Beiträge von Docc

Zitat von Zitronella

ich hab den auch aktiv und es gab noch nie Probleme damit
habe mich natürlich vorher kundig gemacht ob das auch in Ordnung ist, den aktiviert zu haben Antwort

Klar, dass in einem Avast-Forum der Avast-Moderator rät, den Windows Defender aktiviert zu lassen. Falls das System dann doch kompromittiert wird, wäscht Avast seine Hände in Unschuld, und sagt: "der Defender hat den Schädling durchgewunken". - Bei deaktiviertem Defender könnte sich Avast nicht auf diese Ausrede zurückziehen.

Zitat von Zitronella

Ich weiß jetzt allerdings nicht [...]ob es da auch sinnvoll ist den Defender aktiviert zu haben

Sinnvoll ist es nicht. - Zwei parallel aktive On Access Scanner kommen sich über kurz oder lang in die Quere wobei die Erkennung dann negativ beinflusst wird. - Wenn man diesen bekannten Unsicherheitsfaktor durch einfaches Deaktivieren des Windows Defender eliminieren kann, sollte man das tun. Vor allem, da der Defender gegenüber einer vollwertigen Antivirensoftware keinerlei Mehrwert liefert.

Dein Link mag ja erklären, dass der Server in den Knien war. Aber dein Problem mit dem aktiven Defender ist doch eine ganz andere Geschichte.

Zitat von JHH

AntVir (free) hat folgendes gefunden
1. Die Datei 'C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\10\6c20714a-1761ac24'
enthielt einen Virus oder unerwünschtes Programm 'EXP/CVE-2012-1723.A.3743' [exploit].

2.Die Datei 'C:\Dokumente und Einstellungen\xxxxxxx\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\4996df0c-392eddd8'
enthielt einen Virus oder unerwünschtes Programm 'EXP/2009-3867.I' [exploit].

Das ist ein Drive-by-Download, den du dir eingefangen hast, weil Java nicht aktuell war. Dem könnte man mit etwas Aufwand sogar noch beikommen.

Das Ende der Fahnenstange ist jedoch mit "Sality" erreicht:

HKLM\SYSTEM\CurrentControlSet\Services\amsint32 (Virus.Sality)

Dieser File Infector verbreitet sich als Netzwerkwurm. Hier laufen alle Entfernungsversuche ins Leere. - Auch wenn jetzt augenscheinlich erst mal Ruhe ist, das Ding ist weiterhin aktiv. - Der Rechner wird über eine Backdoor (Hintertüre) quasi von außen fremd gesteuert.

Sality-Infos:

http://www.viruslist.com/de/weblog?weblogid=207319123
http://www.threatexpert.com/report.aspx?md…bd16639aa041aca
http://www.microsoft.com/security/porta…aWin32%2fSality
http://www.symantec.com/security_respo…-011714-3948-99

Ich nehme an, dass über deinen Rechner OnlineBanking, OnlineShopping oder andere Transaktionen, die mit Zahlungsverkehr verbunden sind, ausgeführt werden. Insofern solltest du im eigenen Interesse den Rechner schnellstens neu aufsetzen.

Hier ein HowTo: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=93861

Die drei Links von .Bernd erklären die Problematik schon recht gut.

Ich gehe mal prophylaktisch davon aus, dass auf deinem System neben dem Defender eine vollwertige Security Software läuft. Alles andere wäre ein No Go.

Diese Security Software (von mir aus Avast oder Avira in Verbindung mit der Windows Firewall) sollte bei ihrer Installation eigentlich den Defender deaktiviert haben. Falls das nicht der Fall ist, sollte das manuell nachgeholt werden. Btw: der Defender leistet keinen nennenswerten Beitrag zur Systemsicherheit, ist also auch kein beklagenswerter Verlust.

Aber bitte jetzt nicht einfach deaktivieren, sondern dem Defender zuvor alle Update-Berechtigungen entziehen, auch sämtliche Update-Tasks und Scan-Tasks auf "Null" setzen. Letztlich sollte der Defender so konfiguriert sein, dass er keinerlei Hintergrundaktivitäten mehr ausführen kann. Würde man ihn lediglich deaktivieren, würde der ein- oder andere Prozess im Hintergrund aktiv bleiben. Das kann man sich zugunsten der CPU-Last sparen.

Was die 70 Optionalen Updates angeht: da wird wohl eine ganze Reihe .Net Framework dabei sein. Diese sollten (auch wenn sie optional sind), installiert werden, da NT 6.x in hohem Maß von .Net abhängig ist.

