Es ist möglich , dass Malware bei einer Neuformatierung und Neuinstallation bestehen bleibt, wenn sie ausreichend ausgeklügelt und ausgefeilt ist: z. B. kann sie im BIOS und in der Firmware für Peripheriegeräte bestehen bleiben ( Einige Hardwaregeräte verfügen über Firmware, die aktualisiert werden kann und daher möglicherweise mit schädlicher Firmware aktualisiert wird, oder über einen Virus, der Datendateien auf Wechseldatenträgern oder auf Ihren Backups infiziert.

Die meisten Malware-Programme funktionieren jedoch nicht alles ziemlich so böse. Obwohl es keine Garantien gibt, sollten Sie durch Neuformatierung und Neuinstallation fast alle Malware entfernen, auf die Sie in freier Wildbahn wahrscheinlich stoßen.

Persönlich würde ich mich über eine Neuformatierung und Neuinstallation freuen Neuinstallation. In der Praxis ist es wahrscheinlich gut genug.

Es ist definitiv möglich, dass ein etwas ausgefeilter Angreifer Malware außerhalb der direkten Reichweite des Betriebssystems lässt. Die Neuinstallation des Betriebssystems bedeutet höchstens ein Löschen der Festplatte. Auch dort müssen Sie vorsichtig sein, wenn Sie Daten wiederherstellen, die möglicherweise kompromittiert wurden.

Malware kann in einem der vielen wiederbeschreibbaren Speicher gespeichert werden, die in nahezu jeder Komponente eines modernen Computers lauern. Diese Speicher speichern die Firmware dieser Komponente und sind normalerweise wiederbeschreibbar. Alles, was es braucht, ist die richtige Adresse zu kennen, und die Hersteller stellen normalerweise Tools zum Aktualisieren der Firmware zur Verfügung. Der Angreifer muss also nur seinen eigenen Code ersetzen (es gibt fast nie eine Kryptografie).

Zum Beispiel gibt es einen bekannten (und ziemlich einfachen) Exploit für Apple-Tastaturen, der von K gefunden wurde. Chen. Chens Präsentation zeigt, wie Sie den verfügbaren Speicher (nur etwa 1 KB übrig) nutzen können, um eine Shell an einem TCP-Port durch Einfügen von Tastenanschlägen zu öffnen oder Tastenanschläge in einem Kontext zu protokollieren, in dem eine Passphrase erwartet wird, und diese wiederzugeben.

Ein weiteres Beispiel für eine Firmware-Sicherheitsanfälligkeit in freier Wildbahn finden Sie unter CVE-2010-0104: Broadcom NetXtreme-Management-Firmware-ASF-Pufferüberlauf. Dies ist ein Fehler in einer Ethernet-Firmware, der es einem Angreifer ermöglicht, die Kontrolle über die Netzwerk-Firmware (und damit zumindest aktiv den gesamten Netzwerkverkehr aktiv) und möglicherweise über den gesamten Computer (ich weiß nicht, ob es einen Exploit gibt) zu übernehmen dafür, aber sobald Sie Zugang zum PCI-Bus haben, bezweifle ich, dass vieles gesperrt ist). Interessanterweise ist diese Sicherheitsanfälligkeit auf einem ausgeschalteten Computer am einfachsten auszunutzen, da sich der Fehler in einem Remoteverwaltungsprotokoll-Parser befindet, der insbesondere Wake-on-LAN behandelt.

Ein weiteres Beispiel ist erneutes Flashen eines Festplattencontrollers (vorgestellt auf der OHM 2013).

Bei dieser Frage wird nach Firmware auf Grafikkarten gefragt. Während ich schreibe, hat niemand ein Beispiel für eine Malware in freier Wildbahn gegeben, aber die Möglichkeit ist definitiv vorhanden.

Auf einem typischen PC gibt es keinen wirklichen Schutz gegen kompromittierte Firmware. Sie müssen jeden einzelnen Flash-Speicher im Computer im Auge behalten. Es wird versucht, die Authentifizierung der Firmware zu verlangen. Auf PCs ist das TPM das fortschrittlichste, das derzeit die Integrität des BIOS und des Betriebssystem-Bootloaders überprüfen kann, wenn Sie über die erforderliche Hardware und ein BIOS verfügen, das dies unterstützt. Mir ist kein PC bekannt, bei dem die Firmware aller Komponenten auf Integrität überprüft wird (zumindest bevor sie auf den PCI-Bus zugreifen dürfen). In der Smartphone-Welt gibt es ähnliche Bemühungen, die Sicherheitsfunktionen von ARM-Chips nutzen, aber auch hier ist es weit entfernt von der Existenz von Sicherheitsfunktionen bis zur Aufnahme aller Firmware in die vertrauenswürdige Basis.

