Hallo allerseits,

zum Hintergrund: Ich bin seit MS-DOS-Zeiten sozusagen Windows-Mensch... Die Malwareproblematik ist mir bewusst (die Themen Opensource/ Vetrauenswürdigkeit usw.) und ich bin sehr konservativ, was Installation von Software angeht und habe vermutlich ein gutes Gefühl für Vertrauenswürdigkeit - wie wir alle wissen, ist das natürlich nicht ausreichend.

Nun ist es erstmalig passiert: Ich habe mir so ein Smart HDD-Dingens eingefangen. Hübsch gemacht, ich dachte zunächst wirklich, Windows würde die Verbindung zur HDD verlieren, weil es bei der Crucial M4 SSD auch so eine Problematik mit alter Firmware gibt. Na ja, als sich dann die SmartHDD-Software zur Rettung andiente, war die Sache klar, ich war immerhin froh, dass meine Hardware heile ist. Also kurzerhand die Userprofile gesichert und plattgemacht. Kostet wieder einiges an Arbeit, wisst Ihr ja auch, wieviel Arbeit in so einem System steckt, und schließlich will es die Frau ja auch hübsch haben wie vorher.

Mir ist die Ursache für das SmartHDD-Teil noch nicht klar. MSSE hat nie etwas gemeldet. Es gibt mehrere Verdächtige: Ich "musste" und tat es widerwillig: einen exe-Patch von Gamecopyworld installieren, weil Securom trotz Original-DVDs (Stalker-Serie) immer wieder maulte, ich soll DVD einlegen, was ein Schrott. Die Patches hatte ich wie üblich auf Virusscan.jotti.org hochgeladen, nichts erkannt.
Dann hatte ich noch die Complete- und AbsoluteTexture/Nature MODS installiert. Vielleicht lags auch an denen.

Nun finde ich hier immer Threads wie "habe mir xy eingefangen" und darauf dann Antworten: "Tu dies, tu das".

So schwer das herauszufinden ist, ist aber denn niemand an Infektionsherden interessiert? In meinem Beispiel, ich würde mir schon ganz gerne wieder die Mods für Stalker installieren, weil die das Spiel halt extrem aufpeppen. Jedoch kann ich dies nicht guten Gewissens tun...
Die Information, was der Verursacher sein könnte, wäre doch interessant! Wenn bspw. jeder Befallene die Information hinterlässt, was er installiert hat (meinetwegen die Ordner in den Programme-Ordnern angibt), dann könnte man nach Übereinstimmungen forschen.

Nur so lose Ideen. Ist das denn gänzlich uninteressant?

Micha

Zitat:

Ich "musste" und tat es widerwillig: einen exe-Patch von Gamecopyworld installieren,

Ähm, illegale (NoCD)Cracks, Keygens und anderer Dreck sind eigentlich so gut wie immer verseucht. Das ist Software, der man niemals vertrauen sollte

Zitat:

So schwer das herauszufinden ist, ist aber denn niemand an Infektionsherden interessiert?

Was genau in einem Einzelfall da die Ursache war lässt sich nicht oder nicht immer nachvollziehen. Es hat sich aber gezeigt, dass am wahrscheinlichsten Lücken in alten/älteren Versionen vom Browser, JavaRE und/oder Flashplayer die Ursachen sind.

Hallo,

Zitat:

Zitat von cosinus

. Es hat sich aber gezeigt, dass am wahrscheinlichsten Lücken in alten/älteren Versionen vom Browser, JavaRE und/oder Flashplayer die Ursachen sind.

diese Dinge ermöglichen den Malware-Programmen doch vor allem an Admin-Rechte zu kommen. Den Trojanern der BKA/Gema-Familie, die hier im Trojaner-Board die Hauptarbeit machen, ist das aber gar nicht wichtig !

Sie waren nach meinen Erfahrungen immer auf e i n e n Benutzer beschränkt. Systeme mit 1 Benutzer als Admin gibt es ja noch genug !

