SonyUserforum - die Pest ist wieder da...Trojaner&Co

eiq · 09.08.2011, 12:32

Hilfreich wäre jetzt eine CD/DVD ähnlich der Desinfec't. Leider kann man die von der c't aus lizenzrechtlichen Gründen nicht runterladen, man kann die Ausgabe der Zeitschrift mit DVD allerdings nachbestellen (dürfte aber ein paar Tage dauern). Aber vielleicht hat jemand in der Umgebung die DVD (c't 08/2011) ja rumliegen und kann sie verleihen.

Damit könnte man in einer sauberen Umgebung nach Viren auf der Platte suchen und sie ggfs. reinigen.

Gruß, eiq

RainerV · 09.08.2011, 12:35

Zitat:

Zitat von TONI_B

Nachdem überhaupt keine konkreten Angaben gemacht wurden (BS, vorhandene Virus-Software etc.), kann man nur allgemeine Dinge sagen! Und es wurde in den letzten Tagen kein besonderes Aufkommen neuer oder spezieller Schädlinge beobachtet - es dürfte also schon eher an der Konfig des TO liegen.

Toni, auch die gerad gelesene Aussage, daß man das nicht mehr retten kann, ist schon eine Aussage, die zwar schmerzhaft ist, aber vermeiden helfen kann, noch größeren Schaden anzurichten - und hier scheint es ja Auswirkungen auf Kundeninstallationen zu geben. Jedenfalls dann, wenn wirklich keine Rettung des bestehenden Systems mehr möglich ist.

Platte ausbauen und mit einem anderen und vor allem sauberen(!) System "reinigen" ist beispielsweise ein Tip, den ich hier gelesen habe und auf den möglicherweise nicht jeder kommen würde.

Und vor allem mit dem betroffenen System nicht mehr online gehen.

Gerd wird bestimmt Fragen beantworten, deren Beantwortung wichtig für die Unterstützung ist.

Ich will halt vor allem keine unsinnigen Diskussionen z.B. über das Thema Mac vs Windows, die niemandem und vor allem Gerd nicht helfen und eh nur wieder Streit auslösen.

Rainer

TONI_B · 09.08.2011, 12:50

Nur ist es für mich noch immer nicht klar, ob gpo überhaupt Hilfe will?

Hat er das irgendwo geschrieben?

Er hat ja die angebotene Hilfe mit Hinweis auf sein PC-Wissen (seit 88) abgetan.

Es ist auch nicht klar, ob die Infektion seines Systems mit den gesperrten WebSeiten in unmittelbaren Zusammenhang steht usw. usw.

kearny · 09.08.2011, 12:51

Zitat:

Zitat von eiq

Damit könnte man in einer sauberen Umgebung nach Viren auf der Platte suchen und sie ggfs. reinigen.

Neben dem hervorragendem c't Desinfekt gibt es neuerdings auch von Microsoft ein kostenloses AV-Programm, das vom USB-Stick oder DVD bootet und genau die saubere Umgebung bietet, ohne die Festplatte ausbauen zu müssen.

http://connect.microsoft.com/systemsweeper

Die Festplatte physikalisch zu zerstören ist wohl mit Kanonen auf Spatzen schießen - formatieren und das Betriebssystem neu installieren hat bis jetzt immer genügt.

eiq · 09.08.2011, 12:56

Zitat:

Zitat von kearny

das vom USB-Stick oder DVD bootet und genau die saubere Umgebung bietet, ohne die Festplatte ausbauen zu müssen.

Wobei ich die DVD bevorzugen würde, es sei denn der USB-Stick hat einen Schreibschutz, was leider nur sehr selten der Fall ist.

