FakeSysDef Virus/Trojaner - bin ungeschützt
 

hallo,
ob das Thema hier passt, muss ich erst sehen.
Bin angegriffen worden, habe backup zurück gespielt, ist also keine Anfrage wegen Beseitigung.

Jedenfalls hatte ich vor ein paar Stunden mit FF 7 gesurft, ein paar Tabs waren wie immer offen, ich war eben auf einer deutschen, seriösen Seite einer hiesigen Mode-Firma, auf der ich ein paar Links anklickte.

Im Hintergrund war Filezilla geöffnet (Verbindung geschlossen), und Open Office.
Habe Win7 Firewall Control, Security Essentials.
Eigentlich sollte da nichts passieren, doch plötzlich gings los.
Der FakeSysDef gaukelte mir mit einem Tool vor, etwas am Rechner sei nicht ok, er scannte und machte den Hintergrund schwarz, brachte Fake- Fehlermeldungen usw.
Ich konnte nicht mehr auf irgendwas zugreifen, meine Ordner waren leer (waren sie nicht, aber es wurde so angezeigt)

Ich habe ein backup vom Frühjahr aufgespielt, denn die Beseitigung des Angreifers schien mir zu langwierig, vor allem ging ja eben gar nix mehr.
Auf einer anderen Partition hätte ich noch ein XP gehabt, von dort aus hätte booten können, aber ohne Netzzugang.

Kurzum, ich frage mich nun, wie das Vieh überhaupt hier reinkam. Von dieser Mode-Webseite aus vielleicht...
Kaum zu glauben. Probieren möchte ich das lieber nicht.

Normalerweise wird man schon selber wissen, was man angestellt hat, um so was rein zu lassen, aber in diesem Fall weiß ich es wirklich gar nicht.
Demnach gibt es meinerseits auch keine Möglichkeit, mich in Zukunft davor zu schützen.
Im Netz findet man lächerlich anmutende Methoden, einfach Dateien zu löschen, das geht natürlich nicht, der Angriff ist inzwischen stärker, und die Namen sind anders.

Nun gebe ich ein paar dieser Namen wieder, die gefunden wurden, interessant, würde man einige davon kennen:
Security Essentials fand 3 Angreifer mit Namen:

TrojanWin32/FakeSysDef

Im Anwendungsdaten Ordner habe ich 2 davon gefunden und notiert:
UpqlemcfMxPg.exe und
6DSS92c31.Apgijk.exe

Dazu war aber noch ein anderes Vieh gefunden worden:
Exploit:Java/CVE-2010-0840.KM
von SEssentials als hoch eingestuft und beseitigt.
Aber zu diesem Zeitpunkt war ja alles schon verseucht, zu spät, liebes SEssentials...

Weiß nicht mehr, wer mir das angezeigt hat, auf meinem Zettel steht noch:
process: pid:4128
process: pid:5996
process: pid:2048
(hier mit Leerzeichen nach dem ersten Doppelpunkt, sonst sähe man ein smiley)

Also, momentan ist mein FF wieder zurück auf Version 3.xxx, aber der eigentliche Punkt ist doch:
Gegen diesen Angriff bin zumindest ich ungeschützt:killpc:
Sehr unangenehm-

mir fällt noch dazu ein, dass es doch bestimmt eine Möglichkeit gibt, per Start einer Reinigungs- CD eine Säuberung vorzunehmen. Gibt es eine solche, die allgemein bekannt ist oder hat da jeder sich seine eigene gebastelt?

Warst du mit Adminrechen am Surfen? :pfeiff:
Java RE, Flashplayer und alles andere war aktuell?

Das macht man eigentlich nur in Notfällen wenn garnichts mehr geht am Rechner. Die Dinger können deine Windows-Installation auch vollends den Rest geben.

Admin beim surfen - nein- kapier das eh nicht, wenn ich ein Konto habe, warum ich nicht gleichzeitig Admin bin- unklar- MS geht immer davon aus, dass der Rechner von 20 anderen Leuten genutzt wird.

Aktuell prinzipiell schon, ich lasse alle updates zu.
Java hat sich während des Befalls aber nochmal gemeldet wegen update- könnte auch ein Fake gewesen sein, das ganze war ja ein solcher.


Würde sagen, das war schon ein Notfall, nicht?
Dachte zuerst auch, man kann da was von Hand löschen, aber Zugriff unmöglich.

