Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Malware mit Sysinternals-Tools aufspüren

mi~we / 19 Antworten / Baumansicht Nickles

Wenn der Virenscanner mal wieder versagt....
Interessanter Vortrag von Mark Russinovich, der zeigt, wie man "zu Fuss" mit Programmen aus der Sysinternals-Suite auf Malware-Jagd gehen kann:
http://download.sysinternals.com/Files/SysinternalsMalwareCleaning.pdf
( leider alles in Englisch, sorry wenn ihr damit auf Kriegsfuß steht )

"Es wäre dumm, sich über die Welt zu ärgern. Sie kümmert sich nicht darum." (Marc Aurel)
bei Antwort benachrichtigen
shrek3 mi~we „Malware mit Sysinternals-Tools aufspüren“
Optionen

Interessante Infos, die aber auch aufzeigen, wieviel Knowhow nötig ist, um eine halbwegs zuverlässige Aussage darüber zu bekommen, ob ein Rechner überhaupt infiziert ist.

Die Aussagen auf Seite 74 dieser PDF-Datei sind nach meinen Beobachtungen längst Realität geworden - im Gegensatz zu früher haben die Aussagen des Virenschutz-Logfiles so sehr an Aussagekraft verloren, dass ich mein weiteres Vorgehen unmöglich noch davon abhängig machen kann.

Heutige Schädlinge können es sich locker leisten, dass der Virenschutz Updates vornimmt und der Echtzeitschutz aktiviert ist.
Sie brauchen auch nicht mehr den Taskmanager, das Systemkonfigurationsprogramm usw. zu sperren, um zu verhindern, dass man ihnen auf die Schliche kommt.

Nach meinen Eindrücken war der Vorsprung noch nie so groß. :-(

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Ma_neva shrek3 „Interessante Infos, die aber auch aufzeigen, wieviel Knowhow nötig ist, um eine...“
Optionen

Hallo,

kann es nicht nachlesen, da englisch erforderlich, doch ziehe ich Schlußfolgerungen aus:
"Sie brauchen auch nicht mehr den Taskmanager, das Systemkonfigurationsprogramm usw. zu sperren, um zu verhindern, dass man ihnen auf die Schliche kommt.

Nach meinen Eindrücken war der Vorsprung noch nie so groß. :-(
Was bleibt dann den unendlich vielen tausenden Usern? Meine die keine Koryphäen im PC sind?
Doch gläubig werden und "beten":-(?

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
gelöscht_238890 Ma_neva „Hallo, kann es nicht nachlesen, da englisch erforderlich, doch ziehe ich...“
Optionen

Hi Manfred,

betrachte mal das Problem medizinisch (Virus :-) ), man kann sich gegen (fast) alles impfen lassen.
Aber auch dadurch erhält man keinen 100%tigen Schutz, da man auch an einer Impfe krepieren kann, oder an einer Mutation gegen die die Impfe nichts ausrichtet.

Halte ALLES aktuell, sowohl die Arbeits- als auch die Schutzprogramme, pflege deine Images und Backups und betrachte die Angelegenheit einfach etwas entspannter.

Doch gläubig werden und "beten":-(? Auch das, wenn`s hilft. ;-)

bei Antwort benachrichtigen
shrek3 Ma_neva „Hallo, kann es nicht nachlesen, da englisch erforderlich, doch ziehe ich...“
Optionen
Was bleibt dann den unendlich vielen tausenden Usern? Meine die keine Koryphäen im PC sind?

Vor allem eines:
Sämtliche Programme, die in irgendeiner Hinsicht am Internet beteiligt sind, auf dem aktuellsten Stand halten.

Also z.B. den Flash Player, Java, Acrobat Reader, Skype, ICQ und was sonst noch in Form von Browsererweiterungen sich einbindet.

Solange das nicht zentral vom Betriebssystem oder von den Virenschutzprogrammen gemanagt wird, ist persönliches regelmäßiges Überprüfen angesagt.

Hilft recht gut, solange man sein eigenes Surfverhalten im Griff hat, sich also z.B. sich nicht in Gebiete wagt, wo die Gefahren naturgemäß größer werden.

Ich bekomme ja oft genug mit, welches Surfverhalten meine Kunden haben, die sich an mich mit einem infizierten Rechner wenden. Pornoseiten sind da fast schon Standard, ebenso leichtfertiges Downloadverhalten - und meistens in Kombination mit Software, die nicht auf dem neuesten Stand ist.

