@ ordell1234

zunächst 'mal Dank für deine Aufmerksamkeit!

Gleich zu Beginn eine Frage: wie funzt das mit dem Zitieren?
noch eine Frage: wie komme ich ans das Edieren eines selbst geschriebenen Artikels/ Threads - wenn mir etwa ein Fehler unterläuft.

Aber nun:

"11.4.2005" installiert = (temporäre?!) geistige Umnachtung. der 11.4. stimmt,
das 2005 aber nicht, es ist schon 2007.
Als ich es merkte, hatte ich das Ganze schon abgeschickt und ich habe das Edieren hier bei Trojaner-Board noch nicht 'raus.


Zur Verwirrung mit der ethereal-Setup-Datei:

Ich hatte Ethereal installiert, aber zudem die setup.exe als Quelldatei auf einer anderen Partition einer 2. HDD abgelegt.
Das war mir so selbstverständlich, dass ich es zu erwähnen vergass. Sorry.

Es gab also das laufende Programm und die Quelldatei Setup.exe.
In letzterer sollte der Trojaner sitzen, aber auch im Ordner "c:\system volume information" und irgendwo in den personal settings des Firefox. Da ich zu aufgeregt war, habe ich den Firefox- Infektionsort nicht notiert.

Nach der Ethereal 0.99-Installation funzte Ethereal zunächst problemlos, bis NACH EINIGEN TAGEN Kaspersky kis 6 den Trojaner/ Virus meldete und zwar so wohl in der ethereal-Setup.exe als auch im c:\system volume information.

Nach der "Löschung" des Trojaners durch Kaspersky, was bedeutet:
Löschen der Ehtereal-Setup.exe,
Deinstallieren von Ethereal und
Löschen des Trojaners aus dem "c:\system volume information" (was nur als Admin angemeldet funktionierte),
scheint der Backdoor.win32.ForBot.t-Trojaner vom System herunter zu sein, aber genau da steckt eine wichtige Frage:
wie kann ich mir da sicher sein, dass ein System nicht korrumpiert ist?



Gruss & Dank

trojpecker.

Moin trojpecker,

Die Sachen 'editieren' und 'zitieren' sollten sich geklärt haben, myrtille war so nett.

ethereal: Wie gesagt, ich habe nichts derartiges beobachet, auch nicht einige Tage später. Bleiben folgende Möglichkeiten:

- das setup war tatsächlich infiziert, ist aber unwahrscheinlich, wenn du die Datei von ethereal hast

- false-positive von Kaspersky: durchaus möglich, deshalb meine Frage, ob das Problem auch mit aktuellen Signaturen besteht

- Loch im Topf, d.h. du warst bereits infiziert oder hast dir im Lauf der Zeit was eingefangen

Zitat:

Zitat von trojpecker

aber genau da steckt eine wichtige Frage:
wie kann ich mir da sicher sein, dass ein System nicht korrumpiert ist?

Kannst du nicht. Ob dein System sauber ist, läßt sich leider nur falsifizieren aber nicht verifizieren. Du mußt zwei Fragen in deinem Fall trennen: 1. Bin ich infiziert? 2. Konnte ich mein System bereinigen. Da sich beide Fragen nicht eindeutig beantworten lassen, ist deine Testkiste nicht mehr vertrauenswürdig, d.h. sie ist als "kompromittiert" zu betrachten. Dein Spieltrieb in allen Ehren, aber denke auch an die restllichen Internetnutzer, die keinen Bock auf SPAM und andere Sauereien haben.

Nützliche links:
- Cidres Anleitung zum Neuaufsetzen, die weit über ne Anleitung zum Neuaufsetzen hinaus geht
- Seiten von Oliver Schad
- Grundsatzdiskussion Systembereinigung
- der Linkblock

Gruß

Zitat:

Zitat von ordell1234

- Loch im Topf, d.h. du warst bereits infiziert oder hast dir im Lauf der Zeit was eingefangenKannst du nicht. Ob dein System sauber ist, läßt sich leider nur falsifizieren aber nicht verifizieren. Du mußt zwei Fragen in deinem Fall trennen:

1. Bin ich infiziert?
2. Konnte ich mein System bereinigen.

Da sich beide Fragen nicht eindeutig beantworten lassen, ist deine Testkiste nicht mehr vertrauenswürdig, d.h. sie ist als "kompromittiert" zu betrachten. Dein Spieltrieb in allen Ehren, aber denke auch an die restllichen Internetnutzer, die keinen Bock auf SPAM und andere Sauereien haben.

