|
die Pest ist wieder da...Trojaner&Co
Moin
es scheint wieder mal neue Varianten von Malware und Trojaner zu geben... oder anders gesagt neu aufgetane Sicherheitslücken :roll: und man könnte gemein sein und sagen ...gehäuft tritt es erst auf seit dem neuen FF 4.0 und 5.0 :flop: ich hatte immer das Gefühl das sich das was tut ...wenn das Browserfenster zuckt...:?: Umleiter ohne Ende :oops: vor nun ca einem Monat...der erste Bankbrief...ich hätte einen Trojaner "EyeSpy" Konto wurde blockiert, einen Tag später die zweite Bank(Oma+Opa) mit einer Variante... nun habe ich so einen TAN-Generator (8,-Euro).... PWs gehen nicht mehr ...immer alles neu eintragen...dauert usw... logo habe ich meinen Rechner(XP Prof) gefilzt.... es wurden auch welche gefunden...aber andere Namen.... da dachte ich nun ist Ruhe im Stall aber... gestern ging es wieder los.... ein Kunde dem ich die Website gemacht hatte: Google gibt Warnmeldung raus ..Seite ist gehackt :top: 4 Stunden später der zweite Kunde meldet sich, seine Website meldete höchste Alarmstufen usw... gestern nacht noch alles dreimal gerpüft...wieder geleich 40 Funde :!::!::!: heute morgen gings dann weiter ;) Rechner geprüft...Scanner aller Art laufen z.Z.:evil: Nebenwirkungen...der Spybot (1.62) machte zwar einen Durchlauf.... aber zum ersten male konnte er zwar was finden...aber 4 Punkte nicht entfernen:!::mad: was ist da schon wieder los:?::?::?: Mfg gpo |
Irgendwie bekomm ich am MAC davon nix mit
;-) |
Zitat:
|
Aber mal ehrlich - alleine das ist es doch schon Wert an einem MAC zu arbeiten.
Ruhe zu haben von diesem ganzen Müll. Und auch für den MAC gibt Virenblocker - doch die haben halt - sehr wenig zum tun. |
Ähhh... Du machst Websites für andere Menschen, kriegst aber nicht mal Deinen Rechner halbwegs abgedichtet? Muss ich das als Informatiker verstehen?:shock: Ich würde Dir dringend ein Buch über Firewalls und Router empfehlen.
|
Zitat:
Zitat:
Ich Hoffe jedenfalls das es mir weiterhin gelingt, alles Böse fernzuhalten. :cool: @Gerd,viel Erfolg bei der Ungezieferbekämpfung. |
Zitat:
http://www.pc-magazin.de/news/window...x-1167895.html |
Zitat:
Sorry Gerd, dass ich dir jetzt konkret auch nicht weiter helfen kann. Martin |
Zitat:
Hab seit 10 Jahren keine solchen Probleme mehr. |
Sicherlich mag sich im Nachgang die Frage stellen, ob die Infektion vermeidbar gewesen wäre. Um solch eine Situation zumindest zukünftig unwahrscheinlicher zu machen.
Aber ich denke im ersten Moment ist hier jetzt eher gefragt, wie man die aktuelle Situation in den Griff bekommen kann. Um Mac vs Windows gehts hier nicht. Techniker, ihr seid gefragt! Rainer |
Zitat:
Und man braucht ja einen "Vorwand" um seinen ach so billigen Mac rechzufertigen :) lg, staflo Das mit den angegriffenen Websites lass ich mal lieber unkommentiert. einen schönen Tag von hier lg, staflo |
Zitat:
schau doch mal wie das Anschaungsergebnis aussieht...hier 2x Beispiele: http://www.photocenter.de/ http://www.rega-und-partner.de/ wobei ich gestern erst die komplett Website gelöschte hatte... und von einem definitiv freien Rechner saubere Daten wieder hochgeladen hatte :evil: Zitat:
ich mache Compuing nun schon seit Zeiten(88) wo die meisten hier noch gar nicht geboren waren.... in all den Jahren hatte ich nur einmal einen Umlenkattake bei ISDN auf einen teuren fremden Provider :roll: und logo hats bei mir im Router eine Hardware Firewall... ständige Ups die ich mir sehr genau anschaue...Virenscanner usw... und bis auf die oben beschriebene Situation ist es bisher bestens gelaufen :top: nur der Gilb geht eben auch in Forem um.... 1) das DSLR Forum ist die letzte Zeit min. 3x gehackt worden... war tagelang offline...nu hat man alle Avatare entfernt.... 2) das Grossformat Forum ist ebenfalls min 2x attakiert worden...z.Z. offline also, so ist es nun nicht, GPO gegen den Rest der IT Welt....:evil: lass dir mal das nächste mal einen logischeren vor allem zielgerichteten Beitrag einfallen :!: Mfg gpo |
Zitat:
Ach ja: für konkrete Hilfe mal ans Trojaner-Forum wenden. Es gibt diverse Software die logs des Systems erstellt und die Jungs da erkennen dann wo es hakt - das betrifft dann allerdings auch Konfiguration und update-Status des Systems, d.h. die Antworten fallen möglicherweise auch unangenehm aus (z.B. im Sinne von "selbst schuld" oder "besser neu machen"). Ich hatte mal nach diesem EyeSpy gesucht und bin auf ein klassisches Beipiel gestoßen: http://www.trojaner-board.de/95518-s...von-virus.html |
Hallo Gerd, sorry, dass ich Dir nicht gezielt helfen kann und bestimmt hast Du bereits alles erdenkliche getestet.
