PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mich hat's böse getroffen! - Trojaner


J0ph33
2007-06-17, 16:11:16
also vorweg, ich hatte eigentlich nie Viren oder Trojaner oder ähnliches bis zum jetzigen Zeitpunkt und daher auch nicht sonderlich viel ahnung auf diesem Gebiet.

Meine Konfiguration:
Windows XP SP1
AntiVir Personal Edition Classic
seit kurzem wieder die Sygate Personal Firewall
Netgear WGR 614v5

wie alles begann:
auf einmal meldete Antivir während des Surfens den Fund von Trojanern, sehr häufig sogar (was vorher nur ganz selten bei zwielichtigen Zips passiert ist)
ich habe dann, wie immer, löschen ausgewählt...
bei einem habe ich dann mal geschaut, wo das ding überhaupt sitzt, und gemerkt, das antivir es zwar findet, aber nicht löscht, wenn man es dazu anweist...es gibt auch nicht rückmeldung, dass die löschung nicht stattgefunden hat
grund war, dass jene dll (im system32-ordner) angeblich von einem anderen Programm verwendet wurde. ich habe dann versucht, jene dll im abgesicherten modus zu löschen, ohne erfolg. mit meiner zweitinstallation konnte ich die dll jedoch endgültig löschen

antivir findet momentan nur noch sehr selten trojaner, (vor ein paar Minuten mal wieder: "TR/Agent.33302 in E:\System Volume Information\_restore{91BBDE28-DB1E-4D60-923F-F4A00A289364}\RP67\A0095462.dll)
ich wie immer löschen angewählt, ob er das ausgeführt hat? keine Ahnung...

das wirkliche Problem ist allerdings mittlerweile, dass sich während des Surfens im Schnitt alle 10 Minuten der IE öffnet (ich browse mit Firefox) und irgendeine Seite öffnen will (wird von der Sygate geblockt), ganz selten öffnet sich auch eine Firefox-Fenster automatisch und will irgendwas öffnen (klappt nie, fenster bleibt weiß, in der adresszeile steht eine IP und ne menge kryptisches Zeug danach)

richtig ernst wurde es bisher nur einmal: Firefox reagierte gar nicht mehr bzw. nur noch sehr langsam. beim anschließenden runterfahren reagierte ein Programm namens "Supermwindow.exe" nicht
per google habe ich rausgefunden, dass es sich hier um ein rootkit handelt, habe mich dann erstmal daran (http://www.trojaner-board.de/37755-supermwindow.html) gehalten, F-Secure Blacklight findet nichts, e-scan findet ne menge, doch ich brauche die full, um es zu löschen, der scan ist auch noch nicht fertig

hijackthis habe ich auch noch rüberlaufen lassen, doch der findet auch nix,
hier der log:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:23, on 15.06.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
F:\SPF\smc.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\Explorer.EXE
F:\AntiVir PersonalEdition Classic\avgnt.exe
O:\Downloads\Themes\VisualTooltip21\VisualToolTip.exe
F:\WINDOWFX\wfxload.exe
F:\jajc\jajc.exe
F:\AntiVir PersonalEdition Classic\sched.exe
F:\AntiVir PersonalEdition Classic\avguard.exe
F:\FileZilla Server\FileZilla Server.exe
F:\nHancer 32bit\nHancerService.exe
F:\ntune\nTune\nTuneService.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
O:\Fraps\fraps.exe
F:\nHancer 32bit\nHancer.exe
F:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.blitzbox.de/sygate/regist...g/standard.htm
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "F:\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VisualTooltip] O:\Downloads\Themes\VisualTooltip21\VisualToolTip.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "F:\RivaTuner v2.01\RivaTuner.exe" /S
O4 - HKLM\..\Run: [SmcService] F:\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [WindowFX] F:\WINDOWFX\\wfxload.exe
O4 - HKCU\..\Run: [nHancer] "F:\nHancer 32bit\nHancer.exe" /tray
O4 - HKCU\..\Run: [NVIDIA nTune] "F:\ntune\nTune\nTuneCmd.exe" clear
O8 - Extra context menu item: in/mit BitSpirit runterladen - F:\BitSpirit\bsurl.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{67506FCC-052C-42C6-8280-A0867E4C18E6}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A1CA05D-A1FE-4A25-9BC7-D90B0902D785}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{67506FCC-052C-42C6-8280-A0867E4C18E6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS3\Services\Tcpip\..\{67506FCC-052C-42C6-8280-A0867E4C18E6}: NameServer = 192.168.1.1
O17 - HKLM\System\CS4\Services\Tcpip\..\{67506FCC-052C-42C6-8280-A0867E4C18E6}: NameServer = 192.168.1.1
O23 - Service: Adobe LM Service - Adobe Systems - E:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - F:\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - F:\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nHancer Support (nHancer) - KSE - Korndörfer Software Engineering - F:\nHancer 32bit\nHancerService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - F:\ntune\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - F:\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: ServiceLayer - Nokia. - E:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - F:\SPF\smc.exe

im hijackthis-forum empfiehlt man mir SP2 zu installieren, mehr nicht :(

Feuerpfote
2007-06-17, 16:14:33
probier mal Trojan Remover aus.
http://www.softpedia.com/get/Antivirus/Trojan-Remover.shtml

grobi
2007-06-17, 16:14:56
Ich glaub du hast es drauf ankommen lassen. Selbst schuld, sp2 stopft doch etliche Sicherheitslücken aber selbst die sicherheitspatches nach sp2 hast du wohl auch nicht. Ein backup hätte auch geholfen.

Gast
2007-06-17, 16:20:36
Win neu installieren (oder Image einspielen), alles andere ist risikobehaftet.

PatkIllA
2007-06-17, 16:20:43
neuinstallieren, dann vorher mit einem sauberen Rechnern SP2 ziehen und am besten auch noch von dem heise tool die aktuellen Updates ziehen lassen.
Und ab jetzt die Updates automatisch ziehen lassen.

Gast
2007-06-17, 16:28:57
ein solches system ist nicht mehr zuverlässig zu retten,
einzige lösung ist formatieren und neu installieren.

J0ph33
2007-06-17, 16:29:46
komisch, dass es viele gibt, die SP1 nutzen und keine probleme haben und ich auch mindesten zwei jahre ohne probleme mit SP1 ausgekommen bin....

liegt es wirklich nur daran?!

_DrillSarge]I[
2007-06-17, 16:31:57
mal mit virustotal scannen und log posten
http://www.virustotal.com/en/indexf.html

€: sys plattmachen und neu installieren + sp2 wäre das beste (natürlich auch alle updates ziehen)
kannst auch bevor du ins i-net gehst auf nem sauberen pc (kunpel oder so) das c't offline update ziehen und dann auf deinem NEU aufgesetzten rechner installieren
http://www.heise.de/ct/projekte/offlineupdate/

Gast
2007-06-17, 16:34:25
komisch, dass es viele gibt, die SP1 nutzen und keine probleme haben und ich auch mindesten zwei jahre ohne probleme mit SP1 ausgekommen bin....

liegt es wirklich nur daran?!

Die merken vielleicht nichtmal was, spammen aber das Internet zu.

PatkIllA
2007-06-17, 16:36:26
komisch, dass es viele gibt, die SP1 nutzen und keine probleme haben und ich auch mindesten zwei jahre ohne probleme mit SP1 ausgekommen bin....

liegt es wirklich nur daran?!
Nur daran sicher nicht aber mit den hunderten offenen Sicherheitslücken bist du das ideale Angriffsziel.
Heutzutage ist die meiste Malware auch extra dafür ausgelegt, dass der Benutzer sie nicht merkt, so dass der Rechner im Botnetz seine Arbeit machen kann.

_DrillSarge]I[
2007-06-17, 16:43:16
mal GMER laufen lassen
http://www.gmer.net/gmer.zip

The Cell
2007-06-17, 16:48:50
Plattmachen, alles andere ist Zeitverschwendung

J0ph33
2007-06-17, 16:54:00
so, trojan remover (thx to RainingBlood, auch wenn ich deinen Avatar hasse ;)) hat schon mal was gefunden, e-scan findet jetzt nur die hälfte...mal gucken wann oder ob überhaupt noch ein ie-fenster aufgehen wird...

ich lass jetzt mal die anderen empfohlenen tools noch mal laufen...
neu aufsetzen wollte ich bei einem festplatten-kauf, mal gucken

btw: was macht so ein trojaner genau...er spioniert mein system aus, "schön und gut", aber wie und was wird übermittelt?

J0ph33
2007-06-17, 16:59:31
I[;5593011']mal mit virustotal scannen und log posten
http://www.virustotal.com/en/indexf.html


mmmh...welches file soll ich denn dahinschicken?

edit: GMER findet auf der systemplatte nix

PatkIllA
2007-06-17, 16:59:49
Hängt vom Trojaner ab.
So Dinge wie Passwörter und z.B. deine besuchten Webseiten, die von dir geöffneten Datein. Evtl mit Inhalt. Zusätzlich begehrt sind auch deine Mails und auch die Personen mit denen du per Mail Kontakt hast und sich schon jetzt auf ordentlich Spam freuen.
Du tust also nicht nur dir einen Gefallen die Kiste plattzumachen.

Gast
2007-06-17, 17:04:56
Ich bin dafür das man dir das Internet kappt, du bistne Gefahr für die Gesellschaft!

HOT
2007-06-17, 17:06:51
Wenn das Sys nicht auf dem neuesten Stand ist, besteht immer ein hohes Sicherheitsrisiko. Nur mit einem aktuellen System lässt sich ein grosser Teil der Schadsoftware abbolcken, nur die ganz neuen Sache sind dann noch gefährlich.
Ein XP auf SP1 oder gar ohne SP laufen zu lassen, ist in meinen Augen grob fahrlässig, damit ist man die ideale Zielscheibe für nahezu sämtliche Malware.

Gast
2007-06-17, 17:17:49
neu aufsetzen wollte ich bei einem festplatten-kauf, mal gucken

Nicht gucken. Neu installieren. Jetzt.

J0ph33
2007-06-17, 17:18:35
mmmh...so, also die offensichtlichen probleme gibt es wohl nicht mehr, browser wird nicht langsam, IE und firefox öffnen sich nicht mehr automatisch...

mit dem neuaufsetzen werd ich mal sehen, das wäre mal wieder nen ziemlich radikaler schritt, hab mein system schon ziemlich lange, das windows hat schon 3 mainboards gesehen und bisher war ich auch immer zufrieden damit

Gast
2007-06-17, 17:19:17
und schalt vor der suche/bekämpfung die systemwiederherstellung ab, damit die "viecher" ich dort nicht wieder einnisten können.

E:\System Volume Information\_

Grestorn
2007-06-17, 17:20:31
mmmh...so, also die offensichtlichen probleme gibt es wohl nicht mehr, browser wird nicht langsam, IE und firefox öffnen sich nicht mehr automatisch...

mit dem neuaufsetzen werd ich mal sehen, das wäre mal wieder nen ziemlich radikaler schritt, hab mein system schon ziemlich lange, das windows hat schon 3 mainboards gesehen und bisher war ich auch immer zufrieden damit

Warum sträubst Du Dich so gegen eine Neuinstallation? So viel Arbeit ist das nicht. Wenn man es richtig macht, verliert man kaum etwas (Spielstände, Einstellungen etc. kann man alles retten).

