Hallo zusammen

Ich bin kein Experte, aber bei einigen Antworten, die ihr hier gegeben habt, kann ich nur noch mit dem Kopf schütteln. Ein Beispiel:

http://www.trojaner-board.de/127465-netstat-laeuft.html


Da hat jemant sein Netstat Protokoll gepostet, und bekommt keine Antwort auf seine Frage. Er bekommt nur einen Link, in dem Netstat nicht gut erklärt wird. Ich glaube kaum, dass das für den User hilfreich war. Ich habe auch noch andere Threads gesehen, wo mir regelrecht die Haare zu Berge standen, als ich die hilfreichen Tipps sah. Deshalb auch mein Nickname. Welcher Thread es war weiss ich nicht mehr, aber da hatte jemand ein Problen, und es gab jede Menge Tipps, bis hin zum Formatieren. Aber keiner ist wirklich auf das Problem eingegangen.

Ich wollte dem User in dem oben verlinkten Thread eine ausführliche Antwort geben, und ihn gleichzeitig beruhigen, da die Verbindungen in seinem Protokoll harmlos sind, aber das darf ich nicht. Ich habe keine Berechtigung. Ausserdem wollte ich ihm einen Link über Netstat geben und ihm eine Empfehlung für die Parameter machen bzw. erklären. Eigentlich solltet ihr hier im Board ein eigenes vernünftiges Tutorial zum Thema Netstat und Trojaner haben, ihr nennt euch doch Trojaner-Board. Und von solchen Leuten würde ich zum Beispiel erwarten, dass sie wissen was es bedeutet, wenn im Protokoll Syn gesendet steht, und um was für eine Art von Trojaner es sich mit hoher Warscheinlichkeit handelt.

Hier in diesem Thread postet Markus aus dem "Kompetenzteam" einen Link zu OTL, der nicht funktioniert.

http://www.trojaner-board.de/130670-...krieg-weg.html

OK, Simone hat es sich wohl selbst ergoogelt. Mal sehen, ob sie wieder kommt.


Und was mir noch aufgefallen ist. Die Antworten von euch scheinen ziemlich standartisiert zu sein, was auch OK ist, aber ich mußte erstmal suchen, bis ich das hier fand:

http://www.trojaner-board.de/129669-...-gefunden.html

Zitat:

4. alle Passwörter ändern!

Eine Formatierung wird dort auch empfohlen. Seine Passwörter sollte man in bestimmten Abständen ändern, auch wenn man nicht befallen ist. Und bei einem Virenalarm ist das und die Sperrung des Kontos das erste was man tut. Der Rest hat Zeit. Es gibt unzählige Keymaker und Stealer und sogar RAT's lesen Passwörter aus, bzw. zeichnen sie auf. Deshalb als erstes daran denken. Und das macht man mit einer Virtuellen Tastatur mit einem Browser der in gesicherter Umgebung läuft, oder von einem nichtbefallenem Rechner aus.





Alles in allem finde ich es aber trotzdem gut was ihr hier macht, und versucht, den Leuten zu helfen. Nur wäre der ein oder andere wirklich besser dran gewesen, wenn er in einem Hackerforum in der White Head Sektion um Hilfe gebeten hätte. Diese Leute Coden die Trojaner und verschlüseln sie, und dementsprechend genau können sie antworten und helfen.


Edit: Könnte ein Moderator bitte den Fehler (Groß- und Kleinschreibung) in meinem Titel korrigieren, hab zu schnell getippt. Dankeschön.

Hallo Grundgütiger,

gerne möchte ich zu deinen Kritikpunkten Stellungbeziehen und mich dazu teilweise auch äußern.

Aber, erstmal muss ich dich fragen was dich dazu bewegt hat hier nach dem Fehlerteufel im Forum zu suchen?
Ich werde den Eindruck nicht los dass du von einem anderen Forum kommst und hier meiner Ansicht nach unnötig Kritik und Diskussionen verursachen möchtest.

