Meiner Ansicht nach gehen Virenscanner am Kern des Problems vorbei.
Vom Standpunkt kompromissloser Sicherheit aus gesehen, ist ein PC, auf dem einmal Spyware oder ein Trojaner/Wurm/Virus war, kompromittiert und nur durch vollständige Neuinstallation des Betriebssystems und aller Anwendungen wieder sicher zu bekommen.
Man kann theoretisch nämlich nie wissen, ob der Programmierer eines Entfernungswerkzeugs wirklich alle Schadfunktionen des jeweiligen Schädlings entdeckt hat, zumal insbesondere über Trojaner auch ein Mensch in den PC eingedrungen und dort weitere Änderungen vorgenommen haben könnte (z.B. Anlegen eines neuen Benutzers mit Adminrechten), die auch nach der Entfernung des Trojaners bestehen bleiben.
Sinn haben also aus dieser Perspektive nur Virenscanner, die verhindern, dass ein PC kompromittiert wird, indem sie z.B. in das System gelangende Dateien überprüfen,
bevor diese zur Ausführung kommen. Spywarescanner dienen dazu, bereits auf dem PC installierte Spyware zu entfernen, und dies bedeutet, dass die Spyware unzählige Möglichkeiten hat, den Spywarescanner zu überlisten.
Wichtig in beiden Fällen: Aktuelle Scanner benutzen!!!
Ein 3 Wochen alter Scanner nützt nämlich
garnichts gegen aktuelle Bedrohungen.
Am besten täglich aktualisieren!
Langfristig führt kein Weg daran vorbei, ein System auf dem sauberen Weg sicher zu machen.
Und das bedeutet: Dedizierte Rechte für jede einzelne Anwendung und keine Adminrechte mehr zum normalen Arbeiten.
Praktisch keine Spyware kann sich in einem Windows-XP-System festsetzen, wenn der Anwender mit den Rechten eines normalen
Benutzers angemeldet ist.
Und wenn erst einmal der Browser im Kontext eines nicht-privilegierten Benutzers läuft, sind auch die meisten Browser-Attacken keine Bedrohung mehr
(wenn man von \"psychologischen Tricks\" wie gefälschten Bank-Seiten absieht).
Ich verstehe nicht, warum sich Microsoft immer noch so vehement dagegen sperrt, dies zur Standardeinstellung zu machen, zumal in vielen Unternehmen jetzt schon selbstverständlich ist, dass die Angestellten mit normalen Benutzerrechten arbeiten.
Mit dem SP2 hätten sie
die Gelegenheit dazu gehabt, denn dort mussten sich die Anwender so oder so umgewöhnen.
Aber stattdessen baut man zusätzliche Hürden auf, die lediglich an den Symptomen herumdoktern (anwendungsbezogene Firewall, Ausbremsen einer hohen Zahl gleichzeitiger Verbindungsanfragen etc.), jedoch von jedem mit Adminrechten laufenden Programm umgangen werden können.
Solange Microsoft selbst nicht vorprescht, gleicht die Situation einem Henne-Ei-Problem:
Ohne Adminrechte laufen viele Programme nicht, weil kaum jemand ohne Adminrechte arbeitet (und die Programmierer eine Anpassung deshalb oft für unnötig halten oder sich des Problems gar nicht bewusst sind), und kaum jemand arbeitet ohne Adminrechte, weil dann viele Programme nicht (zumindest nicht ohne zusätzlichen Aufwand) laufen.
Wenn das so weitergeht, ist der Benutzer auch noch in zehn Jahren unter Betriebssystemen aus Redmond standardmäßig als Administrator angemeldet.
Aber irgendwie muss ja auch der Bedarf nach Viren- und Spywarescannern stabilisiert werden, denn schließlich hat Microsoft vor einiger Zeit Beteiligungen an Herstellern von beidem erworben..
Zu Frankys Problem:
Aktuellen Virenscanner besorgen!
Fetsplatte scannen, ggf. reparieren...
win32/sdbot
Suche unter HKEY_LOCAL_MACHINE die Einträge:
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKLMSoftwareMicrosoftWindowsCurrentVersionRunServices
Entferne alle Verweise auf alle gelöschten Dateien.
Das ist sehr schön, so soll es sein!
Warum das schön ist?
Nun, wenn man immer unter einem Benutzeraccount mit beschränktem Zugriff arbeitet, dann darf der das gar nicht erst und man ist somit vor ihm sicher.
Wenn man nicht als Administrator unterwegs ist darf der Wurm hier eigentlich garnichts eintragen! :-)
Jeder Benutzer hat einen Registrierungsbereich namens HKEY_USERS[Codeziffer des Benutzers].
Suche für jeden Benutzer den Eintrag:
HKU[Codeziffer]SoftwareMicrosoftWindows
CurrentVersionRun
Entferne alle Verweise auf alle gelöschten Dateien.
Und, wie kann man sich mit js.loop infizieren?
Die erste Meldung daruber ist vom 8.10.2001!
Jeder halbwegs aktuelle Scanner hätte den
sofort entdecken und entfernen sollen...
Links:
http://www.virus-aktuell.de
http://www.heisec.de
P.S. @domingo
Kennst du schon die edit-Funktion?
--
Aussagen sind stets IMHO und ohne Gewähr,
Ausnahmen bestätigen die Regel,
Regeln gelten nur im Prinzip.
Auf Unvollständigkeit wird ausdrücklich hingewiesen!
![[Bild: bart2.gif]](http://aldomania.de.vu/pics/sonstige/bart2.gif)
Suche
Mitglieder
Kalender
Hilfe