Gruß, eiq

gpo · 09.08.2011, 12:59

Moin

also...ganz so hilflos bin ich ja noch auch nicht...

den Paul aber darf man gern mal "auf Eis setzen" denn solche abgefahrenen Tips sind ja nur noch für die Tonne

...nett gesagt

bei beiden Websites die z.Z. betroffen sind....
ist es Tatsache das sie mehr wie 6 Jahre unverändert online sind(Photocenter)
(die Rega immerhin nun 3 Jahre)....
Online Banking und zwar völlig problemlos mache ich nun auch über 5 Jahre...
und sicher werde ich keinen HD wegwerfen weil einigen nix besseres einfällt

UND...ich erwarte auch keine direkt Hilfe nur....
die Frage war ja eindeutig...bin nur ich betroffen...haben andere ähnliches erlebt...ist im Moment irgednwo wieder einen ungestopfte Sicherheitslücke....

habe bei Google in deren Hilfeforen geforscht....ja der Laden ist voll mit ähnlichen Problemen

und Mac_PC können sich auch alle ruhig hinlegen...
ich erwähnte oben das ich am PC nur ein EINZIGES mal in nun 23 Jahren eine ISDN Okkupation hatte(Umlenker auf anderen provider)

es kann also keine Rede davon sein....das ich "armer PC-User" da ständig gebeutelt wurde....
richtig ist aber auch...und zwar weil ich das PC-Verhalten kenne...
dann am MAC folgendes zu beobachten ist>>>
der MAC machts zwar nix...kann aber sehr wohl abstürzen wenn da Scripte aus dem Himmel kommen...
oder er machte nix...und startete den nächsten Tag nicht mehr oder er ging nicht mehr aus....

was zur Zeit klar ist(bei Google gefunden) das ich die Websites auf komische Scripte prüfen muss....
mein Gegenpart(Kunde) aber hat es schon versucht und nix gefunden

was ich noch nicht gefunden hatte...einen freien brauchbaren Trojanerjäger...?
einen frühere Version ist abgelaufen, startet nicht mehr

Registry habe ich schon durchgesehen und natürlich haufenweise Mist gefunden,
die , obwohl "benutzer Installiert" immer irgendeinen Blödsinn reinschreiben, den man nur schwerlich findet

MACs...ja ja Freunde...auch dort wird reingeschrieben das sich die Balken biegen,
habe dafür extra den X-Folders ein Tool was unsichtbares hervorholt...
und da habe ich Einträge gefunden die auf keine Kuhaut gehen

Rechner Plattmachen....ja ich werde es erstmal trocken probieren
denn die Reißleine ziehen bedeutet min 2 Wochen neueinrichten

Mfg gpo

Jens N. · 09.08.2011, 13:27

Na dann viel Erfolg, du machst das schon.

mrieglhofer · 09.08.2011, 14:16

Was unter XP machbar ist, aber ein größeres Risiko darstellt, wäre eine Reparaturinstallation. Die überschreibt sämtliche Systemdateien, Systemteile der Registry und setzt die Rechte für diese Teile wieder korrekt. Nur die Programme bleiben unberührt.

Ich würde dies zumindest probieren, wenn Installation und Einrichten der Programme sehr viel Arbeit ist. Bei mir dauert das leider Wochen, bis es für alle Benutzer wieder korrekt funtioniert.

Was ich dir dann noch empfehlen kann ist,
1) natürlich nur mit User rechten zu arbeiten und Admin nur zum Installieren. Nehme an, dass du das eh so hast. Wenn nicht, gibt es ein Tool DropMyRights, mit dem man Browser usw. trotzdem zumindest auf Benutzerrechte zurücksetzen kann.

2) Faronics Deep Freeze
Das Programm speichert alles Änderungen auf der Platte in einem eigenen Bereich und wirft sie beim Neustart weg. Heißt, auch wenn du dir was einfängst, ist es beim Neustart wieder weg. Ich habe es für die C-Platte und die Profile auf D-umgelenkt. Und dort bleiben die Daten auch erhalten. Seit vielen Jahren habe ich damit keine Virus, Trojaner usw.

3) Firewall mit Filterung eingehend und ausgehend!
Die meisten Firewall sind so aufgebaut, dass sie zwar von außen den Zugriff sperren, aber von innen sämtliche Ports aufgemacht werden können. Damit steht einem ungefilterten Transfer nichts mehr im Weg.
Ist da aber ein Packet Filter, bei den man auch von Innen nach Außen filter, kann ein Trojaner in vielen Fällen keinen Kontakt nach außen aufnehmen, wenn nur Port 80 und 443 offen und alle anderen Ports auf bestimmte IP-Adressen eingeschränkt sind. Ergänzen kann man das noch mit einer SW Firewall, die nur definierte Programme auf den Port 80/443 lässt.

