Windows Talk

Cesair schrieb:Außerdem gehen wir hier von infizierten Systemen aus und davon, dass die meisten User sowieso in der Administratorumgebung arbeiten.

Nein, davon gehst Du aus, denn bislang wurde nur von infizierten Dateien gesprochen und weder von einem infizierten System, noch vom benutzen des Admin-Kontos (was im Grunde die erste und "vermeidbarste" Dummheit darstellt). Würden wir von einem bereits infizierten System sprechen, könnten wir uns der Schadensbegrenzung widmen. Ich hoffe doch das niemand glaubt er könne ein infiziertes System mit 100%iger Sicherheit wieder säubern, oder?

Cesair schrieb:Die Quarantäne Zone ist auch nicht immer ein dedizierter Bereich im System, es gibt Programme, da besteht diese Zone nur aus einer Liste von Programmen, die nicht erlaubt sind zu öffnen, ohne dass diese verschoben werden.

Ich habe es am liebsten wenn mein AV-Programm die Funde in einer Containerdatei (gepackt) archiviert, wenn nicht gelöscht wird. Das ist mMn die sicherste Lösung nach löschen.

Das sich die ausführbaren Datein eines Virus auch slebst duplizieren habe ich oben schon geschrieben, aber ein Löschen ist immer möglich. Manchmal zwar nur mit einem Hilfsmitteln wie "Unlocker" (bis Win7) oder mit LockHunter (bis Win8), aber möglich. Zumindest habe ich bislang noch jede Datei vom Rechner bekommen. :)
AV-Programme löschen oder verschieben im Zweifelsfall beim nächsten Neustart, fall nötig.

Cesair schrieb:Das antivir Programm kann also auch das öffnen unterbinden

Das erwarte ich auch von meinem AV-Programm. Wozu soll es denn nützlich sein, wenn es mir zeigt: "Da, ein Virus", aber trotzdem die Datei ausführt?

Cesair schrieb:oder einfach trotzdem noch da waren (da also ein anderer mechanismus ursächlich war

Dazu noch dies: Ist mir auch schon über den Weg gelaufen und das ist schon merkwürdig, weil ich das Gefühl hatte, dass das Programm "weiß" das ich es lösche und vorher kurz ein Duplikat erstellt, was ja sehr schnell geht, da diese Programme sehr klein sind.
Wenn die Datei erst nach einem Neustart wieder auftaucht liegt die Lösung des Problems auf der and und die Ursache ist schnell behoben.

@Hawkster

Hawkster schrieb:Ach, komm schon :) Nicht so pessimisitsch :)

:D ja ich sollte meinem Nick alle Ehre machen. ;)

Hawkster schrieb:Du kannst zB in einer Sandbox surfen.

Was bedeutet das? (möchte nicht erst googeln :) ) - ein virtuelles Laufwerk? Oder ein zweites BS?

Hawkster schrieb:Auch kann man mit nur einem Endgerät durchs I-Net schlendern, anstatt mit allen :)

Ja genau. Ich gehe nur mit dem einen PC ins Internet, da habe ich dann keine vertraulichen Daten drauf. :)

Hawkster schrieb:Anonymes surfen via VPN ist auch eine Option.

Was bedeutet das?
Und würde es schon ausreichen, wenn ich nicht als Admin surfe?

@Hawkster

Hawkster schrieb:Ich hoffe doch das niemand glaubt er könne ein infiziertes System mit 100%iger Sicherheit wieder säubern, oder?

Ich nehme an, das wäre nicht möglich, weil auch das Bios infiziert wäre?
Könnte man eigentlich in einem Laptop das Bios auswechseln (wennn man wüsste wo es steckt ;) )?

@Optimist

Ich fange unten an :)

Du solltest Dein System nicht einmal mit Adminrechten booten :) Für den "normalen" Gebrauch sollte man ein einfache "Nutzerkonto" anlegen und sich damit einloggen. So sichert man die kritischen Bereiche bei Windows ein wenig, weil für diverse Bereiche kein Zugriffserlaubnis besteht und somit auch gewissen Dinge nicht ausgeführt werden können.

Wie erkläre ich das mit der Sandbox? :)

Der erste Satz bei Wiki macht das mal für mich:

Sandbox ist die englischsprachige Bezeichnung für Sandkiste oder Sandkasten und bezeichnet allgemein einen isolierten Bereich, innerhalb dessen jede Maßnahme keinerlei Auswirkung auf die äußere Umgebung hat.

