heise: Trojaner liest Passwortspeicher

    Entnommen von der verlinkten Webseite!

    Zitat

    Unter Windows 7 und Ubuntu arbeitet der Anwender jedoch standardmäßig mit eingeschränkten Rechten, sodass ein Schädling dort ohne weitere Tricks die Datei nicht manipulieren kann.

    Mit eingeschränkten Nutzerkonto unter XP kann also nichts passieren.
    Ein weiteres Indiz dafür, das das Surfen mit eingeschränkten Rechten so schlecht nicht sein kann. :wink:

    Keine Wortklauberei, unter Linux gibt es keine Begrifflichkeit "Anwender mit eingeschränkten Rechten".
    Seit ewigen Zeiten gibt es die Benutzer, die sich des Systems bedienen, und root, der das System freundlicherweise pflegt.

    und fröhlich schlägt der Betriebssystem-Prügel wieder aufeinander ein.... :roll:
    Muß doch nicht sein, oder?     Zurückgenommen, bist ja ein Guter... :)

    Lies bitte noch einmal genau was da geschrieben steht.

    Heise wirft Äpfel und Birnen durcheinander. Das war nur der dezente Hinweis auf die realen Begriffe.

    Wie man daraus eine Prügelei abstrahieren kann, bleibt mir schleierhaft.

    @ .Ulli:
    Wenn du es genauer erklärbärt hättest.... Ist editiert [Blockierte Grafik: http://fc00.deviantart.com/fs23/f/2008/00…y_luckylinx.gif]
    Mittlerweile springt die PC-Welt auch auf den Zug:
    http://www.pcwelt.de/news/Malware-T…78351&lid=93117

    Habe auf folgenden sicheren Link einen sehr interessanten Artikel gelesen http://www.magnus.de/news/malware-als-pa…

    Nun habe ich folgendes getan und bin fündig geworden!

    Gehe auf Arbeitsplatz
    System C
    Programme
    Mozilla
    Components
    Ordner dort: "nsLoginManagerPrompter.js"
    Öffnen mit Editor
    Auf Bearbeiten gehen
    Suchen
    Dort eingeben: pwmgr.addLogin(aLogin)

    Diesen Eintrag habe ich dort 2 mal gefunden!!

    Wie ist dieses zu verstehen! Ist diese Datei Bestandteil von Firefox oder wie in dem Artikel beschrieben ein Schädling! :-???

    Zitat von rollicarp

    "nsLoginManagerPrompter.js


    Die Datei gehört zu Firefox.

    Zitat

    pwmgr.addLogin(aLogin)


    Der String gehört in die Datei. Habs mit ner Original Setup-Datei (kann man z.B mit 7-zip öffnen) von Mozilla überprüft. Die Abfrage zum speichern kommt trotzdem.

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    Zitat von Estartu


    Die Datei gehört zu Firefox.


    Der String gehört in die Datei. Habs mit ner Original Setup-Datei (kann man z.B mit 7-zip öffnen) von Mozilla überprüft. Die Abfrage zum speichern kommt trotzdem.

    Danke für die Antwort!
    Verstehe dann aber nicht die Meldungen , dass dieser Eintrag trügerisch wäre! :-???

    Es wäre möglich, das der Trojaner an der Stelle wo pwmgr.addLogin(newLogin) steht, diesen dann überschreibt. Dann wäre das beschriebene Verhalten möglich. Aber so genau kenne ich mich da auch nicht aus.

    [Blockierte Grafik: http://firefox.czapura.de/gruss2.png]
    Win XP Home SP3, CPU: Pentium 4, 2,6 GHz, Dual Core, 1 GB RAM
    Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0
    Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20130620 Thunderbird/17.0.7
    Meine Add-Ons

    Zitat von Estartu

    Es wäre möglich, das der Trojaner an der Stelle wo pwmgr.addLogin(newLogin) steht, diesen dann überschreibt. Dann wäre das beschriebene Verhalten möglich. Aber so genau kenne ich mich da auch nicht aus.