Zaar · 09.08.2011, 15:06

Hallo zusammen,

ich sage dazu jetzt nach einigem Abwägen doch etwas, auch wenn es Gerd nicht gefallen wird.

Ein zur Pflege von Kundendateien bestimmter Rechner, der kompromittiert wurde MUSS neu aufgebaut werden und die Platte zumindest an einem sauberen Rechner durch Überschreiben komplett leer gemacht werden. Alles andere ist unverantwortlich. Punkt. Die gesamte Batterie der Virenscanner sucht Signaturen bekannter Schadcode Varianten. Fast alle heutigen Trojaner sind aber als Baukasten gebaut, so dass sie "kundenspezifischen" Schadcode nachladen und diese nachgeladenen Bestandteile des "Mieters" sind mehrheitlich nicht bekannt (da meistens "frisch"). Wenn ein Trojaner also mal aktiv war, kannst Du Dir alle Scanner schenken, denn sie werden in 90% der Fälle den nachgeladenen Code nicht finden.

Alles andere als ein Neuaufbau Deines Systems heißt ganz klar, dass Du mit Deiner und der Sicherheit Deiner Kunden spielst.

Viele Grüße,
Markus

gpo · 09.08.2011, 15:11

Moin

nochmal ein paar Infos dazu...

die beiden betroffenen Websites liegen NICHT auf meinem erver...habe gar keinen!

sondern die eine bei Strato die andere bei 1 & 1 gehostet....
beide wurden lange von mir NICHT angefasst....also keine Uploads
es kann also logisch nicht direkt von meinem Rechner auf die Websites übertragen sein.

weder die Hardware(Router) - noch die Windows Firewall...hat sich gemeldet !

der Avira ..ja der hat ein paarmal gemuckt, Malware angezeigt und per Klick entfernt...
wenn das vorkam, wurde das gesamte System gescannt...

die gefundenen Teile....sind aber nicht identisch mit denen die die Bank monierte...
und auch nicht mit der Warnmeldung von Google!

was mich wundert...es passt eigentlich nicht alles zusammen aber...
bekanntlich könne neue Schädlinge ja sehr vielseitig sein...sozusagen in Lauerposition warten...bis was passiert

was seit der ersten Attacke tatsächlich passiert ist...
mein bisheriger Sypbot lief nicht mehr anstandslos, er zeigt 4 nicht löschbare "win32s..." Elemente an die irgendwas blockierten....
habe die neuere Betaversion mal laufen lassen...der fand wiederum nix

der Avira läuft durch...findet ab zund zu was, stellt es in Quarantäne...
habe dann man den MS Scanner installiert...der meldete dann wieder ganz andere Sachen...
ist schon trickey

Mfg gpo

09.08.2011, 12:50	#33
TONI_B Registriert seit: 13.12.2007 Ort: Ö; Deutsch-Wagram Beiträge: 12.386	Nur ist es für mich noch immer nicht klar, ob gpo überhaupt Hilfe will? Hat er das irgendwo geschrieben? Er hat ja die angebotene Hilfe mit Hinweis auf sein PC-Wissen (seit 88) abgetan. Es ist auch nicht klar, ob die Infektion seines Systems mit den gesperrten WebSeiten in unmittelbaren Zusammenhang steht usw. usw. __________________

