[TONI_B]

Zitat:

Zitat von mrrondi

Irgendwie bekomm ich am MAC davon nix mit

;-)

Mit geeignetem Schutz bekommt man auch auf einem WIN-PC nichts davon mit!

Hab seit 10 Jahren keine solchen Probleme mehr.

[RainerV]

Sicherlich mag sich im Nachgang die Frage stellen, ob die Infektion vermeidbar gewesen wäre. Um solch eine Situation zumindest zukünftig unwahrscheinlicher zu machen.

Aber ich denke im ersten Moment ist hier jetzt eher gefragt, wie man die aktuelle Situation in den Griff bekommen kann.

Um Mac vs Windows gehts hier nicht.

Techniker, ihr seid gefragt!

Rainer

[Jens N.]

Zitat:

Zitat von RainerV

Techniker, ihr seid gefragt!

Wichtig ist erstmal: alles möglichst aktuell halten - Virenscanner, Firewall, OS (Win XP ... OK, wann wurde da das letzte update gemacht?) und ordentlich konfigurieren (wesentlich konkreter oder hilfreicher geht's aus der Ferne diesbezüglich leider nicht), dazu Augen auf und Hirn an beim Surfen. Eigentlich reicht das völlig - ich habe z.B. von einer vermeintlichen Zunahme an malware (von der es täglich! neue gibt, auch neue exploits werden täglich ausgenutzt oder gefunden, das ist nun alles nicht neu oder ungewöhnlich) bisher nix gemerkt. Die Pest ist also nicht "wieder da", sie war nie weg!

Ach ja: für konkrete Hilfe mal ans Trojaner-Forum wenden. Es gibt diverse Software die logs des Systems erstellt und die Jungs da erkennen dann wo es hakt - das betrifft dann allerdings auch Konfiguration und update-Status des Systems, d.h. die Antworten fallen möglicherweise auch unangenehm aus (z.B. im Sinne von "selbst schuld" oder "besser neu machen"). Ich hatte mal nach diesem EyeSpy gesucht und bin auf ein klassisches Beipiel gestoßen: http://www.trojaner-board.de/95518-s...von-virus.html

[TONI_B]

Zitat:

Zitat von RainerV

...Aber ich denke im ersten Moment ist hier jetzt eher gefragt, wie man die aktuelle Situation in den Griff bekommen kann...

Nachdem überhaupt keine konkreten Angaben gemacht wurden (BS, vorhandene Virus-Software etc.), kann man nur allgemeine Dinge sagen! Und es wurde in den letzten Tagen kein besonderes Aufkommen neuer oder spezieller Schädlinge beobachtet - es dürfte also schon eher an der Konfig des TO liegen.

[Jens N.]

...und die "aktuelle Situation" bekommt man wohl am besten durch ein Neu-Aufsetzen der betroffenen Rechner in den Griff, auch wenn das ätzend ist. Danach dann aktuelle Software, bzw. ein funktionierendes Sicherheitskonzept nutzen - der Chipleser der Bank war ein Anfang.

[mintracer]

zu der Webseiten Sache... benutzt du FileZilla?

[ddd]

moin,

Festplatte 'puttmachen ist bei mir Usus, da Medizinische Daten drauf sind. Freut meinen Händler, da ich selbst eine Platte, die am ersten Tag ausfällt, nicht reklamieren kann. Bei den heutigen Preisen ist das verschmerzbar, immerhin drohen bei Verstoß gegen die Geheimhaltungspflichten bis zu 5 Jahre Knast

In diesem Fall habe ich diese drastische Maßnahme zur Illustration benutzt:
1. low level format: keine IDE/SCSI/SATA/SAS-Platte führt diesen Befehl aus. Ein solches Kommando kommt sofort mit "ready" zurück, und die Platte pellt sich ein rohes Ei darauf.
2. Säuberungsversuche mit Überschreiben von sauberem System macht eine Analyse und ggfs. Rettung ungesicherter Daten unmöglich
3. Wenn man sich selbst vertraut, baut man die infizierte Platte aus und verwahrt sie an einem sicheren Ort. Aber man darf die nicht einfach wieder einsetzen, sondern nur unter angemessenen Sicherheitsvorkehrungen darauf zugreifen. Besser ist 'puttmachen, wenn man mit dem Neuaufsetzen und Backup zurückspielen und Prüfen, dass alles läuft, fertig ist. Man kann sie natürlich weiterverkaufen, um jemanden zu ärgern ...

Generell, Viren dienen heute idR zum Nachladen eines Trojaners. Und Trojaner wiederum idR zum Nachladen eines root-kits. Und dann ist man "am Arsch". Gerd, Deine divergenten Ergebnisse je nach Scanner deuten auf ein root-kit hin.

