Hab mir gestern trotz laufendem avast! (Free) und Windows 7 UAC den Thinkpoint-Virus eingefangen. Offen hatte ich im Firefox (aktuelle Version) das 3DC und eine Scarlett-Johannson-Fanseite, die bei Google im Ranking weit vorne auftaucht. Es kam auf einmal die typische Windows-UAC-Meldung, dass ich die Ausführung eine Executable zulassen soll, was ich natürlich mit "Nein" quittiert habe. Diese Meldung kam mehrfach und parallel dazu hat nicht avast! mit einem Dutzend Virusmeldungen genervt. Hab die Schädlings-Dateien in Quarantäne gestellt. Dann erschien eine Warnung von "Microsoft Security Essentials", die besagte, dass meine firefox.exe infiziert sei und versucht würde, den Schädling zu entfernen. Anschließend kam eine Meldung, dass die Entfernung fehlgeschlagen sei und beim Klick auf OK eine Trial von "Microsoft Thinkpoint" installiert würde, die nach einem Systemstart den Virus entfernt. Dummerweise hab ich die Meldung auch noch mit OK quittiert, eine andere Möglichkeit, das Fenster zu entfernen, gab es auch nicht.
Danach wurde mir aber klar, dass das, was sich hier als Microsoft-Software ausgibt, ein Schädling ist und ich hab bei ausgeschaltetem Rechner per Handy im Netz danach gesucht.
Offenbar ist es mir auch gelungen, den Schädling mit Anleitungen aus dem Netz zu entfernen, wobei ich schon misstrauisch war, ob die Anleitungen nicht auch von den Urhebern des Virus stammen.

Hab mein System nach scheinbar erfolgreicher Entfernung des Virus mit avast! und reimage gescannt und es wurden keine Schädlinge mehr gefunden.

Jetzt frage ich mich doch, wieso weder Windows noch avast! die Infektion verhindern konnten und wie ich überhaupt an den Schädling rankam. Das 3DC würde ich eher ausschließen, obwohl es hier auch schon einen Wurm in einer Werbeanzeige gab (Link (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=487467)). Der wurde allerdings von avast! erfolgreich blockiert.

Wenn ihr unerwartet eine Meldung von "Microsoft Security Essentials" bekommt oder wenn ihr zu einer Installation von "Microsoft Thinkpoint" aufgefordert werdet, schaltet am Besten sofort euren Rechner aus und scannt erstmal von einem zweiten Rechner oder einer Boot-CD aus die Platte. Da scheint gerade was im Umlauf zu sein, was sich über die üblichen Sicherheitsmechanismen eines Consumer-PCs mit Windows 7 und Virenscanner hinwegsetzt.

Taskmanager starten, den hotfix.exe Process killen, Datei->Prozess Starten= explorer.exe schauen ob Proxyserver in den Interneteinstellungen verbindung ins Netz verhindern.
Scan laufen lassen... dann freuen.

Der Security Essentials kram war Fake, hast du richtig erkannt.

:biggrin: Darum nutze ich auch keine Antiviren Programme.
Wenn ich mir etwas einfange dann ist es so etwas wie bei dir.
Nur merke ich es sofort weil ich eben keine Antiviren Software installiert habe.
Wenn dann da auf ein mal eine Software erscheint die ich garnicht installiert habe, ist es ja klar was los ist.

Und falls es wirklich der Fall ist, dann wird das System komplett platt gemacht.
Ich komme mir dann so vor ob als ich mit einer infizierten Hure treiben würde.

Das System (Antivirus) sagt zwar das es sauber ist aber ob es wirklich stimmt?
Dann kann ich gleich darauf verzichten.

Für mich ist ein Antivirus Programm etwas, das bestätigt das es bereits zuspät ist.
Richtig lustig wird es ja wenn das "Antivirus-Programm" den Schädling nicht entfernen kann.

Da kann ich mir den Quatsch auch sparen bzw. gebe dafür doch kein Geld aus.
Da nutz ich lieber das Microsoft Antiviren-Programm.