Gast
2007-06-17, 17:20:43
neu aufsetzen wollte ich bei einem festplatten-kauf, mal gucken
dann wäre JETZT der ideale zeitpunkt um eine neue platte zu kaufen.

deine rettungsversuche sind absolut sinnlos, selbst wenn nacher ein scanner nichts mehr finden sollte heißt das noch lange nicht dass dein system wieder sauber ist. davon abgesehen hast du auch keinerlei möglichkeit zu überprüfen was der trojaner an deinem system geändert hat bevor du ihn gelöscht hast. im harmlosesten fall wird dein rechner "nur" als spamschleuder missbraucht.

die einzige lösung für dein problem ist eine komplette neuinstallation.

_DrillSarge]I[
2007-06-17, 17:27:00
falls du wirklich keine lust hast auf nen reinstall, würde ich dir empfehlen ein pe windows auf einem anderen (sauberen) rechner zu erstellen und damit dann deinen rechner mal untersuchen
http://www.pebuilder.de/

J0ph33
2007-06-17, 17:27:18
Warum sträubst Du Dich so gegen eine Neuinstallation? So viel Arbeit ist das nicht. Wenn man es richtig macht, verliert man kaum etwas (Spielstände, Einstellungen etc. kann man alles retten).

na dann schieß mal los :D

hatte mal nen thread offen, in dem ich ungefähr nach solch einer möglichkeit suchte (denk ich mal), aber man konnte mir nicht richtig helfen

wie ich spielstände rette weiß ich ja...aber von welchen einstellungen redest du?

im grunde habe ich auch keine angst "etwas zu verlieren", nur finde ich es doch schon ein ganzes stück arbeit, alles mögliche wieder zu installieren...

I[;5593140']falls du wirklich keine lust hast auf nen reinstall, würde ich dir empfehlen ein pe windows auf einem anderen (sauberen) rechner zu erstellen und damit dann deinen rechner mal untersuchen
http://www.pebuilder.de/

mmh...wie läuft das? mal ein link, der mir auf die schnelle das prinzip erklärt....

Gast
2007-06-17, 17:29:33
Das bisschen "Arbeit" ist dir die Gewissheit um ein sauberes System nicht wert? Ist das ein reiner Spielerechner? Keinerlei persönliche Daten auf dem Ding? Passwörter, Bilder von der Freundin, etc. pp?

Gast
2007-06-17, 17:30:12
nur finde ich es doch schon ein ganzes stück arbeit, alles mögliche wieder zu installieren...Ja, natürlich ist das Arbeit, aber dafür kannst du deinem System danach wieder vertrauen.

J0ph33
2007-06-17, 17:33:50
Das bisschen "Arbeit" ist dir die Gewissheit um ein sauberes System nicht wert? Ist das ein reiner Spielerechner? Keinerlei persönliche Daten auf dem Ding? Passwörter, Bilder von der Freundin, etc. pp?

joa, passwörter sind in den browser-cookies vorhanden, mehr vertrauliches ist da aber nicht drauf, auch wenn es mein hauptrechner ist...

aber wenn mich alle dahin drängen: das einzige, was ich vorerst sichern wöllte, bevor ich die systempartitionen platt machen würde sind die lesezeichen von firefox und mails und adressen vom thunderbird, wie sicher ich die?

außerdem müsste ich noch nen disketten-LW einbauen für die Treiber meiner PCI-RAID-Karte (kack-1-IDE-Slot-boards)

_DrillSarge]I[
2007-06-17, 17:36:12
barts pe builder + hilfe

http://nu2german.de/

kokett
2007-06-17, 19:35:42
außerdem müsste ich noch nen disketten-LW einbauen für die Treiber meiner PCI-RAID-Karte (kack-1-IDE-Slot-boards)

Du kannst Treiber und vieles mehr in die Install CD integrieren. www.german-nlite.de

Damit könntest du auch ne Install CD machen, in der SP2 schon drin ist. Musst du aber auf einem nicht infizierten sys machen.

J0ph33
2007-06-17, 19:42:39
Du kannst Treiber und vieles mehr in die Install CD integrieren. www.german-nlite.de

Damit könntest du auch ne Install CD machen, in der SP2 schon drin ist. Musst du aber auf einem nicht infizierten sys machen.

hab ich gemacht (wenn auch auf meinem 'infizierten' system), meine XP-CD auf die Platte kopiert, den RAID-Treiber integriert, außerdem SP2 und gebrannt...meine Festplatten erkennt das Setup dennoch nicht...

Gast
2007-06-17, 20:01:03
komisch, dass es viele gibt, die SP1 nutzen und keine problemeJa sicher. Die haben aber alle postSP1 updates drauf. Was einem SP2 mit allen postSP2 Updates verdammt nahe kommt ;)

Wenn du das nicht gemacht hast und auch noch mit dem IE/OE/MSN unterwegs warst, dann stell dich hier 5 Minuten hin, damit man dich vernünftig absauen kann. Danach fuchtel nicht am System rum, sondern installiere es neu.

Alles andere an Geschreibsle würde ich hier eher lassen, weil die Leute - so auch ich - langsam agressiv werden. Denk mal nach warum...

Gast
2007-06-17, 20:02:09
:cop: Trollalarm??

Gast
2007-06-17, 20:02:53
Warum sträubst Du Dich so gegen eine Neuinstallation? So viel Arbeit ist das nicht. Wenn man es richtig macht, verliert man kaum etwas (Spielstände, Einstellungen etc. kann man alles retten).Bei mir ungefähr eine Woche. Auch wenn das System nach paar Stunden schon zu gebrauchen ist. Eine Neuinstallation ist nicht viel 'Arbeit, dafür eine Neukonfiguration. Um seine Zeit sollte man aber nicht trauern.

ManuelCalavera
2007-06-17, 20:06:35
hab mich gemacht (wenn auch auf meinem 'infizierten' system), meine XP-CD auf die Platte kopiert, den RAID-Treiber integriert, außerdem SP2 und gebrannt...meine Festplatten erkennt das Setup dennoch nicht...

Hast du denn auch den Textmode-Treiber integriert oder nur den für Windows??

J0ph33
2007-06-17, 21:55:04
Ja sicher. Die haben aber alle postSP1 updates drauf. Was einem SP2 mit allen postSP2 Updates verdammt nahe kommt ;)

Wenn du das nicht gemacht hast und auch noch mit dem IE/OE/MSN

ich nutze keines der genannten Programme, seit Ewigkeiten eine Hardware-Firewall und eine Software-Firewall, und ein sich immer aktualisierendes AntiVir...damit bin ich (sowie auch alle meine Freunde) bisher sehr gut gefahren
wenn du aggressiv wirst, dann kann mir das getrost am ar*** vorbei gehen, alle anderen waren zwar eindringlich, aber freundlich
solange das Problem der fehlenden RAID-Treiber im Setup besteht, kann ich eine Neuinstallation sowieso vergessen, ob ich will oder nicht

Hast du denn auch den Textmode-Treiber integriert oder nur den für Windows??

textmode

Gast
2007-06-17, 21:59:20
Du bist nicht gut gefahren, sondern du hattest einfach Glück.

kokett
2007-06-17, 22:01:36
Unter dem infizierten System ne Install CD zu bauen ist grob fahrlässig. Wenn da noch irgendwas aktiv ist, und sich in ne Datei die du nachher auf die CD brennst schleicht, installierst du dir die Seuche gleich wieder mit.

Hinsichtlich des RAID Treibers: Du musst die TXTSETUP.OEM Datei editieren. Wenn du den Inhalt deiner Datei mal hier rein postest, kann ichs für dich machen.

EDIT: Die TXTSetup.OEM von der Treiberdiskette des Raid Herstellers. Kannst mit dem Editor öffnen.

Matrix316
2007-06-17, 22:12:16
joa, passwörter sind in den browser-cookies vorhanden, mehr vertrauliches ist da aber nicht drauf, auch wenn es mein hauptrechner ist...

aber wenn mich alle dahin drängen: das einzige, was ich vorerst sichern wöllte, bevor ich die systempartitionen platt machen würde sind die lesezeichen von firefox und mails und adressen vom thunderbird, wie sicher ich die?


Thunderbird hat ein Verzeichnis in dem alles drinnen ist. Wenn du das Verzeichnis gefunden hast, einfach wohinkopieren und bei der nächsten installation BEVOR du TB zum ersten Mal startest, ein neues Profil anlegen und dann das Verzeichnis auswählen. Wo das Verzeichnis ist, müsstes du im Profile Manager sehen. Ansonsten über google suchen wo das default Verzeichnis sich befindet.

Wobei die Mailadressen könnten noch woanders gespeichert sein. Da bin ich nicht ganz sicher, da bei OE diese nicht da sind, wo die Mails sind. Da aber TB nur ein Profile Verzeichnis hat, müssten die da aber sein...:|

J0ph33
2007-06-17, 22:43:50
Unter dem infizierten System ne Install CD zu bauen ist grob fahrlässig. Wenn da noch irgendwas aktiv ist, und sich in ne Datei die du nachher auf die CD brennst schleicht, installierst du dir die Seuche gleich wieder mit.

Hinsichtlich des RAID Treibers: Du musst die TXTSETUP.OEM Datei editieren. Wenn du den Inhalt deiner Datei mal hier rein postest, kann ichs für dich machen.

EDIT: Die TXTSetup.OEM von der Treiberdiskette des Raid Herstellers. Kannst mit dem Editor öffnen.

danke, mach ich gleich
es war auch erstmal zum test, ob das ganze wirklich klappt...außerdem kann ich mir nicht vorstellen, dass da irgendwas infiziert ist....winXP-inhalt auf HDD (nicht sys-partition), treiber dazu, SP1 und 2 frisch aus dem Netz geladen...

@kokett
hier die TXTSetup.OEM vom RAID-Treiber

; This file installs the 680 Medley ATA RAID driver as part of text mode setup on
; Windows NT, Windows 2000, and Windows XP.


[Disks]
disk1 = "Silicon Image Ultra-133 Medley ATA Raid Driver Installation Disk",\pnp680r.sys,\

[Defaults]
SCSI = PnP680r

[SCSI] ; HwComponent section
PnP680r = "Silicon Image Ultra-133 Medley ATA Raid Controller"


[Files.SCSI.PnP680r]
driver = disk1,pnp680r.sys, PnP680r
inf = disk1,SII680r.inf
;;catalog = disk1, PnP680r.cat

[Config.PnP680r]
value = ProblemDevices, "", REG_SZ, ""

[HardwareIds.SCSI.PnP680r]
id = "PCI\VEN_1095&DEV_0680&SUBSYS_36801095", "PnP680r"

ihr tut so, als könnte ich alle dateien von meinem sys gleich wegschmeißen, dabei infizieren diese dateien doch hauptsächlich systemdateien, oder?

