[v0dka]

ich wundere mich über die unwissenheit. zu formatieren kann zwar nicht schaden, aber generell sehe ich es für einen fortgeschrittenen benutzer nicht als zwingend notwendig an, besonders, falls ein format c:\ ungelegen sein sollte.
dass es jetzt ja wahrscheinlich eh zu spät ist, tut mir leid, aber ich möchte einige sachen aufklären:

Zitat

Viele Hintergrunddienste wurden deaktiviert:
Suche Funktion
Taskmanager
windows zip
Benutzerkonten
wahrscheinlich noch mehr

was könnte das sein? wens interessiert, der sollte sich mal das genauer anschauen. ist auf jeden fall nen blick wert... das sowas hier nicht bekannt ist...

danach würde ich schauen, was das sys so auslastet und es aus dem autostart entfernen (wenns zu arg ist kann man auch einfach beim booten die shift taste drücken, überspringt den autostart - oder wenn man gleich in der registry ist alles aus dem autostart nehmen), worauf ich das system einem virenscan unterziehen würde. zur sicherheit würde ich mir dann anschauen, was fport zu berichten hat... falls es weiterhin probleme gäbe, sollte man alle verbleibenden windows settings überprüfen - falls man nicht zu viel freizeit hat kann man tuneup 2003 oder sowas in der richtung nehmen.
danach sollte alles laufen. aber mir würde sowas eh nicht passieren, und menschen, die sich admins nennen und dann sowas verbrechen, gehören geohrfeigt und zurück auf die schulbank
wauf nen wlan laptop gehört imho sowieso linux...

und ja, dass geht alles afaik im abgesicherten modus (bis auf den teil mit tuneup)

ps. was mir einfällt - regedit wird wohl auch restricted worden sein... es gibt alternativen. einfach mal googlen

Dieser Beitrag wurde von v0dka bearbeitet: 06. April 2005 - 23:51

[flo]

schau dir mal das an, dann weißt du warum Format c: die einzige Lösung ist

Was ist Malware?


Und ansonnsten Woher willst du denn wissen wo in die registry oder in das system sich der Trojaner alles reingeschrieben hat?

Wenn du mir das Plausibel erklären kannst dann bist du gut


Hoffentlich liest Rika deinen Post nicht

Dieser Beitrag wurde von Flo01 bearbeitet: 07. April 2005 - 00:00

[Murmel]

Edit by Murmel
*Beitrag* entfernt, da das Thema, zu dem er gehörte geschlossen wurde (vollkommen unüberlegt geschlossen). Deshalb ist kein Zusammenhang mehr vorhanden.

Dieser Beitrag wurde von Murmel bearbeitet: 08. April 2005 - 06:30

[v0dka]

moep sagte:

Klar, da Fortgeschrittene ein Backup haben. Ich nehm es mal so auf.

nicht wirklich. du wirst nicht glauben wie viele faule fortgeschrittene es auf dieser welt gibt, die keine bzw. nur äusserst selten backups machen... es wird backups keine so große wichtigkeit wie früher beigemessen. in den arsch beisst man sich ja erst danach, wenns zu spät ist

moep sagte:

Stimmt Menschen machen keine Fehler.

bitte nich auf die philosophische schiene abgleiten. ich wollte damit nur sagen, dass mir ein fehler dieser art (mit an sicherheit grenzender wahrscheinlichkeit) nicht passieren würde. im übrigen wundert es mich, dass sowas immer noch passiert, wo doch selbst blätter wie computerbild und konsorten über die (un)sicherheit von WLANs ausgiebig berichteten. seit der erfindung von suchmaschinen sollte es ein leichtes sein, sich informationen zur sicheren konfiguration eines WLANs zu beschaffen.

moep sagte:

Und auf einen Laptop mit einer WLAN-Schnittstelle gehört nur Windows...fällt dir was auf? Beide Aussagen kann man sehr schnell widerlegen. Richtiger: auf einen Laptop/PC mit beliebiger Schnittstelle gehört das Betriebsystem, mit dem man umgehen kann und welches man(selbst) _möglichst_ sicher konfigurieren kann.