Bei solchen Viren wie hier, hat bei mir kein einziges Programm den Virus eigenständig entfernen können.
Da musste ich immer selbst Hand anlegen. (danke an die Community)

Da nutz ich lieber das Microsoft Antiviren-Programm.
Mit Microsoft Security Essentials wärst du aber richtig auf die Schnauze gefallen, weil der Thinkpoint-Virus sich ja als eben diese Antiviren-Software ausgibt.

Ich frage mich immer noch, wo die Sicherheitslücke ist. Das Biest könnte sich ja wieder einschleussen.

P.S.: Der Sinn eines Virenscanners liegt nicht darin, den Virus zu entfernen, sondern die Einnistung eines bekannten Virus zu verhindern.

So wie ich das auf Screensshots sehe erkennt man aber, dass dies nicht das Original ist.

P.S.: Der Sinn eines Virenscanners liegt nicht darin, den Virus zu entfernen, sondern die Einnistung eines bekannten Virus zu verhindern.
Nein, nicht grundsätzlich. Sonst dürfte es keine Scanner geben, die nur on-Demand prüfen. (also wenn man den Scan in Auftrag gibt)
Was du beschreibst, sind on-Access Scanner, die auch verhindern sollen, dass sich etwas nicht einnistet. Je nach Virusart aber unterschiedlich erfolgreich.

Ich frage mich immer noch, wo die Sicherheitslücke ist. Das Biest könnte sich ja wieder einschleussen.


Die Frage ist doch eher ob du wirklich sauber bist.
Es könnte doch auch sein das da durch weitere Schädlinge eingedrungen sind und jetzt "unsichtbar" sind. (oder?, kenne mich da nicht aus).
Darum installiere ich auch jedes mal mein System neu bzw. spiele ein Backup ein.


EDIT:
Diese Fake Meldungen sind wirklich cool, hatte mal eine auf der PS3, dort soll mein Windows Ordner (System 32) infiziert sein und ich solle doch bitte das Angebotene Antiviren Programm installieren. X-D
Und für etwa 30€ wird sogar der Virus entfernt (was es übrigends nicht wird).

Es hat sich was im Startup-Ordner eingenistet, aber das hab ich gleich mitgekillt.
Evtl. bügel ich das System neu drauf, aber das dauert immer so lang. Man muss ja jede Software komplett neu einrichten, Lizenzen wieder aktivieren, etc.

Der User-Fail war hier jedenfalls das Installieren.. warum sollte eine Antivirenlösung zum entfernen was anderes nachinstallen. Da hätte man stutzig werden MÜSSEN. Da kann das UAC auch nicht helfen, wenn man sowas abnickt.

Der User-Fail war hier jedenfalls das Installieren.. warum sollte eine Antivirenlösung zum entfernen was anderes nachinstallen. Da hätte man stutzig werden MÜSSEN. Da kann das UAC auch nicht helfen, wenn man sowas abnickt.
Ich hab doch bei allen Ausführungsanfragen von UAC "nein" angeklickt.
Der Virus hat sich trotzdem eingenistet. Das Fenster mit dem "OK" war ja schon vom Virus und da war überhaupt keine andere Aktion mehr möglich, als "OK" anzuklicken. Spielt ja auch keine Rolle, weil das System zu dem Zeitpunkt bereits infiziert war.
Der Virus war ab dem Zeitpunkt drauf, als das erste Fenster von "Microsoft Security Essentials" aufpoppte. Ab da war es schon zu spät. Und davor hab ich nichts gemacht, was eine Infektion begünstigen würde.

Ich würde dir empfehlen (falls du Windows 7 hast und neu installierst sammt Programme) ein Image davon zu erstellen. (Hat ja Windows 7 von Haus aus)
Windows 7 DVD/CD einlegen, Backup laden und Installieren.
Dauer viel viel wenniger als die Windows 7 installation und vorallem sind dann auch alle Sachen auch wieder aktiviert.
Bevor du das Image erstellst natürlich am besten gleich ein Windows Update machen damit du später nicht so viel laden musst.