Zitat:

Zitat von Grundgütiger

Hallo zusammen

Ich bin kein Experte, aber bei einigen Antworten, die ihr hier gegeben habt, kann ich nur noch mit dem Kopf schütteln. Ein Beispiel:

http://www.trojaner-board.de/127465-netstat-laeuft.html


Da hat jemant sein Netstat Protokoll gepostet, und bekommt keine Antwort auf seine Frage.

Welche Antwort auf welche Frage?
Die Frage das ein Helfer dieses Forums unnötig seine Zeit verschwendet, für einen Unwissenden, welcher sich bei anderen Menschen als Wissender darstellen will?
Daher auch die Gegenfrage von schrauber wieso ein nestat überhaupt ausgeführt wurde.

Das Forum und die Helfer werden somit nur ausgenutzt was der Fragesteller selbst per Googlesuche gefunden hätte. (speziell was die Remoteadressen angeht)

Zitat:

Hier in diesem Thread postet Markus aus dem "Kompetenzteam" einen Link zu OTL, der nicht funktioniert.

http://www.trojaner-board.de/130670-...krieg-weg.html

OK, Simone hat es sich wohl selbst ergoogelt. Mal sehen, ob sie wieder kommt.

Das eine Verlinkung mal crashed kann passieren, ein kurzer Hinweis an markusg wäre hier der richtige Weg.

Zitat:

Und was mir noch aufgefallen ist. Die Antworten von euch scheinen ziemlich standartisiert zu sein, was auch OK ist, aber ich mußte erstmal suchen, bis ich das hier fand:

http://www.trojaner-board.de/129669-...-gefunden.html

Eine Formatierung wird dort auch empfohlen. Seine Passwörter sollte man in bestimmten Abständen ändern, auch wenn man nicht befallen ist. Und bei einem Virenalarm ist das und die Sperrung des Kontos das erste was man tut.

Nope, bei einem Alarm muss mann nicht gleich alle Passwörter ändern. (ja ja, die bösen TrackingCookies)
Die Vorgehensweise in dem Thread ist meiner Ansicht nach folglich richtig.
Passwörter ändern (von einem anderen System), hat der User selbst gemacht -> Neuaufsetzen des infizierten Systems

Zitat:

Der Rest hat Zeit. Es gibt unzählige Keymaker und Stealer und sogar RAT's lesen Passwörter aus, bzw. zeichnen sie auf. Deshalb als erstes daran denken. Und das macht man mit einer Virtuellen Tastatur mit einem Browser der in gesicherter Umgebung läuft, oder von einem nichtbefallenem Rechner aus.

Diese Info ist uns seit mehr als einem Jahrzehnt bekannt.

Zitat:

Alles in allem finde ich es aber trotzdem gut was ihr hier macht, und versucht, den Leuten zu helfen. Nur wäre der ein oder andere wirklich besser dran gewesen, wenn er in einem Hackerforum in der White Head Sektion um Hilfe gebeten hätte. Diese Leute Coden die Trojaner und verschlüseln sie, und dementsprechend genau können sie antworten und helfen.

Bei der täglichen Masse an Hilfesuchenden, können die Antworten der freiwilligen Helfer nur standardisiert sein. Es gibt leider zu wenige Ehrenamtliche im Forum die auch Ahnung haben von dem was sie tun.
Desweiteren ist die Ausführlichkeit der Antworten schon mit genügend Informationen für die Hilfesuchenden gefüttert (um sie teilweise auch nicht zu überfordern!).

Daher wird sich auch kaum einer die Zeit nehmen ein netstat-Protokoll auseinander zu nehmen, IP-Adressen googeln oder ähnliches, obwohl es Hilfesuchende gibt welche dringender Hilfe benötigen.

Die angebotene Dienstleistung hier im Forum ist und bleibt kostenlos.
Deshalb sollten sich hier einige User mal etwas mehr zurücknehmen was die Quantität (nicht Qualität!) angeht. Ansonsten wird sich jeder IT-Dienstleister über Mehrumsatz freuen.