In der Praxis müssen Sie sich keine großen Sorgen machen, wenn Sie kein hochkarätiges Ziel sind. Es gibt keine Exploits in freier Wildbahn auf Script-Kiddie-Ebene. Aber die Möglichkeiten sind für Ihren Angreifer mit technischen Fähigkeiten (oder den Mitteln, einen erfahrenen Hacker einzustellen) weit verbreitet.

Firmware-Angriffe werden mit der Zeit immer einfacher. Auf der Black Hat USA 2012 präsentierte Jonathan Brossard „eine generische Proof-of-Concept-Malware für die Intel-Architektur Rakshasa, die mehr als hundert verschiedene Motherboards infizieren kann“. Der Proof-of-Concept (nicht öffentlich veröffentlicht) infiziert viele BIOS und gängige Peripheriegeräte, einschließlich Netzwerkchips. Es ist nur eine Frage der Zeit, bis solche Firmware-Infektions-Frameworks in freier Wildbahn erscheinen. Es wurde berichtet, dass die NSA das Einpflanzen von Spyware in das BIOS bevorzugt.

Neben dem Verstecken Ihres Codes zwischen verschiedenen Peripheriegeräten ist der Bootsektor-Virus eine alte Technik, die ein Comeback feiert. Torpig / Sinowal / Anserin ist das jüngste Beispiel für den umsichtigen Einsatz dieser Technik. Kurz gesagt, sobald der Virus infiziert ist, lädt er Bootstrapping-Code in den MBR. Wenn diese Technik verwendet wird, kann man erwarten, dass der in den MBR geladene Code Folgendes bewirkt:

1. Überprüfen Sie, ob der Virus vorhanden ist.
2. Wenn nicht, laden Sie ihn herunter und erneut infizieren
ol>

Die einzige Möglichkeit, so etwas zuverlässig zu bereinigen, um den MBR zu bereinigen. Entweder durch erneutes Partitionieren oder mit einem Tool wie fixmbr. Daher reicht es nicht aus, nur eine Neuinstallation und manchmal ein Format / eine Neuinstallation durchzuführen.

Hängt davon ab, was Sie als "Neuinstallation" betrachten.

Neben dem, was D.W. Erwähnt, einige Dinge könnten beispielsweise in "System Volume Information" - und / oder Recycler-Verzeichnissen (Systemwiederherstellungs- und Papierkorbverzeichnisse) auf zusätzlichen Partitionen verbleiben. Das könnte bei einer neuen Windows-Installation leicht reaktiviert werden, funktioniert aber unter Ubuntu höchstwahrscheinlich nicht. Wenn all diese anderen Partitionen nicht desinfiziert werden, bedeutet dies möglicherweise, dass sich irgendwo in diesen Verzeichnissen noch Malware befindet - wahrscheinlich wird nichts unternommen, nur auf bessere Tage gewartet, bis Windows neu installiert wird]: -> aber immer noch da. Ich würde vorschlagen, dass Sie nach der Installation von Ubuntu clamav installieren, aktualisieren und alles, was Sie haben, erneut scannen.

Wenn Sie wirklich alles formatieren, gibt es immer noch die Punkte DW gemacht.

Schädlicher Code im BIOS / in der Firmware ist möglich, aber viele realistischere Bedrohungen werden oft übersehen. Zwei Beispiele auf den ersten Blick:

Betriebssystem-Repos / Images: Sie sind möglicherweise kompromittiert, sodass Sie jedes Mal, wenn Sie Ihre Systeme neu erstellen, ein Backdoor-Betriebssystem oder eine Backdoor-Software neu installieren.

Out-of-Band-Management: HP ILO, Dell IDRAC oder IPMI. Selbst wenn Sie Ihr System neu installieren, weiß jeder, der es kompromittiert hat, möglicherweise bereits, dass es eine Out-of-Band-Verwaltung mit verfügbarem Konsolenzugriff gibt.

Ich denke, die Antwort darauf hängt von der Art der Bedrohungen (und Angreifer) ab, die Sie in Betracht ziehen, um gegen Ihren PC vorzugehen.

ALLGEMEIN - Wenn Sie eine "echte" Wiederholung durchführen -Formatieren Sie die Festplatte des Computers (einschließlich, wie einige andere Poster bereits erwähnt haben, der Bootsektoren) und installieren Sie dann ein neues Betriebssystem (hoffentlich etwas anderes als Microsoft Windows ... aber auch Windows wird es tun, solange Sie es tun installieren es von einer DVD im Gegensatz zum "Wiederherstellen" von der "Wiederherstellungspartition" des Herstellers, die natürlich leicht durch dieselbe Malware kompromittiert werden könnte, die der Grund für die Neuerstellung des Betriebssystems ist.) In den meisten Anwendungsfällen unter den meisten Bedingungen sollte dies ein akzeptables Maß an Sicherheit bieten, dass der Computer zum Zeitpunkt der ersten Verwendung nicht "vorab gefährdet" wird.