Wahrscheinlicher ist da doch die Infektion bei der Installation von neuen Programmen. Wenn man sieht, wie das z.B. bei Android abgesichert ist, wird klar, was Microsoft noch verbessern muss, um auf dem Home-Computer-Markt nicht bald abgehängt zu werden. Am Ende werden Microsoft neben den Firmen-Netzwerken nur jene Benutzer bleiben, die halblegalen Aktivitäten, wie dem Tracken von Musik über Youtube nachgehen oder z.B. TV-Streams für monopolisierte Sportübertragungen suchen.

Genau das wird Google über den von ihm kontrollierten Android-Markt (heute Google-Play) aber blockieren. Google hat an einem sicheren Windows - auch wenn sie anderes vorgeben - natürlich kein Interesse. Ist es Absicht oder nur Geld-Interesse, das beim Suchen nach Software immer der fragwürdige Link zur Fa. Softonic ganz obensteht ?

Gruß DV-Opa

Zitat:

Zitat von DV-Opa

Hallo,
Wenn man sieht, wie das z.B. bei Android abgesichert ist, wird klar, was Microsoft noch verbessern muss, um auf dem Home-Computer-Markt nicht bald abgehängt zu werden.

na, glaube ich ein bisschen optimistisch (pessimistisch?) MS mag zwar nicht den besten Ruf haben, aber fähig die IMHO schon.

Zitat:

Genau das wird Google über den von ihm kontrollierten Android-Markt (heute Google-Play) aber blockieren. Google hat an einem sicheren Windows - auch wenn sie anderes vorgeben - natürlich kein Interesse. Ist es Absicht oder nur Geld-Interesse, das beim Suchen nach Software immer der fragwürdige Link zur Fa. Softonic ganz obensteht ?

Kein Interesse ? wo doch 90 Prozent aller Google Nutzer Windows verwenden ??

Softtonic ist eine Toolbar-Schleuder, nicht in erster Linie eine Viren-Schleuder. Ich glaub da war ein bischen sehr viel Polemik in deinem Beitrag, aber grundsätzlich hast du recht, Dinge zu hinterfragen.

Back to Topic

Zitat:

Die Information, was der Verursacher sein könnte, wäre doch interessant! Wenn bspw. jeder Befallene die Information hinterlässt, was er installiert hat (meinetwegen die Ordner in den Programme-Ordnern angibt), dann könnte man nach Übereinstimmungen forschen.

Tja, wenn du die Beiträge in den Malware-Foren liest, wirst du sehen, dass fast jeder sagt: " ich weiss nicht was das war" oder "den Link hab ich leider vergessen" oder "da war so ein link auf Facebook" oder "beim runterladen eines Proggies" oder ....... soll ich weitermachen ?

Für einen wirklich guten Malware-Autor ist es eine Frage von Minuten einen neuen Container für sein Zeug zu finden. Eine Datenbank, wie du sie im Sinn hast wäre wohl recht schnell überfordert. Zumal ja auch cosinus schon schrieb, das es nicht unbedingt Programme sein müssen, sondern auch PDFs, java-exploits usw.

my 2 cent


Gruss Andreas

Hallo,

Du schreibst:

Zitat:

Zitat von Juniper25

Softtonic ist eine Toolbar-Schleuder, nicht in erster Linie eine Viren-Schleuder.

Habe mir nach einer Installation mit Softonic den "POP.Bundleinstaller" eingehandelt, obwohl ich alles abgelehnt habe, was abzulehnen möglich war. Dieser wird von Malwarebytes als gefährlich eingestuft, vermutlich weil er eine Hintertür (neudeutsch Backdoor) für die echten Trojaner darstellt.

Zitat:

Zitat von Juniper25

Kein Interesse ? wo doch 90 Prozent aller Google Nutzer Windows verwenden ??