du hast bei meiner äusserung das "imho" übersehen. das bedeutet "in my humble opinion", was zu deutsch in etwa "meiner bescheidenen meinung nach" entspricht. damit sollte klar sein, dass ich nur meine persönliche präferenz angebe.
während ich auf home-pc's nachvollziehen kann, dass windows benutzt wird (ich benutze es ja selber... wegen den spielen ), finde ich linux als os für laptops vorteilhafter, denn man kann linux wirklich sicher konfigurieren und absolut an seine eigenen bedürfnisse anpassen; auf laptops wird in der regel nicht gespielt und an programmen (nicht nur) aus dem office bereich gibt es genug, die den windows versionen in nichts nachstehen und auch kompatibel sind.
aber in einem punkt muss ich dir recht geben, wenn man schon windows nimmt, sollte man es auch sicher konfigurieren

Zitat (Flo01: 07.04.2005, 00:55)

schau dir mal das an, dann weißt du warum Format c: die einzige Lösung ist

Was ist Malware?
Und ansonnsten Woher willst du denn wissen wo in die registry oder in das system sich der Trojaner alles reingeschrieben hat?

Wenn du mir das Plausibel erklären kannst dann bist du gut
Hoffentlich liest Rika deinen Post nicht    
<{POST_SNAPBACK}>

wenn es sich um einen trojaner handelt, zeigt fport mir das zweifelsfrei an. wenn ein bislang unbekannter virus sein unwesen treibt, was jedoch sehr, sehr unwahrscheinlich ist, hilft heuristische suche. es ist nicht anzunehmen, dass jemand der hackt, den pc danach mit einem destruktiven, nicht bekannten virus infiziert... es entspricht jedenfalls nicht meiner erfahrung, mir ist kein einziger fall dieser art zu ohren gekommen.
nachdem mir fport nun einen trojaner (oder ein unbekanntes programm) anzeigt, ist die entfernung in der regel recht einfach, weil die meisten programmierer von trojanern das rad nicht neu erfinden, sondern seit jahren bekannte autostart methoden benutzen. davon gibt es eine handvoll, vielleicht ein dutzend, wenn man die kreativeren mit einberechnet (das beantwortet wohl die frage, wo sich trojaner reinschreiben). diese sind schnell entfernt und spätestens nach einem neustart (der wird dann nötig, wenn sich der trojaner per taskmanager nicht schließen lässt) kann man auf die betroffene exe-datei löschen. ein erneuter blick auf fport schadet nicht...
natürlich ist es für otto normalverbraucher nicht einfach, aber für jemanden, der sich damit auskennt, ist es durchaus möglich. vielleicht schreib ich mal ein buch...

gnaa, sorry für doppelpost. bin grad erst aufgestanden

edit by Flo01: Beiträge verbunden

Dieser Beitrag wurde von Flo01 bearbeitet: 07. April 2005 - 11:52

[tavoc]

Und du meinst das sich das böse Programm selbst so ausgibt?

Es könnte sich auch z.b. in einen Hostprog einnisten, sagen wir mal Trillian, etc.

Also Progs die sowieso ins Inet gehen, da dürfte es schwer sein das mit Fport zu erkennen.

Dieser Beitrag wurde von tavoc bearbeitet: 07. April 2005 - 12:01

[v0dka]

tavoc sagte:

Und du meinst das sich das böse Programm selbst so ausgibt?

Es könnte sich auch z.b. in einen Hostprog einnisten, sagen wir mal Trillian, etc.

Also Progs die sowieso ins Inet gehen, da dürfte es schwer sein das mit Fprot zu erkennen.

es gibt einen marginären unterschied zwischen fprot und fport
wenn ich trillian benutze, weiss ich welche ports es öffnet, wenn es idle ist. es ist nicht einfach, aber es fällt durchaus auf.
ausserdem darf man nicht vergessen, dass die wenigsten sich die mühe machen, von virenscannern unerkannte trojaner auf dem betroffenen sys zu installieren.