Sunny

Zitat:

Aber, erstmal muss ich dich fragen was dich dazu bewegt hat hier nach dem Fehlerteufel im Forum zu suchen?

Eigentlich jedes mal, wenn ich nach bestimmten Prozessen google, taucht euer Forum in der Trefferliste mit auf. In der Hoffnung Antworten zu finden, habe ich eure Seite schon öfters angeklickt.

Zitat:

Ich werde den Eindruck nicht los dass du von einem anderen Forum kommst und hier meiner Ansicht nach unnötig Kritik und Diskussionen verursachen möchtest.

Nicht jeder kann mit Kritik umgehen. Da macht man es sich gerne leicht, und unterstellt dem anderen niedere Motive, anstatt sich das Gesagte zu Herzen zu nehmen.

Ich bin übrigens nicht aus einen Konkurenzforum.


Auf den Rest von deinem Post werde ich nicht eingehen, ausser auf das:

Zitat:

Es gibt leider zu wenige Ehrenamtliche im Forum die auch Ahnung haben von dem was sie tun.

Dem stimme ich zu.
--------------------------------------------------
Edit:


Frage an die Experten!

http://www.trojaner-board.de/130375-...che-seite.html

Wäre es möglich, dass der User einen Proxy im Browser verwendet, oder einen Anonymisierungsdienst? Das ist mir jedenfalls sofort in den Sinn gekommen, als ich von dem Captcha las.


Das Kompetenzteammitglied markusg, von dem ich schon eine sehr höfliche Antwort bekam, scheint sowas gar nicht in Erwägung zu ziehen, obwohl es offensichtlich ist. Dafür werden jetzt verschiedene Programme de- und installiert, in der Hoffnung, es würde was bringen.

Zitat:

Welche Antwort auf welche Frage?
Die Frage das ein Helfer dieses Forums unnötig seine Zeit verschwendet, für einen Unwissenden, welcher sich bei anderen Menschen als Wissender darstellen will?
Daher auch die Gegenfrage von schrauber wieso ein nestat überhaupt ausgeführt wurde.

Das Forum und die Helfer werden somit nur ausgenutzt was der Fragesteller selbst per Googlesuche gefunden hätte. (speziell was die Remoteadressen angeht)

Fragen mit Gegenfragen zu beantworten halte ich für wenig produktiv. Und dass er sich zu irgendetwas aufspielen will, würde ich ihm auch nicht unterstellen. Vielleicht wollte er einfach nur helfen? Man hätte ihm sagen können, dass er vor der nächsten Netstat Anylyse den Browser und alle weiteren Programme, die eine Verbindung zum Internet aufbauen, schließen soll. Man hätte ihm auch sagen können, dass da 3 Verbindungen sind, und ihm eine Seite nennen, die die Adressen auflöst.

Hey, bzgl des Proxies findest du zB das hier in OTL:

Code: Alles auswählenAufklappen

ATTFilter

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = hxxp://www.loadcommander.com/config/proxy.pac
         

Da "ProxyEnable" aber auf 0 steht, sollte der Proxy garnicht aktiv sein. In der Firefox-Sektion seh ich keinen Proxy.

Zitat:

dass da 3 Verbindungen sind, und ihm eine Seite nennen, die die Adressen auflöst.

Ähm wieso muss man da Seiten für haben, netstat kann auch auflösen oder was genau meinst?

@cosinus

Zitat:

Da "ProxyEnable" aber auf 0 steht, sollte der Proxy garnicht aktiv sein. In der Firefox-Sektion seh ich keinen Proxy.

Ich habe den Post nicht komplett gelesen, sondern nur bis zum "Captcha". Da war die Sache für mich klar, denn das ist ein bekanntes Problem, dass Google normale Nutzer für Bots hält, wenn diese mit Proxies oder VPN's u.s.w. surfen, und mit dem Captcha blockt.

Ich sehe da auch nichts. Was ist, wenn er einen Webproxy benutzt hat?

Zitat:

Ähm wieso muss man da Seiten für haben, netstat kann auch auflösen oder was genau meinst?