Aber falls da Panda nicht dabei war, dann schau mal hier: http://www.pandasecurity.com/germany...ns/activescan/ und hier http://www.pandasecurity.com/homeuse...nt=MalwareInfo Viel Erfolg! |
Zitat:
|
Zitat:
Aber du wirst doch zustimmen das dein MAC viel seltener Angegriffen wird als dein WIN PC. Des weiteren leidet die Performance eine WIN Rechner doch fast immer am Virenscanner. An meinem MAC merke ich jedoch nix. Soll keine Diskussion werden was toller ist - ob PC oder MAC, doch ein Grund für den Kauf eine MAC war auch dieses leidige Thema. |
Zitat:
Bei richtigem Setup läuft die Windows Maschinerie mindestens genauso schnell und stabil. lg, staflo |
Zitat:
Vergiss das mit der PN, mach Deinen Krempel alleine! |
Zitat:
Das A und O ist sicherlich, das Betriebssystem und alle Programme, gerade die, die aufs Internet zugreifen wie den Browser, Office, Flash, Java, Acrobat Reader usw. auf dem aktuellen Stand halten. Dann kann man sich m. E. sogar das AV-Programm sparen. Die Windows Firewall tut es, alle anderen Software-Firewalls verwirren nur durch ständige Nachfragen, die der Normaluser nicht versteht. Ein zentraler Update-Mechanismus, der sich nicht nur um Microsoft-Produkte kümmert, sondern um alle Programme auf dem Rechner ist sehr hilfreich: http://secunia.com/vulnerability_scanning/personal/ |
Zitat:
|
moin,
was bei mir seit Jahren funktioniert, ist ein Linux-Rechner als Router/Firewall. Den braucht man nicht einmal besonders zu vernageln, ein paar wenige grundsätzliche Einstellungen und natürlich Aufmerksamkeit bei der Benutzung des I-Net und man hat weitgehend Ruhe. Und es liegt nicht daran, dass es keiner versuchen würde, bis zu 20.000 Angriffe/Stunde habe ich (in Wellen) regelmäßig :shock: Und ich habe "exposed hosts", interne exposed Webserver mit einem uralten Release-Stand usw., also eigentlich alles, was einem Angreifer die Arbeit erleichtert. Auf gar keinen Fall sollte ein Win-PC direkt am I-Net hängen, das bekommt man einfach nicht "dicht". Auch viele DSL/WLAN-Router sind nicht der Brüller, und Hardware-firewalls sind als "black box" auch nicht zwingend sicher (ich verwende die nur für hart gesicherte VPNs). Die Webserver sind da ein ganz anderes Problem. Wer selbst einen sog. "root-server" betreibt, sollte ganz genau wissen, was er tut. Das ist auch juristisch nicht unproblematisch. Wer einen "normalen" Webserver betreibt, ist wesentlich auf den Hoster angewiesen für die Grundsicherheit. Man kann aber mit Web2.0-Krempel die ganze schöne Grundsicherheit sehr wirkungsvoll aushebeln. Einfach "back-to-the-roots" (das ist ja sonst durchaus Dein Motto, Gerd), also sauberes plain-HTML, und es ist, Grundsicherheit seitens des Hosters vorausgesetzt, nicht sooo schwierig. Und natürlich LAMP, man fährt Webserver gar nie niemals nicht unter WinDoof. Andere Frage: sind die Seiten wirklich kompromittiert oder werden sie "nur" als solche angezeigt? Ich habe es schon mehrfach gesehen, dass irgendwelche Filter anschlagen, obwohl alles "im Grünen Bereich" ist. Letzteres muss man natürlich erst mal durch sorgfältige Analyse sicherstellen. Bis eine Seite von der "attackierend"-Warnliste runter ist, vergehen Tage, teilweise Wochen. Gerd, wenn Du Dir sicher bist, musst Du Dich aktiv um die Entfernung von der Warnliste bemühen. Von selbst passiert da so schnell nix! -thomas |
Zitat:
|
Hallo gpo,
hast Du schon mit Online Virenscanner versucht? Ich weiß nicht wie gut die Dinger sind aber ein Versuch kann ja nicht schaden. http://housecall.trendmicro.com/de/ http://www.bitdefender.de/scanner/online/free.html http://www.pandasecurity.com/germany...ns/activescan/ Gruß Philipp . |
