Hallo,

gestern klagte eine Bekannte mit Vista über ständiges Aufpoppen von unerwünschten Webseiten und von Fenstern, die Windows-Systemprogramme (z.B. wuauclt) als "Sicherheitsrisiko" bezeichneten.
Sie konnte kein eigenes Programm mehr öffnen, auch den Taskmanager nicht mehr. Die Programme wurden sofort wieder geschlossen.
Sie konnte dieses "Fraud Tool" aber dann leicht mit einem Norton Antivirusprogramm löschen.
Und neulich (2.2.2010) hatte ich einen XP-Rechner, da war ähnliches am laufen, nämlich das:

http://www.virustotal.com/de/analisi...fba-1265882709

obwohl der Benutzer dort überhaupt kein Administrator war und obwohl Avira lief (Antivir kannte das aber da noch nicht). Ich konnte dort dann beim Hochfahren schnell den Process Explorer vor diesem Virus starten und diesen damit beenden.
Also recht einfach aber dennoch nervig, weil zeitaufwendig.

Wie kann denn so ein Tool sich ohne Adminrechte so einnisten, dass es in der Lage ist, andere Programme sofort zu killen?

Was macht man da am schnellsten, was macht ein Laie, gibt es da einen Trick?

Danke, Gruß franc

Zitat:

Wie kann denn so ein Tool sich ohne Adminrechte so einnisten, dass es in der Lage ist, andere Programme sofort zu killen?

Hallo,

durch Sicherheitslücken in Systemdiensten ist das möglich. Die laufen mit vollen Rechten.

Zitat:

obwohl der Benutzer dort überhaupt kein Administrator war

wirlich kein Admin, nur Benutzerrechte? Oder war "nur" die UAC aktiv?
Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!!
Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Zitat:

Zitat von cosinus

durch Sicherheitslücken in Systemdiensten ist das möglich. Die laufen mit vollen Rechten...

Du meinst, der Rechner wäre nicht up to date und damit anfällig?

Aber wenn der Rechner alle Windows Updates intus hat, dürfte es nicht passieren, oder?

Hallo und guten Morgen.

Ich geb meinen Senf auch mal mit dazu:

Also ich hatte auch schon Shark Backdoors, die sich in exe-RARs befanden und die haben sich bei meinem ehemaligen Xp mit Avast einfach installiert und waren auch aktiv!

Als letzte Version eines Virus hatte ich einen Bot auf einem VMWare XP getestet. Der war in einem Spiel versteckt und installierte sich über die ActivX Schnittstelle. Das "tolle" an dem Ding war, das mein Kaspersky das nichtmal gefunden hat. Nach dem Install ging ein Fenster kurz auf und verschand wieder. OK, dachte ich mir und das Spiel lief tatsächlich auch, bis sich dann ein Systemdienst verabschiedete und das System einfach runter gefahren wurde.
Ups??? Nach dem Hochfahren wurde ein neuer Benutzer hinzugefügt, was sich in dem Desktopeinstellungsfenster, wie bei der Install von XP äusserte. Und dann wurde der Systemdienst, ich weiss den Namen nicht mehr, wieder beendet und damit hatte sich der Bot eingeniestet. Aber das Abschalten des Systemdienstes muss ein blöder Fehler gewesen sein, den ein Bot, der nicht Online gehen kann und sich laufend abmeldet bringt dem Hacker auch wieder nix, sondern dem User nur einen genervten Gesichtsausdruck! Warscheinlich war das Teil über einen nicht sauber Programmierte Generierer entstanden.

Mit Malwarebytes gingen dann die Install Exe in System32/install und der Registry Eintrag wieder ohne Probleme weg und es blieben auf dem VM keinerlei Spuren mehr zurück.

OK. Jetzt hab ich euch genug genervt, aber man kann sehen, das es für findige Leute auch einfach sein kann, einen Virus auf ein System mit AV Scanner zu bekommen. Und wenn die Dinger richtig gut gestealth sind (Versteckt), dann sieht die auch kurzfristig kein Avira oder Kaspersky.

Gruss BIOTEC

Zitat:

Zitat von BIOTEC

...
OK. Jetzt hab ich euch genug genervt...

Im Gegenteil, ich finde das spannend und interessant, was andere für Erfahrungen mit Viren machen.

Ich dachte aber, dass diese Fraud Tools verbreiteter und hier in diesem Forum bekannter wären, wenn ich in kurzer Zeit gleich zweimal damit in Kontakt komme.

Zitat:

Zitat von BIOTEC

Also ich hatte auch schon Shark Backdoors, die sich in exe-RARs befanden und die haben sich bei meinem ehemaligen Xp mit Avast einfach installiert und waren auch aktiv!

