|
Fraud Tool als normaler Benutzer - ungefährlich? Hallo, gestern klagte eine Bekannte mit Vista über ständiges Aufpoppen von unerwünschten Webseiten und von Fenstern, die Windows-Systemprogramme (z.B. wuauclt) als "Sicherheitsrisiko" bezeichneten. Sie konnte kein eigenes Programm mehr öffnen, auch den Taskmanager nicht mehr. Die Programme wurden sofort wieder geschlossen. Sie konnte dieses "Fraud Tool" aber dann leicht mit einem Norton Antivirusprogramm löschen. Und neulich (2.2.2010) hatte ich einen XP-Rechner, da war ähnliches am laufen, nämlich das: http://www.virustotal.com/de/analisi...fba-1265882709 obwohl der Benutzer dort überhaupt kein Administrator war und obwohl Avira lief (Antivir kannte das aber da noch nicht). Ich konnte dort dann beim Hochfahren schnell den Process Explorer vor diesem Virus starten und diesen damit beenden. Also recht einfach aber dennoch nervig, weil zeitaufwendig. Wie kann denn so ein Tool sich ohne Adminrechte so einnisten, dass es in der Lage ist, andere Programme sofort zu killen? Was macht man da am schnellsten, was macht ein Laie, gibt es da einen Trick? Danke, Gruß franc |
Zitat:
durch Sicherheitslücken in Systemdiensten ist das möglich. Die laufen mit vollen Rechten. Zitat:
Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen. |
Zitat:
Aber wenn der Rechner alle Windows Updates intus hat, dürfte es nicht passieren, oder? |
Hallo und guten Morgen. Ich geb meinen Senf auch mal mit dazu: Also ich hatte auch schon Shark Backdoors, die sich in exe-RARs befanden und die haben sich bei meinem ehemaligen Xp mit Avast einfach installiert und waren auch aktiv! Als letzte Version eines Virus hatte ich einen Bot auf einem VMWare XP getestet. Der war in einem Spiel versteckt und installierte sich über die ActivX Schnittstelle. Das "tolle" an dem Ding war, das mein Kaspersky das nichtmal gefunden hat. Nach dem Install ging ein Fenster kurz auf und verschand wieder. OK, dachte ich mir und das Spiel lief tatsächlich auch, bis sich dann ein Systemdienst verabschiedete und das System einfach runter gefahren wurde. Ups??? Nach dem Hochfahren wurde ein neuer Benutzer hinzugefügt, was sich in dem Desktopeinstellungsfenster, wie bei der Install von XP äusserte. Und dann wurde der Systemdienst, ich weiss den Namen nicht mehr, wieder beendet und damit hatte sich der Bot eingeniestet. Aber das Abschalten des Systemdienstes muss ein blöder Fehler gewesen sein, den ein Bot, der nicht Online gehen kann und sich laufend abmeldet bringt dem Hacker auch wieder nix, sondern dem User nur einen genervten Gesichtsausdruck! Warscheinlich war das Teil über einen nicht sauber Programmierte Generierer entstanden. Mit Malwarebytes gingen dann die Install Exe in System32/install und der Registry Eintrag wieder ohne Probleme weg und es blieben auf dem VM keinerlei Spuren mehr zurück. OK. Jetzt hab ich euch genug genervt, aber man kann sehen, das es für findige Leute auch einfach sein kann, einen Virus auf ein System mit AV Scanner zu bekommen. Und wenn die Dinger richtig gut gestealth sind (Versteckt), dann sieht die auch kurzfristig kein Avira oder Kaspersky. Gruss BIOTEC |
Zitat:
Ich dachte aber, dass diese Fraud Tools verbreiteter und hier in diesem Forum bekannter wären, wenn ich in kurzer Zeit gleich zweimal damit in Kontakt komme. |
Zitat:
Zitat:
Von welcher Konfig reden wir da überhaupt? Windows? 2000? XP? Vista? Welches SP? :confused: |
Zitat:
Krieg das mal bei einem Laien über Skype raus :) Und dann noch mit einem Ding auf der Kiste, das jedes gestartete Programm sofort wieder abschießt. Und neulich das dürfte das SP3 von XP gewesen sein. Updates automatisch. |
Also alles sehr hochspekulativ. Bringt nicht wirklich was darüber zu diskutieren, kannst Du Dir ein echtes Bild machen, indem Du da vor Ort bist? Sonst bringt das Ganze echt wenig bis garnichts - Ich weiß ja noch nichtmal ob Vista oder XP :balla: Aus der Ferne wirst Du bei Laien eh ncht viel bewegen können :rolleyes: |
Zitat:
Vor Ort ist Madrid und nicht so nah :) Egal. |
Ok, also ein Vista, aber dass Du von XP noch was geschrieben hast, hat mich etwas verwirrt. Du weißt nicht zufällig welchen Patchstand ihr Vista hat und ob sie tatsächlich nur Benutzerrechte hat oder mit Adminrechten und aktiver Benutzerkontensteuerung herumsurft. |
Zitat:
Das hat mich eben an dieses Fraud Tool von neulich auf der XP-Kiste erinnert, das ohne Adminrechte in der Lage war, Programme, die der Benutzer starten wollte einfach wieder abzuschiessen. Klar, die laufen ja dann auch nur mit Benutzerrechten. Wenn man sich da als Admin angemeldet hätte, hätte man es vermutlich ganz bequem entfernen können, weil es dann ja nicht hätte starten können. Hauptsächlich wundert mich, dass hier niemand ruft: Ja, das kenn ich, das habe ich auch schon dreimal gehabt in den letzten Wochen. Liegt das an einem sagenhaften Zufall, dass dieser Virus mir in kurzer Zeit gleich zweimal über den Weg läuft aber sonst unbekannt ist? |
Zitat:
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board