Home » Viren, Trojaner & Malware Forum » Neuartige Sicherheitseinbruch. - Experte gesucht. » Themenansicht

Neuartige Sicherheitseinbruch. - Experte gesucht.

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.11.2011, 14:54
Blaster
Member

Beiträge: 13
#1 Hi,

ich habe wirklich den Eindruck ich habe mir einen übelsten Rootkit eingefangen. Absolut kein Standard. - "Onzapfft isss'?!?

Standardfragenantwort:
Ich habe XP SP aktuellste Version, AVAST aktuellste Version des Anti-Vir Pack 111117-3
Aber trotzdem schießt der Cracker durch.

Ich beobachte jetzt allerdings folgende Anomalien:
1) Nicht enden wollende Festplattenaktivität, die bis zu einer Stunde dauern kann, die den Rechner unbedienbar macht.
2) Während dieser Zeit kann ich auch machmal sogar den Prozessmonitor nicht aufrufen. (sysinternals.com)


Meldet mir einen SW Bug - Snapshot wäre daher nicht möglich.

Jetzt kommen die sichtbaren Phenomäne:
3) Mein Hintergrundbild ist zerpflückt worden. Im Photo ist das Neue.
4) Dann meldet mir das Dotnet Framework einen Fehler und fragt nach Abbruch "Nicht genug Quotes verfügbar." Was immer das Bedeuten soll. Allerdings Screenschot kann ich davon nicht machen, meldet er mir "Nicht genügend Speicherressourcen vorhanden".
5) Es tauchen plötzlich zahllose Dateien auf meinen Desk auf, die alle so komische Sonderzeichen haben (siehe Bild) mit Volumen 0 Bytes:

Ich habe die Namen der Dateien nochmal hineinkopiert. Vielleicht sind es chinesische Sonderzeichen:
⥠ܳ
⍀૧*
겨Յ
믠䔺
凐ܼ
▜ػὀࡩ塘ࠝ嵘ࠝꎈര
塠ܼ
廰ܼ
怈ܹ
斀ܼ
焰Ա팴Ƽ瀈Աਞ
䱘ܹ
⣠ܳ
Sieht nach einem klassischen Rabbit aus. Aber wo ist das Nest?
6) Nachdem dann auch noch Slides in meiner Powerpointpräsentation an denen ich gearbeitet habe dabei zerstört wurden, war jetzt das Maß voll. Deshalb wende ich mich nochmals an Euch.
7) Nach einem Neustart zeigt mir das Betriebssystem Firewall deaktiviert.
8) Der Prozessmonitor verzeichnet Aktivitäten des SQL Servers, den ich eigentlich nur für Small Business (Geschäftskontakte) nutze.

Ich habe es jetzt HiJackThis und einen weitere Virenscanner und Sicherheitssoftware drüberlaufen lassen, aber ohne Befund.
-------------------------------------------------------------------
HiJackthis Logfile:

Code

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 03:31:34, on 11/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\tibco\ems\bin\emsntsct.exe
C:\tibco\ems\bin\tibemsd.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ICO.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Utimaco\SafeGuard PrivateDisk\pdservice.exe
C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\AVAST Software\Avast\avastUI.exe
C:\PROGRA~1\WI83E4~1\Datamngr\DATAMN~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Windows Desktop Search\WindowsSearch.exe
C:\Programme\Microsoft Office\Office12\GROOVE.EXE
C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Apoint\Apntex.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\mspaint.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.vaio-link.com/vu.asp?l=de&u=m&h=0407
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: UrlHelper Class - {41C4AA37-1DDD-4345-B8DC-734E4B38414D} - C:\PROGRA~1\WI83E4~1\Datamngr\IEBHO.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [PDService.exe] C:\Programme\Utimaco\SafeGuard PrivateDisk\pdservice.exe
O4 - HKLM\..\Run: [VAIO Update 3] "C:\Programme\Sony\VAIO Update 3\VAIOUpdt.exe"  /Stationary
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [DATAMNGR] C:\PROGRA~1\WI83E4~1\Datamngr\DATAMN~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2877037635-212772918-547547808-1020\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-21-2877037635-212772918-547547808-1020 Startup: VAIO Launcher.lnk = C:\Programme\Sony\VAIO Launcher\Launcher.exe (User 'postgres')
O4 - Startup: Microsoft Office Groove.lnk = C:\Programme\Microsoft Office\Office12\GROOVE.EXE
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Edit with Altova X&MLSpy - C:\Programme\Altova\XMLSpy2008\spy.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm
O9 - Extra 'Tools' menuitem: Edit with Altova X&MLSpy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSpy2008\spy.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\\Desktop\PartyPoker.lnk
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Dokumente und Einstellungen\\Desktop\PartyPoker.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.com/de/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\PROGRA~1\WI83E4~1\Datamngr\datamngr.dll C:\PROGRA~1\WI83E4~1\Datamngr\IEBHO.dll 
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - C:/Programme/PostgreSQL/8.4/bin/pg_ctl.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TIBCO EMS Server (PID: 360) (tibemsd) - Unknown owner - C:\tibco\ems\bin\emsntsct.exe
O23 - Service: VAIO Entertainment Aggregation and Control Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
O23 - Service: VAIO Entertainment Task Scheduler - Sony Corporation - C:\Programme\Sony\VAIO Entertainment\VzTaskScheduler.exe
O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Programme\Sony\VAIO Media Integrated Server\Platform\VmGateway.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe
O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