Hilft dir jetzt auch nicht weiter aber naja^^
Wenn man es einmal so eingerichtet hat, hat man eig. selten Probleme mit einer neu-installation.

bitte mal einen link zur besagten seite (von mir aus auch per pm)

Das mit dem Image wollte ich eh schon lange mal machen und seit zwei Wochen hab ich auch eine externe HDD, die groß genug ist. Ich denke, ich werd mich mal im Lauf der Woche an die Neuinstallation samt Image-Backup ranmachen. Heute siegt die Bequemlichkeit, weil ich noch was zocken wollte. :freak:
Aber drei verschiedene Virenscanner sagen, mein System sei sauber.

@_DrillSarge]I[: Einen Link spare ich mir, weil ich hier keine Verbreitung der Infektion fördern möcht. Aber ich schick dir gleich eine PN. Muss nur kurz recherchieren, weil ich meinen Browsercache gestern gelöscht habe.

Ich hab doch bei allen Ausführungsanfragen von UAC "nein" angeklickt.
Der Virus hat sich trotzdem eingenistet. Das Fenster mit dem "OK" war ja schon vom VirusSo wie es aussieht war es aber kein UAC, sondern nur seine Nachbildung...

und da war überhaupt keine andere Aktion mehr möglich, als "OK" anzuklicken.Tasks die sich erstmal so ganz ordinär (temporär) aufplustern sind MIT SICHERHEIT im Taskmanager zu sehen/finden. Es sei denn es ist gleich ein Layer auf der Seite oder ein neues "knopfloses" Browserfenster.

Trotzdem danke für die Warnung. Manche Leute scheinen nicht zu peilen wozu du dir dei Mühe machst so einen Thread zu machen :freak:

Jetzt fällt mir aber trotzdem auf warum ich kein Antivir habe, warum ich XPsp3 habe, warum ich als Benutzer ins Netz gehe, kein Java habe, warum Flashblock läuft und warum ich ein OSX-Thema benutze.
Panikdialoge die in den Kleidern von XP-Luna auftauchen wecken hier nur ein müdes Lächeln ;)

Da gab es aber schon einige Leute die behauptet haben, eingeschränkter Benutzer ist unter Vista/Win7 weiterhin merkbar sicherer als Admin mit UAC. Außer den Experten haben auch paar Laien diese Meinung. Z.B. ich...

p.s.:
Da gibt es aber noch eine weitere Möglichkeit. Der Virus bzw. der Loader war schon länger drauf und hat mit seinen Panikdialogen nur paar Tage abgewartet. Das gibt es auch (!) Wegen der Nachvollziehbarkeit ;) Das muß also nicht Scarlets Schuld sein...

Ich schätze du bist weniger einen Angriff auf das System zum Opfer gefallen, wie einer riesen Show die erstmal nur dich als Ziel hatte...

Ich bin nicht als Adminstrator im Netz unterwegs, falls du das meinst.
Irgendwo gibt es wohl eine ungestopfte Sicherheitslücke. Die Suchergebnisse zum Virus/Wurm "Thinkpoint" bei Google sind auch alle erst ein paar Tage alt.

Wenn es eine Sicherheitslücke in Windows 7 gibt, würde ich die schon ganz gerne gestopft wissen, bevor ich mir den Stress einer Neuinstallation antue.

P.S.: WinXP halte ich für wesentlich unsicherer als Windows 7. Bei WinXP hatte ich schon direkt nach der Installation eine Infektion mit einem Wurm. Hatte da einfach nach der Installation Windows Update angeworfen und Antivir von der offiziellen Homepage mit dem IE 6 runtergeladen und sonst nichts gemacht. Direkt nach der Installation von AntiVir wurde schon ein Schädling gefunden. Seitdem gehe ich mit einem PC auch nicht mehr online, wenn nicht eine aktuelle Version eines Virenscanners offline installiert wurde und wenn nicht zumindest das letzte Servicepack installiert ist. In diesem einen Fall war nämlich gar kein Servicepack vorinstalliert.

konnte auf der seite nix finden. würde aber jetzt mal auf eine manipulierte (flash)-werbung tippen. wenn man sich die seite ansieht auch erstmal das naheliegendste. wäre auch nicht der erste mal, dass ein werbeanbieter gehackt wird.

Jopp, ich gehe auch von einem gehackten Adserver aus. Gabs im 3DC ja auch mal, wie im Startposting verlinkt.