Zu bemerken ist, dass es bald wohl jeden erwischen kann, eigentlich Wahnsinn- eben dass man mit updates nicht mehr schnell genug ist um Angriffe abzuwehren, die immer schlauer agieren.
Z.B. Viren, die eine eben erst selbst generierte neue Struktur tragen oder so was halt...
Linux kann freilich jeder wie er will, aber hier gehts ja um die grundsätzliche Diskussion.

Was gibt es daran denn nicht zu verstehen? Sollte ja klar sein, dass ständig Admin zu sein ein großes Sicherheitsrisiko ist.
Und es ist auch kein Problem zusätzliche Benutzerkonten - eins pro Benutzer! - einzurichten.

Ein Notfall ist es dann, wenn Windows garnicht mehr startet oder unbedienbar geworden ist.

Ob Windows, Linux oder MacOS: essentielle Sicherheitsregeln sollten immer umgesetzt werden, auch wenn man mit Mac oder Linux eigentlich fast allen Schädlingen aus dem geht, da die nur für Windows gestrickt sind.

danke
Notfall: also es war weitgehend unbedienbar, alle wichtigen Programme waren ja außer Betrieb, und ins Netz konnte ich wohl auch nicht mehr...
Also NICHT als Admin unterwegs sein, ok, das muss ich noch lernen, habe eben ein Konto, und dann noch eins dass ich nicht nutze.
Diese Maschine ist nur zum Surfen und netzen da, und ich bin der einzige dran.
Muss gestehen, ich weiß nicht, ob ich jetz Admin bin oder nicht! Soll ich das andere Konto nehmen und vorsichtig davon ausgehen, dass mir das dann nicht mehr passiert?
Sorry, aber das ist nun wirklich nicht mein Themengebiet...;-(

Wessen Compter ist denn das? Oder gehört der allen?
Wie auch immer, für jeden Benutzer sollte möglichst ein eigenes Benutzerkonto eingerichtet sein. Das natürlich eingeschränkt als Nicht-Adminkonto. Ein Adminkonto mindestens, Adminkonten IMMER mit Passwort versehen, und diese nur zur Wartung und zur Installation von Software nutzen.

Einfach nur nicht Admin sein, reicht nicht.

Halte Dich am besten grob an diese Regeln:

1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
3. Führe regelmäßig Backups auf externe Medien durch
4. Arbeite mit eingeschränkten Rechten
5. Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

Meiner natürlich, bin alleinstehend!
dass ich schon länger unterwegs damit bin und nicht so ganz volltrottelig, kam bisher nicht wirklich zur Sprache.
also danke für die Tips, wirklich alle befolge ich zugegebenermaßen nicht, aber doch schon die meisten.
(probiere eben Secunia)
worauf ich nicht achte ist Punkt 4, alles andere schon, ach ja und das mit dem Admin ist schon volltrottelig.

Aber dass das allein schon gefährlich werden kann hätte ich nicht gedacht. :daumenrunter:
wäre ich jetzt auf einer fragwürdigen Seite gewesen oder hätte sonstwas idiotisches gemacht, dann wäre ich sicher nicht hier her gekommen, um diesen Thread zu öffnen, ja?.
Das war mein Ausgangspunkt, - ok Admin, ok, Rechte, das ist wohl nicht in Ordnung, aber deshalb schon voll angegriffen????????

Deshalb wurdest du nicht angegriffen (wegen der multiplen Fragezeichen könnte man dich aber angreifen :blabla:), aber deshalb war der "Angriff" wohl so erfolgreich.

"Win7 Firewall Control" - wozu soll dies wirklich gut sein? Damit du dich drauf verlässt und dann erst recht dich falsch verhältst?


Jede Website kann leider theoretisch infiziert sein, auch an sich seriöse Sites.
Und Webpräsenzen können auch gefälscht sein, wenn du z.B. per (Anlock-)Link dorthin gekommen bist, könnte es eine "Fake-Seite" sein - oder im Link war was versteckt. Oder ein Werbefenster (o.ä.) was du glaubtest zu schließen hat durch den vermeintlich schließenden Klick von dir in Wirklichkeit erst das Okay bekommen.
Auch (= nicht nur) genau für solche Fälle, sollte man nicht als Administrator surfen, JavaScript erst einmal deaktiviert haben u.v.m.

multible????????
joo, echt schräg von mir- schäm:heulen:
ja, das hast du wirklich gut differenziert, danke! :crazy:
alles kann infiziert sein, ok, das ist richtig, nur hatte ich die Erfahrung gemacht, dass man in der Regel doch relativ sicher ist- solange man nicht irgendwo surft, wo die erwähnten Werbefenster aufgehen.
Letzere wären ein deutliches Indiz dafür, dass es schon sehr kritisch ist.