Weil die Auflösung bei Netstat nicht immer vollständig ist. Zum Beispiel kann es sein, dass nur amsterdam und der Port angezeigt wird. Eine Whois Suche gibt da schon etwas mehr Information.

Servus,

Zitat:

Zitat von Grundgütiger

Wäre es möglich, dass der User einen Proxy im Browser verwendet, oder einen Anonymisierungsdienst? Das ist mir jedenfalls sofort in den Sinn gekommen, als ich von dem Captcha las.

Theoretisch ist das wohl möglich, ja.
Siehst du einen Anonymisierungsdienst in den Logdateien von OTL oder einem anderen Analysetool?

Zitat:

Zitat von Grundgütiger

Das Kompetenzteammitglied markusg, von dem ich schon eine sehr höfliche Antwort bekam, scheint sowas gar nicht in Erwägung zu ziehen, obwohl es offensichtlich ist. Dafür werden jetzt verschiedene Programme de- und installiert, in der Hoffnung, es würde was bringen.

markusg hat einen bekannten Trojaner, der Probleme wie ihn der User hier beschreibt, bereits in seiner ersten Antwort erkannt und berücksichtigt:

Code: Alles auswählenAufklappen

ATTFilter

[2013.01.18 19:36:05 | 000,000,326 | ---- | C] () -- C:\Windows\tasks\Oeadmhi.job
[2013.01.18 19:36:05 | 000,118,784 | RHS- | M] () -- C:\Windows\System32\netapi32W.dll
         

Aber da du diese offensichtliche Tatsache nicht erwähnst, darf man vermuten, dass du dir dessen entweder nicht bewusst bist oder es under den Teppich kehrst.

Eine spätere Rückfrage an den User wird doch zeigen, ob es noch Probleme gibt.


Die Anführungszeichen beim Wort Kompetenzteam kannst du dir sparen.

Zitat:

Ich habe den Post nicht komplett gelesen

Das solltest du aber, wenn du Kritik anbringen willst, denn:

Zitat:

sondern nur bis zum "Captcha".

In diesem Thema klagt niemand über captchas, sondern über Google-Umleitungen.

Die Rückmeldung des Users ist ebenfalls schon lange erfolgt, nachdem markusg per OTL-Fix die dafür verantwortlichen Files gelöscht hat: "Übrigens funktionieren jetzt auch schon wieder die Google Links."

Diese Diskussion ist überflüssig.

Dieses "Google-Captcha" ist bekannt, da gibt es hunderte News-Einträge im Netz, gibt es auch bei Youtube (da Google) gerne, vor allem wenn man die Gema umgehen will.

Das und richtige Browserumleitungen sind aber zwei paar Schuhe, im erwähnten Fall eindeutig auf Malware zurückzuführen.

Diese "Captchas" hab ich auch wenn ich zuviele Youtube-Videos glotze.

@aharonov

Zitat:

In diesem Thema klagt niemand über captchas, sondern über Google-Umleitungen.

Es geht um diesen Thread, zu dem ich weiter oben eine Frage gestellt habe.
http://www.trojaner-board.de/129892-...hlight=captcha

Wenn sie viele Internetnutzer eine IP teilen, kann es vorkommen, dass Google in kurzer Zeit von dieser IP viele Anfragen erhält. Der Nutzer wird dann von Google zum Captcha weitergeleitet, um Bots auszuschließen.

Zitat:

Die Anführungszeichen beim Wort Kompetenzteam kannst du dir sparen.

Kommt nicht wieder vor, versprochen.

Edit zur sache mit dem Captcha: Es sieht so aus, als wenn ich entweder den falschen Thread angegeben habe, oder da von mir eine andere Verwechselung vorliegt.

Edit2:
Dieser ist der richtige:http://www.trojaner-board.de/129892-...hlight=captcha
Sorry, es tut mir sehr leid, aber ich habe den falschen Thread verlink.

Zitat:

Zitat von aharonov

Diese Diskussion ist überflüssig.

qft