Gast
2007-06-17, 23:58:39
ihr tut so, als könnte ich alle dateien von meinem sys gleich wegschmeißendas stimmt im prinzip auch

dabei infizieren diese dateien doch hauptsächlich systemdateien, oder?
woher willst du wissen an welchen dateien sich das ding vergangen hat und an welchen nicht? das ding lief auf deinem rechner, höchstwahrscheinlich mit admin rechten. damit hatte das programm die kontrolle über _jede_ deiner dateien -- warum sollte es sich also mit dem manipulieren der systemdateien begnügen?

kokett
2007-06-18, 00:20:47
ihr tut so, als könnte ich alle dateien von meinem sys gleich wegschmeißen, dabei infizieren diese dateien doch hauptsächlich systemdateien, oder?

Wie du halt auch den Dawicontrol DC133 hast... Die Datei kannst du so lassen, ich hab den Controller selber. Bei manchen Treibern sind da noch Abschnitte für XP x64 etc. drin, die muss man dann löschen. Ist aber komisch dass es dann nicht ging. Den Ordner den du zum integrieren ausgewählt hast, beinhaltet alle Dateien des "XP" Ordners der Treiberdiskette, oder? Also du hast auch

PnP680r.mpd
PnP680r.cat
PnP680r.sys
siisupp.vxd
sii680r.inf
oemsetup.inf
txtsetup.oem

in einem ordner, ohne unterordner mit nlite integriert? Und wenn er dann das Fenster bei der Treiberintegration bringt hast du auch den Eintrag explizit nochmals angeklickt dass er auch ausgewählt war? Wenn du nur Textmode anwählst, aber nicht auf den Eintrag selbst unten klickst, dass er blau markiert ist, integrierst du nämlich den Treiber nicht.


Zu der Infektionssache: Man kann halt nicht wissen, was Schadsoftware alles macht, während sie bei dir läuft. Es ist auch denkbar, dass ein Angreifer dein System verwundbar macht mit einem Rootkit, dann eine Backdoor einbaut und das Rootkit einfach drauflässt. Dann erkennt ein scanner zwar das rootkit und du freust dich, dass du alles entfernt hast und kein scanner mehr was findet, jedoch hast du halt die ganze zeit die Backdoor drin, die halt _nicht_ von einem generischen Scanner entdeckt wird. Da bleibt das System eben die ganze Zeit verwundbar bzw. weit offen für neue böse Dinge, stell dir einfach vor dass du in nem boot sitzt wo am bug wasser eintritt und du am heck stehst und das wasser rausschöpfst.

Also ich für meinen Teil würde so ein System nichtmal mehr mit der Kneifzange anfassen, sondern nur Dinge wie mp3s und andere Files sichern, die garantiert nichts böses mehr enthalten. Danach dann alles plattmachen, also komplett neu partitionieren und neu installieren. Ich bin da halt auch etwas paranoid, gebe ich gerne zu. Ich hatte zum Glück nur ein einziges mal ein Problem mit Schadsoftware, ist aber schon einige Jahre her, und da war es auch nicht meine Schuld :) .

J0ph33
2007-06-18, 00:33:51
die dateien sind alle drin, zusätzlich noch ne readme, driverlanguage.xml, udn sw release notes...richtig integriert sollte ich den treiber auch haben...

naja, ich probier's wohl nochmal

alles formatieren werde ich wohl kaum, dachte eigentlich nur daran, die syspartition zu formatieren...

jorge42
2007-06-18, 09:21:49
im übrigen passiert so ein scheiß nicht, wenn die leute kapieren würden, dass man nicht als admin surft

Gast
2007-06-18, 09:24:53
Nein, da hat wohl jemand zuviel ComputerBild gelesen.
SP1 ist doll, SP2 mact nur Probleme und so LOL

Popeljoe
2007-06-18, 09:31:31
im übrigen passiert so ein scheiß nicht, wenn die leute kapieren würden, dass man nicht als admin surft
So isses! ;)
Hilft definitiv: http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163074
"1.) Das oberste Gebot: Surft nicht als Administrator (bei WindowsNT, 2000, XP und 2003) und nutzt Brain1.0!" :up:
P1

captainsangria
2007-06-18, 09:38:56
es hilft nur mehr eine neuinstallation, auch wenn der threadstarter das nicht hören will. das system ist/war kontaminiert und es ist nicht abzusehen ob sich da noch irgendwas irgendwo versteckt.

Gast
2007-06-18, 09:39:34
So isses! ;)
Hilft definitiv: http://www.forum-3dcenter.org/vbulletin/showthread.php?t=163074
"1.) Das oberste Gebot: Surft nicht als Administrator (bei WindowsNT, 2000, XP und 2003) und nutzt Brain1.0!" :up:
P1

Ich surfe ehrlich gesagt schon seit 8 Jahren als Admin und hatte nie ein Problem. Verwende aber auch seit Ewigkeiten Opera!

Matrix316
2007-06-18, 09:50:19
Wobei die wenigsten Surfen und sonstige Arbeiten trennen werden. Sprich, normal surft man und macht tausend andere Dinge gleichzeitig, oder? Wer hat denn Lust nur fürs surfen sich abzumelden und sich dann für anderes (was Adminrechte braucht) wieder anzumelden?

PatkIllA
2007-06-18, 09:52:22
den Browser selbst kann man ja auch per SHortcut als nicht Admin starten.

Mr. Lolman
2007-06-18, 10:06:54
Ja sicher. Die haben aber alle postSP1 updates drauf. Was einem SP2 mit allen postSP2 Updates verdammt nahe kommt ;)


Es funzt auch ohne Post SP1 UPdates. Allerdings darf man bei der notwendigen manuellen Konfiguration (die im wesentlich daraus besteht, die gesamten Lücken per Hand zu schliessen, zB durch abschaltung div. Services) kein noch so kleines Detail übersehen, sonst hat man schneller nen Virus als einem lieb ist.


auch noch mit dem IE/OE/MSN unterwegs warst,

Das ist u.A. ein Punkt, den es unbedingt zu vermeiden gilt wenn man SP1 fährt...

Matrix316
2007-06-18, 10:11:56
Was ist denn eigentlich so schwer für einige SP2 zu installieren? Ändert sich doch nix, außer, dass man hingewiesen wird, wenn Firewall, Antiviren Software und sowas nicht aktiv ist.

captainsangria
2007-06-18, 10:13:25
die alten mythen, die sich immer noch im www herumtreiben.

jorge42
2007-06-18, 10:18:33
Ich surfe ehrlich gesagt schon seit 8 Jahren als Admin und hatte nie ein Problem. Verwende aber auch seit Ewigkeiten Opera!

das du als admin surfts heißt nicht, dass du unbedingt ein problem bekommst, aber wenn du es hast, dann lag es zu 99% daran, dass du als admin unterwegs warst.

Mr. Lolman
2007-06-18, 10:24:04
die alten mythen, die sich immer noch im www herumtreiben.

Ein fetteres System. Mein Voodoorechner braucht nichtmal 40MB zugesicherten Speicher, mit nem standard XP SP1. Ich brauch auch keinen Virenscanner und als Firewall hab ich nen Router.

Es ist technisch eigentlich nichtmal möglich, dass ein Virus auf meine Rechner kommt, sofern man mit ein bisschen Hirn unterwegs ist (beim E-Mail öffnen) und unter Verzicht des IE im Netz surft.

ABER: Jedem das Seine (und wenn man nicht 100% weiss, was man tut => SP2 mit allen Updates und Virenscanner). Ich hab schon genug Leutz erlebt die von meiner Konfig begeistert waren, ihr System auch nach dem Prinzip aufsetzen wollten - und darauf hin sich mit Viren herumschlagen haben durften. Diese Art der Rechnerkonfiguration mach ich beim Kunden außerdem nur auf ausdrücklichem Wunsch, da es schon ein langwieriges Herumkonfigurieren mitsich bringt.

SP2 + Updates + Virenscanner ist auf jeden Fall der einfachere Weg. (Auch wenn sich manche 1000€ Systeme dann tw. langsamer anfühlen als der XP2000+, mit 512MB RAM von meiner Freundin. Aber das ist dem Kunden eh egal und micht störts auch nicht ;))

Matrix316
2007-06-18, 12:40:03
Man kann nicht sein Auto mit Panzerglas und Stahlverstärkungen schützen und dann hoffen, mit dem gleichen Motor die gleiche Höchstgeschwindigkeit wie vorher zu haben. ;)

Also ich find nicht, dass es mit SP2 wesentlich langsamer wurde. Und Virenscanner sind immer wichtig, ob SP1 oder 2 oder garkeins. Wichtiger ist nur, welchen man nimmt. Kaspersky z.B. ist ne ziemliche Bremse. Andere brauchen da weniger Leistung.

captainsangria
2007-06-18, 12:43:07
Ein fetteres System.....hat man damals gesagt. mittlerweile ist es ja so, dass bestimmt programme ein installiertes sp2 sogar vorraussetzen.
Also ich find nicht, dass es mit SP2 wesentlich langsamer wurde. Und Virenscanner sind immer wichtig, ob SP1 oder 2 oder garkeins. Wichtiger ist nur, welchen man nimmt. Kaspersky z.B. ist ne ziemliche Bremse. Andere brauchen da weniger Leistung.
sollte man auch nicht wirklich merken (ist hier auch nicht der fall). zur AV-thematik gibt es im internet sehr viele tests (sogar im forum hier). da findet man schon seinen neuen liebling.

Mr. Lolman
2007-06-18, 12:46:33
Man kann nicht sein Auto mit Panzerglas und Stahlverstärkungen schützen und dann hoffen, mit dem gleichen Motor die gleiche Höchstgeschwindigkeit wie vorher zu haben. ;)

Stimmt. Und bevor ich mit Panzerglas und Stahlverstärkungen herumfahr, schau ich lieber darauf, dass die kriminellen Subjekte mir erstmal garnicht nahekommen.


Und Virenscanner sind immer wichtig, ob SP1 oder 2 oder garkeins.

Nö. Nen Virenscanner braucht man nur dann, wenn man Sicherheitslücken im System hat und/oder nicht weiss, welche Dateien sich auf dem Rechner befinden bzw. welche Dateien man herunterlädt.

Insgesamt mag fast jeder hier mit nem Virenscanner gut beraten sein. Ich brauch keinen. Trotzdem teste ich alle paar Monate von nem anderen (Insel-)Rechner aus die Platten, nur um auf Nummer sicher zu gehen. Und hab aber noch nie was gefunden.

mittlerweile ist es ja so, dass bestimmt programme ein installiertes sp2 sogar vorraussetzen.

Stimmt. Ne Unsitte ist das.

Matrix316
2007-06-18, 13:00:15
Stimmt. Und bevor ich mit Panzerglas und Stahlverstärkungen herumfahr, schau ich lieber darauf, dass die kriminellen Subjekte mir erstmal garnicht nahekommen.



Nö. Nen Virenscanner braucht man nur dann, wenn man Sicherheitslücken im System hat und/oder nicht weiss, welche Dateien sich auf dem Rechner befinden bzw. welche Dateien man herunterlädt.[...]

1. Was man im Internet nur schwer kann. Es soll sogar Seiten geben die sind gefährlich, ohne, dass man was runterladen muss. Leider weiß man vorher nicht wo sowas lauert.