Solche Dateien führst Du selber aus, mit Deinen Benutzerrechten. Wenn Du Adminrechte hast, wird diese RAR-Exe logischerweise auch mit Adminrechten ausgeführt un ein darin eingebetteter Schädling hat leichtes Spiel.

Zitat:

Zitat von franc

Du meinst, der Rechner wäre nicht up to date und damit anfällig?

Kann ich nicht mit Sicherheit sagen, ist eine Vermutung, aber wahrscheinlich ist das. Eingeschränkte Rechte sind schön und sinnvoll, aber nutzlos, wenn durch Sicherheitslücken im System Schädlinge sich "von allein" breitmachen können...
Von welcher Konfig reden wir da überhaupt? Windows? 2000? XP? Vista? Welches SP?

Zitat:

Zitat von cosinus

...Von welcher Konfig reden wir da überhaupt? Windows? 2000? XP? Vista? Welches SP?

Also das Mädchen hatte Vista, aber was genau weiß ich nicht.
Krieg das mal bei einem Laien über Skype raus Und dann noch mit einem Ding auf der Kiste, das jedes gestartete Programm sofort wieder abschießt.

Und neulich das dürfte das SP3 von XP gewesen sein. Updates automatisch.

Also alles sehr hochspekulativ. Bringt nicht wirklich was darüber zu diskutieren, kannst Du Dir ein echtes Bild machen, indem Du da vor Ort bist? Sonst bringt das Ganze echt wenig bis garnichts - Ich weiß ja noch nichtmal ob Vista oder XP

Aus der Ferne wirst Du bei Laien eh ncht viel bewegen können

Zitat:

Zitat von cosinus

...kannst Du Dir ein echtes Bild machen, indem Du da vor Ort bist? Sonst bringt das Ganze echt wenig bis garnichts - Ich weiß ja noch nichtmal ob Vista oder XP...

Also Vista auf jeden Fall. Hatte ich eingangs aber schon erwähnt.
Vor Ort ist Madrid und nicht so nah
Egal.

Ok, also ein Vista, aber dass Du von XP noch was geschrieben hast, hat mich etwas verwirrt. Du weißt nicht zufällig welchen Patchstand ihr Vista hat und ob sie tatsächlich nur Benutzerrechte hat oder mit Adminrechten und aktiver Benutzerkontensteuerung herumsurft.

Zitat:

Zitat von cosinus

... welchen Patchstand ihr Vista hat und ob...

Nein, sie ist in Madrid und hat mich über Skype angefunkt. Ich hab versucht ihr zu helfen, sie hat aber dann mit einem wohl laufenden Antivirenprogramm von Norton das Ding eingefangen, dann hat sie sich natürlich von mir verabschiedet und nichts mehr dazu gesagt
Das hat mich eben an dieses Fraud Tool von neulich auf der XP-Kiste erinnert, das ohne Adminrechte in der Lage war, Programme, die der Benutzer starten wollte einfach wieder abzuschiessen. Klar, die laufen ja dann auch nur mit Benutzerrechten.
Wenn man sich da als Admin angemeldet hätte, hätte man es vermutlich ganz bequem entfernen können, weil es dann ja nicht hätte starten können.

Hauptsächlich wundert mich, dass hier niemand ruft: Ja, das kenn ich, das habe ich auch schon dreimal gehabt in den letzten Wochen.
Liegt das an einem sagenhaften Zufall, dass dieser Virus mir in kurzer Zeit gleich zweimal über den Weg läuft aber sonst unbekannt ist?

Zitat:

sie hat aber dann mit einem wohl laufenden Antivirenprogramm von Norton das Ding eingefangen

Wie soll das denn verstehen?

Zitat:

Wenn man sich da als Admin angemeldet hätte, hätte man es vermutlich ganz bequem entfernen können, weil es dann ja nicht hätte starten können.

Du brauchst idR immer Adminrechte um im System Konfigurationen durchführen zu können. Hatte sie denn nun Admin- oder Benutzerrechte? Mit Benutzerrechen kann man zwar auch den Fake-Virenscanner starten, aber aufgrund fehlender Adminrechte kann sich das Teil nicht mal eben systweit breitmachen (zB im Programmeverzeichnis, in windows\system32 oder in bestimmten Registrybereichen (HKLM usw.))

Zitat:

Hauptsächlich wundert mich, dass hier niemand ruft: Ja, das kenn ich

Es gibt viel zu viele Fake-Virenscanner. Wenn Du den Namen noch wüsstest, dann wäre das vllt passiert.