/EDIT: Ich mach mein Windows 7 jetzt doch gleich platt, hab noch weitere Schädlingsspuren gefunden. Treffe gerade die nötigen Vorbereitungen (Einstellungen/Daten/Skripte sichern, Software zur Offline-Installation runterladen). Surfen kann ich notfalls immer noch mit dem parallel installierten WinXP.

Ich kann jetzt nichts zum aktuellen Fall beitragen, aber es ist durchaus möglich mit einem aktuellen Windows das Ziel eines solchen Viruses zu werden.

Sicherheitslücken werden genau wie Viren meistens erst dann entdeckt, wenn es bereits zahlreiche Erfolgreiche Angriffe gab. Man muss nur zu den unglücklichen Gehören die an erster Stelle stehen

I[;8346813']bitte mal einen link zur besagten seite (von mir aus auch per pm)

einfach think point googlen :D zu geil... gleich die ersten paar seiten sind schon genau das gewünschte ergebniss :D

tjo scareware halt... auch geil, wie er da rumscant... ääh trojaner nachlädt... ;D

Es könnte doch auch sein das da durch weitere Schädlinge eingedrungen sind und jetzt "unsichtbar" sind. (oder?, kenne mich da nicht aus).
Darum installiere ich auch jedes mal mein System neu bzw. spiele ein Backup ein.mmm...

Ja, nennt sich Rootkit. http://de.wikipedia.org/wiki/Rootkit
Hier noch eine Übersicht über verschiedene Techniken, die ein Virus haben kann. http://de.wikipedia.org/wiki/Computervirus#Techniken

Ja, nach einer Infektion sollte in der heutigen Zeit das System komplett neu aufgesetzt werden, da die Viren gerne Sachen nachladen und dabei auch mal komplett neue Sachen nachladen, die noch nicht von Virenscannern erkannt werden. Die Zeiten sind eben vorbei, wo ein Schädling wirklich nur einer war und über den Taskmanager auffindbar war.Da gab es aber schon einige Leute die behauptet haben, eingeschränkter Benutzer ist unter Vista/Win7 weiterhin merkbar sicherer als Admin mit UAC. Außer den Experten haben auch paar Laien diese Meinung. Z.B. ich...Es ist wohl sicherer, aber es gibt eben keinen 100% Schutz ;).

Win 7 läuft wieder nach frischer Installation und bin gerade dabei die Installation fit für ein erstes Image zu machen. Updates bis Oktober 2010 hab ich mir gleich im Voraus als Paket von WinFuture.de geladen, damit ich vor dem ersten online gehen wenigstens auf einem halbwegs aktuellen Stand bin.
E-Mails empfangen (natürlich mit Virenscanner) und TV schauen kann ich auch schon wieder.

P.S.: WinXP halte ich für wesentlich unsicherer als Windows 7. Bei WinXP hatte ich schon direkt nach der Installation eine Infektion mit einem Wurm.Das kann sein, wenn wir von XPrtm reden :| Ich hatte seit XPsp2 keinen mehr.

Ich schätze aber das zu erklären würde genausoviel bringen wie den Unterschied zwischen einer ungestopften Lücke :| und Scareware... Du machst gleich ein Image und damit hat sich das erledigt. Ist ja später ruckzuck wieder aufgespielt....

Bsi die Tage.

p.s.:
Wenn es unter Win7 einen Virus gibt der sich am UAC vorbei mit Adminrechten ausstattet um sich zu installieren, dann fange ich nächste Woche komplett alles auf Linux umzustellen. Ernsthaft. Ich schätze vorher werd ich aber noch einen Besen fressen müßen.

Wegen solchen kleinen Miststücken empfehle ich ein gut konfiguriertes H.I.P.S:


http://de.wikipedia.org/wiki/Intrusion_Prevention_System



Hab auf einer Vm sogar schon versucht, mich absichtlich mit aktuellen Malwaresamples zu infizieren, keine Chance für diese Mistdinger;)


Da kommt eine Firewall/Antiviren only Software nicht mit....