Ansonsten lohnt es sich, den Updatestau mal gründlich zu durchforsten, Notwendiges zu installieren und Unerwünschtes (oft WDM-Treiber) auf die Blacklist zu setzen. Das spart beim täglichen Arbeiten enorm Traffic und letztlich Systemressourcen in CPU und RAM, weil die 70 Updates nicht jeden Tag aufs neue abgeglichen werden müssen.

Das mit den Updates ist unter NT 6.x ohnehin so eine Sache. Die Updateorgie ist leider erst nach etlichen Updatedurchläufen wirklich beendet. Also immer wieder rebooten und Windows-Update erneut durchlaufen lassen. So lange, bis alles durch ist. Erst dann hat man wirklich vier Wochen Ruhe zwischen den Patchdays.

Zitat von .Hermes

Ehe du lange überlegst, kannst du dein Windows neu installieren.

Jou, sehe ich auch so.

Zitat von pegai

Nach Einbau einer neuer Festplatte habe ich meinen Rechner neu aufgesetzt

Installiere vorher noch den aktuellen Chipsatztreiber. Damit ist sichergestellt, dass die aktuellen Treiber sauber integriert und reibungslos angesprochen werden können. Wichtig ist, dass die Erneuerung des Chipsatztreibers vor allen anderen Treibern durchgezogen wird.

Zitat von pegai

System ist mit mehreren Malware-Scannern abgesucht und scheint i.o. zu sein

Gibt es deinerseits einen konkreten Verdacht in diese Richtung, oder war die Festplatte einfach nur am Ende?

Klappt's auch nicht mit dem IE?

Zitat von zarte-fee

Dieser Einstieg bzw das Thema , war der Versuch ein wenig zu kontakten !

Das ist auch völlig okay. - Wir sind jedoch ein reines IT-Fachforum mit den Themenschwerpunkten "Firefox-Browser" und "verbundene Softwareperipherie". Wenn du so etwas suchst, wärst du bei uns genau richtig.

Besteht das Problem auch bei Verwendung eines Alternativbrowsers? Es könnte sich auch lohnen der updater.exe gründlich auf den Zahn zu fühlen. Die könnte äußerst unschönen Ursprungs sein.

Zitat von Yesssss_Sir

ich habe nun die gefundenen "Bösen" gelöscht...

Gelöscht ist da gar nichts. - Du hast den Schädling lediglich für kurze Zeit aus deinem Gesichtsfeld befördert.

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Wenn du deine Security Software nicht wissentlich deaktiviert hast, sei es mit einem Tool oder von Hand, hast du ein sehr ernstes Problem.

In diesem Fall würde das hier zutreffen: Deine Security Software (der On access Scanner sowie die Firewall) wird auf diesem System durch Malware manipuliert. Der Schädling erzeugt im Hintergrund Traffic, telefoniert nach Lust und Laune rein und raus und lädt Code aus dem INet nach.

Gab es im Vorfeld mal Probleme mit Malware, und falls ja, wie wurde darauf reagiert? Schau auch mal die Logs deiner Security Software durch, ob dort Fundmeldungen protokolliert sind (diese bitte posten).

Deaktiviere mal G-Data samt Firewall. Dann den Rechner rebooten und testen.

Na ja, was da in solchen Situationen an gut gemeinten "Empfehlungen" auf botfrei.de und trojaner-board.de zum Besten gegeben wird, ist meist nicht weniger gefährlich als die Infektion selbst.

Eine Analyse findet so gut wie gar nicht statt. Keiner schert sich um den Infektionsweg. Man kloppt lediglich mit ein paar wundertätigen Tools auf den Busch, lässt den EndUser den Clean-Button drücken, und erklärt mit todernster Miene, dass das System nun gesäubert ist. Und das alles unter laufendem Windows. Dass das prinzipbedingt nicht funktioniert, müsste klar sein.

Man darf sich bei den dort gegebenen Ratschlägen wirklich nicht wundern, dass die Kiste schon wenige Tagen später das gleiche Infektionsbild zeigt. - Kompetente, seriöse und vor allem nachhaltige Hilfe sieht anders aus.

Das sieht schlecht aus. Im Ordner windows.old befinden sich Systemdaten, aber keine Userdaten wie sie z. B. im Firefox-Profil abgelegt sind. - Wenn du kein Backup des Firefox-Profilordners angelegt hast, sind die Lesezeichen und Cookies weg.

Zitat von europanorama

Das würde heissen immer wenn FF verrückt spielt das System neu aufsetzen? Wäre gewagte Behauptung.