Die Fa. Google denkt hier langfristig. Zur Zeit macht man die Hauptknete mit in Windows geschalteter zielgerichteter Werbung. Eigentliches Unternehmensziel ist aber, mit Android Windows Konkurrenz zu machen und dann kommt man an das ganz dicke Geld, weil man dort allein bestimmen kann, was auf den Rechner kommt und was nicht.

Habe übrigens auf meinem Rechner vor einiger Zeit, den Spionageprozess "Google Update" gefunden, von dem niemand genau weiss, was er tut und wie er auf den Rechner gekommen ist. Möglicherweise öffnet er auch Hintertüren. Wenn man als Admin unbedingt eine Suchmaschine braucht: Besser nicht googeln !

Gruß DV-Opa

Zitat:

Zitat von DV-Opa

Habe mir nach einer Installation mit Softonic den "POP.Bundleinstaller" eingehandelt, obwohl ich alles abgelehnt habe, was abzulehnen möglich war. Dieser wird von Malwarebytes als gefährlich eingestuft, vermutlich weil er eine Hintertür (neudeutsch Backdoor) für die echten Trojaner darstellt.

Denk mal drüber nach, was "POP.Bundleinstaller" wörtlich übersetzt bedeutet und denk dann nochmal über den Zusammenhang mit einer Hintertür (Backdoor) nach. Was fällt dir auf?

Zitat:

Wenn man als Admin unbedingt eine Suchmaschine braucht: Besser nicht googeln !

Soll man jetzt nicht mehr Google als Suchmaschine benutzen? Was für ein Quark...

Meine Güte, kann man Spaß in diesem Thread haben.

Meine bescheidene Meinung:

Wer softonic freiwillig installiert ist selbst schuld und wer google als Bösewicht darstellen will, ein wenig paranoid.
Nur so als Gedankenanstoß: Google ist eine Webseite, welche man von jedem internettauglichen Betriebssystem aufrufen kann.

Hallo Arne,

von Dir hätte ich eigentlich schon erwartet, dass Dir klar ist, warum ein Programm wie PUP.Bundleinstaller eine Hintertür darstellen kann, und warum Malwarebytes diesen als gefährlich einstuft. Hier etwas Nachhilfe:

Gelingt es einem Malware-Programmierer rauszufinden, wie dieser zu bedienen ist und wie man ihn dazu bewegen kann, eine Software zu installieren, so ist die Trojanerinfektion nur noch eine Frage der Zeit.

Was nun den Prozess Google Update angeht, so habe ich ihn mir vermutlich bei der Installation von Google Earth eingehandelt. Nach allem was man weiß, sendet dieser Prozess in recht kurzen Abständen ein "Ping" und in größeren Abständen auch verschlüsselte Daten an einen Google-Server. Wer das gut findet, kann ihn ja auf seinem System lassen.

Prinzipiell hat dieser und ähnliche Prozesse natürlich alle Möglichkeiten und Rechte jede nur denkbare Software zu installieren. Google selbst wird uns natürlich keinen Trojaner schicken. Deswegen fällt dieser Prozess wohl eher in die Spyware- als in die Malware-Kategorie.

Was nun die Google-Suchseite angeht, so frage ich mich, warum ich hier vor kurzem aufgefordert wurde, das Herunterladen eines Plug-Ins zu genehmigen. (Habe nämlich beim IE unter Admin die entsprechende Option auf "Eingabeaufforderung" gesetzt.)

Nun aber zum eigentlichen Thema:

Zitat:

Zitat von tolten

Nun finde ich hier immer Threads wie "habe mir xy eingefangen" und darauf dann Antworten: "Tu dies, tu das". So schwer das herauszufinden ist, ist aber denn niemand an Infektionsherden interessiert?

Diese Einschätzung ist auch die meine. Hier im Trojaner-Board wird eine Menge getan, Infektionen zu beseitigen; klare Aussagen über die Infektionsquellen fehlen aber, obwohl doch bei den Helfern im Board einiges bekannt sein müsste. (Ausnahme heute: der Verschlüsselungstrojaner, der sich wohl über E-Mails verbreitet.)