Das betrifft aber Deine Rechner, nicht die Webseiten. Das scheint eine zufällige Zeitgleichheit zu sein, denn die Seiten sind jetzt nicht so interessant, dass ein gezielter Angriff auf diese ausgeführt wurde. Da hat sich vmtl. ein Script-Pack reingehängt, welches vollautomatisch läuft und alle Lücken nutzt, die es irgendwo findet.
Die Angriffe gegen bekannte große Seiten dagegen sind gezielte manuell ausgeführte Aktionen, das ist eine andere Art von Bedrohung.

Ich habe mal eine der Seiten genauer angeschaut. Google meldet zur "Attack-Warnung" folgendes:

Zitat:

Diagnoseseite für AS8560 (SCHLUND)

What happened when Google visited sites hosted on this network?

Of the 279510 site(s) we tested on this network over the past 90 days, 6357 site(s), including, for example, scotria.de/, shoops.fr/, khanakhazana.com/, served content that resulted in malicious software being downloaded and installed without user consent.

The last time Google tested a site on this network was on 2011-08-09, and the last time suspicious content was found was on 2011-08-09.

Has this network hosted sites acting as intermediaries for further malware distribution?

Over the past 90 days, we found 313 site(s) on this network, including, for example, tierheim-boeblingen.de/, dpollitt.com/, diglifedesign.com/, that appeared to function as intermediaries for the infection of 810 other site(s) including, for example, giacomopirolo.it/, gaagifts.com/, oakandsmoke.com/.

Has this network hosted sites that have distributed malware?

Yes, this network has hosted sites that have distributed malicious software in the past 90 days. We found 465 site(s), including, for example, cpacheon.com/, freeguard.biz/, kristalzouk.com/, that infected 1274 other site(s), including, for example, campeche.gob.mx/, meb.gov.tr/, zealot.co.in/.

Das heißt im Klartext, Schlund (1&1) hat ein Problem. Deren Webserver sind offenbar nicht hinreichend abgesichert und wurden angegriffen. Denn die Seiten, die Gerd vor Jahren aufgesetzt hat, teilen sich den Server mit etlichen anderen Seiten. Ist eine erfolgreich infiziert, kann man die restlichen kaum noch sauber halten.
Google jedenfalls sperrt praktisch das gesamte Netz des Hosters. Solange der Hoster da nicht massiv tätig wird, kann der einzelne Website-Betreiber wenig ausrichten.

Ich würde beim Hoster Rabatz machen.
Die o.g. Seite ist ja, soweit ich auf die Schnelle gesehen habe, scriptfrei plain html. Das kann man ohne größere Mühe prüfen, wenn man direkt auf den Webserver kommt. Dann die Seite sauber neu hochladen. Am besten low level von Hand, keine Tools verwenden. Oft geht nur ftp, wenn ssh oder scp oder sftp verfügbar ist, dann das benutzen.
Hinterher bei Google die Seite als "nicht attackierend" melden und Daumen drücken.

[lichtformer]

Ich bin seit einigen Jahren Virenscannerfrei mit Ubuntu und kenn das noch aus vergangenen Tagen, da ich Windows seit 3.11 (damals noch auf Disketten) benutzt habe.

Diese Pest rotzt sich durchs ganze System, geil auch, wer seine XP Version übers Internet registriert ohne VORHER Spybot, und oder Avast zu installiern fängt sich auch gleich wieder den Mist ein...

Ich habe deswegen teilweise 3,4 mal meinen Rechner neu aufgesetzt binnen weniger Tage...

[alberich]

Zitat:

Zitat von lichtformer

Diese Pest rotzt sich durchs ganze System, geil auch, wer seine XP Version übers Internet registriert ohne VORHER Spybot, und oder Avast zu installiern fängt sich auch gleich wieder den Mist ein...

Dazu passt auch das ganz gut.
http://www.spiegel.de/netzwelt/web/0...777325,00.html

[frigo75]

Nur mal eben so gefragt, welchen Virenscanner benutzt ihr (MAC und Linux User bitte lachen und weghören ;-) )?
Ich hatte jahrelang Avira, bin aber seit kurzem (obwohl MS-Hasser, sagte mir Avira schlussendlich noch weniger zu) zu Microsoft Security Essentials gewechselt, nachdem ich auch Avast in Erwägung gezogen hatte.
Vom ersten Eindruck fand ich MS Security Essentials wirklich gar nicht so schlecht, auf jeden Fall sehr fix.
Hat jemand von euch damit auch Erfahrungen gemacht? würde mich mal interessieren.

Viele Grüße
frigo75