Zitat:

Wie kann denn so ein Tool sich ohne Adminrechte so einnisten, dass es in der Lage ist, andere Programme sofort zu killen?

Hallo,

durch Sicherheitslücken in Systemdiensten ist das möglich. Die laufen mit vollen Rechten.

Zitat:

obwohl der Benutzer dort überhaupt kein Administrator war

wirlich kein Admin, nur Benutzerrechte? Oder war "nur" die UAC aktiv?
Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Zitat:

Zitat von cosinus

durch Sicherheitslücken in Systemdiensten ist das möglich. Die laufen mit vollen Rechten...

Du meinst, der Rechner wäre nicht up to date und damit anfällig?

Aber wenn der Rechner alle Windows Updates intus hat, dürfte es nicht passieren, oder?

Hallo und guten Morgen.

Ich geb meinen Senf auch mal mit dazu:

Also ich hatte auch schon Shark Backdoors, die sich in exe-RARs befanden und die haben sich bei meinem ehemaligen Xp mit Avast einfach installiert und waren auch aktiv!

Als letzte Version eines Virus hatte ich einen Bot auf einem VMWare XP getestet. Der war in einem Spiel versteckt und installierte sich über die ActivX Schnittstelle. Das "tolle" an dem Ding war, das mein Kaspersky das nichtmal gefunden hat. Nach dem Install ging ein Fenster kurz auf und verschand wieder. OK, dachte ich mir und das Spiel lief tatsächlich auch, bis sich dann ein Systemdienst verabschiedete und das System einfach runter gefahren wurde.
Ups??? Nach dem Hochfahren wurde ein neuer Benutzer hinzugefügt, was sich in dem Desktopeinstellungsfenster, wie bei der Install von XP äusserte. Und dann wurde der Systemdienst, ich weiss den Namen nicht mehr, wieder beendet und damit hatte sich der Bot eingeniestet. Aber das Abschalten des Systemdienstes muss ein blöder Fehler gewesen sein, den ein Bot, der nicht Online gehen kann und sich laufend abmeldet bringt dem Hacker auch wieder nix, sondern dem User nur einen genervten Gesichtsausdruck! Warscheinlich war das Teil über einen nicht sauber Programmierte Generierer entstanden.

Mit Malwarebytes gingen dann die Install Exe in System32/install und der Registry Eintrag wieder ohne Probleme weg und es blieben auf dem VM keinerlei Spuren mehr zurück.

OK. Jetzt hab ich euch genug genervt, aber man kann sehen, das es für findige Leute auch einfach sein kann, einen Virus auf ein System mit AV Scanner zu bekommen. Und wenn die Dinger richtig gut gestealth sind (Versteckt), dann sieht die auch kurzfristig kein Avira oder Kaspersky.

Gruss BIOTEC

Zitat:

Zitat von BIOTEC

...
OK. Jetzt hab ich euch genug genervt...

Im Gegenteil, ich finde das spannend und interessant, was andere für Erfahrungen mit Viren machen.

Ich dachte aber, dass diese Fraud Tools verbreiteter und hier in diesem Forum bekannter wären, wenn ich in kurzer Zeit gleich zweimal damit in Kontakt komme.

Zitat:

Zitat von BIOTEC

Also ich hatte auch schon Shark Backdoors, die sich in exe-RARs befanden und die haben sich bei meinem ehemaligen Xp mit Avast einfach installiert und waren auch aktiv!

Solche Dateien führst Du selber aus, mit Deinen Benutzerrechten. Wenn Du Adminrechte hast, wird diese RAR-Exe logischerweise auch mit Adminrechten ausgeführt un ein darin eingebetteter Schädling hat leichtes Spiel.

Zitat:

Zitat von franc

Du meinst, der Rechner wäre nicht up to date und damit anfällig?

Kann ich nicht mit Sicherheit sagen, ist eine Vermutung, aber wahrscheinlich ist das. Eingeschränkte Rechte sind schön und sinnvoll, aber nutzlos, wenn durch Sicherheitslücken im System Schädlinge sich "von allein" breitmachen können...
Von welcher Konfig reden wir da überhaupt? Windows? 2000? XP? Vista? Welches SP?

Zitat:

Zitat von cosinus

...Von welcher Konfig reden wir da überhaupt? Windows? 2000? XP? Vista? Welches SP?

Also das Mädchen hatte Vista, aber was genau weiß ich nicht.
Krieg das mal bei einem Laien über Skype raus Und dann noch mit einem Ding auf der Kiste, das jedes gestartete Programm sofort wieder abschießt.

Und neulich das dürfte das SP3 von XP gewesen sein. Updates automatisch.