Dieser Beitrag wurde von v0dka bearbeitet: 07. April 2005 - 12:01

[flo]

Zitat

wenn ich trillian benutze, weiss ich welche ports es öffnet, wenn es idle ist. es ist nicht einfach, aber es fällt durchaus auf.

und was hindert den Trojaner daran den Trillian Port zu Benutzen?

Dann fällt es dir nämlich nicht auf

[v0dka]

zeig mir bitte einen trojaner, der den gleichen port wie das hostprogramm benutzt. soweit ich informiert bin, gibt es sowas nicht (dürfte technisch auch nicht gerade einfach realisierbar sein), aber ich lasse mich gerne eines besseren belehren...

ich gehe hier von home pc's aus. auf diesen liegen meistens keine sensiblen daten, ausser vielleicht einigen passwörtern, die man natürlich schnellstmöglich ändern sollte.
in firmennetzwerken sollte man sich schon etwas mehr gedanken über sicherheit machen, so dass es garnicht zu einer kompromitierung kommen dürfte. utopisches denken... ich finde es unfassbar, wie leichtfertig viele auch mittlere und größere firmen mit den daten ihrer kunden umgehen. wenn es dazu auf einem firmenpc kommt, sollte formatiert werden, dem stimme ich zu.

Dieser Beitrag wurde von v0dka bearbeitet: 07. April 2005 - 12:32

[flo]

Zitat

zeig mir bitte einen trojaner, der den gleichen port wie das hostprogramm benutzt. soweit ich informiert bin, gibt es sowas nicht (dürfte technisch auch nicht einfach realisierbar sein), aber ich lasse mich gerne eines besseren belehren...

Trillian ist Eine Software, und wenn der Trojaner anstatt zu dem z.b ICQ server nun zu nem andere sendet, warum soll das nicht möglich sein?

Jede Software kann man verändern, warum sollte das ein Trojaner nicht können?

[v0dka]

selbstverständlich, nur dann funktioniert trillian nicht mehr wie gewohnt. das dürfte eventuell auffallen

[flo]

Zitat

selbstverständlich, nur dann funktioniert trillian nicht mehr wie gewohnt. das dürfte eventuell auffallen wink.gif

das ist auch richtig, nur kann es dann schon zu spät sein, bevor man das merkt

und wenn wir anstatt Trillian die IExplorer.exe oder die Firefox.exe nehmen, dann fällt es gar nicht auf

Dieser Beitrag wurde von Flo01 bearbeitet: 07. April 2005 - 12:34

[v0dka]

Zitat (Flo01: 07.04.2005, 13:31)

das ist auch richtig, nur kann es dann schon zu spät sein, bevor man das merkt
<{POST_SNAPBACK}>

mal davon abgesehen, dass ein konventioneller trojaner eine interaktion mit dem "übeltäter" erfordert und man schon alleine deswegen etwas zeit hat, es zu bemerken, könnte man aber auch noch einen blick auf netstat riskieren...
andererseits möchte ich nochmal betonen, dass mir kein trojaner mit einer solchen arbeitsweise bekannt ist. theoretisch denkbar wäre er schon, aber nicht von großem nutzen für den "täter", wenn man ihn so einfach erkennen könnte. denn der trojaner ist lediglich zur kontrolle da, ein spielzeug sozusagen. hätte der "täter" das system größtmöglich schädigen wollen, hätte er es bereits getan.

edit: man kann es bei browsern sehr wohl auch erkennen, dazu muss man aber wirklich den browser kennen, und das macht die sache in der tat schwieriger. daran hatte ich nicht gedacht, es ist auch nicht besonders wahrscheinlich, aber im zweifelsfall könnte man dann am besten den browser neu installieren, und das problem wäre auch gelöst.
die tatsache, dass wir hier über einen rein hypothetischen trojaner sprechen, macht die sache auch nicht einfacher

Dieser Beitrag wurde von v0dka bearbeitet: 07. April 2005 - 13:14