Thema: Virenalarm / Allg. Sicherheitstips

[Micke]

Habe eben eine Viruswarnung durch die Forumseite erhalten...
ich soll nach dem OK-Klick "inst.exe" downloaden und aktivieren! Fake???

"Avira" und "Spyboot" finden aber nichts...Sauerei! Wo kommt das bloß her?

[Warpi]

Sieht nach einer Fakemeldung aus. Aber die exe würde ich nicht runterladen.
Ansonsten den IE mal gegen FireFox + Adblock + Noscript austauchen.
Auch sich mit Adminrechten im Netz zu bewegen ist äußerst uncool.   

[ritschibie]

Ist das ein online scanner, den Du benutzt? Das ist mir nicht ganz klar. Seltsam auch, dass er ja Trojaner auf C:\ und D:\ findet, zu denen in "My Documents" und "Shared Documents". Noch seltsamer die Aufforderung, ein "Security"-Programm zu laden. Das sieht ganz nach Attacke von einem malware-Agenten aus. Also: erstmal ruhig bleiben, genau erklären, wann diese Warnung kommt (könnte tatsächlich ein Frechdachs aus der shout sein) und
auf einen der hier vorhandenen Experten warten. Auf keinen Fall dieses obskure Programm runterladen!

[SiLæncer]

Wie ich schon in der Box schrieb ...Ist defintiv nicht von hier ... die IP des Servers auf dem das Forum hier rennt ...ist schon mal ne ganz andere ...wie auf dem Bild zu sehen...

Kann höchstens irgend son Werbeblödsinn des Shoutbox Service Betreibers sein...Firefox + Noscript + Adblock etc. nutzen ...dann ist Ruhe...

[Jürgen]

Eine Datei inst.exe ist ein sehr deutlicher Hinweis darauf, dass man versucht, Dir einen Schädling anzudrehen.
Nur stammt diese Datei sicher nicht von uns, ham wa nich...
Daher ist gerade der von dir verwendete Online-Scanner jetzt erheblich in Verdacht.
Du hast ja sicherlich mehr als einmal bei uns gelesen, wieviel Scareware im Umlauf ist.
Und nicht selten fängt man sich sowas auch von scheinbar seriösen Seiten ein, z.B. über dort eingeschleuste Scripte, verseuchte Werbebilder o.ä.

Der Internet Explorer ist schon immer der meistangegriffene Browser. Und er ist so tief im System verankert, dass praktisch jede seiner zahlreichen und teils uralten Sicherheitslücken gleich recht dramatische Auswirkungen hat.
Von dessen Verwendung zum Surfen ist daher unbedingt abzuraten. Braucht man im Prinzip nur noch für Windows Update.

[Micke]

Liebe Leute....

Ich wollte nie und zu keiner Zeit irgendwie "DVB-Cube" einer Malwareverbreitung beschuldigen!
Fakt ist, daß diese blöde Online-Scan-Seite heute nach dem Cubeöffnen (uneingeloggt) wieder auftauchte.

Nach längerem "Googeln" sah ich, daß ich nicht der einzige bin der diese Seite erhält.
Teuflisch auch, daß "Avira" und "Spybot" absolut nichts gefunden haben, sogar "HijackThis" war sauber!

Nachdem ich nun, durch diverse Tips, "Malwarebytes`Anti-Malware" installiert/gefahren habe wurden gleich beim Schnellscan 2 Malewareeintragungen gefunden und bereinigt! Nun hat`s wohl erstmal ein Ende?

Möchte mich hiermit nochmals für eure Hilfe bedanken und werde wohl demnächst auf "Firefox" umsteigen!



 

[Theos]

am besten du verwendest eine livecd, und scannst mit der. wenn du aus dem system selbst heraus scannst, können sich schädlinge relativ einfach verstecken.
eignen tun sich dafür sowohl linux basierte (e.g. c'tAid) aber auch windows basierte (e.g. BartPE).

einfach nur auf firefox umsteigen ist nicht ausreichend.
natürlich ist es desto besser, umso geringer der browser verbreitet ist, aber in jedem fall gelten 3 regeln:
1) nicht als admin surfen (idealerweise sogar einen eigenen useraccount verwenden)
2) javascript/flash/iframes/... blocken, und nur für sichere sites erlauben
3) nur vertrauenswürdige sites besuchen, was in diesem fall halt womöglich durch die shoutbox vereitelt wurde

für 2) gibt es verschiedene erweiterungen in firefox (noscript, adblock plus), opera und ich glaube chrome ab 4.1 unterstützten das bereits weitgehend von haus aus über die seitenspezifischen einstellungen.