(Quelle: Wikipedia: Sandbox)

auch zum Thema VPN lasse ich Wiki sprechen :)
Wikipedia: Virtual Private Network

Optimist schrieb:Ja genau. Ich gehe nur mit dem einen PC ins Internet, da habe ich dann keine vertraulichen Daten drauf. :)

Sehr vernünftig, denn wenn dann Dein System infiziert ist, dann eben nur dieses eine :)
Eine sogenannte Notfall-DVD ist für den Fall der Fälle auch nicht schlecht :) (http://www.computerbild.de/download/COMPUTER-BILD-Notfall-DVD-Free-3127466.html)

Optimist schrieb:Ich nehme an, das wäre nicht möglich, weil auch das Bios infiziert wäre?
Könnte man eigentlich in einem Laptop das Bios auswechseln (wennn man wüsste wo es steckt ;) )?

Nein, BIOS-Root-Kits sind wohl eh die Seltenheit. Zum Glück :) Das Problem bei einem infizierten System ist, das man nicht weiss wie tief das ganze geht. Es braucht nur einen "kleinen Befehl" und schon ist er wieder da. Bsp: Dein AV-Programm sagt dir nach dem Neustart mit Startzeit-Prüfung: "Alles in Ordnung"... während des weiteren hochfahrens wird durch eine ini-datei, oder einen Eintrag oder Befehl woanders der Virus neu gestartet, kann es wieder zu spät sein. Denn: Wenn Dein AV-Programm das starten der Virus-Datei beim ersten mal nicht als solchen erkannt hat, ist die Möglichkeit groß das es wieder keinen erkennt. Vielleicht weil gut getarnt.

Mit dem BIOS-Chip ist das so eine Sache. Den kannst Du natürlich wieder löschen und neu beschreiben (virenfrei :) ) und dann sollte alles wieder gut sein. Ob ein BIOS-Chip austauschbar ist, hängt vom Mainboard ab. Ist er gesockelt, dann ja... wenn verlötet, dann nein.... also theoretisch kannst Du auch einen neuen BIOS-Chip einlöten... ich kenne aber niemanden der das macht :) Kosten/Nutzenfaktor wäre auch nicht der Beste :D

@Hawkster

Ja genau. Ich gehe nur mit dem einen PC ins Internet, da habe ich dann keine vertraulichen Daten drauf. :)

-->
Sehr vernünftig, denn wenn dann Dein System infiziert ist, dann eben nur dieses eine :)

Was ist jedoch, wenn ich an den "Surf-PC" eine Festplatte ranhänge (zwecks Backup) und diese Festplatte dann an meinen normalen PC ranhänge (zwecks Zusammenführung von Daten usw...)?

Dann kann ich doch sicher auch den anderen infizieren?
Könnte aber durch diese mögliche Infizierung auch das PC-SYSTEM des normalen PC infiziert werden?

Mir ist von früher noch "Bootsektor" in Erinnnerung ... dass dieser infiziert werden könnte. Beinhaltet die Infizierung DIESES Sektors u.a. auch "Infizierung des Systems" ? Also ich meine, wenn der Bootsektor verseucht ist, ist dann somit das System verseucht?

Hawkster schrieb:Mit dem BIOS-Chip ist das so eine Sache. Den kannst Du natürlich wieder löschen und neu beschreiben (virenfrei :) )

Wenn man den PC mit der BS-DVD richtig platt gemacht hat, wurde dann das Bios auch mit überschrieben?

Mit jeder Antwort von dir tun sich für mich immer mehr Fragen auf. ;) , um so mehr freue ich mich, dass Du (und die Anderen) es mir prägnant, einfach und anschaulich erklärst - halt so dass ich als Laie es gut verstehen kann. :)

Was ist jedoch, wenn ich an den "Surf-PC" eine Festplatte ranhänge (zwecks Backup) und diese Festplatte dann an meinen normalen PC ranhänge (zwecks Zusammenführung von Daten usw...)?

Dann kann ich doch sicher auch den anderen infizieren?
Könnte aber durch diese mögliche Infizierung auch das PC-SYSTEM des normalen PC infiziert werden?

Mir ist von früher noch "Bootsektor" in Erinnnerung ... dass dieser infiziert werden könnte. Beinhaltet die Infizierung DIESES Sektors u.a. auch "Infizierung des Systems" ? Also ich meine, wenn der Bootsektor versucht ist, ist dann somit das System verseucht?

