Beiträge von Raik

hab die dlls kopiert, bleibt bei mir auf false

@pcinfakt
ich werd aus deinem post nicht schlau. wie verhinderst du, dass M$ eine neue uuid für die nächste version der dot-net-extension in die registry einträgt und sie damit dem firefox unterjubelt?

plugin.scan.plid.all = false in about:plugin verhindert dummerweise nicht nur, dass die M$-NetFramework-Extension wieder in der Registry gefunden und installiert wird, sondern auch das laden von Plugins ausserhalb des Plugins-Verzeichnisses.
Da liegt der Hund begraben.
Jetzt muss ich mich entscheiden, ob ich lieber jedes mal die dll ins Plugins-Verzeichnis kopiere, oder riskiere, dass M$ wieder eigenmächtig an meiner FF-Installation rummanipuliert.

aus welchem verzeichnis läd er die dll bei dir?

Nach jedem automatischen Update findet FF den Flashplayer nicht mehr, weil er anscheinend im Plugins-Verzeichnis sucht, wärend der Flashplayer jetzt immer im Systemverzeichnis (C:\WINDOWS\system32\Macromed\Flash) landet. Das alte Flsh-Plugin im Plugins-verzeichnis löscht er dabei.
Ich meine, da mal was gelesen zu haben, dass es da eine Änderung beim Installationsort des Flashplayers gab, ins System- statt Plugins-Verzeichnis.

Kann ich da eine Einstellung im FF anpassen, so dass er zukünftig den Player aus dem Systemverzeichnis läd, oder muss ich mir nen Script bauen, das nach jedem Update die Flashplayer-Dateien wieder ins Plugins-Verzeichnis kopiert?

Boersenfeger
falsch. du hast dich überhaupt nie mit mir auseinandergesetzt. du bist nicht auf eine einzige frage von mir eingegangen, du suchst kein gespräch (austausch) sondern agitierst (einseitiges verkünden einer botschaft).

@brummelchen
statt sachlicher argumente (ja, dazu müsste man sich mit der materie beschäftigen), kommen von dir nur beleidigungen.
ganz grosses kino ..

Zitat von Boersenfeger

Du kannst also viele der von mir genannten Punkte nicht mit nein beantworten bzw. versuchst dich zu rechtfertigen, warum dies oder jenes so und so bei dir gemacht wird....

du willst damit sagen, dass deine liste die ultima ratio darstellt und es keine anderen weisheiten neben deinen geben kann?
an welchen punkten übst du kritik?
dass ich grundsätzlich keine anderen nutzer an meinen laptop ranlasse und deshalb auch keinen weiteren benutzer mit eingeschränkten rechten zu diesem zweck einrichte?
oder dass ich weder twittere, noch gesichtsbuche?
dass ich grundsätzlich keine daten per mail austausche?
dass ich das anstecken von fremden usb-sticks und festplatten mit dem anstecken eines lan-kabels zum router/dsl-modem gleichsetze, da beide medien als nicht vertrauenswürdige quellen angesehen werden müssen?

widerlege die argumente des ccc gegen pfw's und ich installiere mir sofort die von dir präferierte desktop-firewall.

PvW
kurz gesagt, eure liste ist zwar grössten teils, aber nicht vollständig richtig und sie ist auch nicht vollständig.
ich habe nur mal EINS von mehreren problemen angesprochen, die dort nicht auftauchen: "computrace".
nein, ich werde euch jetzt nicht sämtliche infos dazu hier zusammentragen, google ist euer freund, und schaut mal nach der firma "core security technologies" und deren untersuchungen über computrace.
hier gibts ne ausführliche diskusion dazu mit hintergrundinfos von mir:
http://www.thinkpad-forum.de/forum-communit…ace/index5.html

die sicherheitslücken des computrace-dienstes lassen sich von versierten malwareschreibern prima für ein botnetz ausnutzen, das dann sogar noch resistenter ist, als die bisherigen gewöhnlichen botnetze.

sicherheit besteht nicht aus einer starren liste von regeln.
und eine firewall ist kein stück software, sondern ein konzept.

vielleicht könnt ihr ja mit den beiden sätzen etwas anfangen ..