Wer es dennoch tut, sollte entweder dazu bereit sein, Geld für die Beseitigung der Schäden zu bezahlen oder selber dazu in der Lage sein, seinen Rechner ggf. neu aufzusetzen.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
neanderix shrek3 „Interessante Infos, die aber auch aufzeigen, wieviel Knowhow nötig ist, um eine...“
Optionen
Sie brauchen auch nicht mehr den Taskmanager, das Systemkonfigurationsprogramm usw. zu sperren, um zu verhindern, dass man ihnen auf die Schliche kommt.

diesen "Trick" brauchten nur die ersten Schädlinge - und wenn man nicht gerade user an einem firmen-PC war, auf dem der Admin den Taskmanager eh gesperrt hatte wusste man: Taskmanger weg == da ist was faul.

Heutige Schädlinge tauchen einfach in dessen Prozessliste nicht auf.

Der Vorsprung der Malwareprogrammierer ist mittlerweile derart groß, dass ich mich schlicht weigere, Geld für Antivirenprogramme auszugeben, da die Aussagekraft eines Scans eh gegen NULL strebt.


Volker
Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
shrek3 neanderix „ diesen Trick brauchten nur die ersten Schädlinge - und wenn man nicht gerade...“
Optionen
diesen "Trick" brauchten nur die ersten Schädlinge - und wenn man nicht gerade user an einem firmen-PC war, auf dem der Admin den Taskmanager eh gesperrt hatte wusste man: Taskmanger weg == da ist was faul.

Bis vor ca. 1,5 Jahren war das noch ein recht gutes Kriterium, der meinen Verdacht erhärten konnte.

Auch Antivir hatte ich bis zu diesem Zeitpunkt recht häufig loben können, da ich auf zahlreichen Kundenrechnern dessen Hartnäckigkeit gegen Schädlinge feststellen konnte. Da kam sehr oft eine Patt-Situation zustande nach dem Prinzip:
Schädling will aktiv werden -> Antivir blockte -> Schädling wird wieder aktiv -> Antivir blockte wieder usw. usf., bis die User total entnervt aufgaben.

Doch seit dieser Zeit ist das völlig vorbei.

Wenn überhaupt, liegt der (angebl.) Malwarebefund meist im Logfile von Antivir längere Zeit zurück, sofern es überhaupt einen Eintrag dort gibt.

Wenn das so weiter geht, installiere ich den Kunden nur noch aus Placebogründen einen Virenschutz, weil es schwer vermittelbar ist, ihnen zu sagen, dass dessen Bedeutung immer mehr schrumpft. Stattdessen richte ich ihr Augenmerk darauf, ihre Programme und Plugins aktuell zu halten. Aber ich merke auch, dass es sie verwirrt, wenn ich ihnen zeige, wie sie den Flash Player, Java usw. aktualisieren können.

Es ist zuviel "Kleinzeug", worauf sie achten müssten - und wenn das vor dem Hintergrund ihres Glaubens an Virenschutz geschieht, bleibt noch weniger hängen.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
neanderix shrek3 „ Bis vor ca. 1,5 Jahren war das noch ein recht gutes Kriterium, der meinen...“
Optionen
Bis vor ca. 1,5 Jahren war das noch ein recht gutes Kriterium, der meinen Verdacht erhärten konnte.

ich hatte zuletzt vor gut 7 jahren mit einem solchen Schädling zu tun.
Spätestens seit mitte der ersten Dekade dieses jahrtausends sind die meisten Schädlinge in der Lage, sich im Prozessmonitor des Taskmanagers NICHT zu zeigen; vor solchen Schädlingen wurde ich allerdings schon deutlich früher gewarnt.

Wenn das so weiter geht, installiere ich den Kunden nur noch aus Placebogründen einen Virenschutz,

So hab ich das schon letztes jahr gehalten, als ich einer älteren Dame half.
Sie hat nach einem _Antivirus-Programm gefragt, ich hab ihr die Situation erklärt, wie sie ist (so laienverständlich wie möglich) - und ihr dann, weil es sie beruhigte, AntiVir Free installiert.
Und ihr aufgetragen, möglichst *täglich* den "Update" Knopf zu drücken.

Es ist zuviel "Kleinzeug", worauf sie achten müssten

Richtig - und da finde ich dann das Paketmanagement von *buntu wieder unschlagbar; man bekommt automatisch eine Nachricht, wenn es was zu installieren gibt; und ist es soweit, klickt man einfach einmal und es aktualisiert sich alles; und Neustart des PC ist in der Regel ebenfalls nicht nötig.

und wenn das vor dem Hintergrund ihres Glaubens an Virenschutz geschieht, bleibt noch weniger hängen.