Sorry, diese Ableitung ist absoluter Unsinn.

Nicht Firefox spielt verrückt, sondern dein Betriebssystem. Das wiederum "spielt verrückt" weil es durch multiple Malware-Infektionen komplett verseucht und unterwandert ist. Die Backdoor auf deinem System lädt immer wieder neuen Schadcode aus dem Internet nach. Darum wirst du keine Software auf diesem verhunzten System sauber ans Laufen bekommen.

Ich habe hier noch einen selbst gefrickelten Browser laufen, für den unser seinerzeitiger Hund Erwin seinen Namen hergeben musste.

Jou, der Trend geht zum Zweit-Browser. - Die wenigsten hier verlassen sich auf einen einzigen Browser. Auf Windows-Systemen läuft der IE ohnehin mit. Und wenn der Standard-Browser mal "unerklärliche" Probleme macht, hilft ein Gegentest mit einem Alternativ-Browser bei der Ursachenforschung.

Zitat von Rudis

Es gibt einige Seiten, auf denen genau das vermieden werden soll.

Um das Hin und Her abzukürzen: Bitte verlinke eine Seite, von der du denkst, dass dort dein Browser und die von dir genutzten Plugins nicht erkannt werden sollen.

Mir fällt keine Webpage ein, auf der das Sinn machen würde. Und bei krummen Dingern würde ich diesen Thread ohnehin sofort dicht machen.

Zitat von Boersenfeger

.. wobei der Ton nicht mal getrocknet ist...

Dann muss bei Golems der Keller mächtig feucht sein. Zeit wäre wirklich genug gewesen. Der Artikel stammt vom "18.5.2010".

Zitat von Joachim2

Warum nicht den VLC-Player Plugin??

Hast du den Rechner nach dem Setup rebootet?

@ Rudis

Ich hasse solche Artikel, die mit heißer Nadel gestrickt wurden, und den EndUser völlig Kirre machen und auf den Holzweg leiten. Faktisch ist der Artikel korrekt, aber missverständlich und deshalb irreführend.

Man muss nur mal den ersten Absatz lesen:

Zitat

Browser hinterlassen weitgehend eindeutige Fingerabdrücke, anhand derer sie sich auch ohne Cookies eindeutig identifizieren lassen,

[...]

Nutzer, die Flash blockieren oder den eigenen User-Agent fälschen, lassen sich besonders gut wiedererkennen.

Der Browser ist identifizierbar!! Mehr nicht!! - Da steht nicht, dass die Person identifizierbar ist, die diesen Browser nutzt. Und es wird auch in den nächsten Jahren nicht möglich sein, dass ein EndUser anhand eines Browser "Fingerprints" eindeutig zu identifizieren wäre.

Wenn man böswillig wäre, könnte man das zweite Sätzchen sogar als Hoax bezeichnen. Da ist zwar vollmundig von "Nutzer" die Rede, aber der lässt sich nun mal nicht anhand des verwendeten Browsers identifizieren, weil Identifikationsmerkmale wie Namen, Wohnort, Straße etc. fehlen. Es wird also schlichtweg Panikmache betrieben, weil der Artikel nicht den geringsten Unterschied macht zwischen einem Nutzer und einer ganz bestimmten (eindeutig identifizierbaren) Person.

Derzeit und in nächster Zukunft haben nur Staatsanwaltschaften und ganz wenige übergeordnete Ermittlungsbehörden die Möglichkeit, einen EndUser eindeutig zu identifizieren. Das dann aber auf Basis der IP-Adresse. Aber davon ist in dem Artikel kein einziges Wort zu lesen. Selbst Ermittlungsbehörden wie Staatsschutz oder Staatsanwaltschaft haben keine Möglichkeit allein mit dem Browser Fingerprint eine Person namentlich zu identifizieren.

Wenn der Artikel wenigstens mal Käuferprofile angesprochen hätte, die man als registrierter Kunde z. B. in einigen wenigen Internetshops hinterlässt, hätte der Autor das Ruder noch herum reißen können. Aber das hat er leider auch versäbelt. - Also vergiss den Artikel einfach. Er steht auf tönernen Füßen.

Zitat von Anfänger015

Welche Seiten kann ich als vertrauenswürdig einstufen?

Grundsätzlich keine. - Denn sobald du einer Seite dauerhaft ein kategorisches Vertrauen aussprichst, hast du auf ganzer Linie verloren.

Im folgenden Thread hatten wir kürzlich dieses Paradoxon recht anschaulich erörtert: https://www.camp-firefox.de/forum/viewtopic.php?f=12&t=102149