle Energie setz ich bei einem, der versucht anderen zu schaden, schon vorraus.
Zu 4. Wie erkennt NormalUser gefährliche Webseiten? Will nur mal einen Klingelton suchen, oder ein Bild oder hat nach einem Update von irgendwas gegoogelt? Fake-sites gibt es doch genug.
Vorbedingungen zu genanntem Szenario:
XP Standardinstallation -> User surft als Admin
Internet-Explorer -> leichter Zugriff aufs Cache-Verzeichnis, in Standardeinstellung ist scripting erlaubt.
User ignoriert Sicherheitswarnungen von IE und evtl. Firewall/Virenscanner, weil er unbedingt was von der Seite will.
Diese Vorbedingungen sind vermutlich bei recht vielen unbedarften Nutzern erfüllt. Hoffentlich nicht mehr, nachdem er deine Sicherheitstipps gelesen hat.
Ist leider nunmal so: um Sicherheit macht Norman Normal sich erst Gedanken wenn schonmal was passiert ist.