moin,
Zitat:
Dazu muss der möglicherweise befallene Rechner online sein. Und genau das ist zu unterlassen, denn wenn der wirklich ein Problem hat, dann wird er fremdgesteuert, sobald er online ist. Ein root-kit kann kein Virenscanner finden, denn ein root-kit heißt ja gerade deshalb so, weil es nicht zu erkennen ist. Die meisten root-kits hebeln den Virenscanner aus, der wird Dir immer "alles ok" melden. Wenn wirklich ein root-kit läuft, hilft nur tabula-rasa: - Festplatte ausbauen, mechanisch zerstören und wegschmeißen. - Das Backup in einer sicheren Umgebung, z.B. Linux-Boot-CD auf einem Rechner ohne Festplatte, mit mehreren Scanner überprüfen. - Jungfräuliche neue Platte nehmen, System drauf und die Daten vom dann hoffentlich sauberen Backup zurückspielen. Alles andere ist nur mit immensem Aufwand zu machen und eine Restunsicherheit verbleibt immer. |
Zitat:
Zitat:
|
Zitat:
---------- Post added 09.08.2011 at 12:11 ---------- Zitat:
|
Könnten gewisse Herrschaften bitte ihre Streitereien beenden?
Danke denen, die Gerd bei der Lösung seines Problems helfen wollen. Rainer |
Zitat:
|
...und die "aktuelle Situation" bekommt man wohl am besten durch ein Neu-Aufsetzen der betroffenen Rechner in den Griff, auch wenn das ätzend ist. Danach dann aktuelle Software, bzw. ein funktionierendes Sicherheitskonzept nutzen - der Chipleser der Bank war ein Anfang.
|
Also die Festplatte würde ich nun doch nicht gleich zerstören :-)
Aber Root Kits sind wirklich schwerer zu entdecken. Man muss auf jeden Fall einen Virenscanner verwenden der von einem eigenen Medium bootet (CD, USB Stick, usw). Ich würde zunächst versuchen möglichst alle Schädlinge zu entfernen. Wichtig ist dabei alle Komponenten (Rechner,Laptop, Route, USB Sticks) getrennt (nicht vernetzt) zu überprüfen und zu bereinigen damit sie sich nicht wieder gegenseitig infizieren. Letztendlich bleibt manchmal doch nur eine Neuinstallation und dann würde ich Windows XP gegen Windows 7 austauschen welches um einiges sicherer ist. Da Du ja Trojener an Bord hattest, solltest Du alle Kennwörter die Du verwendet hast (wirklich alle, auch EMail, FTP, Webserver, Routerzugänge) wechseln. Der Trojaner könnte eine Keylogger Funktion enthalten haben, die alle Eingaben in Kennwortfelder protokolliert und versendet. Ich würde z.B. auch mal im Router schauen. Vielleicht hat sich da jemand ein Hintertürchen eingebaut. weiterhin überprüfen ob sich jemand Zugang zum EMail Account verschafft hat. Um dich für die Zukunft zu schützen empfehle ich Dir ein Kompettpaket aus Firewall Virenscanner und Sandbox. Avast ist z.B. ein solches Paket. Vor kurzem gab es das sogar für ein Jahr kostenlos. Andere Anbieter wie Kaspersky, Norton, Avira usw. bieten vergleichbare Pakete. Eine Sandbox Funktion der Schutzsoftware ist aber in jedem Fall empfehlenswert. Das Haupteinfallstor für Schädlinge sind seit geraumer Zeit Browser, Flash und Konsorten. Werden diese in einer Sandbox ausgeführt, laufen sie isoliert vom Rest des Systems und können den Rechner auch durch vorhandene Sicherheitslücken nicht infizieren. Viel Erfolg |
Hilfreich wäre jetzt eine CD/DVD ähnlich der Desinfec't. Leider kann man die von der c't aus lizenzrechtlichen Gründen nicht runterladen, man kann die Ausgabe der Zeitschrift mit DVD allerdings nachbestellen (dürfte aber ein paar Tage dauern). Aber vielleicht hat jemand in der Umgebung die DVD (c't 08/2011) ja rumliegen und kann sie verleihen.