Boersenfeger
mein "problem" ist geklärt, ich weis jetzt, das die wlcomn.exe nicht zu firefox gehört.
ihr habt ein problem damit, dass ich eure ultima ratio nicht brav befolge, ich hab ein problem damit, dass ihr das für die ultima ratio haltet.
es gibt mehr da draussen, als das, was auf eurer liste steht. ihr könnt jetzt sagen "das haben wir schon immer so gemacht, wie es auf der liste steht.", oder ihr könnt euch darüber informieren, was es da noch gibt.
ich hab mir übrigens die mühe gemacht, alle fragen auf deiner liste einmal zu beantworten. du hast meine fragen bisher völlig ignoriert.

Fox2Fox
ich mache fehler. bist du perfekt?

Zitat von Boersenfeger

BTW: Kannst du alle Punkte, die ich nannte, auf deinem System als eingehalten bzw. existent bestätigen?

* nicht mit administrativen Rechten surfen!

ich surfe unter win7 als admin mit sicherheitseinstellungen auf höchster stufe, wie von der ct' empfohlen.

* regelmäßig alle Windows- und Programmupdates installieren

ja

* das DSL-Modem als Router betreiben, wenn vorhanden

nicht vorhanden

* WLAN-Netz verschlüsseln

nicht vorhanden

* mit dem Notebook nie unverschlüsselt in vorhandene Zugangspunkte (Flughäfen, Zug, Gaststätten etc.) einloggen

bis auf freifunk.net nur über verschlüsselte verbindungen.

* Firewall einschalten resp. installieren

windows-firewall ist aktiv, aus von mir genannten gründen sind pfw's "pfui!".

* Antiviren-Programm installieren und automatisch updaten lassen

ja

* nur Programme aus sicheren Quellen (vom Hersteller) installieren

ja

Weiterführende sicherheitsrelevante Gesichtspunkte

* für gelegentliche andere Benutzer ein zusätzliches eingeschränktes Benutzerkonto einrichten

gibts nicht, ist ausschliesslich mein notebook.

* keine fremde Hardware (Sticks, externe Festplatten, Handys etc) an den Computer anschließen

ist wohl kaum 100%ig durchzuhalten.

* Aktive Inhalte deaktivieren, die Erweiterungen NoScript und AdBlock Plus halten schon eine Menge ab.

beide extensions aktiv und ich clicke auch nicht auf alles, was bei 3 nicht auf den bäumen ist. ich habe meinen kopf nicht nur zum haare tragen.

* PDF-Dateien nicht im Browser anschauen, sondern herunterladen und dann anzeigen lassen

passiert automatisch, wenn man das browserplugin nicht installiert.

* bei Installation von Software möglichst benutzerdefiniert installieren und genau lesen, dabei ungewollte Drittsoftware abwählen

wie gesagt, ich habe meinen kopf nicht nur zum haare tragen. (und wer jetzt meint, bemerken zu müssen, das gegenteil wäre ja durch die infektion erwiesen, der zahlt mir bitte 1000€, wenn er sein system trotz der hier gelisteten massnahmen schon mal neu installieren musste.)

* regelmäßig Datensicherung durchführen

meine daten sind redundant auf notebook und home-pc vorhanden.

* E-Mails nicht blindlings öffnen, besonders nicht, wenn sie von unbekannten Absendern stammen
* Mailanhänge von unbekannten Absendern am besten gleich löschen
* Mailanhänge vor dem Öffnen auf Malware prüfen
* gleiches gilt für Dateiempfänge innerhalb sozialer Netzwerke
* Auf Spam-Mails nicht antworten, sonst kommt noch mehr Spam
* nicht auf alles klicken, was blinkt

wie gesagt, ich habe meinen kopf nicht nur zum haare tragen.