09.08.2011, 12:59	#36
gpo Themenersteller Registriert seit: 15.03.2004 Ort: Hamburg Beiträge: 12.012	Moin also...ganz so hilflos bin ich ja noch auch nicht... den Paul aber darf man gern mal "auf Eis setzen" denn solche abgefahrenen Tips sind ja nur noch für die Tonne...nett gesagt bei beiden Websites die z.Z. betroffen sind.... ist es Tatsache das sie mehr wie 6 Jahre unverändert online sind(Photocenter) (die Rega immerhin nun 3 Jahre).... Online Banking und zwar völlig problemlos mache ich nun auch über 5 Jahre... und sicher werde ich keinen HD wegwerfen weil einigen nix besseres einfällt UND...ich erwarte auch keine direkt Hilfe nur.... die Frage war ja eindeutig...bin nur ich betroffen...haben andere ähnliches erlebt...ist im Moment irgednwo wieder einen ungestopfte Sicherheitslücke.... habe bei Google in deren Hilfeforen geforscht....ja der Laden ist voll mit ähnlichen Problemen und Mac_PC können sich auch alle ruhig hinlegen... ich erwähnte oben das ich am PC nur ein EINZIGES mal in nun 23 Jahren eine ISDN Okkupation hatte(Umlenker auf anderen provider) es kann also keine Rede davon sein....das ich "armer PC-User" da ständig gebeutelt wurde.... richtig ist aber auch...und zwar weil ich das PC-Verhalten kenne... dann am MAC folgendes zu beobachten ist>>> der MAC machts zwar nix...kann aber sehr wohl abstürzen wenn da Scripte aus dem Himmel kommen... oder er machte nix...und startete den nächsten Tag nicht mehr oder er ging nicht mehr aus.... was zur Zeit klar ist(bei Google gefunden) das ich die Websites auf komische Scripte prüfen muss.... mein Gegenpart(Kunde) aber hat es schon versucht und nix gefunden was ich noch nicht gefunden hatte...einen freien brauchbaren Trojanerjäger...? einen frühere Version ist abgelaufen, startet nicht mehr Registry habe ich schon durchgesehen und natürlich haufenweise Mist gefunden, die , obwohl "benutzer Installiert" immer irgendeinen Blödsinn reinschreiben, den man nur schwerlich findet MACs...ja ja Freunde...auch dort wird reingeschrieben das sich die Balken biegen, habe dafür extra den X-Folders ein Tool was unsichtbares hervorholt... und da habe ich Einträge gefunden die auf keine Kuhaut gehen Rechner Plattmachen....ja ich werde es erstmal trocken probieren denn die Reißleine ziehen bedeutet min 2 Wochen neueinrichten Mfg gpo

09.08.2011, 13:27	#37
Jens N. Registriert seit: 16.11.2005 Ort: Osnabrück Beiträge: 13.250	Na dann viel Erfolg, du machst das schon. __________________ Gruß Jens

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

09.08.2011, 12:32	#31
eiq Registriert seit: 18.08.2005 Beiträge: 2.604	Hilfreich wäre jetzt eine CD/DVD ähnlich der Desinfec't. Leider kann man die von der c't aus lizenzrechtlichen Gründen nicht runterladen, man kann die Ausgabe der Zeitschrift mit DVD allerdings nachbestellen (dürfte aber ein paar Tage dauern). Aber vielleicht hat jemand in der Umgebung die DVD (c't 08/2011) ja rumliegen und kann sie verleihen. Damit könnte man in einer sauberen Umgebung nach Viren auf der Platte suchen und sie ggfs. reinigen. Gruß, eiq