2. Wenn man keinen Scanner hat, ist es natürlich klar, dass man keine Viren entdeckt, denn nicht jeder Virus oder Trojaner zerstört gleich das ganze System.

PatkIllA
2007-06-18, 13:05:01
1. Was man im Internet nur schwer kann. Es soll sogar Seiten geben die sind gefährlich, ohne, dass man was runterladen muss. Leider weiß man vorher nicht wo sowas lauert.
Irgendwo muss das Ding auch her kommen.Ein Virenscanner hilft auch nicht gegen alles und ich hab dann lieber einen Browser, wo es die Möglichkeit erst gar nicht gibt ohne erkennbare Userinteraktion irgendwas zu installieren. Zumindest keine bekannte Möglichkeit. Und gegen unbekannten hilft weder Virenscanner noch Firewall irgendeiner Art.
Ich kenne aber auch viele die es in wenigen Tagen geschafft haben ihren Rechner zu verseuchen trotz Norton Rundumsorglos-Paket oder sonstigen Virenscannern.

2. Wenn man keinen Scanner hat, ist es natürlich klar, dass man keine Viren entdeckt, denn nicht jeder Virus oder Trojaner zerstört gleich das ganze System.Er hat doch extra geschrieben, dass er von einem Inselsystem aus die Plattengescannt hat.
Ich hab auch keinen drauf der permanent scannt sondern ich lasse nur verdächtige Dateien scannen. Mein letzter Virus ist auch noch aus der Diskettenzeit.

Mr. Lolman
2007-06-18, 13:09:00
@Matrix:
1. Das kann man aber auch minimieren. Wenn man sein Windows so konfiguriert, dass der Browser nicht einfach Apps auf den Rechner installieren darf, und ein paar MIME-types editiert, so dass gewisse Scripte nur mehr im Notepad geöffnet werden dürfen (und selbst dass erst nach Nachfrage des Browsers), kann man eigentlich jede Seite ansurfen. Auch Seiten, wo der Virenscanner schon längst Alarm schlagen würde und im schlimmsten Fall den neuesten Virus garnicht erkennen würde...


2. Bitte nicht selektiv lesen. Ich hab nen Scanner auf nem anderen Rechner der mir mit Regelmässigkeit (von ein paar Monaten), die Platten der virenscannerlosen Rechner überprüft. Und der findet nie was...

kokett
2007-06-18, 13:13:19
Gott, es gibt Leute in meinem Bekanntenkreis, die surfen nur in einer VM. Ob das dann noch praktikabel ist.... für mich wärs nichts. Ich surfe auch als Admin, weil nebenher noch zig andere Sachen laufen / erledigt werden, die es einfach brauchen.
Wenn man minimal aufpasst und keine cracks o.ä verwendet, ist man 99% der Kacke die im www rumkriecht schonmal aus dem Weg gegangen. Man sollte halt wirklich nicht IE / Outlook verwenden, Opera / FF und Webmail ftw :).

peppschmier
2007-06-18, 13:14:39
Wieso nutzt ihr nicht win xp in einer virtuellen Maschine zum surfen? am Besten noch per RDP draufschalten (finde ich komfortabler als in dem VMWare Fenster zu arbeiten) und nur das nötigste installieren. mit den VMware tools ist auch der austausch von Dateien kein Problem. VMWare Server ist auch noch kostenlos.... Wenn das verseucht wird löscht ihr das einfach und nehmt das backup, welches ihr ganz am anfang gemacht habt von der VM ;) so habt ihr kein prob mit viren oder trojanern. Und ob ich nun das RDP Fenster öffne, in dem der Browser offen ist oder nur den Browser öffne ist echt völlig egal...

Matrix316
2007-06-18, 13:18:06
Man könnte auch unter Linux mit einem Text Browser surfen. ;)

Man kanns aber auch übertreiben.

peppschmier
2007-06-18, 13:20:31
Man kann auch einfach aufpassen, was man macht.... Meinen letzten Trojaner hab ich mir eingefangen, weil ich unachtsam war.... ;D

Grestorn
2007-06-18, 13:21:47
Wieso nutzt ihr nicht win xp in einer virtuellen Maschine zum surfen?

Auch aus einer VM kann man ausbrechen.

Eine VM ist nicht mehr wie eine weitere Hürde. Also die selbe Stufe, wie eine Firewall oder ein Virenscanner.

Zunächst bringen diese zusätzliche Sicherheit weil sie eine weitere Hürde ins System bringen. Auf lange Sicht sind all diese Produkte eher ein weiteres Einfalltor, sobald nämlich eine Lücke z.B. in einer VM bekannt wird, kann mit dieser nur in ein System eingedrungen werden, auf dem eben diese VM eingesetzt wird.

Wenn man mich frägt: Das sicherste ist ein möglichst aktuelles OS mit möglichst aktueller SW drauf plus ein externer Router/Firewall.

Alles andere ist Pseudosicherheit, die sich ins Gegenteil verkehren kann.

Matrix316
2007-06-18, 13:23:03
@Matrix:
1. Das kann man aber auch minimieren. Wenn man sein Windows so konfiguriert, dass der Browser nicht einfach Apps auf den Rechner installieren darf, und ein paar MIME-types editiert, so dass gewisse Scripte nur mehr im Notepad geöffnet werden dürfen (und selbst dass erst nach Nachfrage des Browsers), kann man eigentlich jede Seite ansurfen. Auch Seiten, wo der Virenscanner schon längst Alarm schlagen würde und im schlimmsten Fall den neuesten Virus garnicht erkennen würde...


2. Bitte nicht selektiv lesen. Ich hab nen Scanner auf nem anderen Rechner der mir mit Regelmässigkeit (von ein paar Monaten), die Platten der virenscannerlosen Rechner überprüft. Und der findet nie was...

1. Naja, dann wundert man sich, warum bestimmt einige Seiten nicht mehr korrekt dargestellt werden. Wenn man alles was Scriptet und Flashed ausschaltet, dürfte sogar der IE einigermaßen sicher sein.

2. Doch ich gabs gelesen, aber zwischen den Scannintervallen kann viel passieren. Deswegen habe ich lieber einen Virenscanner mit Guard aktiv, der permanent aufpasst - dann spare ich mir auch normal den langwierigen Virenscann aller Platten. ;)

captainsangria
2007-06-18, 13:24:23
Wieso nutzt ihr nicht win xp in einer virtuellen Maschine zum surfen? bietet ja auch keine 100%ige sicherheit. stellt zwar nur weitere hürden in den weg, trotzdem durch sicherheitslücken usw. angreifbar.

Mr. Lolman
2007-06-18, 13:26:48
Wenn man mich frägt: Das sicherste ist ein möglichst aktuelles OS mit möglichst aktueller SW drauf plus ein externer Router/Firewall.


Die Bugs/Exploits die Microsoft fixt, waren tw. aber schon ewig lang bekannt. Virenscanner brauchen auch erst neue Definitionfiles, damit sie den Virus erkennen können. Meistens gibts diese Definitionfiles erst zum Download, nachdem bekannt wurde, dass es einen neuen Virus gibt ;)

captainsangria
2007-06-18, 13:31:19
Die Bugs/Exploits die Microsoft fixt, waren tw. aber schon ewig lang bekannt. Virenscanner brauchen auch erst neue Definitionfiles, damit sie den Virus erkennen können. Meistens gibts diese Definitionfiles erst zum Download, nachdem bekannt wurde, dass es einen neuen Virus gibt ;)deswegen gibt es heuristik, die dir helfen kann, unbekannte viren zu finden.

Matrix316
2007-06-18, 13:34:06
Die Bugs/Exploits die Microsoft fixt, waren tw. aber schon ewig lang bekannt. Virenscanner brauchen auch erst neue Definitionfiles, damit sie den Virus erkennen können. Meistens gibts diese Definitionfiles erst zum Download, nachdem bekannt wurde, dass es einen neuen Virus gibt ;)
Hierzu passend: http://www.computerbase.de/news/software/antivirensoftware/2007/juni/welcher_virenscanner/

Mr. Lolman
2007-06-18, 13:36:46
1. Naja, dann wundert man sich, warum bestimmt einige Seiten nicht mehr korrekt dargestellt werden. Wenn man alles was Scriptet und Flashed ausschaltet, dürfte sogar der IE einigermaßen sicher sein.

Dann gibts aber auch keine automatischen Updates mehr ;)

Außerdem werden bei mir alle (mir bekannten) Seiten korrekt dargestellt, da ich Flash und Java aktiviert habe. Der Großteil meiner Konfig ist eh OS-seitig. Die notwendigen Browsereinstellungen sind eher minimal. Und des weiteren kams schonmal vor, dass ein PC gerade aufgrund der Sicherheitssoftware angreifbar wurde (eben wegen Bugs in der selbigen)


2. Doch ich gabs gelesen, aber zwischen den Scannintervallen kann viel passieren. Deswegen habe ich lieber einen Virenscanner mit Guard aktiv, der permanent aufpasst - dann spare ich mir auch normal den langwierigen Virenscann aller Platten. ;)

Der 'langwierige' Virenscan ist auch übernacht machbar. Irgendwann muss auch ich schlafen ;)

Und wenn dein Guard Alarm schlägt, dann kanns tw.auch eh schon zu spät sein, weil das bloß heisst, dass der Virenscanner glücklicherweise Schadsoftware entdeckt hat, die entweder runtergeladen werden soll, oder sich gar schon auf nem Rechner befindet. Und die Heuristik hilft gegen unbekannte Viren auch nur tw, da man mit nem exe-packer als phieses Scriptkiddie schon sehr viel sh1ce anrichten kann, ohne dass man sich damit wirklich auskennen muss.

Hierzu passend: http://www.computerbase.de/news/software/antivirensoftware/2007/juni/welcher_virenscanner/

Wunderbar. Die Heuristik des besten Virenscanners funktioniert so gut, dass der Testsieger sogar 2/3 der ihm unbekannten Viren erkennt. Tolle Leistung X-D

Grestorn
2007-06-18, 13:37:45
Die Bugs/Exploits die Microsoft fixt, waren tw. aber schon ewig lang bekannt. Virenscanner brauchen auch erst neue Definitionfiles, damit sie den Virus erkennen können. Meistens gibts diese Definitionfiles erst zum Download, nachdem bekannt wurde, dass es einen neuen Virus gibt ;)

Ok, ich hätte ergänzen sollen: "Augen auf beim Surfen und E-Mail lesen."

Es gibt natürlich Lücken, die auch ohne Zutun des Anwenders genutzt werden können. Aber die sind eher selten und werden normalerweise rechtzeitig gepatcht.

Das ist mir lieber, als lauter neue Lücken (durch Scanner, Firewalls, Trojaner-Überwachungstools, VMs etc.) ins System zu holen. Die bremsen nur und haben einen eher zweifelhaften Nutzen.

Coda
2007-06-18, 13:37:53
Auch aus einer VM kann man ausbrechen.
Da das aber so gut wie keiner macht und man dann auf eine bestimmte Browser/OS/VM/OS-Kombination angreifen müsste halte ich das für praktisch unmöglich.

Grestorn
2007-06-18, 13:41:52
Da das aber so gut wie keiner macht und man dann auf eine bestimmte Browser/OS/VM/OS-Kombination angreifen müsste halte ich das für praktisch unmöglich.