Ich kann als Prävention noch den Personal Security Inspector von Secunia empfehlen. Damit ist es leichter, sein System auf Stand zu halten, um möglichst wenig Angriffsvektoren zu bieten.
Näheres unter secunia.com oder auch als Online Light Test unter http://www.heise.de/security/dienste/Update-Check-877012.html

Hab mir gestern trotz laufendem avast! (Free) und Windows 7 UAC den Thinkpoint-Virus eingefangen. Offen hatte ich im Firefox (aktuelle Version) das 3DC und eine Scarlett-Johannson-Fanseite, die bei Google im Ranking weit vorne auftaucht. Es kam auf einmal die typische Windows-UAC-Meldung, dass ich die Ausführung eine Executable zulassen soll, was ich natürlich mit "Nein" quittiert habe. Diese Meldung kam mehrfach und parallel dazu hat nicht avast! mit einem Dutzend Virusmeldungen genervt. Hab die Schädlings-Dateien in Quarantäne gestellt. Dann erschien eine Warnung von "Microsoft Security Essentials", die besagte, dass meine firefox.exe infiziert sei und versucht würde, den Schädling zu entfernen. Anschließend kam eine Meldung, dass die Entfernung fehlgeschlagen sei und beim Klick auf OK eine Trial von "Microsoft Thinkpoint" installiert würde, die nach einem Systemstart den Virus entfernt. Dummerweise hab ich die Meldung auch noch mit OK quittiert, eine andere Möglichkeit, das Fenster zu entfernen, gab es auch nicht.
Danach wurde mir aber klar, dass das, was sich hier als Microsoft-Software ausgibt, ein Schädling ist und ich hab bei ausgeschaltetem Rechner per Handy im Netz danach gesucht.
Offenbar ist es mir auch gelungen, den Schädling mit Anleitungen aus dem Netz zu entfernen, wobei ich schon misstrauisch war, ob die Anleitungen nicht auch von den Urhebern des Virus stammen.

Hab mein System nach scheinbar erfolgreicher Entfernung des Virus mit avast! und reimage gescannt und es wurden keine Schädlinge mehr gefunden.

Jetzt frage ich mich doch, wieso weder Windows noch avast! die Infektion verhindern konnten und wie ich überhaupt an den Schädling rankam. Das 3DC würde ich eher ausschließen, obwohl es hier auch schon einen Wurm in einer Werbeanzeige gab (Link (http://www.forum-3dcenter.org/vbulletin/showthread.php?t=487467)). Der wurde allerdings von avast! erfolgreich blockiert.

Wenn ihr unerwartet eine Meldung von "Microsoft Security Essentials" bekommt oder wenn ihr zu einer Installation von "Microsoft Thinkpoint" aufgefordert werdet, schaltet am Besten sofort euren Rechner aus und scannt erstmal von einem zweiten Rechner oder einer Boot-CD aus die Platte. Da scheint gerade was im Umlauf zu sein, was sich über die üblichen Sicherheitsmechanismen eines Consumer-PCs mit Windows 7 und Virenscanner hinwegsetzt.


Genau den hatte ich vor einem Monat auch. Ich konnte nur leider den Taskmanager nicht öffnen und einen Prozess killen, da tskmgr.exe dann als "Virus" geblockt wurde. Das einzige was ich machen konnte war im Abgesichertem Modus per regseeker ein paar verdächtige *.exe zu finden und die dann zu löschen. So bekam ich dann imme rmehr Kontrolle und konnte das System wieder zum laufen bringen. Am Ende habe ich die Platte aber dann doch formatiert, Windows installiert und dann die Datenpartition gescannt (da wurde aber nichts gefunden). Im abgsicherten Modus war der Vorus auch imme rnoch aktiv (hat man an dem Programm, was sich da installiert hat gut gesehen). Allerdings nciht vollständig, daher konnte ich wohl den Taskmanager nutzen. Sehen konnte ich da den im Taskmanager aber als prozess nicht, allerdings war bei den Diensten etwas, das ich beendet habe.
Wo ich den eingefangen haben weiss ich allerdings bis heute nicht. Die Meldung des UAC kam während ich nicht am Rechner war.