*seufz* Wem sagst du das.

Ich hab einen Arbeitskollegen, der schwört auf seine Outpost-Firewall samt Outpost-Virenschutz.
Als ich ihm neulich auf seinen Hinweis "ich hab seit jahren keine Probleme mehr mit viren" meinte, das könne er gar nicht wirklich wissen und wenn, dann sei das mehr Glück als das er das seiner "Schutz"Software zu verdanken habe, meinte er, das könne gar nicht sein, dann hätte er die letzten jahre NUR Glück haben müssen ...

Nuja, ich lass ihm den Glauben an seine Placebo-software (er ist nicht davon abzubringen, dass eine Software-Firewall zusätzlich zur Router-Firewall nützlich ist) -- ich muss es ja nicht reparieren (und ich würde mich auch strikt weigern: er ist überzeugter Alles-Als-Admin-Macher :(

Volker
Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
Conqueror mi~we „Malware mit Sysinternals-Tools aufspüren“
Optionen

99% hier nicht.................

bei Antwort benachrichtigen
Ma_neva Conqueror „Mark Russinovich kann das das“
Optionen

Hallo,

99% hier nicht.................Überschrift:
glaube ich nicht so, tendiere da eher zu hatterchen seiner Darlegung. Doch viele, auch ich, haben bei derartiger Software "benachrichtigen bei neuen Updates oder Aktualisierungen" eingestellt bei Player, Adobe usw. , doch ob man so rechtzeitig informiert wird? Bei Java oftmals erst wenn da Mitteilung kommt bei aufgerufener Seite das es nicht geht da nicht aktuelle Java vorhanden ist:-(, dann reagiert und sucht nach neuer Software Updates, obwohl ja eigentlich eingestellt ist:-(.
Klar, bei Porno sollte man lieber bevor Download in Videothek gehen:-). Ist ja alles menschlich:-).
Wie schon bemerkt, man sollte auch trotz Geist den Geist nicht ausschalten*LOL*. Doch leider scheint das nicht immer 100% zu schützen und sogar Administratoren beim PC-Wesen in Firmen sind schon befallen worden (oder weiter auch befallen- keine Vermutung ist nachweisbar sogar in ÖR TV zu sehen und nachzulesen).
Man kann also nur ein wenig selbst beitragen und hoffen das einen nicht erwischt?

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
Conqueror Ma_neva „Hallo, glaube ich nicht so, tendiere da eher zu hatterchen seiner Darlegung....“
Optionen
Man kann also nur ein wenig selbst beitragen und hoffen das einen nicht erwischt?

Was Du tuen kannst
- Ein Tool wie PSI Secunia 2.0.0.3003 verwenden
- Windows Updates verwenden
- Von mir aus einen Antivirenscanner verwenden, aber im Falle von Windows 7 der systemeigenen Firewall vertrauen, mehr können die käuflichen eh nicht.
Alles andere إن شاء الله‎
bei Antwort benachrichtigen
Ma_neva Conqueror „ Was Du tuen kannst - Ein Tool wie PSI Secunia 2.0.0.3003 verwenden - Windows...“
Optionen

Hallo,

na ja, diese "Sachen" habe ich ja hier schon "erlernt":-) und handle auch danach, sowohl Win Essentiels als auch AVG und; oder AntiVir sind da schon zm Defender drauf, doch das scheint ja nur nach dieser def. ne reine "Alibi" Veranstaltung zu sein. Ganoven sind wohl immer ein paar Schritte weiter:-(, doch warum? Was haben diese "Menschen" davon sinnlose Zerstörung zu betreiben? Ist ja fast gleichzusetzen mit Autos in Brand setzen:-(. Da können dann viele Bürger nicht mehr am nächsten Tag ihre Arbeit antreten, Folgen kennt wohl jedern:-(. Widerlich solche Menschen die so unüberlegt zerstören.

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
shrek3 Ma_neva „Hallo, na ja, diese Sachen habe ich ja hier schon erlernt :- und handle auch...“
Optionen
doch warum? Was haben diese "Menschen" davon sinnlose Zerstörung zu betreiben?

Es geht nicht um Zerstörung, sondern ums Geld.

Da sind Berufskriminelle am Werk - organisierte Kriminelle.

Prostitution, Drogen, Waffen - Computerkriminalität ist ein weiteres, neuzeitlicheres Standbein.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
gelöscht_238890 Ma_neva „Hallo, na ja, diese Sachen habe ich ja hier schon erlernt :- und handle auch...“
Optionen

Hi Manfred,

an einem heißen Tag, ein noch heißeres Thema,scheint ja nur nach dieser def. ne reine "Alibi" Veranstaltung zu sein da raucht doch gleich der "Geist" ab.