Noch macht es keiner, weil es sich (auf Client Rechnern) kaum rentiert.

Im Server-Bereich werden VMs ja immer beliebter, und ich wette mit Dir, dass wir in Kürze jede Menge Server-Exploits haben, die darauf basieren, dass aus der VM (in der Apache läuft) ausgebrochen wird.

Die Admins wiegen sich in der vermeintlichen Sicherheit, da sie ja eine VM einsetzen, vernachlässigen u.U. die Sicherheit der Apache-Installationen und werden dann unsanft in die Realität geholt.

PatkIllA
2007-06-18, 13:44:35
Und manchmal muss man auch einfach was aus der VM auf den Hauptrechner. Z.b. will man den Patch für das Spiel ja im richtigen System nutzen.

J0ph33
2007-06-18, 15:22:29
habe übrigens heute in der bestellung eines freundes ne neue SATA-Platte gekauft, wollte ich so und so haben...sobald die da ist, geht's ans neuinstallieren, das mit nlite hat ja bisher nicht geklappt :(

Rooter
2007-06-18, 20:05:01
@ Mr. Lolman:
Aha, du brauchst also keinen Virenscanner, wegen Brain 1.0 usw... :ugly:
Nur mal angenommen Du wolltest ein paar Treiber aktualisieren... *klick* (http://www.heise.de/newsticker/meldung/73848) & *klick* (http://www.heise.de/newsticker/meldung/64022) :rolleyes:

MfG
Rooter

Gast
2007-06-19, 10:23:38
Ja sicher. Die haben aber alle postSP1 updates drauf. Was einem SP2 mit allen postSP2 Updates verdammt nahe kommt ;)
dank inzwischen seit oktober fehlenden patches ist ein postsp1 gepatchtes system inzwischen meilenweit hinter postsp2 systemen und nichtmehr nur ein bisschen

Mr. Lolman
2007-06-19, 10:37:38
@ Mr. Lolman:
Aha, du brauchst also keinen Virenscanner, wegen Brain 1.0 usw... :ugly:
Nur mal angenommen Du wolltest ein paar Treiber aktualisieren... *klick* (http://www.heise.de/newsticker/meldung/73848) & *klick* (http://www.heise.de/newsticker/meldung/64022) :rolleyes:

MfG
Rooter

Das merk ich dann schon. Außerdem aktualisier ich nur regelmässig meine GraKatreiber.

Der Unterschied ist, dass ich mir des Risikos bewusst bin, wenn ich Daten aus dem Netz zieh. Hingegen wiegen sich viele mit nem Virenscanner in falscher Sicherheit. :P

Gast
2007-06-19, 10:50:44
deswegen gibt es heuristik, die dir helfen kann, unbekannte viren zu finden.die allerdings mit verlaub....scheisse ist


ich stehe auch auf dem standpunkt dass ein virenscanner nicht unbedingt nötig ist....ALLERDINGS sollte man (selbst bei einer noch so guten konfig) alle patches installiert haben die man bekommt...reni als präventivwirkung

@lolmann
deine konfig möchte ich gern sehen wie du einen auf das internet zugreifenden rechner so absicherst dass es technisch "qausi unmöglich" ist dass bei dir schadsoftware auf den rechner kommen kann...zudem sind nicht nur scripts auf webseiten hin und wieder gefährlich ;) es gibt ettliche andere elemente die gefährlich sein können (so wie auch schon vorgekommen bilder und mag diese schwachstelle beim ie/win gewesen sein, so ist es nicht gänzlich auszuschliesen dass dies auch bei anderen browsern mal vorkommt). Btw auch vermeintlich sichere seiten können infiziert sein ;)

auch deine argumente gegen virenscanner sind etwas schwach, wofür machst du dann bitte die monatlichen scans? die sind in diesem fall so sinnlos wie einen guard einzusetzen...

alles in allem -> lolmann ;)

@grestorn
möglich dass es hier einen anstieg gibt allerdings muss man auch die tendenz sehen dass angriffe auf server weniger werden dafür eher endanwender angegangen werden...

Gast
2007-06-19, 10:53:07
Das merk ich dann schon.wie?! du beobachtest 24/7 deine prozesse oder was? und was ist wenn der prozess maskiert ist?

captainsangria
2007-06-19, 10:55:16
Das merk ich dann schon. wie?

Mr. Lolman
2007-06-19, 13:08:16
wie?! du beobachtest 24/7 deine prozesse oder was? und was ist wenn der prozess maskiert ist?

wie?

Ich mir ein kleines Proggie gebastelt, welches die stehenden Connections aufzeichnet. Das start ich einfach, wenn ich was installier. Und schon merk ich, was alles wo hin telefonieren will.

Im Falle eines Virus ists natürlich zu spät. Andererseits sind solche Sachen immer ohnehin schnell öffentlich und ich installier mir eigentlich nie frisch veröffentlichte Treiber (von den ATi TReibern abgesehen)


Klar, hab ich mit meinem Prinzip keine 100% Sicherheit. Aber dessen bin ich mir wenigstens bewusst. Wie gesagt. Ich kann irgendnen 08/15 Virus nehmen, nen Exe-Packer drüber laufen lassen und bloß in 2 von 3 Fällen wird der dann von den besten Virenscannern erkannt. Wenn ich den Packer nun 10-20x drüberlaufen lass, dann wird er quasi garantiert garnicht mehr erkannt. X-D

Und ihr merkt das dann noch weniger als ich, denn wenn der Virenscanner nicht Alarm schlägt ist ja alles in Ordnung :rolleyes:


und was ist wenn der prozess maskiert ist?

Dann merk ich immernoch, dass da was rennt, was normalerweise nicht läuft. (ich beobachte nicht 24/7 die Prozesse, sondern nur wenn ich gewisse Software installiere) Und wenn sich mit ner Treiberinstallation echt ein Rootkit einschleichen sollte, dann versagen auch viele Virenscanner. Russinovich hat den Sonyrootkit damals entdeckt, nicht irgendein 08/15 Virenscanner ;)



@lolmann
deine konfig möchte ich gern sehen wie du einen auf das internet zugreifenden rechner so absicherst dass es technisch "qausi unmöglich" ist dass bei dir schadsoftware auf den rechner kommen kann

Das glaub ich dir gerne. :)


auch deine argumente gegen virenscanner sind etwas schwach, wofür machst du dann bitte die monatlichen scans? die sind in diesem fall so sinnlos wie einen guard einzusetzen..

Naja, vll. weil ich hinsichtlich dessen doch ein bisschen paranoid bin. Andererseits ist ja schön, dass du zugibst, dass es sinnlos ist, nen Guard einzusetzen....

Matrix316
2007-06-19, 13:41:15
Ich mir ein kleines Proggie gebastelt, welches die stehenden Connections aufzeichnet. Das start ich einfach, wenn ich was installier. Und schon merk ich, was alles wo hin telefonieren will.

Meinst du sowas wie eine Personal Firewall? :rolleyes:;D Nichts anderes machen doch Zone Alarm, Sygate und Co.

Mr. Lolman
2007-06-19, 13:50:32
Meinst du sowas wie eine Personal Firewall? :rolleyes:;D Nichts anderes machen doch Zone Alarm, Sygate und Co.

Mit dem Unterschied, dass ich mein Tool nur bei Bedarf starte und ich nicht einsehe warum ich mehrere MB große Closed Source Software verwenden sollte, wenns ein paar 100 Byte großes Minitool auch macht...

BTW: Stürzt der IE eigentlich immernoch bei dem Bild ab?
http://sylvana.net/test/AP4.jpg

Coda
2007-06-19, 13:58:26
Personal Firewalls sind eh fürn Arsch.

r@w.
2007-06-19, 14:29:52
BTW: Stürzt der IE eigentlich immernoch bei dem Bild ab?
http://sylvana.net/test/AP4.jpg
Nö... tat selbst der IE6 nicht.

Das 'schrullige' Norton IS 2004 fängt des ab und der IE stellt das Bildchen dar.
Wo soll hier noch gleich das Problem sein?
:confused:

Ich habe lieber ein paar MB Speicherverschwendung nach dem Prinzip "doppelt genäht hält besser", als gar keine Fallback-Lösung. Und wirklich 'verlassen' tue ich mich auf rein gar keine reine Software-Lösung... warum auch?

Wenn ich wirklich der Meinung bin, dass sich da was auf dem Rechner 'tummelt', was dort nicht sein sollte, dann gibt es recht nützliche Tools, wie Autoruns, Process-Monitor und ähnlich gelagerte Tools, um ganz genau zu 'sehen', was eigentlich passiert und von der 'Norm' abweicht.

Dass solche Dinge wie "Personal-Firewalls" keinen 100%igen Schutz gewährleisten und oftmals mehr das Gewissen des Benutzers beruhigen, denn tatsächlich etwas nutzen, ist ja hinlänglich bekannt - aber jedes Quäntchen mehr 'Kontrolle' kann einfach nicht schlecht sein und ist besser als gar nichts... und für das Gros an Profan-Dingen (wie z.Bsp. Dein Bildchen) taugt es allemal.

So ist es mir auch vollkommen wurscht, ob ein Viren-Scanner jetzt nun 99,8% oder 'nur' 97,2% aller möglichen Viren 'erkennt' - wirklich ersetzen tut eine Anti-Viren-Lösung entsprechend vorsichtige Umgehensweise mit einem offenen System wie dem Internet (oder auch Datenträgern dubisoer Herkunft) ganz sicher nicht.

So sei angemerkt:
- wer sich auf Software-Lösungen verläß, hat verloren
- wer sich überhaupt nicht schützt, handelt grob fahrlässig

Razor

r@w.
2007-06-19, 14:31:04
Personal Firewalls sind eh fürn Arsch.
Wirklich mal wieder sehr sensitiv ausgedrückt und sachlich sogar vollkommen falsch.

Razor

Mr. Lolman
2007-06-19, 14:45:41
- aber jedes Quäntchen mehr 'Kontrolle' kann einfach nicht schlecht sein

Doch:

http://secunia.com/search/?search=norton
http://secunia.com/search/?search=antivir
http://secunia.com/search/?search=nod32
http://secunia.com/search/?search=mcafee

uswusf...

r@w.
2007-06-19, 14:56:20
Und was genau willst Du mir mit Deinem - vielleicht gut gemeinten - aber so vollkommen überflüssigen 'Hinweis' sagen?
:confused:

http://secunia.com/product/2800/

Oder willst Du mir 'sagen', dass ungepatchte Sicherheits-Produkte gefährlich sind?
DAS gilt auch und vor allem für die Systembasis... selbstverständlich.

Razor

Mr. Lolman
2007-06-19, 15:12:20
Und was genau willst Du mir mit Deinem - vielleicht gut gemeinten - aber so vollkommen überflüssigen 'Hinweis' sagen?
:confused:

http://secunia.com/product/2800/

Oder willst Du mir 'sagen', dass ungepatchte Sicherheits-Produkte gefährlich sind?
DAS gilt auch und vor allem für die Systembasis... selbstverständlich.