Taskmanager starten, den hotfix.exe Process killen, Datei->Prozess Starten= explorer.exe schauen ob Proxyserver in den Interneteinstellungen verbindung ins Netz verhindern.
Scan laufen lassen... dann freuen.

Der Security Essentials kram war Fake, hast du richtig erkannt.


Das hat ja leider nicht funktioniert. Unter Windows konnte ich so gut wie nichts mehr machen.

Das ist natürlich je nach "Scareware" verschieden, aber dieser Think Point Crap versteckt bloß die symbole bzw. ist eine Dialogschleife, er hält hin um trojaner nachzuladen.

Ich hab mir zusätzlich zum Virenscanner noch Threathfire installiert.

http://www.heise.de/security/artikel/Sinnvolle-Ergaenzungen-zum-Virenscanner-1106122.html

...was sagt denn AVAST! dazu (Forum)?!

Greets
S@uDepp

IPS/IDS Systeme sind wohl recht sinnfrei: http://www.heise.de/security/meldung/Alarmanlagen-fuers-Netz-weitgehend-nutzlos-1122262.html

Es ist jedes Mal das gleiche...
Auch wenn ein Sicherungssystem vergleichsweise einfach zu umgehen ist, macht es immer noch Sinn es einzusetzen weil nicht 100% der Hacker/Cracker es schaffen bzw. daran interessiert sind eine weitere 'Hürde' in Angriff zu nehmen.
Ich mache mir keine Sorgen um professionelle Hacker und solche die wirklich viel Knowhow haben, diese Leute sind mir 1. sowieso immer einen Schritt voraus und haben 2. 10.000 Interessantere Ziele.
Mir geht es um die kleinen Scriptkiddies die einfach nur bissi rumgucken und Scheiss anstellen wollen.
Ein Hacker weis warum er möglichst keine Spuren hinterlässt, ein Scriptkiddy pfuscht schonmal ein wenig in der Registry herum oder löscht mal ein paar Dateien, einfach weils lustig is.
Ja auch eine Firewall, einen Antivirus, einen Router, ein Türschloss, ein Balkonfenster und eine Alarmanlage im Auto kann man knacken/umgehen, sollen wir jetzt deswegen unsere Wohnungstüren offen stehen lassen, unsere Autos mit offenen Türen und laufendem Motor abstellen weils eh keinen Sinn macht?

p.s.:
Wenn es unter Win7 einen Virus gibt der sich am UAC vorbei mit Adminrechten ausstattet um sich zu installieren, dann fange ich nächste Woche komplett alles auf Linux umzustellen. Ernsthaft. Ich schätze vorher werd ich aber noch einen Besen fressen müßen.

http://nakedsecurity.sophos.com/2009/11/03/windows-7-vulnerable-8-10-viruses/




Es ist jedes Mal das gleiche...
Auch wenn ein Sicherungssystem vergleichsweise einfach zu umgehen ist, macht es immer noch Sinn es einzusetzen weil nicht 100% der Hacker/Cracker es schaffen bzw. daran interessiert sind eine weitere 'Hürde' in Angriff zu nehmen.
Warum macht das Sinn? Es ist Unsinn zu glauben das so etwas überhaupt gebraucht wird!


Ich mache mir keine Sorgen um professionelle Hacker und solche die wirklich viel Knowhow haben, diese Leute sind mir 1. sowieso immer einen Schritt voraus und haben 2. 10.000 Interessantere Ziele.
Mir geht es um die kleinen Scriptkiddies die einfach nur bissi rumgucken und Scheiss anstellen wollen.
Ein Hacker weis warum er möglichst keine Spuren hinterlässt, ein Scriptkiddy pfuscht schonmal ein wenig in der Registry herum oder löscht mal ein paar Dateien, einfach weils lustig is.
Davor hast du Angst? Dafür hat man Backups, zumal dir solch ein Datenverlust auch erst nach Tagen/Wochen/Monaten auffallen kann.


Ja auch eine Firewall, einen Antivirus, einen Router, ein Türschloss, ein Balkonfenster und eine Alarmanlage im Auto kann man knacken/umgehen, sollen wir jetzt deswegen unsere Wohnungstüren offen stehen lassen, unsere Autos mit offenen Türen und laufendem Motor abstellen weils eh keinen Sinn macht?