-----------------------------------------------------------------------------------

hast du dich inzwischen mal mit

http://www.ulm.ccc.de/PersonalFirewalls > http://www.ntsvcfg.de

auseinandergesetzt und dich mal über "computrace" informiert?
und erzählt mir bitte jetzt nicht, das wäre irrelevant und eure hinweise würden den allumfassenden letzten schluss der weissheit darstellen.

["CompuTrace"]
ist in 60% aller mobilen geräte vorhanden, weil das der marktanteil der firma phoenix im bios-sektor ist, und diese einen vertrag mit dem hersteller von "computrace", der firma "absolute software" aus den usa hat.
computrace ist ein bios-modul, das wenn es aktiviert ist, unter allen windows-versionen auch auf bitlocker-verschlüsselten festplatten einen dienst installiert, der bei verbindung mit dem internet kontakt zu den servern von absolute aufnimmt und von dort ggf. anweisungen entgegen nimmt, vom melden der verbindungsdaten zur ortung bis hin zur sperrung des gerätes oder löschen der gesamten festplatte.

die komunikation mit den servern läuft zwar mit md4 verschlüsselt, der schlüssel wird aber vorher beim verbindungsaufbau IM KLARTEXT über die UNGESICHERTE verbindung übermittelt (was die verschlüsselung praktisch völlig wertlos macht), was man-in-the-middle-angriffe und die installation von malware ermöglicht, die dann sogar durch das bios bei jeden neustart wiederhergestellt werden würde und da der computrace-dienst durch alle antivirus-anbieter whitelistet ist, nicht mal entdeckt werden würde.

habt ihr einen rechner mit phoenix-bios, das ab 1995 datiert ist? dann besteht (auch bei desktop-rechnern!) die möglichkeit, dass dieser äusserst schlampig umgesetzte dienst auch unbemerkt auf euren rechnern aktiv ist.

Zitat von Brummelchen

(von "haben könnte" sind wir aufgrund bestimmter Infos weeeiit weg).

sind diese infos geheim?
da du "haben könnte" ausschliesst, scheinst du sicher zu sein, dass mein system immer noch verseucht ist?
aufgrund welcher informationen?
empfielst du auch personal firewalls?

entschuldige bitte, aber mit "mach jetzt gefälligst, was wir sagen, weil wir irgendwelche (geheimen?) infos haben!" überzeugst du mich nicht.
und

Zitat von Boersenfeger

... hast du ja nun schon mal gerafft. :twisted:

impliziert, ich sei ein kleiner dummer junge, der etwas "raffen" müsse. weder habe ich das erst "jetzt endlich" gerafft verstanden (das geht aus meinem eigenen postig auch hervor), noch habe ich nach euern bisherigen "argumenten" den eindruck, dass ihr mir irgendetwas zu "raffen" aufgeben könntet. dazu beschäftige ich mich schon zu lange selber mit diesen themen und ich würde niemandem eine pfw empfehlen UND kann das auch begründen (wozu soll eurer meinung nach eine pfw gut sein?).
und weil ihr gerade bot-netze erwähnt, könnt ihr mir doch sicher auch sagen, warum gerade da "computrace" eine grosse gefahr ist? oder habt ihr etwa davon noch nie etwas gehört?

Zitat von Boersenfeger

Du trägst zunächst mal die Verantwortung dafür, das dein System nicht abgesichert ist, bzw. du dich nicht so verhältst, das dein System nicht befallen werden konnte!

aha. gilt das entsprechend auch für die verantwortlichkeit anderer für die sicherheit derer rechner?

Zitat von Boersenfeger

* Firewall einschalten resp. installieren

die windows-interne fw zu aktivieren, ist ja noch richtig.
aber du empfielst nicht ernsthaft sowas wie zonealarm, oder?
dann kann ich dir dazu mal nen link geben:
http://www.ulm.ccc.de/PersonalFirewalls
und noch einen:
http://www.ntsvcfg.de