Razor

Dass man sich u.U. ne Sicherheitslösung installiert, die auch Sicherheitslücken beeinhaltet.

Bei meiner Systembasis, weiss ich mittlerweile was im ungepatchten Zustand alles gefährlich ist, und weiss wie ich diese Lücken umgehen und/oder unschädlich machen kann.

Andererseits wärs ja nicht das erste mal, dass ein Sicherheitsupdate wieder neue Fehler mitsich bringt. Da schalt gewissen Kack lieber gleich ganz ab.

BTW: Schön, dass du auf deinen Antivirus 2004 vertraust, aber genau dein Link zeigt, dass der in der Vergangenheit auch zumindest 9 öffentlich bekannte Sicherheitslücken hatte.



EDIT: Mit meinem gut gemeinten Link, wollt ich zeigen, wie leicht sich deine obig gequotete Aussage ad absurdum führen lässt. Und imo ist mir das auch gelungen.

Matrix316
2007-06-19, 15:28:03
Das Bild von oben zeigt eigentlich warum ein Scanner der permanent aktiv ist, garnicht so schlecht ist, denn der Firefox hat es angezeigt, aber Antivir hat gemeckert, dass da was ist. Ohne das, würde man nix merken und hätte es auf der HD.

Grestorn
2007-06-19, 15:32:33
Das Bild von oben zeigt eigentlich warum ein Scanner der permanent aktiv ist, garnicht so schlecht ist, denn der Firefox hat es angezeigt, aber Antivir hat gemeckert, dass da was ist. Ohne das, würde man nix merken und hätte es auf der HD.

Nö. Da alles gepatcht ist.

r@w.
2007-06-19, 15:43:19
Dass man sich u.U. ne Sicherheitslösung installiert, die auch Sicherheitslücken beeinhaltet.
Ui... was für eine Erkenntnis.
:rolleyes:

Bei meiner Systembasis, weiss ich mittlerweile was im ungepatchten Zustand alles gefährlich ist, und weiss wie ich diese Lücken umgehen und/oder unschädlich machen kann.

Andererseits wärs ja nicht das erste mal, dass ein Sicherheitsupdate wieder neue Fehler mitsich bringt. Da schalt gewissen Kack lieber gleich ganz ab.
Jo, klasse... damit gehörst Du schlicht zu den gefährlichsten Internet-Usern überhaupt.

Wenn Du also der Meinung bist, dass Dein geistiges Potential das ganzer Heerscharen von professionell arbeitenden Entwicklern übersteigt und Du alleine absolut unfehlbar bist, dann tust Du mir einfach nur leid.

Mein Bruder hat damals ähnlich gedacht und auch ähnlich reagiert.
Ich riet ihm dann mal, einfach des olle ZoneAlarm zu installieren und mal zu schaun, ob er mit seiner Meinung richtig liegt...

Zuerst wollte er nicht, aber nachdem ich ihm plausibel gemacht habe, dass ich in der Lage bin, das Zeug wieder restlos (!) vom Rechner zu entfernen und es für ihn kein Risiko darstellt, dieses mal auszuprobieren (echt hart, wenn man das bedenkt...), ließ er sich darauf ein und war nach dem Neustart echt entsetzt.

Das passiert halt, wenn man sich auf vermeitlich 'perfekte' Fähigkeiten der eigenen Person verläßt und echte Bemühungen anderer (die ja teilweise nicht einmal Geld dafür verlangen) einfach als "Schwachsinn"... oder wie Du es tatest, als "Kack" abzutun.

Vielleicht solltest Du hier mal in Dich gehen...

BTW: Schön, dass du auf deinen Antivirus 2004 vertraust, aber genau dein Link zeigt, dass der in der Vergangenheit auch zumindest 9 öffentlich bekannte Sicherheitslücken hatte.
Schön, dass Du offenbar nicht einmal in der Lage bist, Dinge korrekt geistig zu erfassen.
(und das von dem Hintergrund dieses Themas... hmmm)

Lese den initialen Post meiner Person einfach nochmal und versuche die von Dir getätigte Aussage mit diesem in Einklang zu bringen. Hälst auch Du dann diesen Satz von Dir für vollkommen deplaziert, hast Du es geschafft, diesen zu verstehen...

EDIT: Mit meinem gut gemeinten Link, wollt ich zeigen, wie leicht sich deine obig gequotete Aussage ad absurdum führen lässt. Und imo ist mir das auch gelungen.
Und wieder eine grobe Fehleinschätzung Deiner eigenen Person.
Bravo!

9 Sicherheitslücken seit 2003, in 2007 keine und in 2006 genau eine.
Alle gepatcht und nicht wirklich relevant...

DAS ist wahrlich schlecht... tatsächlich.
(man möge mir die Polemik verzeihen ;-)

Razor

Matrix316
2007-06-19, 15:45:24
Nö. Da alles gepatcht ist.


Wenn was gepatcht ist, dürfte ja nix auf die HD kommen können, oder?

Mr. Lolman
2007-06-19, 16:09:08
Ui... was für eine Erkenntnis.
:rolleyes:

Zumindest weiss ich, dass Sicherheitssoftware tw. erst gewisse Lücken öffnen kann.


Jo, klasse... damit gehörst Du schlicht zu den gefährlichsten Internet-Usern überhaupt.

Hui. Nimm dich besser in Acht, sonst vergeht sich meine Virenschleuder noch an deinem Rechner.


Wenn Du also der Meinung bist, dass Dein geistiges Potential das ganzer Heerscharen von professionell arbeitenden Entwicklern übersteigt und Du alleine absolut unfehlbar bist, dann tust Du mir einfach nur leid.

Tu ich nicht. Aber bevor ich vor jeder der offenen Tür nen Wächter stell, der regelmässig ne Schulung braucht wer nun reindarf und wer nicht (und sich dann trotzdem noch bei unbekannten Kriminellen irrt) sperr ich die Türen gleich ganz zu.


Mein Bruder hat damals ähnlich gedacht und auch ähnlich reagiert.
Ich riet ihm dann mal, einfach des olle ZoneAlarm zu installieren und mal zu schaun, ob er mit seiner Meinung richtig liegt...

Zuerst wollte er nicht, aber nachdem ich ihm plausibel gemacht habe, dass ich in der Lage bin, das Zeug wieder restlos (!) vom Rechner zu entfernen und es für ihn kein Risiko darstellt, dieses mal auszuprobieren (echt hart, wenn man das bedenkt...), ließ er sich darauf ein und war nach dem Neustart echt entsetzt.

Ich hab auch schon Zonealarm am Rechner gehabt. Dreckssoftware.


Das passiert halt, wenn man sich auf vermeitlich 'perfekte' Fähigkeiten der eigenen Person verläßt und echte Bemühungen anderer (die ja teilweise nicht einmal Geld dafür verlangen) einfach als "Schwachsinn"... oder wie Du es tatest, als "Kack" abzutun.

Jaja genau. Das willst DU mir erzählen. Ich bin stundenlang vor meinem Rechner gesessen und hab die Datei und Registryzugriffe überwacht (und den Rechner so konfiguriert, dass sich beides auf ein Minimum beschränkt).

Div. Leutz waren von meiner Config beeindruckt, ich hab sogar letztens nen MS-Mitarbeiter im Haus gehabt, der blöd gekuckt hat, als er meine Config sah. Einem Linuxguru hab ich sogar angeboten mein System zu hacken und der ist sogar schon an der Routerkonfig gescheitert.


Vielleicht solltest Du hier mal in Dich gehen...

Mach ich eh öfter. Meistens dann, wenn ich den Schwachsinn im Web nicht mehr ertrage.


Schön, dass Du offenbar nicht einmal in der Lage bist, Dinge korrekt geistig zu erfassen.
(und das von dem Hintergrund dieses Themas... hmmm)

Spinnst du? Du schreibst: " aber jedes Quäntchen mehr 'Kontrolle' kann einfach nicht schlecht sein" und ich zeig dir, dass diese Quäntchen u.U. erst Sicherheitslücken mitsich bringen, die ein System ohne dieser Software garnicht hätte.


Lese den initialen Post meiner Person einfach nochmal und versuche die von Dir getätigte Aussage mit diesem in Einklang zu bringen. Hälst auch Du dann diesen Satz von Dir für vollkommen deplaziert, hast Du es geschafft, diesen zu verstehen...

s.o.




Und wieder eine grobe Fehleinschätzung Deiner eigenen Person.
Bravo!

Jaja, oller Flamer. Lernst auch nix dazu, wa?


9 Sicherheitslücken seit 2003, in 2007 keine und in 2006 genau eine.
Alle gepatcht und nicht wirklich relevant...

Bei ner Software von 2004 find ichs bedenklich, wenn man Ende 2006 immernoch ne Lücke entdeckt hat.


DAS ist wahrlich schlecht... tatsächlich.
(man möge mir die Polemik verzeihen ;-)

Razor

Nix wird verziehen. Denn selbst wenn die Lücke öffentlich bekannt ist (was ja nix darüber aussagt, wie lang div. Hacker schon damit herumgewerkt haben), vergeht meistens noch min. ne Woche bis sie geschlossen wird. Ne Woche wo jedes noch so blöde Scriptkiddie einen auf phiesen Hacker machen kann.

Mr. Lolman
2007-06-19, 16:14:31
Wenn was gepatcht ist, dürfte ja nix auf die HD kommen können, oder?

Der Fehler in der gdiplus.dll der den Bufferoverflow zuliess wurde (nach 6 Jahren!!!) gepatcht. Die Datei wird mit dem IE nun genauso korrekt angezeigt wie schon 1998 mit allen Proggies die damals schon die IJG_v6b nutzten.

Der_Donnervogel
2007-06-19, 17:10:32
Die einzig wirklich sichere Methode sich vor Viren und Trojanern zu schützen ist, den Computer ausgeschaltet zu lassen. Alles andere ist eine Abwägung zwischen Komfort/Bequemlichkeit und Paranoia.

Updates können zu spät kommen, Virenscanner nichts erkennen, oder selbst verbuggt sein. Selbst die Anwender von Brain 1.0, sollten bedenken, dass die Hersteller von Schadsoftware vielleicht Brain 1.1 oder gar Brain 2.0 einsetzen und spätestens dann wirds eng. ;D

Darum sollte am besten jeder die Schutzmaßnahmen einsetzen die er für richtig und notwendig erachtet und gut ist. Es gibt einfach keine Patentrezepte für alle.

Razor
2007-06-19, 18:00:33
Darum sollte am besten jeder die Schutzmaßnahmen einsetzen die er für richtig und notwendig erachtet und gut ist. Es gibt einfach keine Patentrezepte für alle.
Korrekt... nur nichts zu tun, ist grob fahrlässig!

Zumindest weiss ich, dass Sicherheitssoftware tw. erst gewisse Lücken öffnen kann.
Die aber andere 'Unzulänglichkeiten' der Basis sinnvoll ergänzt.

Und wenn man die ganzen Sicherheitslücken von Microsoft selbst bedenkt, die irrelevant werden, wenn man alternative Produkte einsetzt, dann dürfte das 'Aufrechnen' eine recht positive Bilanz für Dritt-Produkte geben.

'Perfekte' Produkte gibt es eben nicht, aber Produkte, die auf Basis der Kernkompetenz der Entwickler eben besser sind, als andere. Insofern würde mein Votum Windows-Firewall vs. Symantec Personal-Firewall immer zugunsten Symantec ausfallen (andere Präferenzen schließt das natürtlich nicht aus ;-).

Hui. Nimm dich besser in Acht, sonst vergeht sich meine Virenschleuder noch an deinem Rechner.
Was Deinem Rechner (oder besser der Schad-Software darauf) nur schwer gelingen dürfte... ;)

Tu ich nicht. Aber bevor ich vor jeder der offenen Tür nen Wächter stell, der regelmässig ne Schulung braucht wer nun reindarf und wer nicht (und sich dann trotzdem noch bei unbekannten Kriminellen irrt) sperr ich die Türen gleich ganz zu.
Interessant... Du ziehst also das Netzwerkkabel?
(und seckst es auch nie wieder rein ;-)

Ich hab auch schon Zonealarm am Rechner gehabt. Dreckssoftware.
Ich würde es nicht so hart formulieren... aber wirklich doll ist sie nicht.
Aber es reicht für eine eindrucksvolle Demonstration!
:D

Jaja genau. Das willst DU mir erzählen. Ich bin stundenlang vor meinem Rechner gesessen und hab die Datei und Registryzugriffe überwacht (und den Rechner so konfiguriert, dass sich beides auf ein Minimum beschränkt).

Div. Leutz waren von meiner Config beeindruckt, ich hab sogar letztens nen MS-Mitarbeiter im Haus gehabt, der blöd gekuckt hat, als er meine Config sah. Einem Linuxguru hab ich sogar angeboten mein System zu hacken und der ist sogar schon an der Routerkonfig gescheitert.
Das wage ich mal insgesamt mit einem großen (sehr, sehr großen ;-) Fragezeichen zu versehen...
Auch gehört nicht wirklich viel dazu, einen M$-Menschen zu 'beeindrucken'.

Und zudem: was bitte hat Deine Router-Config mit dem Betriebssystem zu tun?
:confused:

Vielleicht hättest Du Deinen "Linux-Guru" (was soll daran eigentlich so doll sein?) mal direkt auf Dein System los gehen lassen sollen... Du wärest u.U. sehr erstaunt, vermute ich.

Ansonsten: nochmal ersten Post von mir lesen... vielleicht geht Dir dann was auf.

Du schreibst: " aber jedes Quäntchen mehr 'Kontrolle' kann einfach nicht schlecht sein" und ich zeig dir, dass diese Quäntchen u.U. erst Sicherheitslücken mitsich bringen, die ein System ohne dieser Software garnicht hätte.

Bei ner Software von 2004 find ichs bedenklich, wenn man Ende 2006 immernoch ne Lücke entdeckt hat.
Falsch... und: siehe oben.

Nix wird verziehen. Denn selbst wenn die Lücke öffentlich bekannt ist (was ja nix darüber aussagt, wie lang div. Hacker schon damit herumgewerkt haben), vergeht meistens noch min. ne Woche bis sie geschlossen wird. Ne Woche wo jedes noch so blöde Scriptkiddie einen auf phiesen Hacker machen kann.
Ohne Script-Blocker ist dies sicherlich richtig.
Und wer mit permanent aktivierten ActiveX-Controls unterwegs ist (und noch schlimmer mit Browsern vor IE7), der ist selber schuld.

So in etwa 1x im Monat checke ich das OS auf "Herz und Nieren" (vor dem Erstellen eines neuen Images ;-) und alles, was nicht ins System gehört fliegt spätestens dann... dass da allerdings überhaupt etwas ist, ist die absolute Ausnahme und wenn - meist auf "Flüchtigkeitsfehler" des Anwenders (in Person 'ich' ;-) zurück zu führen.

Razor

Mr. Lolman
2007-06-19, 18:36:00
Was Deinem Rechner (oder besser der Schad-Software darauf) nur schwer gelingen dürfte... ;)

dito *g*


Interessant... Du ziehst also das Netzwerkkabel?
(und seckst es auch nie wieder rein ;-)

Gut, eine Tür lass ich schon offen. Da steht aber ein Wächter der praktisch niemanden reinlässt, bzw kommt der Reingelassene nicht weiter als in die Lobby ;)


Und zudem: was bitte hat Deine Router-Config mit dem Betriebssystem zu tun?
:confused:

Sie vervollständigt meine OS-Config.


Vielleicht hättest Du Deinen "Linux-Guru" (was soll daran eigentlich so doll sein?) mal direkt auf Dein System los gehen lassen sollen... Du wärest u.U. sehr erstaunt, vermute ich.

Blöderweise ist er wirklich toll, für nen Linux Guru. (Im Gegensatz zu meinem Exchef, der zwar wegen seiner vermeintlichen Kenntnisse die Anstellung bekommen hat, aber sobald was nicht mehr funzte, als Konsquenz immer Linux neu installiert hat, ;D) So gut der Typ also im Proggen auch sein mag und er über aktuelle Exploits informiert sein mag, so schwer tat er sich trotzdem meinen Rechner

Dass man direkt an meinem Rechner mit ein paar Mausklicks alles kaputtmachen/kompromitieren kann ist klar. Das kann ich aber bei JEDEM Windowsrechner, dessen Innereien nicht mit nem Vorhängeschloss geschützt sind.


Ohne Script-Blocker ist dies sicherlich richtig.
Und wer mit permanent aktivierten ActiveX-Controls unterwegs ist (und noch schlimmer mit Browsern vor IE7), der ist selber schuld.

Waren ja bis zum Release vom IE7 die meisten oder ;)


Zu den Scriptkiddies zähl ich auch die, die vorhandene Viren/BackdoorSW nach im Netz verfügbaren Anleitungen ändern und neue Viren draus basteln.


So in etwa 1x im Monat checke ich das OS auf "Herz und Nieren" (vor dem Erstellen eines neuen Images ;-) und alles, was nicht ins System gehört fliegt spätestens dann... dass da allerdings überhaupt etwas ist, ist die absolute Ausnahme und wenn - meist auf "Flüchtigkeitsfehler" des Anwenders (in Person 'ich' ;-) zurück zu führen.

Razor

Mach ich ja auch. Nur dass ich nie was nix finde, was nicht ins System gehört. Selbst meine Freundin hats bisher nicht geschafft Schadsoftware draufzuspielen (zumindest nach ner kleinen Belehrung, was sie bedenkenlos installieren darf und wovon sie die Finger lassen soll)
Nur als ich für nen Monat einen Bekannten immer wieder an einen der Rechner gelassen hab, waren neben div. Dreckssoftware auch 3 Viren oben. Waren zwar alle nicht aktiv, aber geärgert hats mich trotzdem. Naja, wenn man mit ner P2P-SW nach Cracks sucht, ist das eigentlich nicht weiter verwunderlich :mad:

Gast
2007-06-19, 18:52:22
Ich mir ein kleines Proggie gebastelt, welches die stehenden Connections aufzeichnet. Das start ich einfach, wenn ich was installier. Und schon merk ich, was alles wo hin telefonieren will.

Im Falle eines Virus ists natürlich zu spät. Andererseits sind solche Sachen immer ohnehin schnell öffentlich und ich installier mir eigentlich nie frisch veröffentlichte Treiber (von den ATi TReibern abgesehen)


Klar, hab ich mit meinem Prinzip keine 100% Sicherheit. Aber dessen bin ich mir wenigstens bewusst. Wie gesagt. Ich kann irgendnen 08/15 Virus nehmen, nen Exe-Packer drüber laufen lassen und bloß in 2 von 3 Fällen wird der dann von den besten Virenscannern erkannt. Wenn ich den Packer nun 10-20x drüberlaufen lass, dann wird er quasi garantiert garnicht mehr erkannt. X-D

Und ihr merkt das dann noch weniger als ich, denn wenn der Virenscanner nicht Alarm schlägt ist ja alles in Ordnung :rolleyes:dein progi ist ja schon der Yberhit...wirklich ;)

du installierst also quasi nie was...hast n nacktes os aufm rechner, kein tool, kein programm, keine software?! naja geschmackssache

ich sag selbst dass heuristikerkennung derzeit total für n arsch ist...aber das mehr an sicherheit was du bekommst streitest du völlig ab und das ist schlicht und einfach völliger bullshit

bei mir schlägt nichts alarm weil kein guard läuft und von dem mal abgesehen wie bei dir keiner auf meniem arbeitstierchen installiert ist...




Dann merk ich immernoch, dass da was rennt, was normalerweise nicht läuft. (ich beobachte nicht 24/7 die Prozesse, sondern nur wenn ich gewisse Software installiere) Und wenn sich mit ner Treiberinstallation echt ein Rootkit einschleichen sollte, dann versagen auch viele Virenscanner. Russinovich hat den Sonyrootkit damals entdeckt, nicht irgendein 08/15 Virenscanner ;)was heisst rootkit?!
wenn die verbindung erst ne halbe stunde später aufgebaut wird?!

dein kleines prog überwacht anscheinend verbindungen? welche verbindungen? was passiert wenn eine schadsoftware nen eigenen tcpip stack mitbringt? erkennt das dein prog?
wie spürst du trojaner auf die erstmal nur datensammeln und dann irgendwann zu senden anfangen?
oder viren die einfach nur zerstören und nichts senden?




Das glaub ich dir gerne. :)ja, eine quasi unmöglich zu realisierende konfiguration (wie sie in deinem fall vorherrschen soll) würde ich wahrlich gerne sehen...



Naja, vll. weil ich hinsichtlich dessen doch ein bisschen paranoid bin. Andererseits ist ja schön, dass du zugibst, dass es sinnlos ist, nen Guard einzusetzen....nach DEINER argumentation ist guard sowie normales scannen sinnlos!

ich selbst habe auch kein virenscanner installiert, mein system auch entsprechend konfiguriert aber würde niemals behaupten dass mein system unangreifbar sei (vorallem weil es sich im internet bewegt!)

Mr. Lolman
2007-06-19, 20:12:53
dein progi ist ja schon der Yberhit...wirklich ;)

Najo. In Wahrheit wertets nur die Verbindungen aus, die netstat ausspuckt.


du installierst also quasi nie was...hast n nacktes os aufm rechner, kein tool, kein programm, keine software?! naja geschmackssache

Naja. Das was ich brauch hab ich. Ich installier mir tatsächlich kaum Tools. Und wenn ich echt eins brauch, dann nur von vertauenswürdigen Quellen, am besten noch Opensource. Geschmackssache ists tatsächlich, denn selbst meinen IM lass ich nur auf Anfrage laufen und mach mir damit nicht gerade viele Freunde. ;)


ich sag selbst dass heuristikerkennung derzeit total für n arsch ist...aber das mehr an sicherheit was du bekommst streitest du völlig ab und das ist schlicht und einfach völliger bullshit

Naja, ich brauchs deswegen nicht, denn sobald ne Lücke offentlich, aber noch nicht gefixt ist, kehrt sich der Sicherheitsvorteil deutlichst um. (Vorher tw. auch schon, denn nicht jeder Hacker veröffentlicht seine Exploits)


bei mir schlägt nichts alarm weil kein guard läuft und von dem mal abgesehen wie bei dir keiner auf meniem arbeitstierchen installiert ist...