Der Ratschlag, bei Reinfektion das System neuaufzusetzen, hilft doch nur denen, die noch eine Original-CD besitzen, was z.B. bei einem geschenkten Alt-PC ja meistens nicht dazugehört. Ich selbst finde regelmäßig auf dem PC meiner Tochter Trojaner der BKA/GEMA/Ukash-Familie, obwohl ich dort inzwischen alles mögliche getan habe, um den PC abzusichern.

Hier bleiben eigentlich nur 2 unter Windows schwer abzusichernde Infektionsquellen:

- Drive-By-Infektionen oder
- Software-Installation, wenn ich nicht da bin.

Eine weitere Möglichkeit sind natürlich Hintertüren, die durch vergangene Infektionen geöffnet wurden und von den gängigen Scannern nicht erkannt werden.

Gruß DV-Opa

@DV-Opa: du hast eine Engelsgeduld.. ich glaube in meinem Falle hätte die Tochter ein paar Jahre lang keine Admin Rechte mehr...

Zitat:

Zitat von DV-Opa

von Dir hätte ich eigentlich schon erwartet, dass Dir klar ist, warum ein Programm wie PUP.Bundleinstaller eine Hintertür darstellen kann,

Und ich hätte von dir schonmal eine nachvollziehbarere Erklärung erwartet, wenn du schon behauptest, dass ein Bundleinstaller eine Hintertür "darstellen" kein.
IdR ist das was ganz anderes und die Gefährlichkeit einer Hintertür wird mit der Bezeichnung "PUP.Bundleinstaller" in keinster Weise Rechnung getragen
Im Bundle wird idR unerwünschtes Zeug wie Adware, Toolbars oder ähnlicher Müll installiert.

Wenn gefährliche Backdoors von Scannern erkennt werden wäre es absurd dies als PUP.Bundleinstaller zu bezeichnen!!

Zitat:

Zitat von DV-Opa

und warum Malwarebytes diesen als gefährlich einstuft.

Dir ist schon klar was "PUP" bedeutet? Man kann es so interpretieren, dass Malwarebytes den NICHT als gefährlich einstuft, sondern den User nur damit drauf hinweist, dass er möglicherweise ein nicht erwünschtes Programm da hat! Das ist etwas ganz anderes als eine Hintertür!

Zitat:

Zitat von DV-Opa

Gelingt es einem Malware-Programmierer rauszufinden, wie dieser zu bedienen ist und wie man ihn dazu bewegen kann, eine Software zu installieren, so ist die Trojanerinfektion nur noch eine Frage der Zeit.

Geht das auch bitte etwas unschwammiger?
Was genau soll er herausfinden wie was zu bedienen ist? Und wann folgt daraus eine "Trojanerinfektion"

Zitat:

Zitat von DV-Opa

Was nun die Google-Suchseite angeht, so frage ich mich, warum ich hier vor kurzem aufgefordert wurde, das Herunterladen eines Plug-Ins zu genehmigen. (Habe nämlich beim IE unter Admin die entsprechende Option auf "Eingabeaufforderung" gesetzt.)

Hab ich merkwürdigerweise noch nie gesehen sowas

Zitat:

Zitat von DV-Opa

klare Aussagen über die Infektionsquellen fehlen aber,

Schon überlegt wie man nachträglich mit hoher Genauigkeit die Quelle bestimmen soll? Bestimmt nicht
Die Richtungen woher die vorherigen Erpresserschädlingen gekommen sind, sind ziemlich klar und wurden hier auch nicht nur 1x genannt; vorrangig waren das illegale/"graue" (Streming-)Seiten mit Exploitbausätzen gespickt, die es auf verwundbare Java- oder Flashplugins abgesehen haben
Dir steht es frei die Quellen noch genauer zu analysieren