deine empfehlungen widersprechen sich.
wenn bei einem system, das sich komisch verhält, sowieso davon ausgegangen werden muss, dass es möglicherweise durch einen (unbekannten) virus verseucht ist, woraus sich nach deiner ansicht zwingend eine neuinstallation des systems ergibt, dann sind virenscanner überflüssig, da ein kompromitiertes system sowieso nicht mehr sicher zu reinigen ist.
weiterhin gilt für alle nicht trivialen systeme, dass sie mindestens einen bug enthalten, so dass nach deiner ansicht der erste kontakt mit einer nicht vertrauenswürdigen datenquelle (internet, usb, handys, andere rechner, etc.) zur gleichen schlussfolgerung führt: platt machen und neu aufsetzen.
ausserdem kann sich ausführbarer code auch ins cmos schreiben und in 60% der mobilen geräte steckt heutzutage ein biostrojaner der firma "absolute software", der scheunentorgrosse sicherheitslücken aufreisst und den kein normalanwender entfernen kann, genannt "lowjack for laptops" oder "computrace".

@brummelchen
sind das insider-infos oder bin ich würdig, daran teilhaben zu dürfen?
ihr seid im internet, eure rechner sind als kompromitiert zu betrachten, was ihr nicht mit sicherheit ausschliessen könnt. wann macht ihr eure rechner platt?

wenn ihr geschrieben hättet, "es ist dringend zu empfelhen, das system neu aufzusetzen", hätte ich euch absolut zugestimmt, aber dieser ton: "du hast jetzt sofort dein system platt zu machen!" ist oberlehrerhaft. eine personalfirewall zu empfehlen, lässt an eurem guruwissen zweifeln.

Fox2Fox

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org


Datenbank Version: 5768


Windows 6.1.7600
Internet Explorer 8.0.7600.16385


15.02.2011 19:44:00
mbam-log-2011-02-15 (19-43-57).txt


Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 238769
Laufzeit: 31 Minute(n), 49 Sekunde(n)


Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3


Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)


Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)


Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.SpyNet) -> Value: HKCU -> No action taken.


Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)


Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)


Infizierte Dateien:
c:\Users\user\AppData\Roaming\177explorer.exe (Trojan.Agent) -> No action taken.
c:\Users\user\AppData\Roaming\619explorer.exe (Trojan.Agent) -> No action taken.
c:\Users\user\AppData\Roaming\install\wlcomn.exe (Backdoor.SpyNet) -> No action taken.

Boersenfeger
Trägt dann also auch jemand anderes dafür die Verantwortung dafür, dass mein nicht ausreichend abgesichertees System von seinem verseuchten System infiziert werden konnte?
"Jedes nicht trivile Programm hat mindestens einen Bug." Da ständig neue Sicherheitslücken gefunden werden, gibt es also kein vertrauenswürdiges System, da niemand garantieren kann, dass es nicht bereits mit einem unbekannten Schädling verseucht ist, sobald es das erste mal Kontakt zu öffentlichen Netzen bekommt.
Nach der Logik solltest Du Dein System jetzt sofort vom Netz nehmen, platt machen und danach nie wieder online gehen.

Was ich alles schon "gerafft" habe, lange bevor ich hier gepostet habe, und nicht erst "nun schon mal", davon hast Du keine Vorstellung. Diesen oberlehrerhaften Ton abzustellen, wäre auch "ganz nett".

keine sorge, MaximaleEleganz, wenn es um deinen rechner gegangen wäre, [ironie]hätte ich dir auch noch alle partitionen gelöscht.[/ironie]
wie ich oben schrieb, mir ist durchaus bewusst, dass damit keine absolute sicherheit gegeben ist, aber es ging um mein privates system und ich kann die verantwortung für diese vorgehensweise durchaus tragen.

so, malwarebytes hat biem neustart alles gelöscht und danach auch nichts mehr gefunden.

ich weis, nur ist damit das design-problem der vorhandenen funktion ja nicht gefixt. was eingebaut ist, sollte auch funktionieren, undzwar möglichst fehlerfrei, deshalb mein hinweis.

im prinzip richtig, dass ein einmal verseuchtes system als kompromitiert anzusehen ist und sicherheit nur durch neuinstallation erreicht werden kann,
nur ist es mit der windows-installation allein nicht getan.