Damit könnte man in einer sauberen Umgebung nach Viren auf der Platte suchen und sie ggfs. reinigen. Gruß, eiq |
Zitat:
Platte ausbauen und mit einem anderen und vor allem sauberen(!) System "reinigen" ist beispielsweise ein Tip, den ich hier gelesen habe und auf den möglicherweise nicht jeder kommen würde. Und vor allem mit dem betroffenen System nicht mehr online gehen. Gerd wird bestimmt Fragen beantworten, deren Beantwortung wichtig für die Unterstützung ist. Ich will halt vor allem keine unsinnigen Diskussionen z.B. über das Thema Mac vs Windows, die niemandem und vor allem Gerd nicht helfen und eh nur wieder Streit auslösen. Rainer |
Nur ist es für mich noch immer nicht klar, ob gpo überhaupt Hilfe will?
Hat er das irgendwo geschrieben? Er hat ja die angebotene Hilfe mit Hinweis auf sein PC-Wissen (seit 88) abgetan. Es ist auch nicht klar, ob die Infektion seines Systems mit den gesperrten WebSeiten in unmittelbaren Zusammenhang steht usw. usw. |
Zitat:
http://connect.microsoft.com/systemsweeper Die Festplatte physikalisch zu zerstören ist wohl mit Kanonen auf Spatzen schießen - formatieren und das Betriebssystem neu installieren hat bis jetzt immer genügt. |
Zitat:
Gruß, eiq |
Moin
also...ganz so hilflos bin ich ja noch auch nicht...:cool: den Paul aber darf man gern mal "auf Eis setzen" denn solche abgefahrenen Tips sind ja nur noch für die Tonne:flop:...nett gesagt :evil: bei beiden Websites die z.Z. betroffen sind.... ist es Tatsache das sie mehr wie 6 Jahre unverändert online sind(Photocenter) (die Rega immerhin nun 3 Jahre).... Online Banking und zwar völlig problemlos mache ich nun auch über 5 Jahre... und sicher werde ich keinen HD wegwerfen weil einigen nix besseres einfällt :cry: UND...ich erwarte auch keine direkt Hilfe nur.... die Frage war ja eindeutig...bin nur ich betroffen...haben andere ähnliches erlebt...ist im Moment irgednwo wieder einen ungestopfte Sicherheitslücke....:?: habe bei Google in deren Hilfeforen geforscht....ja der Laden ist voll mit ähnlichen Problemen :!: und Mac_PC können sich auch alle ruhig hinlegen... ich erwähnte oben das ich am PC nur ein EINZIGES mal in nun 23 Jahren eine ISDN Okkupation hatte(Umlenker auf anderen provider) es kann also keine Rede davon sein....das ich "armer PC-User" da ständig gebeutelt wurde.... richtig ist aber auch...und zwar weil ich das PC-Verhalten kenne... dann am MAC folgendes zu beobachten ist>>> der MAC machts zwar nix...kann aber sehr wohl abstürzen wenn da Scripte aus dem Himmel kommen... oder er machte nix...und startete den nächsten Tag nicht mehr oder er ging nicht mehr aus....:flop: was zur Zeit klar ist(bei Google gefunden) das ich die Websites auf komische Scripte prüfen muss.... mein Gegenpart(Kunde) aber hat es schon versucht und nix gefunden :oops: was ich noch nicht gefunden hatte...einen freien brauchbaren Trojanerjäger...? einen frühere Version ist abgelaufen, startet nicht mehr :roll: Registry habe ich schon durchgesehen und natürlich haufenweise Mist gefunden, die , obwohl "benutzer Installiert" immer irgendeinen Blödsinn reinschreiben, den man nur schwerlich findet :evil: MACs...ja ja Freunde...auch dort wird reingeschrieben das sich die Balken biegen, habe dafür extra den X-Folders ein Tool was unsichtbares hervorholt... und da habe ich Einträge gefunden die auf keine Kuhaut gehen :roll: Rechner Plattmachen....ja ich werde es erstmal trocken probieren denn die Reißleine ziehen bedeutet min 2 Wochen neueinrichten :shock: Mfg gpo |
Na dann viel Erfolg, du machst das schon.
|
Was unter XP machbar ist, aber ein größeres Risiko darstellt, wäre eine Reparaturinstallation. Die überschreibt sämtliche Systemdateien, Systemteile der Registry und setzt die Rechte für diese Teile wieder korrekt. Nur die Programme bleiben unberührt.