[Jürgen]

Wo hast Du dir eigentlich diesen Online-Scanner andrehen lassen?
Habe die IP einmal geprüft:
"91.213.157.21 is from Trinidad and Tobago(TT) in region Caribbean and West Indies"
Das wirkt auf mich nicht unbedingt vertrauenerweckend...
Wahrscheinlich ist genau da der Hund begraben, Du dürftest schon damit auf Scareware hereingefallen sein.
Wärest Du so dämlich gewesen, Dich auf die angebotene Datei einzulassen, hättest Du jetzt sicherlich richtig die Pest an Bord.

[Micke]

Tja...weiß auch nicht wie der Fritze in Westindien das hinbekommen hat!
Habe ja schon lange nichts mehr runtergeladen...naja, was soll`s?
Der Besuch `ner unseriösen Seite reicht wohl schon um "scareware" zu bekommen!?
Bin momentan mit "Firefox+Adblock+NoScript" unterwegs...ist wohl doch etwas sicherer?

Für Intrressierte, hier ein kurzer Loggauszug der "Malwarebytes`Anti-Malware":

Infekterade registerdataposter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter)
-> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infekterade filer:
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.

[SiLæncer]

Habe ja schon lange nichts mehr runtergeladen...

Wie ich schon in der Shoutbox schrieb : Immer ...wenn man eine Website besucht ..lädt man was runter ...im Idealfall nur das was die Website ausmacht ...kann aber auch anders aussehen ...

Der Besuch `ner unseriösen Seite reicht wohl schon um "scareware" zu bekommen!?

Das können genau so gut auch völlig seriöse Seiten sein ...dessen Servern man Schadecode zur Verteilung untergeschoben hat ...z.B. über Werbebanner

Bin momentan mit "Firefox+Adblock+NoScript" unterwegs...ist wohl doch etwas sicherer?

Zumindest besser wie der IE ...aber auch hier gilt ...man sollte schon ein wenig damit (NoScript) umgehen können ...sprich nicht blind alles freigeben an Scripten ...was so von den Seiten kommt ...

[Theos]

ja, leider ist noscript nicht ganz so einfach.
ich weis nicht wie die grundeinstellungen heute so sind. früher war es leider so, dass mancher eintrag auf den vertrauenswürdigen sites mir doch bedenklich erschien.

ich habe alle scripte global verboten (auch nicht top-level sites), sowie alle eingebetteten elemente (wobei der clearclick schutz bislang nur false positives erzeugt hat). das hat halt leider zur folge, dass man bei manchen websites immer nachsehen und ein bisschen ausprobieren muss, was nötig ist und was nicht. dies sind aber meist solche, die entweder werbung oder datenschnüffelei(googleanalytics...) erzwingen wollen, also z.b. image- oder filehoster.

achja, und dann gab's ja vor einiger zeit mal den fall, als der noscript autor adblock gepatcht hat, um die werbung auf seiner anzuzeigen. (mit noscript.firstRunRedirection in about:config kann man übrigens die website-aufrufe bei den täglichen noscript updates abschalten, gleiches gilt für die anderen plugins des autors, wie etwa flashgot)

[SiLæncer]

Die Einstellungen sehen bei mir ähnlich aus ...

So muss ich auch des öfteren mal Hand anlegen damit die Seite richtig läuft ...ist mir letztlich aber doch deutlich lieber so ...

achja, und dann gab's ja vor einiger zeit mal den fall, als der noscript autor adblock gepatcht hat, um die werbung auf seiner anzuzeigen

Jo stimmt ...die beiden haben sich ja mal eine Zeit lang beharkt

[Micke]

Ja, Hand anlegen..

Ich muß(?) bei fox NoScript deaktivieren um bei "meinen" Banken einzuloggen.
Hier wird immer die "BankID" verlangt und da nützt auch kein Eintrag in der "weissen Liste".

http://www.nexussafe.com/de/Kunden/Finanzwirtschaft/BankID/

Naja, geht ja ruckizucki und hindert mich nicht.

[SiLæncer]

Ich muß(?) bei fox NoScript deaktivieren um bei "meinen" Banken einzuloggen.

Nö...mit Sicherheit nicht ...du brauchst nur unten in der Statusleiste auf das NoScript Symbol zu klicken und deine Bankseite ´erlauben´ (Scipte auszuführen) ...ähnlich verhält sich das bei anderen Seiten...die ´Domäne ´erlauben´ und ansonsten mal schauen was da noch so in der Liste ist ...oftmals nur irgend son Werbeblödsinn (sieht man ja auch oftmals schon am Domänennamen) etc...muss man u.U. halt mal schauen ...

[Micke]

Danke...

aber ich bekomme dort leider kein Symbol obwohl es in der NoScript Einstellung angehakt ist.

Haut wohl mit der schedischen Ausgabe nicht so recht hin, ha, ha. Neuer Bugg?

Werde mich bei Gelegenheit damit mal durchgoogeln und vielleicht schlauer machen.

Bis die Tage, Micke.