Der Rechner mit dem ich teste (und das ohnehin nur alle paar Monate einmal) hat auch keinen Guard, ist aber praktisch nie online.


was heisst rootkit?!
wenn die verbindung erst ne halbe stunde später aufgebaut wird?!

Nö, wenn sich Software mit konventionellen Überwachungsmethoden nicht erkennen lässt, dann ist das imo ein Rootkit. Wenn irgendwas ne halbe Stunde später sendet, muss es doch als Prozess aktiv sein, bzw irgendnen Treiber oder ein Service installiert haben, bzw irgendwas machen. Wenn das nicht sichtbar ist, ists ein Rootkit.


dein kleines prog überwacht anscheinend verbindungen? welche verbindungen? was passiert wenn eine schadsoftware nen eigenen tcpip stack mitbringt? erkennt das dein prog?

Nö. Das ist im Grunde nur ein billiges Batchscript ;)
Aber wenns ganz schlimm hergeht lass ich eh nen Packetsniffer laufen. Hab den aber schon ewig nichtmehr gebraucht.


wie spürst du trojaner auf die erstmal nur datensammeln und dann irgendwann zu senden anfangen?
oder viren die einfach nur zerstören und nichts senden?

Die müssen ja auch mal auf meinen Rechner kommen. Und daran scheiterten bisher anscheinend alle.

Ich sag ja nicht, dass es unmöglich ist. Ich sag nur, dass es schwer ist und die meisten konventionellen Viren zu blöd sind.


nach DEINER argumentation ist guard sowie normales scannen sinnlos!

ich selbst habe auch kein virenscanner installiert, mein system auch entsprechend konfiguriert aber würde niemals behaupten dass mein system unangreifbar sei (vorallem weil es sich im internet bewegt!)

Behaupte ich ja auch nicht. Ich wehre mich nur gegen Behauptung, dass ich mein Rechner eine Virenschleuder und eine Gefahr fürs Netz sei.

PHuV
2007-06-19, 20:53:01
Es gab mal ein gutes Statement von einem c't-Redakteur, der auch seit Jahren ohne Virenscanner und Firewall im Netz unterwegs ist.

Nachdem mich Leute hier im 3DCenter überzeugt haben, verzichte ich auch seit mehreren Jahren auf so Zusatzsoftware wie eine Firewall. Auf meinem Server und anderen Rechner habe ich auch keinen Virenscanner, und es geht. Ab und zu haue ich einen mal drauf, um alles zu überprüfen, aber dann kommt er gleich wieder runter. Ein Virenscanner und Tools helfen nichts, wenn man unvorsichtig ist, und gewisse Dinge nicht beachtet. Ich hab es erst letztens bei einem Bekannten erlebt, trotz Virenscanner und Firewall waren über 2000 (!!!) aktive TCP-Verbindungen nach draußen offen, und die Leute haben sich gewundert, warum der Rechner den Router lahmlegt.

Regelmäßige Backups mit TrueImage oder vergleichbarem, regelmäßig mal mit TCPView, ProcessExplorer und sonstigem überprüfen, was so auf dem Rechner läuft, und dann noch ab und zu Spybot, Adaware und Co, Firefox mit Contentblocker + achtsamen Verhalten sollte ausreichen, und ich fahre damit seit Jahren sehr gut damit. Bei den Rechnern der Kinder habe ich einmal einen Virus entdeckt (in 2 Jahren), und das ist auch noch akzeptabel.

kokett
2007-06-20, 05:14:28
...

Wie genau hast du deinen Router konfiguriert? Ich hab bei mir halt alle Ports explizit eingetragen für ausgehende Dienste (standardmäßig lässt er alles raus).
Bin neugierig :).

Mr. Lolman
2007-06-20, 07:47:14
Ich schau, dass ich meine ausgehenden Dienste alle über nen bestimmten Port laufen lass. Der Port für die LAN-Verbindung unterliegt eigenen IP-Filter-Regeln.

Dann hab ich einfach nen Test machen (gibts im Netz auch genug), welche Ports noch unnötigerweise offen sind und die ebenfalls rausfiltern lassen. Und so Späße wie Webaccess hab ich natürlich deaktiviert.

Kann aber gut sein, dass neuere Router outofthebox schon ne bessere Konfiguration mitbringen. Meiner war halt komplett offen. Tw. auch noch mit aktivierter Firewall.

Grestorn
2007-06-20, 07:52:49
Ich schau, dass ich meine ausgehenden Dienste alle über nen bestimmten Port laufen lass. Der Port für die LAN-Verbindung unterliegt eigenen IP-Filter-Regeln.

Es ist doch wurscht über welche Ports ein Dienst im Netz verfügbar wird.

Entscheidend ist, dass überhaupt ein Dienst aus dem Netz aus genutzt werden kann. Jeder Dienst ist potentiell angreifbar.

Deswegen würde ich niemals Dienste auf einem ungesicherten Rechner für das Internet freischalten. Für solche Aufgaben müssen eigene Rechner verwendet werden, die in einer DMZ stehen (sprich nochmal durch eine Firewall von meiner Arbeitsmaschine getrennt sind). Alles andere ist ein unkalkulierbares Risiko.

Kann aber gut sein, dass neuere Router outofthebox schon ne bessere Konfiguration mitbringen. Meiner war halt komplett offen. Tw. auch noch mit aktivierter Firewall.
Komplett offen? Moment. Du verwendest doch sicher auch einen NAT Router.

Bei einem NAT Router ist erst mal immer alles dicht (von außen nach innen), Du musst für jeden Zugriff extra einen Eintrag machen, sonst geht gar nichts.

Zugriffe von Innen nach Außen sind natürlich offen. Aber das ist ein anderes Thema. Ist eine Schadsoftware schon mal so weit vorgedrungen, dass sie versuchen kann von Deinem Rechner aus eine Verbindung aufzubauen, dann ist es eh bereits zu spät.

Es bringt auch überhaupt nichts, alle Ports bis auf die benötigten zu sperren. Denn die allermeiste Schadsoftware wird Port 80 verwenden, und dieser Port ist praktisch immer offen.

Evil E-Lex
2007-06-20, 16:04:19
Bei einem NAT Router ist erst mal immer alles dicht (von außen nach innen), Du musst für jeden Zugriff extra einen Eintrag machen, sonst geht gar nichts.

Nicht wirklich, NAT ist kein Sicherheitsfeature. Insbesondere die Consumer-Class Router haben zum Teil sehr kreative NAT-Implementationen. Hierzu mal ein Text aus der NG de.comp.security.firewall:

>> Zusaetzliche Sicherheitsluecken werden aufgerissen, wenn das NAT
>> device sich auf hoeheren Protokollschichten austobt und Anhand von
>> Inhalten zusaetzliche Ports aufmacht. Beispiel FTP, damit kann man
>> bei einige Geraete bequem von aussen die NAT-Tabellen nahezu beliebig
>> direkt manipulieren.
>
> Heißt das im Klartext?
> Ich habe mein System gescannt und es werden keine Dienste nach außen
> geroutet. Nun öffne ich eine FTP-Verbindung um zum Beispiel eine
> aktuelle Webseite hochzuladen und dann gehöre ich möglicherweise der Katz?
> Müsste ich die Scans bei bestehendem FTP wiederholen oder gibt es da
> andere Checks?

Folgende zwei Probleme:

Active FTP von innen nach aussen:

Dein Client sagt dem FTP-Server im FTP-Steuerkanal (Port 21) im
Datenstrom, das er fuer den Datenkanal eine TCP Verbindung zu deinem
Client-Host auf einem vom FTP-clientprogramm aufgemachten Port
oeffnen soll.
Im Paket sieht das z.B. so aus: "PORT 192,168,1,2,4,3".
Der NAT-Router muss nun (damit FTP funktioniert) diesen Text parsen
und modifizieren, da du extern ja eine andere IP hast. Der NAT router
schaltet also eine Port-weiterleitung nach innen auf Port 1027 (4*256 + 3)

Nun kann ein Boeser Hax0r (sigh) hergehen und auf seinem FTP-Server
einfach folgende zwei Dinge tun:

1.) die MSS fuer TCP Verbindungen auf 64 Byte setzen, und/oder dafuer
sorgen, das die Path-MTU fuer alle FTP-verbindungen auf 64 Byte
gesetzt wird. -> Folge: Dein Client sendet alle FTP Pakete in 64-byte
Happen. (Falls nicht moeglich, muss er halt mit den 1500 byte arbeiten,
da ist das mit CWD meist nicht mehr direkt moeglich, da Dir-namen
oft auf 512 oder 1024 Zeichen beschraenkt sind, aber es gibt noch
andere Methoden die bei dieser Paketgroesse funktionieren.)

2.) Das Verzeichnis, in dem die von dir gewuenschte Datei liegt, nennt
er nun:

1jetzt-kommt-ein-zeilenumbruch-der-ist-Teil-vom-dir-namen
PORT 192,168,1,2,1,189
die-dritte-Zeile-des-Verzeichnisnamens

D.h. dein FTP-client muss fuer den Datei-download folgendes Kommando
im FTP-Steuerkanal absetzen:

CWD "1jetzt-kommt-ein-zeilenumbruch-der-ist-Teil-vom-dir-namen
PORT 192,168,1,2,1,189
die-dritte-Zeile-des-Verzeichnisnamens"

Man beachte die Zeilenumbrueche (CR+LF) und die Laenge der 1. Zeile.

Dieses eine FTP-Control-Paket muss nun dien IP-Stack wegen 1.) in
mindestens 2 Pakete zerlegen, eines das folgenden Text enthaelt:
CWD "1jetzt-kommt-ein-zeilenumbruch-der-ist-Teil-vom-dir-namen
Weil damit 64 byte voll sind (inkl. CRLF) und eines, das mit
folgendem Text beginnt:
"PORT 192,168,1,2,1,189

Dein NAT-Router hat jetzt keinen vollwertigen FTP-ALG mit FTP-Statemachine
sondern ist nur eine dumme 98.95 Euro Kiste. Was macht er also? Er
schaltet dir eine Portweiterleitung von aussen auf deine Kiste Port 445
(TCP DCE-RPC Port, idR. eine Einfallstuere in dein System) weil er das
2. Paket nicht von einer gueltigen Steuernachricht unterscheiden kann.
[1*256+189 = 445]

Voila, wenn gerade ein ungepatchter RPC-Epxloit bekannt ist, oder du
deine Patches nicht nachziehst, hat der Angreifer jetzt Vollzugriff
auf deinen Client.

Trotz NAT.

Das zweite Problem ist wenn du selbst einen FTP-Server anbietest.
Aber das ist im Home-bereich eher unwahrscheinlich und benoetigt
entweder einen FTP-server, der Userangaben (z.B. CWD
nicht-existierendes-Verzeichnis) in Fehlermeldungen zurueckliefert
oder schlimmer: Schreibzugriff in Listbaren Verzeichnisssen hat.
Und dein Server Passive FTP erlaubt.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"


Gruß,
Evil - ebenfalls keinen Virenscanner nutzend