Und nur weil ich mir alles einbaue bin ich sicher/er? Der Vergleich hinkt schon in sofern als das auf einem PC jede zusätzliche Software in Einfallstor darstellt, da sie fremden Code ausführen könnte. (und da sind IDS/Virenscanner/Virenproxys/etc. auch nicht besser als andere Software...)

Ein Türschloß könnte man auf eine Login/Pass Kombo übertragen, nur das ich beim Schlüssel merke wenn dieser entwedet/verloren wurde...
Wenn ich jedoch nicht weiß das die Login/Pass Kombo weg ist, habe ich gültige Zugriffe die gar nicht gültig sein dürften ;)
Und merke evt. noch nicht einmal das ich "gehackt" wurde.
Es ist ja alles in Ordnung, und funktioniert auch alles...

http://www.ranum.com/security/computer_security/editorials/dumb/



wenn ich Rechner von Viren/Rootkits/keyloggern bereinige, dann nicht weil mir gesagt wurde: "Hey ich wurde gehackt, kannste mir mal helfen", sondern weil "der pc langsam/unstabil" wurde...

Ich will auch garnet wissen wie viele Hacks einfach mit ner Neuinstallation beseitigt werden, weil sie vorher garnicht erkannt wurden. Und es für einige ja schon normal ist das man Windows alle paar Jahre mal neu installiert...

Hm, mir geht es in erster Linie um Keylogger/ Trojaner die entweder Bankingdaten mitloggen könnten, oder die Zugangsdaten für Steam.
Und da hilft mir ein Backup genau gar nichts.


Und bevor das Argument Brain.exe benutzen kommt:
Viele dieser Mistdinger kommen als Drive by Infektion auf den Rechner, und genau deswegen hab ich mir die Kombi AV/HIPS zugelegt.

Natürlich ist ein solches System nicht unknackbar, aber der Grossteil der Scheisse die so im Netz rumschwirrt, ist damit schonmal ausser Gefecht gesetzt.

Es gibt meines Wissens keine bekannten Exploits für die wirklich guten HIPS Programme (OnlineArmor Premium/DefenseWall/usw).


Im Selbsttest in einer VM (Windows 7 , ohne UAC) mit mehreren hundert aktuellen Malwaresamples/Viren/Rootkits/Trojanern (viele davon Zerodays, also nicht per Signatur erkennbar) ist es KEINEM davon gelungen mein System zu kompromitieren.

Das kann so schlecht doch nicht sein, oder?

Im Selbsttest in einer VM (Windows 7 , ohne UAC) mit mehreren hundert aktuellen Malwaresamples/Viren/Rootkits/Trojanern (viele davon Zerodays, also nicht per Signatur erkennbar) ist es KEINEM davon gelungen mein System zu kompromitieren.

Das kann so schlecht doch nicht sein, oder?

Hast du das dokumentiert?

Würde mich mal interessieren mit was du da getestet hast, und wo du deine "0Day Exploits" vor den AV-Herstellern beziehst...


"A false sense of security is worse than a true sense of insecurity."

Nein, leider nicht.

Hast mich falsch verstanden, hatte keine Zero Day Exploits, sondern Zero Day Malware.
Also Malware die so neu ist, das kaum ein Virenscanner sie per Signatur findet.

Wo ich die her habe?

Hier:

http://www.malwaredomainlist.com/

Egal was ich dort auch runtergeladen oder ausgeführt habe, mein HIPS hat sofort darauf reagiert.

Natürlich sollte man die Meldungen des HIPS auch verstehen können und nicht alles erlauben, das ist klar.

Für ungeduldige User die sowas nicht mögen ist ein Verhaltensblocker wohl die bessere Wahl..

http://nakedsecurity.sophos.com/2009/11/03/windows-7-vulnerable-8-10-viruses/





Warum macht das Sinn? Es ist Unsinn zu glauben das so etwas überhaupt gebraucht wird!


Davor hast du Angst? Dafür hat man Backups, zumal dir solch ein Datenverlust auch erst nach Tagen/Wochen/Monaten auffallen kann.