--
End of file - 14567 bytes

--- --- ---
--------------------------------------------------------------------------------

Zwar bin ich in der IT Technik allgemein ein Schwergewicht, aber in der Sicherheitstechnik habe ich maximal den gelben Gurt, aber scheinbar immer noch mehr Ahnung als manche selbsterklärter "Sicherheitsexperte". Also von der Person her wäre ich für solche Angriffe lukrativ, aber dieser Rechner ist eigentlich unbedeutend.

Ist jemand vom CCC hier?
Außer Festplattenformatierung habe ich keine brauchbaren Tipps bekommen, was allerdings die Sicherheitslücke nicht schließt.

Hat hier jemand noch eine gute Idee.

Danke im Voraus.
Dieser Beitrag wurde am 19.11.2011 um 15:06 Uhr von Blaster editiert.
Seitenanfang Seitenende
19.11.2011, 20:43
Xeper
Member
Avatar Xeper

Beiträge: 5291
#2

Zitat

Außer Festplattenformatierung habe ich keine brauchbaren Tipps bekommen, was allerdings die Sicherheitslücke nicht schließt.
Erstmal OS wechseln, kein UPnP o.ä. nutzen und noch diverse andere Maßnahmen - kommt drauf an was du sonst so für Geräte nutzt.
Natürlich alle Passwörter wechseln, niemals relevante Daten unverschlüsselt transmittieren, hmm war da noch was? ;)

Ich denke mal deine Hardware haste schon auf Fehler überprüft...
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.11.2011, 14:32
Blaster
Member

Themenstarter

Beiträge: 13
#3 Nicht sehr hilfreich:
1) Wenn die Apps nur auf Win laufen, kommst Du um Win nicht herum.
2) Desselben gilt für UPnP.
3) Passwort wechsel bewirkt in diesen Fall wohl nichts.

Ich will jetzt keine Konvertierungsversuche zu Unix-Devs lesen.
Seitenanfang Seitenende
20.11.2011, 18:09
Xeper
Member
Avatar Xeper

Beiträge: 5291
#4

Zitat

1) Wenn die Apps nur auf Win laufen, kommst Du um Win nicht herum.
Virtuelle Umgebung

Zitat

2) Desselben gilt für UPnP.
Komisch das ich das nicht brauch...

Zitat

Ich will jetzt keine Konvertierungsversuche zu Unix-Devs lesen
Dann haste halt pech gehabt, so ist das Leben - neu aufsetzen und damit leben.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.11.2011, 20:18
fake
Member

Beiträge: 228
#5 moin blaster,
nun da du ein schwergewicht bist in it sachen dan weist du auch was auf deiner maschine so abläuft. also, sagt dir das progi "Spectrum24 Event Monitor" etwas. wo kommt das her, wer hats installt und vor allen dingen wer hat die freigabe erteilt???.
als erstes solltest du mal aufräumen anfangen, ueberpruefen welche proggis aktuell laufen und vor allen dingen die maschine unbedingt vom netz getrennt betreiben. wenn du meinst die kiste ist wieder frei deaktivier das framwork befor du ins netz gehst.
aber du kennst dich ja aus!

fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)
Seitenanfang Seitenende
20.11.2011, 22:35
Xeper
Member
Avatar Xeper

Beiträge: 5291
#6

Zitat

...nun da du ein schwergewicht bist in it sachen dan weist du auch was auf deiner maschine so abläuft.
Vor allem da WinXP ja wirklich nicht mehr das aktuelleste ist was Microsoft zu bieten hat,
da kann man nicht viel mehr erwarten - irgendwann erwischt es halt ein,
ein sicheres System kann man nur dann erhalten wenn die Software darauf ebenfalls stimmt und von einer vertrauenswürdigen Quelle stammt.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
21.11.2011, 07:21
Blaster
Member

Themenstarter

Beiträge: 13
#7
Ich konnte jetzt ein Screenshot vom Bug machen.

