ComputerBase Menü
Aktuelles

Wurde eben attackiert!

@Boogeyman
Die Anfrage besteht doch schon wenn ich in das Suchfeld etwas eingebe. Was bitte wird denn dann geblockt von einer Firewall? Gut, ich kenn mich nicht wirkloich aus aber ich sehe - ich sehe, dass wenn ich spätestens das Bild angeklickt hätte zur betrachtung, ich NICHT von iener Firewall geschützt gewesen wäre.
Ich bekomme eigtl ausschliesslich Meldungen von Windows Firewall, wenn ein Programm, das ich installiert habe (oder auch ein Spiel) auf das Internet zugreifen will. Noch nie habe ich eine erhalten wenn was auf meinen Rechner zugreifen will. Norton aber zeigt da sehr viel Verkehr und wenn dann mal eine Meldung von Norton kommt, bin ich informiert darüber und weiss welche Seiten ect. da mit etwas Vorsicht zu geniesen sind. Norton kommt ja nicht bei jeder "Pseudo-Meldung" (wie du das sagst^^) mit einer Meldung^^

Zenario:
Firewall und AV-Produkte reagieren nicht, weill kein Anlass besteht. Das Bild aber wurde Betrachtet und landet auf der HDD. Ob hier evtl etwas nachgeladen wird bleibt offen und abzuwarten. Warum also den User beunruhigen. Sollte allerdings dann doch eine Anfrage kommen
und durch ein Exploit eine Exe nachgeladen werden, passiert von Seiten der Windows Firewall erst mal nix, da die nur eingehend Blockiert nicht aber was raus geht. Dann ist die Frage ob die exe beim versuchten Download blockt oder nicht und wenn man dann Avira nutzt, pech! Hier wird nämlich erst Alarm geschlagen wenn die Exe auf der HDD ist. Avast z.B. würde das vorher schon abfangen, evtl sogar auch schon so reagieren wie Norton.

Norton hat also alles richtig gemacht und ich bin um eine Info reicher und geniesse die Seite durch die Warnung im Vorfeld schon mit Vorsicht und nicht erst wenn es mal zu spät war!
 
Bei Symantec wäre man da etwas inkonsequent, da Drive-by-Download im Firewall Log auftauchen. Auch das normale Norton Antivirus schützt gegen Drive by Download (Norton nennt dieses hier: Browser-Schutz) und dieses Produkt hat ja keine Software Firewall integriert, hier muss dieses also in einen anderen Log vermeldet werden.
Des weiteren besteht aber auch die Gefahr eines Fehlalarms.
 
Zuletzt bearbeitet:
Bis jetzt habe ich mich ja noch nicht so sehr für z.B. Sandboxie interessiert, aber ...

http://de.wikipedia.org/wiki/Sandboxie
http://www.sandboxie.com/
FrontPageAnimation.gif
 
Jup, schon von Vorteil.
Avast fragt bei fragwürdigen Anwendungen auch immer, ob sie in einer Sandbox geöffnet werden sollen.
Manchmal tut's aber auch Uniextract, damit kann man exe Files entpacken, ohne dass sie ausgeführt werden.
 
Sandbox würde mich ja auch reizen aber ich glaube das ist für mich zu kompliziert. :(
 
Sandboxie ist gut und im Grunde auch leicht zu bedienen.

Installieren und die gewünschte Anwendung per Rechtsklick mit "In der Sandbox starten" starten.
Es erscheint ein kleines Auswahlfenster mit der Frage in welcher Sandbox die Anwendung gestartet werden soll.
Die vorkonfigurierte "DefaultBox" reicht für schnelle isolierte Starts von Anwendungen.
Die Anwendung wird daraufhin in der Sandbox mit gelber Umrandung (ist abstellbar) ausgeführt.

Bei 64-Bit-Betriebssystemen empfiehlt der Hersteller noch zusätzlich unter "Konfiguration" die Option "Experimenteller Schutz (64-bit)".

Das wars eigentlich. Wenn man spezielle Einstellungen/Automatisierungen haben möchte, sollte man einen Blick in die Einstellungen der Sandbox werfen.
 
Zuletzt bearbeitet:
Kann man da einstellen, dass zum Beispiel Firefox immer in der Sandbox gestartet werden soll? Und weiß heißt das dann konkret? Kann ich dann machen was ich will und bedenkenlos runterladen und Surfen ohne Gefahr von Viren?
 
Hi,

natürlich ist Sandboxie keine Software für gedankenloses surfen.
Jede Software hat Sicherheitslücken und können ausgenutzt werden.
09.03.2012 12:25 Pwn2Own-Teilnehmer knacken auch Internet Explorer
Zum Vergrößern anklicken....
http://www.heise.de/security/meldung/Pwn2Own-Teilnehmer-knacken-auch-Internet-Explorer-1467708.html

Gegen Unsicherheit hilft keine Software. Das einzige, was gegen Unsicherheit hilft, ist Wissen und dessen korrekte Anwendung.
[Quelle: Internet]

Auf jeden Fall wäre bei Vorhandensein von Sandboxie eine weitere Hürde vorhanden, die Verbrecher erst mal umgehen müssten.
Bei 64-Bit Betriebssystemen kommt für Sandboxie der MS-Patch-Guard von MS erschwerend hinzu.