Selbstverständlich solltest Du nur Dateien auf eine (zB) externe Platte oder einen anderen PC/Notebook usw kopieren, wenn Dein "Surf-PC" "virenfrei" und die zu kopierenden Dateien ebenfalls frei von Viren sind. Das "muss" vorher gescannt werden :).
Bei Viren im Bootsektor hat meistens ein "fdisk/mbr" geholfen. Und wenn das nicht geholfen hat, gabs von Avira (falls ich nicht irre) ein Programm um "Bootviren" zu entfernen.

Optimist schrieb:Wenn man den PC mit der BS-DVD richtig platt gemacht hat, wurde dann das Bios auch mit überschrieben?

Nein, das BIOS hat nichts mit dem Betriebssystem zu tun. Im BIOS sind die für den Start notwendigen Treiber und Anweisungen enthalten. Hier wird das System (die Hardware) kurz gecheckt und "minimal" zum Laufen gebracht. Ohne das BIOS hättest Du einen Haufen teurer Schaltkreise :) ohne echte Funktion.

@Hawkster
steigerst du dich da gerade etwas rein? :D

PS: Ich bezweifle dass hier mehr als die Hälfte der User ein Surf-Benutzerkonto hat.
Ich heiße das ja nicht gut, aber es ist halt so, dass nach meiner Erfahrung 97% der User über den Admin rein gehen.

Cesair schrieb:steigerst du dich da gerade etwas rein? :D

Wars das oder gibt es noch etwas Kontext oder eine Reaktion auf irgendeinen Beitrag von mir der inhaltlichen Sinn hat?

@Hawkster

Hawkster schrieb:Wars das oder gibt es noch etwas Kontext oder eine Reaktion auf irgendeinen Beitrag von mir der inhaltlichen Sinn hat?

wie du selbst weißt hast du mit dem, was du gesagt hast Recht.
Dem stimme ich zu, Satz für Satz.

Allerdings (was du, weil ich den Beitrag später bearbeitet habe wohl nicht sehen konntest):

Cesair schrieb:Ich heiße das ja nicht gut, aber es ist halt so, dass nach meiner Erfahrung 97% der User über den Admin rein gehen.

und soweit ich das sehe, widersprichst du mir ja, abgesehen von meinem reinen (begrenzten) Erfahrungswerten ja auch nicht, also ist ja alles gut, ich war nur verwundert über deine recht strikte Schreibweise.

Cesair schrieb:wie du selbst weißt hast du mit dem, was du gesagt hast Recht.

Nun, ich hoffe ehr dass das was ich schreibe/sage richtig ist. Das was ich weiter gebe ist ja auch nur das was ich mal gelernt, gelesen und/oder gehört habe und ich erheben keinerlei Anspruch auf die 100%ige Richtigkeit meiner Angaben. Wenn ich falsch liege, freue ich mich wenn ich etwas neues lernen kann. Das ist für mich der Hauptgrund aus dem die Foren benutze :)

Cesair schrieb:Allerdings (was du, weil ich den Beitrag später bearbeitet habe wohl nicht sehen konntest):

Das ist wohl wahr :D
Und zu:

Cesair schrieb:PS: Ich bezweifle dass hier mehr als die Hälfte der User ein Surf-Benutzerkonto hat.
Ich heiße das ja nicht gut, aber es ist halt so, dass nach meiner Erfahrung 97% der User über den Admin rein gehen.

Mit Deiner Schätzung dürftest Du auch gut liegen. Das Problem ist, dass die Benutzer nicht wirklich gesagt bekommen was sie wie machen sollten. Es wird ein Rechner gekauft, Win ist drauf und schon gehts los. Da fehlt einfach ein wenig Erfahrung, Wissen und Einarbeitung.
Ich muss gestehen das ich seit einiger Zeit (sehr fahrlässig) mit Admin-Konto unterwegs bin, auf Desktop und Notebook, und das obwohl ich es besser weiss, wissen müsste. Aber ich scheine mich ein wenig auf mein AV-Programm, meinen Router und meine (zusätzlich und damit oft überflüssig) Win-Firewall zu verlassen. Allerdings habe ich seit mindestens 4 oder 5 Jahren keinen Virus mehr im System gehabt. Hatte vielleicht etwas Glück :) und kann nur davon abraten.

Cesair schrieb:ich war nur verwundert über deine recht strikte Schreibweise.

Ja, das kann schon mal vorkommen, wenn ich das Gefühl habe das ich "etwas" etwas deutlicher machen muss... oder besser: möchte. :D

Hawkster schrieb:Ja, das kann schon mal vorkommen, wenn ich das Gefühl habe das ich "etwas" etwas deutlicher machen muss... oder besser: möchte.

kein Problem, besser so als wischiwaschi.