Es sind nicht reine Alibi-Funktionen, dann könnte man wirklich ganz darauf verzichten.
Was dir aber hilft ist Aufmerksamkeit, darauf achten wo der Server gehostet ist, sich vom Browser nicht umleiten zu lassen, gefährlich scheinende Seiten nur in einer Sandbox oder virtuellen Maschine ansurfen, um nur einige zu nennen. Alles keine großen Umstände und natürlich was ich schon immer sage, allles "up to date" halten.
Wenn dann noch die MSE und die Win-Firewall laufen, zusätzlich zur Router FW ist das doch schon eine ganze Menge.
Wenn dann wirklich noch etwas passiert, so muss man das unter "Kismet" oder "Shit happens" abhaken. *g*

Übrigens ist das kein Spiel, oder üble Laune, sondern "big Business"

bei Antwort benachrichtigen
Ma_neva gelöscht_238890 „Hi Manfred, an einem heißen Tag, ein noch heißeres Thema, da raucht doch...“
Optionen

Hi,

wo und was das mit "big Business" zu tun haben soll wenn es tausende unbeteiligte und einfache Nutzer trifft:-(, bleibt mir verschlossen. Zumal es immer mehr einer älteren Generation gibt die einfach nur so Kontakte zur Welt haben und halten möchten. Nicht so geeicht und informiert wie die Masse der jüngeren Teilnehmern am PC. Also was haben solche "Verbrecher" davon so eine Misere und Tragödie aufzubauen? Wo sie selbst nicht einmal persönlich ein "brennendes Haus" sehen?
Da müßten es sehr drastische Strafen geben, so ab 20 Jahre aufwärts:-), evtl. würde es da den "Enthusiasmus" bremsen:-). Sehen sicher viele anders, die es "sportlich" nehmen, da offensichtlich keine körperliche Gewalt ausgeübt wird/wurde:-(. Nein es müßte echt erst Kanzler oder Minister betreffen, evtl. würde dann was reguliert.

Tja, da bleibt nur "Geist"voll mit Kaffee möglichst unbeschadet einen schönen Ausklang zu wünschen:-).

Gruß (ohne Kuß und Julius*LOL*)
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
gelöscht_238890 Ma_neva „Hi, wo und was das mit zu tun haben soll wenn es tausende unbeteiligte und...“
Optionen
wo und was das mit "big Business" zu tun haben soll wenn es tausende unbeteiligte und einfache Nutzer trifft:-(,

Gerade weil es tausende, oder gar Millionen einfacher Nutzer betrifft, deren PCs dadurch zu Spamschleudern oder Rechenknechten für Leute werden, die dafür Geld bezahlen.
Dich persönlich will doch keiner ärgern, nein, Dein Rechner soll nur kostenlos für diese Mafia arbeiten. Wenn dir das natürlich nicht passt bist du selber Schuld, kannst ja deinen Rechner besser schützen.
Also nimm das nicht persönlich, die wollen nur spielen (aber um Geld!!!)

Da müßten es sehr drastische Strafen geben, so ab 20 Jahre aufwärts:

Die wird man aber nie vollstrecken können, die sitzen nicht in Berlin, Recklinghausen oder Neurupien.

da bleibt nur "Geist"voll mit Kaffee

Genau in dieser Reihenfolge... *g*
bei Antwort benachrichtigen
shrek3 Ma_neva „Hi, wo und was das mit zu tun haben soll wenn es tausende unbeteiligte und...“
Optionen
wo und was das mit "big Business" zu tun haben soll

Gehst du etwa davon aus, dass die von dir erwähnten "tausende unbeteiligte und einfachen Nutzer" nicht Zielscheibe dieser Geldmaschine sind und nur (quasi als Kolleteralschäden) da mit hineingezogen worden seien?

Gerade die "einfachen" Nutzer sind interessant...

Wer denn sonst soll über die Abermillionen von Spam-Mails, die die Empfänger zum Kauf von Viagra animieren sich besonders angesprochen fühlen?
Bestimmt nicht die Gruppe der jungen, im Saft stehenden Menschen...

Wer soll aufgrund einer Mail zur angebl. Abholung von Gewinnen angestiftet werden, wo er/sie dann in einer teuren Telefonschleife mehrere hundert Euro berappen muss, weil er/sie zu naiv war, das Spiel zu durchschauen?
Doch nicht Firmen - das einfache Volk ist die Zielgruppe, und je unbedarfter, umso besser fürs Geschäft...

