Hi, ich habe mir vermutlich (aus eigener Dummheit und Unachtsamkeit) etwas am Computer eingefangen. Nach dem Start erscheint eine Meldung dass c:\Users\Gero\AppData\Local\name.exe nicht gefunden wurde - die Datei gibt es nicht. Ausserdem will die svhost direkt ins internet - hat sie früher auch nicht gemacht. Die IP ist 65.55.50.190 was eigentlich auf Microsoft hin deutet... Wie auch immer, ich suche nun den Eintrag wo die Name.exe im Autostart hinterlegt ist. In der msconfig finde ich nicht, auch eine Suche in der Registry nach Name.exe hat nichts zu Tage gebracht. Wie komme ich nun der Datei oder dem Dienst, welcher Name.exe starten möchte auf die schliche, hat jemand eine Idee?
Gero schrieb: > Wie auch immer, ich suche nun den Eintrag wo die Name.exe im Autostart > hinterlegt ist. Autoruns https://technet.microsoft.com/de-de/sysinternals/bb963902.aspx
Perfekt, Danke! War anscheinend wirklich ein Trojaner. Für spätere googler die hier landen: Der Aufruf der name.exe erfolgt durch die 4PcnGK.exe welche in c:\ProgramData\ zu finden ist! Die Datei sollte gelöscht werden. Der Windows Starteintrag hängt in der Registry unter RunOnce, wird dort aber nie gelöscht, deswegen wird die Datei bei jedem Systemstart aufgerufen. Den Eintrag findet man, wenn man die Registry eben nach 4PcnGK.exe durchsucht. Die Datei heißt immer gleich, es ist kein Random-Name!
Viren-Scanner? !!! Neuinstallation? !!! Oder sollen die Trojaner noch weiter verbreitet werden? kopfschüttel
Gero schrieb: > die Datei gibt es nicht. Das ist ja schonmal Glück. Vielleicht hat sie dein Virenscanner gelöscht. Georg
Desinfektor schrieb: > Viren-Scanner? !!! > Neuinstallation? !!! > > Oder sollen die Trojaner noch weiter verbreitet werden? > > kopfschüttel Du bist echt der härteste PC-Profi auf Gottes großer Erde!!111 Der eigentliche Trojaner (nicht virus!!!) wurde sofort nach der infektion gelöscht. Zurück geblieben ist der autostarteintrag des kopierskriptes, also von autoit! Aber wenn du großer Larry sagst dass das nicht ausreicht, dann vernichte ich jetzt die HDD und brenn' den Rechner ab! Kopfschüttel
Gero schrieb: > Du bist echt der härteste PC-Profi auf Gottes großer Erde!!111 > Der eigentliche Trojaner (nicht virus!!!) wurde sofort nach der > infektion gelöscht. Zurück geblieben ist der autostarteintrag des > kopierskriptes, also von autoit! Und woher willst du wissen, das sich dabei nicht noch andere Viren an anderen Orten eingenistet haben? Ein Virus kommt selten allein. Und ein Trojaner bezeichnet Übrigens nur eine Art von Virus, nämlich alle Viren die zusammen mit oder getarnt als etwas anderes kommen. > Aber wenn du großer Larry sagst dass das nicht ausreicht, dann vernichte > ich jetzt die HDD und brenn' den Rechner ab! Etwas radikal, aber durchaus Effektiv. Es ist tatsächlich die einzige Möglichkeit, sicherzustellen, dass wirklich alle Viren vernichtet wurden.