    Ich kenne mich ja auch nicht so aus mit diesen trügerische Geschehnissen! Aber durch solche Meldungen, die wie ich meine für mich nicht ganz nachvollziehbar sind.
    Wie Du schon schreibst, dass dieser Eintrag dann durch den Trojaner überschrieben wird. Dieses hätte dann auch so in den Beitrag drin stehen sollen und das der Eintrag in dem Ordner erst einmal Bestandteil des Ordner ist! :!:
    Dann wäre man etwas aufgeklärter und würde sich nicht gleich über den Eintrag Sorgen machen.
    Aber ich habe Avira Premium und dann hätte ja normaler weise die Meldung des Trojaners erscheinen müssen wenn ich mein System überprüfen lasse!
    Nochmals vielen Dank für deine Mühe! :klasse:

    Zitat von rollicarp

    Aber ich habe Avira Premium und dann hätte ja normaler weise die Meldung des Trojaners erscheinen müssen wenn ich mein System überprüfen lasse!


    Darauf solltest du dich nicht zu 100 % verlassen, denn kein Programm findet jeden Schädling oder verhindert mit Sicherheit dessen Eindringen in dein System.

    1. Durchsuche deinen Computer mit Admin-Rechten mit Malwarebytes.
    Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen. Mache einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier mit der Klammer Code.

    2. Wird etwas gefunden, freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)
    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern

    3. Sichere vorher deine persönlichen Daten.

    4. Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.

    Zitat von Boersenfeger

    1. Durchsuche deinen Computer mit Admin-Rechten mit Malwarebytes.
    Runterladen, installieren und zunächst ein UpDate der Erkennungsregeln machen. Mache einen Fullscan und lasse eine Log-Datei erstellen, poste den Inhalt hier mit der Klammer Code.

    2. Wird etwas gefunden, freunde dich mit dem Gedanken an, das System neu aufzusetzen. (alternativ ein Image nutzen)
    Lies diesen Artikel, besonders ab Punkt 4.
    Ein befallenes System kann man nicht säubern

    3. Sichere vorher deine persönlichen Daten.

    4. Ändere alle Passwörter und beobachte deine Konten: Online-Banking, Ebay, Paypal etc.etc.


    Vielen Dank!
    Aber mein PC ist nicht befallen, sondern es war nur die Frage auf den besagten Beitrag, Eintrag! Dieser ist ja, wie man hört Bestandteil des angegebenen Ordners! Auch wird bei mir immer bei Login angezeigt ob ich das Passwort speichern soll oder nicht!
    Wäre dies nicht der Fall, dann wäre er ja befallen so die Aussage in dem besagten Artikel!

    Auch möchte ich mal erwähnen, dass man hier sehr schnell Hilfe bekommt und dass finde ich sehr Gut!!!
    Dieses fehlt so langsam in unserer Ellenbogengesellschaft!!
    Wünsche allen noch einen schönen Tag!!! :D:klasse:

    Zitat von Boersenfeger

    OK, schaden kann ein Durchlauf aber trotzdem nicht. :wink:

    Habe einen Suchlauf erfolgreich durchgeführt!
    Ergebniss:

    Malwarebytes' Anti-Malware 1.46
    http://www.malwarebytes.org

    Datenbank Version: 4845

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    16.10.2010 06:18:34
    mbam-log-2010-10-16 (06-18-34).txt

    Art des Suchlaufs: Quick-Scan
    Durchsuchte Objekte: 155573
    Laufzeit: 15 Minute(n), 43 Sekunde(n)

    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0

    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)

    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)

    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)

    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)

    Nochmals vielen Dank! <:o

    Gern! Wenn du das Teil mal wieder benutzt, zunächst ein UpDate der Erkennungsregeln machen lassen. Und dann auch ruhig mal, wie empfohlen, ein FULLSCAN durchführen. Ich mach das einmal im Monat, nur um sicher zu gehen. Schönes WE! :)