09.08.2011, 14:16	#38
mrieglhofer Registriert seit: 03.12.2003 Beiträge: 8.945	Was unter XP machbar ist, aber ein größeres Risiko darstellt, wäre eine Reparaturinstallation. Die überschreibt sämtliche Systemdateien, Systemteile der Registry und setzt die Rechte für diese Teile wieder korrekt. Nur die Programme bleiben unberührt. Ich würde dies zumindest probieren, wenn Installation und Einrichten der Programme sehr viel Arbeit ist. Bei mir dauert das leider Wochen, bis es für alle Benutzer wieder korrekt funtioniert. Was ich dir dann noch empfehlen kann ist, 1) natürlich nur mit User rechten zu arbeiten und Admin nur zum Installieren. Nehme an, dass du das eh so hast. Wenn nicht, gibt es ein Tool DropMyRights, mit dem man Browser usw. trotzdem zumindest auf Benutzerrechte zurücksetzen kann. 2) Faronics Deep Freeze Das Programm speichert alles Änderungen auf der Platte in einem eigenen Bereich und wirft sie beim Neustart weg. Heißt, auch wenn du dir was einfängst, ist es beim Neustart wieder weg. Ich habe es für die C-Platte und die Profile auf D-umgelenkt. Und dort bleiben die Daten auch erhalten. Seit vielen Jahren habe ich damit keine Virus, Trojaner usw. 3) Firewall mit Filterung eingehend und ausgehend! Die meisten Firewall sind so aufgebaut, dass sie zwar von außen den Zugriff sperren, aber von innen sämtliche Ports aufgemacht werden können. Damit steht einem ungefilterten Transfer nichts mehr im Weg. Ist da aber ein Packet Filter, bei den man auch von Innen nach Außen filter, kann ein Trojaner in vielen Fällen keinen Kontakt nach außen aufnehmen, wenn nur Port 80 und 443 offen und alle anderen Ports auf bestimmte IP-Adressen eingeschränkt sind. Ergänzen kann man das noch mit einer SW Firewall, die nur definierte Programme auf den Port 80/443 lässt.

09.08.2011, 15:06	#39
Zaar Registriert seit: 05.11.2004 Beiträge: 2.195	Hallo zusammen, ich sage dazu jetzt nach einigem Abwägen doch etwas, auch wenn es Gerd nicht gefallen wird. Ein zur Pflege von Kundendateien bestimmter Rechner, der kompromittiert wurde MUSS neu aufgebaut werden und die Platte zumindest an einem sauberen Rechner durch Überschreiben komplett leer gemacht werden. Alles andere ist unverantwortlich. Punkt. Die gesamte Batterie der Virenscanner sucht Signaturen bekannter Schadcode Varianten. Fast alle heutigen Trojaner sind aber als Baukasten gebaut, so dass sie "kundenspezifischen" Schadcode nachladen und diese nachgeladenen Bestandteile des "Mieters" sind mehrheitlich nicht bekannt (da meistens "frisch"). Wenn ein Trojaner also mal aktiv war, kannst Du Dir alle Scanner schenken, denn sie werden in 90% der Fälle den nachgeladenen Code nicht finden. Alles andere als ein Neuaufbau Deines Systems heißt ganz klar, dass Du mit Deiner und der Sicherheit Deiner Kunden spielst. Viele Grüße, Markus

09.08.2011, 15:11	#40
gpo Themenersteller Registriert seit: 15.03.2004 Ort: Hamburg Beiträge: 12.012	Moin nochmal ein paar Infos dazu... die beiden betroffenen Websites liegen NICHT auf meinem erver...habe gar keinen! sondern die eine bei Strato die andere bei 1 & 1 gehostet.... beide wurden lange von mir NICHT angefasst....also keine Uploads es kann also logisch nicht direkt von meinem Rechner auf die Websites übertragen sein. weder die Hardware(Router) - noch die Windows Firewall...hat sich gemeldet ! der Avira ..ja der hat ein paarmal gemuckt, Malware angezeigt und per Klick entfernt... wenn das vorkam, wurde das gesamte System gescannt... die gefundenen Teile....sind aber nicht identisch mit denen die die Bank monierte... und auch nicht mit der Warnmeldung von Google! was mich wundert...es passt eigentlich nicht alles zusammen aber... bekanntlich könne neue Schädlinge ja sehr vielseitig sein...sozusagen in Lauerposition warten...bis was passiert was seit der ersten Attacke tatsächlich passiert ist... mein bisheriger Sypbot lief nicht mehr anstandslos, er zeigt 4 nicht löschbare "win32s..." Elemente an die irgendwas blockierten.... habe die neuere Betaversion mal laufen lassen...der fand wiederum nix der Avira läuft durch...findet ab zund zu was, stellt es in Quarantäne... habe dann man den MS Scanner installiert...der meldete dann wieder ganz andere Sachen... ist schon trickey Mfg gpo

Sponsored Links

Sponsored Links

Sponsored Links