trendmicro housecall hat nichts gefunden, werd die beiden tools auch nochmal drüberjagen.
malwarebytes hat nen run-eintrag in der registry gefunden und unter
C:\Users\%user%\AppData\Roaming
2 kopien eines trojaners
177explorer.exe und 619explorer.exe (Trojan.Agent)

die trojaner wurden gelöscht, die als (Backdoor.SpyNet) erkannte wlcomn.exe ist wieder unter install erschienen, also ist da noch irgendwas aktiv.

geheimnis gelöst:

da mit der einstellung "updates automatisch herunterladen und installieren" abscheinend schon vor dem herunterladen die befehlszeile zum installieren der dateien (in der registry?) angelegt wird, und ich den updateprozess im hintergrund nicht bemerkt habe, wurde dieser wohl durch das trennen der internetverbindung und anschliessendes herunterfahren des notebooks gestört, so dass dateien gefehlt haben oder nicht compatibel waren zu den neuen.
dadurch muss die lesezeichenleiste leer geblieben sein, denn nachdem ich jetzt das update einmal hab durchlaufen lassen, ist alles wieder da, auch ohne neues profil.
da sollte noch etwas an dem vorgang verändert werden, so dass er duch verbindungstrennungen und shutdowns nicht mehr gestört werden kann.

ich bekomme unter win7 durch die im verzeichnis C:\Users\%user%\AppData\Roaming\install liegende wlcomn.exe mit identischer grösse zur firefox.exe, gleichem icon und gleichen details immer wieder die meldung
"das programm lann nicht gestartet werden, da %diverse%.dll auf dem computer fehlt. installieren sie das programm erneut, um das problem zu beheben."
die fehlenden dlls sind die aus dem firefox-verzeichnis, die werden eine nach der anderen als felhlend gemeldet, sobald ich die gerade gemeldete in das install-verzeichnis kopiert habe.

was geht da ab? wozu soll diese firefox-kopie mit anderem namen dienen?
hängende, schlecht implementiertre firefox-funktion oder trojaner?

ja, ist auch im abgesicherten modus so.

Adblock Plus	1.3.3	true	{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}
Download Statusbar	0.9.7.2	true	{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}
Java Console	6.0.20	true	{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
Java Console	6.0.21	true	{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
BugMeNot	2.2	true	{987311C6-B504-4aa2-90BF-60CC49808D42}
FlashGot	1.2.7	true	{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}
Hide Caption Titlebar Plus	2.1.0	true	hidecaptionplus-dp@dummy.addons.mozilla.org
Tabs on top	1.4.4	true	tabsontop-darthpalpatine@dummy.addons.mozilla.org
Group/Sort Tabs	2.0.1	false	sort_tabs_by@codeoptimism.net
Load Tabs Progressively	1.0	true	loadTabsProgressively@ithinc.cn
Foobar	1.5.1	true	foobar@unnecessarilylongurl.com
Java Console	6.0.22	true	{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
keyconfig	20080929	true	keyconfig@dorando
Java Console	6.0.23	true	{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}

der fehler tritt seit einem windows-shutdown auf, der festzuhängen schien und deshalb mit ausschalten abgebrochen wurde.
liegt also nahe, dass irgendeine datei nicht fertig geschrieben werden konnte.

hat nicht geholfen. damit verschwinden nur noch die icons der bookmarks, aber in der Lesezeichen-Symbolleiste tauchen sie nicht wieder auf.
wenn garnichts anderes hilft, muss ich ein neues profil einrichten und dann die erweiterungen wieder installieren und einrichten und nur die bookmarks übernehmen ...

Obwohl im Menü noch alle lesezeichen angezeigt werden, ist die Lesezeichen-Symbolleiste leer, wie auch die Bookmarkverwaltung.
auch das zurücksetzen der symbolleisten und der einstellungen hat nichts gebracht.
ist der pfad zu den lesezeichen für diese leiste irgendwo abgespeichert (was sich verstellt haben könnte) oder ist der hardcoded?
könnte eine einstellungsdatei beschädigt sein und wenn ja, welche?