Nun, nachdem Sie dies gesagt haben Bitte beachten Sie, dass es, wie frühere Poster richtig gezeigt haben, definitiv eine Reihe fortgeschrittener Malware und p gibt Angriffe auf physische / BIOS-Manipulationen, die die Basisinfrastruktur des Computers so stark beeinträchtigen können, dass die einzig 100% sichere Vorgehensweise darin besteht, sie einfach zu verschrotten und auf einen anderen PC zu übertragen.

Nach meiner Erfahrung Diese Arten von Angriffen sind sehr selten, aber wenn Sie sich (zum Beispiel) in einer Umgebung mit hoher Bedrohung befinden (z Sie sind ein chinesischer oder iranischer Dissident, Sie sind Edward Snowden usw.) Sie gehen am besten kein Risiko ein ... insbesondere, wenn es wahrscheinlich ist, dass ein Angreifer irgendwann physischen Zugriff auf den betreffenden PC hatte . (Die NSA ist Experte für das Einpflanzen von BIOS- und Hardware-Kompromissen, die von niemandem außer einem anderen Geheimdienst auf nationaler Ebene erkannt oder entfernt werden können.)

Im Übrigen möchte ich eine weitere Bedrohung erwähnen, die zu viele Menschen beim Initialisieren eines "neuen" PCs vergessen: nämlich "dasselbe lokale Zugriffskennwort, insbesondere das Administratorkontokennwort, das ich auf dem letzten PC verwendet habe ". Die Logik dahinter ist einfach: "Ich habe eine Hintertür auf Ihrem 'alten' PC installiert und Ihr Passwort abgefangen. Wenn ich also sehe, dass Ihr 'neuer' PC im Internet angezeigt wird ... raten Sie mal, welches Passwort das erste ist, das das ist." Ich werde es versuchen, wenn ich versuche, in den 'neuen' PC einzudringen? "

Hier ist übrigens ein schmutziger Trick: Richten Sie ein" Dummy "-Konto mit null Berechtigungen ein und haben es wird sorgfältig überwacht, unter Verwendung des "alten" Passworts ... und abwarten, was passiert. Tatsächlich richten Sie einen lokalen "Honeypot" ein, um die Schurken anzulocken, die Ihren "alten" PC kompromittiert haben. Es besteht natürlich immer die Möglichkeit eines Exploits zur Erhöhung von Berechtigungen. Sie sollten also sehr vorsichtig sein, um das "Dummy" -Konto zu sperren. Selbst wenn sich jemand erfolgreich authentifiziert, kann er nirgendwo hingehen oder irgendetwas tun. P. >

Der Punkt ist, ändern Sie sofort alle Ihre Passwörter, wenn Sie glauben, kompromittiert worden zu sein. Und vertrauen Sie nichts , das möglicherweise physisch beeinträchtigt wurde. Wenn Sie dies tun, sollten Sie vor (fast) allen wahrscheinlichen Bedrohungen sicher sein.

Es ist meine Gewohnheit, den Bootsektor auf Null zu setzen und das BIOS auch in solchen Fällen zu aktualisieren (oder einfach neu zu flashen), um eine besonders belastbare Persistenz zu vermeiden. Es ist fast immer unnötig, da Viren normalerweise entweder im Netzwerk oder im Betriebssystem bestehen bleiben. Wenn Sie jedoch sicher sein möchten, sollten Sie auch Vorsichtsmaßnahmen gegen andere Arten der Persistenz treffen.

Während ich eine andere Frage als doppelt gekennzeichnet habe, habe ich auch die Antwort geschrieben. Daher lasse ich diese hier, nur für den Fall, dass sie für jemanden nützlich ist:

Um realistisch zu sein, Dadurch werden meistens alle Arten von Malware entfernt.

Aber.

< paranoider Modus>

Bootkits: https://macpablodesigns.wordpress.com/2009/10/01/bootkits-what-is-bootkit-and-why-should-it-concern-you/

Ausblenden von Daten in "nicht erreichbaren" Festplattenbereichen: https://jameswiebe.wordpress.com/2015/02/18/how-to-install-undetectable-malware-on-a-hard -drive /

Andere, die mir möglicherweise fehlen.

< / paranoid mode>

Zusammenfassend. Es gibt Möglichkeiten für Infektionen, die nach diesen Neuinstallationsverfahren bestehen bleiben. Damit diese jedoch " real " bleiben, werden fast alle Standard-Malware-Infektionen beseitigt.

( sobald Sie während der Installation nicht erneut infiziert werden. Betriebssystem-Installer mit Malware / Adware wie diesen "Aktivatoren" und dergleichen ... )