Hallo, Daniel A. schrieb: > Und woher willst du wissen, das sich dabei nicht noch andere Viren an > anderen Orten eingenistet haben? das kannst nichtmal Du mit absoluter Sicherheit von Deinem System behaupten. Eine passender zero-Day Exploit, ein Klick auf einen falschen Link o.ä., wo sich immernoch alles normal verhält usw. > Ein Virus kommt selten allein. Und ein > Trojaner bezeichnet Übrigens nur eine Art von Virus, nämlich alle Viren > die zusammen mit oder getarnt als etwas anderes kommen. Naja, Virus hat eigentlich mal die Schadprogramklasse bezeichnet, die eine eigene Verbreitungsroutine hat. Die sind recht selten geworden, weil die Wege dafür immer weniger geworden sind bzw. besser abgesichert wurden. Disketten, wo generell vom System nach einem Boorsektor gesucht wurde, USB-Sticks und HDs, wo per Autorun im Hintergrund zugeschlagen wurde usw. Trojaner sind Programe, die sich möglichst als etwas anderes ausgeben. Meist werden nur Lader hinterlegt, die dann aus dem Netz nachladen, was gerade passt. Das kann prinzipiell auch Tage nach der Infektion passieren. Bei den heutigen Trojanern muß der User meist (ungewollt) etwas mithelfen. Mailanhang öffnen, passende Webseite aufrufen, runtergeladenes Programm installieren oder starten usw. Präpariertes Produkt-PDF auf einer Lieferantenseite velinkt, eine Acrobat-Lücke, die noch offen war und schon hatte ich etwas Arbeit mit dem Rechner. Natürlich hatte der Betreffende seit ein paar Tagen den update-Hinweis mit "später" beantwortet. Der wollte Arbeiten und nicht updaten... Kamen ja damals dauernd, die Sicherheitsupdates. Daran hat sich auch nicht viel geändert, das größte Problem sitzt vor dem Computer und da muß man auch zuerst ansetzen. Gruß aus Berlin Michael
Michael U. schrieb: > Daniel A. schrieb: >> Und woher willst du wissen, das sich dabei nicht noch andere Viren an >> anderen Orten eingenistet haben? > > das kannst nichtmal Du mit absoluter Sicherheit von Deinem System > behaupten. > Eine passender zero-Day Exploit, ein Klick auf einen falschen Link o.ä., > wo sich immernoch alles normal verhält usw. Das stimmt, aber mein Risiko ist sehr viel geringer. Ich nutze nur Linux Systeme, für welche es weniger Viren gibt. Ich lade Programme nur über die Paketverwaltung herunter, und führe keine fremden Skripts aus die ich nicht vollständig durchgelesen & Verstanden habe. Ich arbeite auch nicht als root, und überprüfe gelegentlich die Dateien aller installierten Programme & Configfiles auf Änderungen mittels debsums, gelegentlich auch per live cd. Eventuell automatisiere ich dass auch mal, über audit oder so. Natürlich habe ich dann immer noch ein minimales Restrisiko, ein Virus zu übersehen. Deshalb habe ich mein Backup so eingerichtet, dass es sich jede Nacht zu meinem System verbindet um die Daten zu kopieren, aber sich nichts auf zum Backupserver verbinden kann. Dadurch bin ich für den Fall, mir irgendwie Ransomware einzufangen, ebenfalls vorbereitet und kann einfach das letzte Backup zurück spielen. Und dann habe ich noch überall ein Grub und BIOS-Passwort gesetzt, und verwende UEFI mit Secure Boot. Fremde Zertifikate habe ich soweit wie möglich aus meinen Systemen entfernt, insbesondere die von MS. Das Bios habe ich aber noch nicht ersetzt, die Intel Management Engine noch nicht deaktiviert, und meine Festplatten habe ich noch nicht verschlüsselt, und ich muss meine Funktastatur dringend gegen eine Kabeltastatur ersetzen. Gegen staatliche Spionage habe ich mich abgesichert, indem ich Mailserver, DNS & co. selbst Hoste. Der Umstieg von Google auf DuckDuckGo ist mir noch nicht ganz gelungen. Und ich muss noch mein Android Phone ersetzen, dass ich seit mein Ubuntu Phone Physisch kaputt gegangen ist wieder verwende, und ich noch keinen Ersatz gefunden habe, der mich vollständig überzeugt. Und dann habe ich noch SSH-Tunnel von allen Geräten in einen LXC Container auf meinem Server, mit dem ich den SSH Port dieser Geräte zu diesem weiterleite. Falls diese gestohlen würden, und mit dem Internet verbunden werden, kann ich mich darauf Verbinden und nachsehen wer das Ding hat. Dann habe ich noch einen 2ten öffentlichen W-Lan, der alles über einen Tor Transparent Proxy umleitet, für Dinge die mein ISP nicht unbedingt wissen muss. Und meine Server aktualisiere ich über die offiziellen Repositories im Tor Netz, für Ende zu Ende Verschlüsselung usw. Und ich verwende kein Systemd, damit ich alle Dienste und Features meiner Systeme kenne. Und dann bekomme ich noch eine E-Mail und eine Twitter Nachricht von meinem Twitter Bot bei jedem Login auf meinem Server, egal ob über su, direkt an den TTYs, über SSH oder sonst wie. Natürlich gibt es immer noch zahlreiche Dinge die ich noch sicherer machen oder Verbessern könnte, und immer noch gewisse Restrisiken, aber ich denke das alles ist schonmal ein Anfang.
Daniel A. schrieb: > und führe keine fremden Skripts aus die ich nicht vollständig > durchgelesen & Verstanden habe Du lässt also in Deinem Webbrowser Javascript praktisch nie zu?