Und nur weil ich mir alles einbaue bin ich sicher/er? Der Vergleich hinkt schon in sofern als das auf einem PC jede zusätzliche Software in Einfallstor darstellt, da sie fremden Code ausführen könnte. (und da sind IDS/Virenscanner/Virenproxys/etc. auch nicht besser als andere Software...)

Ein Türschloß könnte man auf eine Login/Pass Kombo übertragen, nur das ich beim Schlüssel merke wenn dieser entwedet/verloren wurde...
Wenn ich jedoch nicht weiß das die Login/Pass Kombo weg ist, habe ich gültige Zugriffe die gar nicht gültig sein dürften ;)
Und merke evt. noch nicht einmal das ich "gehackt" wurde.
Es ist ja alles in Ordnung, und funktioniert auch alles...

http://www.ranum.com/security/computer_security/editorials/dumb/



wenn ich Rechner von Viren/Rootkits/keyloggern bereinige, dann nicht weil mir gesagt wurde: "Hey ich wurde gehackt, kannste mir mal helfen", sondern weil "der pc langsam/unstabil" wurde...

Ich will auch garnet wissen wie viele Hacks einfach mit ner Neuinstallation beseitigt werden, weil sie vorher garnicht erkannt wurden. Und es für einige ja schon normal ist das man Windows alle paar Jahre mal neu installiert...


Ich habs geschrieben. Es macht Sinn weil sich nicht 100% der Angreifer jeder Hürde stellen. Und wenn die Registry weg ist dann ist schnell die ganze Installation dahin. Klar habe ich Backups, aber ich mache nicht stündlich eins. Oder es werden Treiberdateien umbenannt und da ich nur 1-2x im Monat was spiele wird die Fehlersuche kompliziert.

Was ist denn sinnvolle Software für dich? Auch die Server von Antivirenherstellern wurden schonmal gehackt und per Update gleich ein neuer Virus ausgerollt. Außerdem haben wir beim Antivirus in der Arbeit sehr häufig false positives, das ist dann sehr aufregend wenn der Antivirus eine Systemdatei nach der anderen in den Quarantäneordner verschiebt.

automatisierte software taugt nicht viel - man sollte aufjedenfall folgende 4 tools anwenden wenn man den verdacht hat das das system infiziert ist

http://technet.microsoft.com/de-de/sysinternals/bb897437.aspx
http://technet.microsoft.com/de-de/sysinternals/bb896653.aspx
http://technet.microsoft.com/en-us/sysinternals/bb963902.aspx
http://free.antivirus.com/hijackthis/


als guard/scanner nimm AV
http://www.free-av.com/


uac , gast account, extra soft-firewalls etc. etc. ... kannste alles knicken denn diese schutzmechanismen sind leicht aushebelbar - du musst hand anlegen und das verhalten des systems protokollieren sowie auswerten und maßnahmen setzen.
browserseitig empfehle ich dir die "sich selbst" virtualisierte kaze - firefox version von dell
http://www.kace.com/products/freetools/secure-browser/
einziger nachteil - die meisten extra firefox add ons funktionieren nicht.
wer die aber nicht braucht kann ihn verwenden.
flash , adobe reader ist bereits integriert.

@Spasstiger: Auf welche Stufe war UAC gestellt?

*Bump*

The Inquirer redet von einem Zero-Day-Exploit (http://www.theinquirer.net/inquirer/news/1900726/fresh-flaw-windows?WT.rss_f=Home&WT.rss_a=A+fresh+flaw+is+found+in+Windows), der UAC umgeht. Wenn der wirklich *so* neu ist, kann er's aber wohl nicht gewesen sein... :confused:

Wenn es unter Win7 einen Virus gibt der sich am UAC vorbei mit Adminrechten ausstattet um sich zu installieren, dann fange ich nächste Woche komplett alles auf Linux umzustellen. Ernsthaft. Ich schätze vorher werd ich aber noch einen Besen fressen müßen.

ein Trojaner laut trust defender (http://www.trustdefender.com/trustdefender-labs-blog-carberp-a-new-trojan-in-the-making.html) der ohne admin rechte auskommt, über uac find ich da nix aber das Teil hat "beeindruckende Features"