Moin ordell1234,

schön'n Dank für die Antwort!

Das was Du hier sagst, entspricht dem, was ich bereits in einem Wikipedia (?) - Artikel las.
Das ist nicht beruhigend.
Der Testrechner ist nicht mehr mit der infizierten Platte im Netz, ich hatte noch eine 2. und habe darauf neu installiert.

Zum Loch im Topf:
Was mich nun noch beunruhigt ist dies:
Es gibt zwei Zeiten, wo ich sehr ungeschützt ins Netz MUSS:
- Bei der MS- Aktivierung (wobei das auch heraus zu zögern ist, sprich nachträglich zu machen ist) und beim Ziehen der ersten MS-Updates.
- Bei der Online-Aktivierung von Kasperky kis 6.0, sonst gibt es keine Updates und keine Produktaktivierung, mithin keinen Schutz durch KIS.
>-| .

Wie gross ist die Gefahr vom Internet aus infiziert zu werden, wenn man so ganz "nackt" mit Netzkarte und dsl-Modem im Internet hängt? Dass z.B. jemand per Portscanner den Rechner und seine Dienste ausfindig macht und durch einen laufenden Dienst böse Dinge auf den Rechner bringt?

Ich sitze zwar mittlerweile hinter einem Router (DLINK dl-604) , bin aber nicht sicher, ob ich den wirklich gut konfiguriert habe. und zudem hilft der ja wohl nichts, wenn ein Port offen ist, dann hilft nur die Qualität des dahinter laufenden Dienstes, oder?
(Als ich erstmals installierte hatte ich den noch nicht).

Wie gross ist die Gefährdung an diesen beiden Stellen und wie kann ich sie umgehen?
=> Gibt es dazu schon einen Thread und wie kann ich den ggf. finden?

P.S.: besten Dank für die Links, ich will mich heute abend darum tummeln.

Moin an die, die es interessiert:

ich habe etwas heraus gefunden und zwar wie man den System Volume Information-Ordner durchsuchen und säubern lassen kann. Das geht wie folgt:


Der Ordner kann unter W2k und XP mittels Sicherheit das Administratoren-Konto, bzw. die Gruppe der Administratoren hinzugefügt bekommen derart, dass diese Gruppe das Recht auf Lesen Schreiben Ändern (evtl. auch auf Vollzugriff) bekommt.
Wenn dann das Antiviren-Programm ("AVP") unter dem Administratoren-Zugang läuft, was bei Karpersky möglich ist einzustellen, dann wird ein Trojaner, der sich dort eingenistet hat, nicht nur erkannt, sondern auch nachhaltig gelöscht.

Pfad: Start - reMaus - Windows-Explorer, Laufwerksbuchstabe, re-Maus, Freigabe und Sicherheit, Reiter: Sicherheit. Darin Gruppe oder Konto - Hinzufügen - Administratoren.
Der hinzugefügten Administratoren-Gruppe sind noch ihre Rechte für den Ordner System-Volume-Information zu vergeben.
Da habe ich "Ändern" gesetzt, damit Kasperky oder ein anderes AVP im Ordner nicht nur erkennen, sondern auch löschen bzw. quarantieren kann.

Das AVP ist derart einzustellen, dass es unter dem Konto ... (z. B. Administrator) läuft. Diese Eigenschaft muss das AVP mitbringen.
(Ansonsten muss man sich als Administrator anmelden und das AVP laufen lassen.)

!!! Es hängt das Gefunden-Werden-Können eines Trojaners selbstredend von der Qualität der Signaturen des Antiviren-Programms ab. 100% Sicherheit wird es auch hiermit nicht geben.
Aber einige Trojaner, die sich in diesem System Volume-Ordner verstecken, können damit wohl bekämpft werden.

Analog kann man noch mit dem Recycle-Ordner verfahren.

Das Ganze scheint zu funktionieren, aber ich wäre um Rückmeldungen/ Bewertungen dankbar.



Fröhliche Weihnachten 2007,

Gruss trojpecker.