Sandboxie schützt das eigene System, falls keine Sicherheitslücken vorhanden, da eine getrennte Umgebung geschaffen wird (Animation oben). Du musst also explizit Dateien aus der Sandboxie-Umgebung in die eigene System-Umgebung kopieren, wenn du zum Beispiel ein Download machst oder ein Lesezeichen anlegst. Das kann auch nerven oder du holst dir trotzdem einen Trojaner, der erst zur Laufzeit wirkt, hier sollte aber eine AV-Software helfen oder du startest die Software erst in der Sanboxie-Umgebung.

Eine Infizierung in der Sandboxie-Umgebung kannst du entfernen, indem zu die Sandboxie-Umgebung einfach löschst. Voraussetzung ist hier wieder, dass Sandboxie keine Sicherheitslücke hat, die eine verseuchte Software ausnutzen kann.

Eine Infizierung/Kompromittierung des eigenen System bedeutet hingegen immer eine Systemneuinstallation und aufwändige Prüfungen der Daten.

Du siehst also, viele wenn und aber, ich lasse es mal nebenher laufen. Außerdem bin ich nicht gezwungen etwas in der Sandbox zu starten, wenn ich das möchte, dann ziehe ich die Software einfach ins Sandbox-Fenster, auch eine zweite Instanz von z.B. Firefox.

Wir befinden uns immer zwischen zwei Katastrophen. Man muss nur Glück haben nicht gerade beim Knall dabei zu sein.
 
Eben war ich in einem ganz normalen Forum und wieder kamen 2 Angriffsmeldungen.
Hab die URL eingegeben und dann heißt es die Seite von der URL sei clean.
Spinnt Norton oder was? Das ist extrem verunsichernd. :(

Toll und eben beim Versuch den URL klink zu kopieren hab ich die Seite direkt im Browser geladen. Da bekam ich aber keine Warnung von Norton.
 

Anhänge

  • a.JPG
    a.JPG
    63,1 KB · Aufrufe: 174
Hi,

schau dir mal die Quelladresse an, das ist doch eine private, also einer deiner Rechner.
Ergänzung ()

Gib mal im Google

malware dyndns-server world/s1

ein, ich schau auch mal, ob ich etwas finde... und ich gehe ja von Anfang an davon aus, dass su nichts mit dyndns zu tun hast.

Nur zur Info nebenbei. Ich surfe bei dieser Suche mit einer Instanz von FF in Sandboxie.
Ergänzung ()

Das sieht alles nicht so gut aus. Interessant wäre es direkte Anhaltspunkte zu finden als "nur" die Meldung von Norton.

- Als erstes alle Daten sichern und später dann genau prüfen.
- Ich würde dann HiJackThis herunterladen, als admin starten:
http://sourceforge.net/projects/hjt/
ein Log erstellen und auswerten lassen:
http://www.hijackthis.de/de
auf dieser Seite findest du auch eine kurze Beschreibung.

Auch gibt es ein Tool OTL, das bei http://www.trojaner-board.de/85104-otl-otlogfile-by-oldtimer.html beschrieben ist. Das ganze ist natürlich nicht ganz einfach, wenn man Hilfe braucht. Versuche die Infos zu lesen, eventuell auch bei http://www.trojaner-board.de nachfragen.

Im Zweifelsfall und wenn neue Meldungen oder eigenartiges Verhalten des PC auftreten, musst du wahrscheinlich alle PC's im Netzwerk komplett neu installieren.
Hier musst du aber speziell vorgehen und bedarf ein gewisses Wissen darüber.
 
Zuletzt bearbeitet:
Warum nicht zeitgemäß :rolleyes:
Ich kann unter W7x64 immer noch genau die Änderungen feststellen, die ich auch erwarte.
Das mächtige HijackThis ist nur etwas für Experten, die automatische Auswertung auch für unbedarfter Anfänger für erste Anhaltspunkte.
 
Das mächtige HijackThis ist nur etwas für Experten
Zum Vergrößern anklicken....

Haha, guter Witz.

Mit HijackThis bekommst du schon lange nicht mehr jede Malware angezeigt. Das ist so ziemlich das Gleich wie Brain.exe. Es ist aus den Köpfen der meisten Foristen nicht mehr zu entfernen.
 