Hawkster schrieb:Aber ich scheine mich ein wenig auf mein AV-Programm, meinen Router und meine (zusätzlich und damit oft überflüssig) Win-Firewall zu verlassen

Ich war egtl jahrelanger treuer Kunde von Kaspersky (seit WinXP), bin aber nun seit Win8 ohne AV-Programm unterwegs. Ich denke persönlich, dass wenn man etwas aufpasst, größtenteils auch wenig passieren kann. Leider gibt es (wie ich finde) nur sehr wenige gute und vor allem objektive Tests von AV-Programmen, was die Wahl deutlich erschwert.
Aber bisher muss ich sagen hatte ich im Vergleich zu früher noch keinerlei probleme was das angeht, was wohl auch am veränderten verhalten im Internet liegt.

@Cesair

Absolut, leider gibt es keine wirklich guten Tests für AV-Programme. Ich habe mein dezeitiges ehr zufällig gefunden. Früher habe ich Avira und ähnliches verwendet. Allerdings haben diese immer viele Systemresourcen beansprucht, auch im HG-Betrieb. Dazu kamen schlechte Updatezyklen für die Signaturdatenbanken und das ist mit das wichtigste.
Ich bin dann zu Avast gekommen, wie die Jungfrau zum Kind. Und seit ca. 5 Jahren benutze ich es und bin hoch zufrieden. Mehrmals täglich werden die Signaturen upgedatet, Internetseiten die einen vermeintlichen Schadcode enthalten (java-script oä) lässt er garnicht erst laden (kann man zwar, aber wer dann was einfängt ist selber schuld :D ). Er scannt sehr zuverlässig meine E-Mails und so weiter. Der Funktionsumfang der Free-Version ist klasse. Und: Seit ich Avast benutze habe ich keinen Virenbefall mehr gehabt, alles wurde vorher abgefangen.

Das Surfverhalten ist sicher auch ein Grund, man lernt ja dazu (hoffentlich) und klickt nicht mehr jeden Mist an :D

@Cesair

Cesair schrieb:Ich war egtl jahrelanger treuer Kunde von Kaspersky (seit WinXP), bin aber nun seit Win8 ohne AV-Programm unterwegs. Ich denke persönlich, dass wenn man etwas aufpasst, größtenteils auch wenig passieren kann. Leider gibt es (wie ich finde) nur sehr wenige gute und vor allem objektive Tests von AV-Programmen, was die Wahl deutlich erschwert.
Aber bisher muss ich sagen hatte ich im Vergleich zu früher noch keinerlei probleme was das angeht, was wohl auch am veränderten verhalten im Internet liegt.

Hätte alles genauso von mir sein können. :)


@Hawkster

Hawkster schrieb:Du solltest Dein System nicht einmal mit Adminrechten booten :) Für den "normalen" Gebrauch sollte man ein einfache "Nutzerkonto" anlegen und sich damit einloggen.

Wie meinst du das, "nicht einmal mit Adminrechten" booten?

Ich habe nun ein "surf-Konto", bin damit also nicht der Admin. Wenn ich boote, dann bekomme ich doch erst NACH dem Booten die Abfrage bei welchem Konto ich mich anmelden will? Also boote ich doch zwangsläufig - ohne dies ändern zu können - erst mal als Admin, oder mache ich jetzt einen Gedankenfehler?


Was haltet Ihr von MC-Afee?

Übrigens mein neuer Win 8.1-Laptop lief 4,5 Stunden und nicht nur 3 wie es Testberichte beschrieben. :)

@Optimist
einfach IMMER im abgesicherten Modus arbeiten ;D

Ich habe nun also ein "surf-Konto", bin damit also nicht der Admin. Wenn ich boote, dann bekomme ich doch erst NACH dem Booten die Abfrage bei welchem Konto ich mich anmelden will? Also boote ich doch zwangsläufig - ohne dies ändern zu können - erst mal als Admin, oder mache ich jetzt einen Gedankenfehler?

Ja, einen kleinen "Denkfehler" hast Du da.
Wenn der PC hochfährt, lädt er die für alle Profile notwendigen Treiber und Einstellungen.
Wenn Du zu dem "Fenster" kommst wo Du das Profil auswählen musst, wird der Startvorgang gestoppt, bis Du ein Profil gewählt hast. Erst jetzt werden die entsprechenden Rechte/Berechtigungen geladen und eingerichet. Somit booteste Du nicht erstmal mit "Adminrechten".

Optimist schrieb:Was haltet Ihr von MC-Afee?

McAfee, Avira und Co. habe ich vor Jahren aussortiert, eben aus oben genannten Gründen. Ich denke aber auch das bei der Wahl eines AV-Programms subjektiv vorgegangen wird, persönliche Erfahrungen und/oder Meinungen/Empfehlungen von Freunde/Bekannten.

@Cesair

Cesair schrieb:einfach IMMER im abgesicherten Modus arbeiten ;D

Das macht doch keinen Spaß, da bekommt man doch Augenkrebs :D

Hawkster schrieb:Erst jetzt werden die entsprechenden Rechte/Berechtigungen geladen und eingerichet. Somit booteste Du nicht erstmal mit "Adminrechten".

Da bin ich beruhigt. :)

McAfee ist nun einmal von Haus aus bei mir drauf. Bis jetzt macht es einen guten Eindruck, auch was die Geschwindigkeit des PC betrifft. Hab natürlich auch keinen Vergleich, wie es ohne wäre.

ad 1 macafee ist schrott :))

ad2, kein scanner erkennt alles, bietet auch keine sicherheit sondern nur eine geringere chance auf infektion.

ad3 bester schutz ist menschenverstand

ad4 wenn ad3 nicht funktioniert bei infektion generell neu aufsetzen bzw ein sauberes image haben.
dabei ist es hilfreich wenn daten und sys per partition getrennt sind.

entfernen ist möglich aber 100% sicher ist man dann nie, ist auch dem laien weniger zu empfehln.


neuestes teil das mit untergekommen ist lässt einen proxyserver im stealht im hintergrund mitlaufen und inject dann viren in normale seite :)) zu sehen ist das teil nicht als regulärer task oder service.

am besten - macht eine saubere installation mit all der notwendigen software, setzt alle settings, legt manuell die üblichen folder wie dokumente etc auf die andere partition dann ein image ziehen.
bei infektion dann einfach zurückspielen

die browserdaten lassen sich ständig per sync aktuell halten, eventuell noch ein tägliches filebackup für dinge die sich nicht auf die datenpartition schieben lassen

@bofh

bofh schrieb:d4 wenn ad3 nicht funktioniert bei infektion generell neu aufsetzen bzw ein sauberes image haben.

Was nützt das wenn das Bios angenommen verseucht ist?

bofh schrieb:neuestes teil das mit untergekommen ist lässt einen proxyserver im stealht im hintergrund mitlaufen und inject dann viren in normale seite :)) zu sehen ist das teil nicht als regulärer task oder service

Was meinst du mit "normaler Seite"? ganz normale Webseiten wie z.B. Web.de oder allmystery.de?

@Optimist

Optimist schrieb:Also boote ich doch zwangsläufig - ohne dies ändern zu können - erst mal als Admin, oder mache ich jetzt einen Gedankenfehler?

Schau, wenn ein Windows-Rechner bootet, ist da bis zur Anmeldung kein Benutzer mit Login-Rechten involviert. Es sei denn, man hat ein Dienst installiert / konfiguriert, der explizit mit den Rechten eines angelegten Benutzers läuft (ein sogenannter Service Account). Der Bootvorgang selbst wir mit einem Benutzer "System" ausgeführt. Dieser Benutzer hat die höchsten Rechte auf einem Windows-System. Alle Rechte, die ihm fehlen, kann er sich nehmen.

bofh schrieb:neuestes teil das mit untergekommen ist lässt einen proxyserver im stealht im hintergrund mitlaufen und inject dann viren in normale seite :)) zu sehen ist das teil nicht als regulärer task oder service.

Wäre schön wenn Du den erwähnten Virus auch benennen könntest und eine Link dazu wäre auch schön.
Ich fände es auch gut, wenn Du den Teil mit "inject dann viren in normale seite" erklären könnest, da es so für mich nicht viel Sinn ergibt.
Oh, einen Proxyserver richtet mein AV-Programm auch ein, darüber wird der "Web-Schutz" realisiert.

bofh schrieb:die browserdaten lassen sich ständig per sync aktuell halten, eventuell noch ein tägliches filebackup für dinge die sich nicht auf die datenpartition schieben lassen

und wohin soll die sync gehen? Am besten in die Cloud, oder? :D Weil es da ja so kuschlig und sicher ist.


@ornis

Jau, das ist schön erklärt. :)