Diese Spammails werden zum großen Teil von gekaperten Privatrechnern aus verschickt, die erst infiziert und dann zu Versand dieser Mails missbraucht wurden.

Die organisierte Kriminalität geht im Prinzip so vor:

Die einen setzen es nur darauf an, möglichst viele Rechner unter ihre Kontrolle zu kriegen.
Noch machen sie nichts mit den Rechnern - sie sollen nur ihnen zur Verfügung stehen.

Dann werden diese Rechner an andere Kriminelle "vermietet", die gerne ihre Online-Banking-Trojaner, ihre Scareware, ihre Spammails usw. dort unterbringen wollen, um den Leuten das Geld aus der Tasche zu ziehen.

Mit gestohlenen Daten (Bank, Mail, Accounts usw.) lässt sich ebenfalls verdienen.
Nur ein Beispiel:
Man könnte z.B. mit einem gestohlenen Ebayaccount Waren zum Verkauf anbieten, sich diese Ware bezahlen lassen und dann nicht ausliefern.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
neanderix shrek3 „ Gehst du etwa davon aus, dass die von dir erwähnten tausende unbeteiligte und...“
Optionen
Gerade die "einfachen" Nutzer sind interessant...

Ja. allerdings weniger als Konsumenten, vielmehr will man deren PCs unter kontrolle bekommen, um so ein möglichst großes Botnez aufbauen zu können - dass man dann schlussendlich vermieten oder verkaufen kann.
Je größer das Botnetz, d.h. je mehr PCs vernetzt sind, um so wertvoller das Netz.

Ah, ich seh grade, du schreibst es selbst.
Das Problem dabei ist: die illegalen Aktivitäten können durchaus den Besitzer des PCs in arge Probleme bringen - und der hat in der Regel nicht mal was vmitbekommen von diesen Aktivitäten.

Volker
Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen
Ma_neva shrek3 „ Gehst du etwa davon aus, dass die von dir erwähnten tausende unbeteiligte und...“
Optionen

Nabend,

schön doch etwas direkte Infos zu diesem heiklen Thema zu bekommen. Doch wo bleibt da die echte Ahndung dieser Ganoven? Heißt es das die Banditen da immer der "Rechtlichen" einen Schritt voraus sind und es nie geschafft wird da diese Halunken zu schnappen oder gar zu bestrafen?
Leider hat mich noch niemand mit ner " Kauf von Viagra animiert, könnte evtl. schwach werden dabei, so 100% ig meinen Mann stehen*LOL* und das im vorgeschrittenen Alter*LOL*.
Nein Spam und Müll habe fast nix, nur Geld.de ist hartleibig:-(, doch ungelesen immer als Spam gleich weg:-). Na wo wollen die was holen:-), meine Rente evtl.?*LOL*
Im MA gab es so herrlich abschreckend Ahndungen, so mitten auf dem Marktplatz:-), wenn da gegen Allgemein befindliche Sachen verstoßen wurde und es auch einfache Gesellen und Meister betraf:-).
Verbrechen lohnt sich nicht, das ist wohl eine überholte Floskel:-(.
Nur diese Verbrechen sind für normale Bürger einfach zu undurchsichtig, nicht soo klar wie bei "xy ungelöst", Gewalt offensichtlich:-(, auch mehr als verabscheuungswürdig, doch erkennbar das Potenzial wo es liegt in der Brutalität.
Solange man die "humanen Seiten und Irrläufer in Jugend " bei kriminellen akut als "Opfer der Kindheit" betrachtet, die Opfer dagegen eben als Geschädigte betrachtet , solange wird das ein Nährboden für Kriminelle bleiben.

Gruß
Manfred

Das Genie tut was es muß, das Talent tut was es kann
bei Antwort benachrichtigen
neanderix Ma_neva „Nabend, schön doch etwas direkte Infos zu diesem heiklen Thema zu bekommen....“
Optionen
Doch wo bleibt da die echte Ahndung dieser Ganoven? Heißt es das die Banditen da immer der "Rechtlichen" einen Schritt voraus sind und es nie geschafft wird da diese Halunken zu schnappen oder gar zu bestrafen?

Die sitzen meist in Ländern, in denen der Beamtenapparat derart korrupt ist, dass sie keine Strafverfolgung zu fürchten haben ... davon gibt es immernoch mehr als genug.

Volker
Computers are like airconditioners - they stop working properly when you open Windows Ich bin unschuldig, ich habe sie nicht gewählt!
bei Antwort benachrichtigen