Doch, dass schon. Ich meinte hauptsächlich Shellscripts. JavaScript ist nicht viel unsicherer als andere Inhalte. Der letzte Firefox exploit den das FBI damals verwendet hatte basierte beispielsweise auf einem Bug in der Verarbeitung von Animationen in SVG Grafiken. Es gab auch schon Exploits, welche Musikdateien ausnutzten, etc. Das meiste an JavaScript basierten Vieren wird vermutlich sowieso von meinem DNS Basierten AD Blocker abgefangen. Vermutlich sollte ich die Dateisystemzugriffe des Browsers noch mit selinux oder apparmor weiter einschränken, und/oder in ein chroot oder LXC Container oder etwas vergleichbares packen, aber dazu hatte ich noch keine zeit.
Daniel A. schrieb: > Vermutlich sollte ich die Dateisystemzugriffe des > Browsers noch mit selinux oder apparmor weiter einschränken usw. - man kann sich natürlich die Unverwundbarkeit des eigenen Systems zur Lebensaufgabe machen, und du hast da sicher schon viel erreicht, aber ist das wirklich der Sinn des persönlichen Computers? Da gehe ich doch lieber mit dem Hund spazieren (und den reibe ich auch nicht ringsum mit Gift ein damit er sich keine Zecken einfängt). Aber wenns Spass macht, jeder hat so seine Vorlieben. Die meisten User aber träumen nicht nachts von Firewalls und Scriptblockern. Georg
Gero schrieb: > ich habe mir vermutlich (aus eigener Dummheit und Unachtsamkeit) etwas > am Computer eingefangen. Also wenn ich Unregelmäßigkeiten entdecke, dann brate ich immer das letzte Systemabbild über. Irgendwelche eigenen Reparaturversuche mache ich nicht.
Gero schrieb: > dann vernichte > ich jetzt die HDD und brenn' den Rechner ab! Löschen und Komplettsicherung eines bekannt sauberen Abbilds zurückspielen sollte reichen, das ist die übliche Vorgehensweise. Die ganze Hardware gleich komplett auszutauschen wird meist nicht praktiziert, auch wenn Szenarien denkbar sind die auch das erfordern.
Bernd K. schrieb: > Die > ganze Hardware gleich komplett auszutauschen wird meist nicht > praktiziert, auch wenn Szenarien denkbar sind die auch das erfordern. Das hat doch eine Einrichtung (Behoerde oder Uni) hier in Deutschland gebracht. Eine Uni (nicht in Deutschland) wollte nach einem Vortrag ueber die Snowdenenthuellungen den Beamer vernichten um keine Probleme mit NSA & Co. zu bekommen. Im Beamer haetten sich ja geheime Informationen festsetzen koennen und so...
Gero schrieb: > Du bist echt der härteste PC-Profi auf Gottes großer Erde!!111 > Der eigentliche Trojaner (nicht virus!!!) wurde sofort nach der > infektion gelöscht. Zurück geblieben ist der autostarteintrag des > kopierskriptes, also von autoit! Du musst hier fragen, wie man einen Autostarteintrag findet, aber fühlst Dich kompetent, das Wissen anderer Leute zu beurteilen? Geh' spielen! "PC-Profi" bist Du definitiv nicht, eher Mausschubser.
Daniel A. schrieb: > Doch, dass schon. Ich meinte hauptsächlich Shellscripts. JavaScript ist > nicht viel unsicherer als andere Inhalte. Unsinn. Remote ausgeführte Scripte im Allgemeinen und JS im Besonderen ist DIE Einladung für Malware an sich. Die allermeisten der in den letzten fünf Jahren bekannt gewordenen Angriffe auf Webbrowser, Mailclients (und Plugins für beides) funktioniert ohne aktiviertes Scripting einfach garnicht oder wäre zumindest um ein Vielfaches schwieriger umzusetzen. Viele der ausgenutzten Sicherheitslücken erlauben ohne Scripting maximal einen DoS-Angriff auf das Plugin/Browser/MUA (sprich: der Dreck stürzt einfach nur unkontrolliert ab), erst durch das Scripting wird ein wirklich gefährlicher Angriff daraus (in dem Sinne, dass der Angreifer am Ende seinen Schadcode zum Laufen bringen kann). SO sieht das in Wirklichkeit aus. Und jedem, der was von der Sache versteht, war schon vor 20 Jahren klar, daß es genau so kommen würde. Die Werbewirtschaft wollte aber "aktive Inhalte" und Milliarden von hirnlosen Idioten fliegen darauf wie Schmeissfliegen auf Scheisse. Ist ja alles so schön bunt und so toll animiert...
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.