@Xeper: Zum letzten Male, mich interessierte die Sicherheitslücke, keine Grundsatzdiskussion.
Seitenanfang Seitenende
21.11.2011, 07:37
Blaster
Member

Themenstarter

Beiträge: 13
#8

Zitat

fake postete
moin blaster,
nun da du ein schwergewicht bist in it sachen dan weist du auch was auf deiner maschine so abläuft. also, sagt dir das progi "Spectrum24 Event Monitor" etwas. wo kommt das her, wer hats installt und vor allen dingen wer hat die freigabe erteilt???.
als erstes solltest du mal aufräumen anfangen, ueberpruefen welche proggis aktuell laufen und vor allen dingen die maschine unbedingt vom netz getrennt betreiben. wenn du meinst die kiste ist wieder frei deaktivier das framwork befor du ins netz gehst.
aber du kennst dich ja aus!

fake
http://www.neuber.com/taskmanager/process/s24evmon.exe.html
Ich sitze hinter dem sekundären Hub - WLAN.
Vielleicht ein guter Tipp, weil ich gelesen habe, dass der Speicherverbrauch emens werden kann und ich habe nur ein halbes Gig. Ist ein alter Lab. Gut möglich, das er die Auslagerungsdatei so aufbläht und derart stark interagiert, dass nichts von den CPU Leistungen überbleibt (Pentium Dualcore M740, 1.73GHz). Aber das erklärt immer noch nicht die sichtbaren Phenomäne. Der Prozess war auch in den Verbrauchschart (Processmonitor) weit oben.

Wie deaktiviertst Du denn das .NET Framework? Da dürfte die Hälfte der SW nicht mehr laufen, wenn nicht alle.
Dieser Beitrag wurde am 21.11.2011 um 07:48 Uhr von Blaster editiert.
Seitenanfang Seitenende
21.11.2011, 10:59
Xeper
Member
Avatar Xeper

Beiträge: 5291
#9

Zitat

Ich konnte jetzt ein Screenshot vom Bug machen.
@Xeper: Zum letzten Male, mich interessierte die Sicherheitslücke, keine Grundsatzdiskussion.
Wozu, hast du zuviel Zeit?
Wenn dem so ist kannste ja ins Malware Business einsteigen, ist ganz interessant da - lernst auch viele komische Leute kennen - die interessieren sich auch brennend dafür. ^^

Mich interessiert ausschließlich wie ein System sicher zu machen ist, für alles andere fehlt mir die Zeit.

Von deinem Bug, da hättest du mal wenigestens auf Details klicken sollen - das ne Exception fallst du weißt was das ist.

An deinem letzten Post kann ich erkennen das du eher der jenige ist der sich mit Grundsatzdiskussionen beschäftigt und gerne um den heißen Brei erzählt - du wirst vermutlich nicht rausfinden was das auslöst außer du investierst jede Menge Zeit die aber verschwendet ist.
Eventuell hälfen ja irgendwelche Tools die div. Sachen in der reg finden, hier gibs ja Swisstreasure der sich da normalerweise drum kümmert.

Edit:
Nochmal zur Klarstellung, glaub mir einfach du wirst MS Win nie sicher bekommen - daher virtualisierte Umgebung - Windows eignet sich nicht als Host System außer im privaten Bereich wo's vielleicht völlig egal ist was passiert.
Auch dotNET deinstallieren bringt dir nicht viel, klar du hast dann 50% der kiddies ausgeschloßen die sowieso nur C# coden können (und das schlecht), bleiben noch weitere 30% die evntl das Netz mit irgendwelchen VB6 trojans zu müllen und noch 20% die tatsächlich professionell agieren.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 21.11.2011 um 11:12 Uhr von Xeper editiert.
Seitenanfang Seitenende
21.11.2011, 19:42
fake
Member

Beiträge: 228
#10 moin ,
nicht streiten, hier soll ne problem loesung erarbeitet werden, wobei das bs gar keine rolle spielt.

also, bitte erkundige dich mal was das microsoft NET. Framwork ueberhaupt macht, naehmlich im hintergrund die proggis zu ueberpruefen und den benutzer mit dem selbststaendigen downloaden von up-dates sowie deren Installation dieser zu unterstuetzen. Ich hab das runtergemacht, oder erst garnicht installt, geht auch ohne. versuch mal die selbsstaendigkeit abzuschalten und/oder, das ist sowieso besser, bei jedem up-date erst zu fragen obs installiert werden kann/darf. ist zwar nervig, aber du siehst jetzt was los ist. g

wenns sowieso ein aeltere lapi ist, warum muss der sich mit hochmodernen progis abplagen, die nur rechenleistung kostet und nix bringt. (sagt jetzt blos keiner es ist nicht mehr stand der zeit).

und mit dem "Spectrum24 Event Monitor (S24EventMonitor)" weis ich nicht was das ist, im ersten mom ist mir das bischen suspect, ich les da nix gutes drueber, muss ich erst dowloaden und tests mit machen. aber bei wireless kann ich anraten muss man aufpassen, wenn das nicht gut abgesichert ist und sporadisch die datenuebertragen beobachtet wird, kann das sehr in die hosen gehen.

Datensicherung nicht vergessen?. und wenn du den lapi hochfaehrst, immer ohne netzzugang, dann sieht man auch gleich nach was er schreit (verbindungsversuch?).

aber du weist ja bescheid.

fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1