Ich würde dies zumindest probieren, wenn Installation und Einrichten der Programme sehr viel Arbeit ist. Bei mir dauert das leider Wochen, bis es für alle Benutzer wieder korrekt funtioniert. Was ich dir dann noch empfehlen kann ist, 1) natürlich nur mit User rechten zu arbeiten und Admin nur zum Installieren. Nehme an, dass du das eh so hast. Wenn nicht, gibt es ein Tool DropMyRights, mit dem man Browser usw. trotzdem zumindest auf Benutzerrechte zurücksetzen kann. 2) Faronics Deep Freeze Das Programm speichert alles Änderungen auf der Platte in einem eigenen Bereich und wirft sie beim Neustart weg. Heißt, auch wenn du dir was einfängst, ist es beim Neustart wieder weg. Ich habe es für die C-Platte und die Profile auf D-umgelenkt. Und dort bleiben die Daten auch erhalten. Seit vielen Jahren habe ich damit keine Virus, Trojaner usw. 3) Firewall mit Filterung eingehend und ausgehend! Die meisten Firewall sind so aufgebaut, dass sie zwar von außen den Zugriff sperren, aber von innen sämtliche Ports aufgemacht werden können. Damit steht einem ungefilterten Transfer nichts mehr im Weg. Ist da aber ein Packet Filter, bei den man auch von Innen nach Außen filter, kann ein Trojaner in vielen Fällen keinen Kontakt nach außen aufnehmen, wenn nur Port 80 und 443 offen und alle anderen Ports auf bestimmte IP-Adressen eingeschränkt sind. Ergänzen kann man das noch mit einer SW Firewall, die nur definierte Programme auf den Port 80/443 lässt. |
Hallo zusammen,
ich sage dazu jetzt nach einigem Abwägen doch etwas, auch wenn es Gerd nicht gefallen wird. Ein zur Pflege von Kundendateien bestimmter Rechner, der kompromittiert wurde MUSS neu aufgebaut werden und die Platte zumindest an einem sauberen Rechner durch Überschreiben komplett leer gemacht werden. Alles andere ist unverantwortlich. Punkt. Die gesamte Batterie der Virenscanner sucht Signaturen bekannter Schadcode Varianten. Fast alle heutigen Trojaner sind aber als Baukasten gebaut, so dass sie "kundenspezifischen" Schadcode nachladen und diese nachgeladenen Bestandteile des "Mieters" sind mehrheitlich nicht bekannt (da meistens "frisch"). Wenn ein Trojaner also mal aktiv war, kannst Du Dir alle Scanner schenken, denn sie werden in 90% der Fälle den nachgeladenen Code nicht finden. Alles andere als ein Neuaufbau Deines Systems heißt ganz klar, dass Du mit Deiner und der Sicherheit Deiner Kunden spielst. Viele Grüße, Markus |
Moin
nochmal ein paar Infos dazu... die beiden betroffenen Websites liegen NICHT auf meinem erver...habe gar keinen! sondern die eine bei Strato die andere bei 1 & 1 gehostet.... beide wurden lange von mir NICHT angefasst....also keine Uploads es kann also logisch nicht direkt von meinem Rechner auf die Websites übertragen sein. weder die Hardware(Router) - noch die Windows Firewall...hat sich gemeldet ! der Avira ..ja der hat ein paarmal gemuckt, Malware angezeigt und per Klick entfernt... wenn das vorkam, wurde das gesamte System gescannt... die gefundenen Teile....sind aber nicht identisch mit denen die die Bank monierte... und auch nicht mit der Warnmeldung von Google! was mich wundert...es passt eigentlich nicht alles zusammen aber... bekanntlich könne neue Schädlinge ja sehr vielseitig sein...sozusagen in Lauerposition warten...bis was passiert ;) was seit der ersten Attacke tatsächlich passiert ist... mein bisheriger Sypbot lief nicht mehr anstandslos, er zeigt 4 nicht löschbare "win32s..." Elemente an die irgendwas blockierten.... habe die neuere Betaversion mal laufen lassen...der fand wiederum nix;) der Avira läuft durch...findet ab zund zu was, stellt es in Quarantäne... habe dann man den MS Scanner installiert...der meldete dann wieder ganz andere Sachen... ist schon trickey :P Mfg gpo |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 21:23 Uhr. |