Hallo erst mal,

wer so etwas erwähnt:
Mit HijackThis bekommst du schon lange nicht mehr jede Malware angezeigt.
Zum Vergrößern anklicken....
ist in meinen Augen auch kein Experte.
Hast du denn zu deiner Aussage auch konkrete Beweise? Dann kennen andere auch die Grenzen von HijackThis.
Ein Experte weiß wann er welche Prüfung durchzuführen hat, ich hatte ja noch OTL erwähnt, aber schon das wird wohl viele überfordern.
Das diese beiden im Ernstfall nicht alle Tools sind, sollte auch jedem klar sein. Mehrfache unabhängige Prüfung und Verifizierung des Systems ist angesagt.

Aber es ist schon klar, zumal HijackThis gar nicht zwischen gut und böse, also Malware, unterscheidet, dass musst du schon selber machen, oder eben als Anfänger auswerten lassen.

Stinger
Microsoft Safety Scanner

wurden ja schon zu Beginn genannt.

Dann auch noch Tools wie
- Emsisoft Emergency Kit https://www.computerbase.de/downloads/sicherheit/antimalware/emsisoft-emergency-kit/
- Avira Boot CD oder ein Linux-System, um den Bootsektor zu umgehen. Bei Linux aber ist dann meistens wieder Schluss.
- Gmer mit mbr.exe http://www.gmer.net
und noch viele mehr

Am Schluß noch zu erwähnen
Malwarebytes
SuperAntiSpyware
 
Boogeyman schrieb:
@AnfängerEi
Informiere dich erst mal wie eine Software Firewall funktioniert, bzw. was sie leisten kann und was nicht. Das die Windows Firewall nicht`s melden kann ist klar; erstens ersetzt Norton dies durch seine eigene und zweites würde sie dieses ohne Bling Bling ganz normal abwehren. Das ist übrigens nur das, was man von einer Software Firewall zuverlässig erwarten kann, nicht angefragten Datenverkehr von außen verwerfen. Und noch was, keine Hacker hat ein Interesse daran, einen privat Rechner gezielt zu hacken; viel zu viel Aufwand.

Aber schön, wenn du dich von pseudo-wichtig Meldungen beeindrucken lässt, anscheinend brauchen manche dieses Blendwerk. Ach übrigens, zitiere einfach mal richtig, würde die Lesbarkeit deutlich erhöhen.
Zum Vergrößern anklicken....
Absolut richtig! Das kann man genau so stehen lassen.
Bin ich froh, mich zumindest privat (fast) nicht mit Windows inklusive solcher überlüssiger software plagen zu müssen..
Das war doch allerhöchstens ein portscan und wahrscheinlichstens noch harmloser als das.
, nicht angefragten Datenverkehr von außen
Zum Vergrößern anklicken....
das ist genau das stichwort. Das, und NUR das, hat dein NAV gemeldet. NAV kriegt nämlich nicht mit, ob das ein angriff ist.
Natürlich nennt symantec das trotzdem "angriff", weil sich mit angst schon immer ganz gut geld verdienen ließ.
Lass dich nicht verrückt machen, auch wenn hier scheinbar die meisten zum dramatisieren neigen.
Was z.b. engine oben schreibt finde ich schon kurz vor verantwortungslos. Das hast du alles nicht nötig.
Abgesehen davon können die meisten AV programme eh nichts ausrichten, wenn es nicht um klassische signaturbasierte malware geht.
 
Zuletzt bearbeitet:
Bio-Apfel,

und was machst du?
"Alles easy :cool_alt:, macht doch nichts :streicheln:, die AV's sind eh alle Schrott... bla bla. Ich finde unter falschen Aussagen nur oberflächliches Gelaber, das keinem betroffenen hilft."

Z.B. Wenn sAchim einen Router hat, was ich hoffe und auch eine Grundlage ist, dann verwirft dieser ungefragte Zugriffsversuche, nicht die Softwarefirewall. Die kann dann im eigenen privaten Netz helfen.
Aber um Softwarefirewall geht es hier gar nicht, was mir zeigt, dass du dir gerade die Brocken heraus gepickt hast, die dir gerade passen, als Nichtwindowsbenutzer, der sich mit so etwas eigentlich gar nicht beschäftigen muss :rolleyes:.
 
Hallo, ich schau erst jetzt wieder rein.

Was genau sieht denn bei mir nicht gut aus? Ich habe einen Scan mit Norton gemacht und der hat nichts gefunden. Hab ich jetzt irgendwas auf dem PC? Ich hab den doch grad vor paar Wochen frisch aufgesetzt. Ich kann sowas nicht am laufenden Band machen. Und vor allem verstehe ich nicht wie und wo ich mir was eingefangen haben sollte. Das regt mich total auf. :(
Ergänzung ()

Eben mit Spybot gesucht und nichts gefunden. Was soll ich jetzt machen?
Ergänzung ()

Stinger hat auch nichts gefunden. Ist damit alles okay?

Aber da steht immer stealth scanning failed was bedeutet das?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz