Seit ca. 2 Monaten poppt die im Anhang befindliche Meldung ca. ein- bis zweimal pro Tag bei mir auf. - Windows 7 32bit - Avast free - Suche im Forum "EternalBlue" ergab keine Resultate Über diese Art von Virus habe ich mich bereits belesen. WannaCry(ptor) etc. Derjenige, der diesen Virus angeblich bekämpfen wollte, ist ja nun selbst in den Mühlsteinen der Justiz gelandet. Diesem wird vorgeworfen, selbst an "Kronos" beteiligt gewesen zu sein. http://www.faz.net/aktuell/gesellschaft/kriminalitaet/wannacry-retter-wegen-eigener-schadsoftware-festgenommen-15136078.html Für mich von Interesse wäre, ob es auch andere User gibt, die mit diesen Angriffen zu kämpfen haben. In erster Linie mit dem mehrfachen Geklingel von Avast, wenn Avast einen weiteren Angriff erkennt. Danke im Voraus!
Angehängte Dateien:
-
EternalBlue.jpg
19 KB
ohne die genauen Umstände zu kennen: "smb://" liest sich wie eine externe Quelle, eventuell hast du eine "Virenschleuder" im LAN ?
Daß da ein verstümmelter Pfad angezeigt wird, man also mit der Angabe gar nichts anfangen kann, spricht wirklich sehr für "avast".
Rufus Τ. F. schrieb: > Daß da ein verstümmelter Pfad angezeigt wird, man also mit der Angabe > gar nichts anfangen kann, spricht wirklich sehr für "avast". Du setzt voraus, dass diese Meldung wirklich von dem völlig unnützen Avast-Krams kommt... Ich würde aber eher darauf tippen, dass das nicht der Fall ist, es sich im Gegenteil um den Versuch einer Malware handeln, den Benutzer dazu zu verleiten, ihr zu einer erfolgreichen systemweiten Infektion behilflich zu sein. Sehr wahrscheinlich poppt nämlich als nächstes nach dem Klick auf irgendein aktives Element der Meldung der UAC-Dialog auf und alle Volltrottel nicken den natürlich roboterhaft ab, denn er kommt aus ihrer beschränkten Sicht ja wohl irgendwie von Avast oder hängt irgendwie damit zusammen... Manche Leute lernen es halt nie, einfach nur mal zu DENKEN... Und ja: wer auch nur den Hauch einer Ahnung hat, kann sehr leicht herausfinden, woher der Dialog wirklich stammt. Man braucht nur alle Prozesse des eigenen Accounts abzuschiessen, irgendwann muss der Dialog verschwinden. Und (sehr wahrscheinlich) wird das kein Prozess sein, der zu Avast gehört, sondern er wird im Kontext eines Mailprogramms oder eines Webbrowsers oder der Shell (sprich: explorer.exe) angezeigt werden... Man braucht bloß die üblichen Verdächtigen aus diesen Kategorien zu schließen. Verschwindet allein dadurch auch dieser Dialog (oder läßt sich der Prozess nicht schliessen), ist die Sache bereits klar. Das Benutzerprofil gehört dann bereits der Malware und von der systemweiten Infektion trennt die Malware nur noch der fehlende Klick in der UAC... BTW: Es ist zwar unwahrscheinlich, aber natürlich trotzdem denkbar, dass ich falsch liege und der Kram wirklich von Avast kommt. Dann wäre anzunehmen, dass Avast einfach nur seinen Job tut und es irgendwo im LAN tatsächlich ein infiziertes Gerät gibt, möglicherweise auch der lokale Rechner. Dann wäre natürlich dieses Gerät zu finden, was mittels Wireshark leicht möglich wäre. Da dann einmal kräftig mit dem Vorschlaghammer drauf und es ist Ruhe. Wenn es nicht gerade ein embedded Gerät ist, kann man statt dessen natürlich auch das OS auf diesem Gerät neu installieren...
@ Autor: c-hater (Gast) > ... alle Volltrottel nicken den natürlich roboterhaft ab, denn er kommt > aus ihrer beschränkten Sicht ... Man merkt, dass aus dir die Erfahrung spricht.
c-hater schrieb: > Man braucht nur alle > Prozesse des eigenen Accounts abzuschiessen, irgendwann muss der Dialog > verschwinden. Oder Process Explorer runterladen und das Fenster anwählen.
Michael schrieb: > Man merkt, dass aus dir die Erfahrung spricht. Jepp. Irgendwann habe ich in einem Anfall völliger Unterschätzung des Risikos durch generische DAUs mal einen Arbeitsvertrag als Admin-Cheffe unterschrieben. Wegen wenigen hundert Euro mehr. Ich Vollidiot, ich hätte einfach nur Senior-Programmierer bleiben sollen...
c-hater schrieb: > Es ist zwar unwahrscheinlich, aber natürlich trotzdem denkbar, dass ich > falsch liege und der Kram wirklich von Avast kommt. Dann wäre > anzunehmen, dass Avast einfach nur seinen Job tut und es irgendwo im LAN > tatsächlich ein infiziertes Gerät gibt, möglicherweise auch der lokale > Rechner. Würde Avast hier tatsächlich seinen Job tun, würde es keinen verstümmelten und vor allem aus Windows-Sicht auch unüblichen Pfad anzeigen. Windows selbst nutzt zwar natürlich SMB, aber ein SMB-Pfad wird unter Windows nicht mit smb:// eingeleitet Richtig nutzlos aber wird diese Anzeige durch die Ellipse, die unmittelbar darauf folgt. Ich halte es für durchaus nicht unwahrscheinlich, daß diese Meldung tatsächlich von Avast kommt; viele "Virenscanner" und "360°-Internet-Sicherheit"-Rundum-Schutz-Programme bestehen überwiegend aus Schlangenöl, und viel Entwicklungsaufwand wird in mehr oder weniger sinnlose, unpraktische und nicht den eh laxen GUI-Designrichtlinien entsprechende Oberflächen gestopft, damit der stolze Käufer den Eindruck gewinnt, sein Schlangenöl wäre nützlich. Ein tatsächlich ernstzunehmender Virenscanner würde den vollständigen Pfad anzeigen, und er würde, sofern es sich um einen Prozess handelt, vollständige Informationen über diesen anzeigen (PID, Pfad zum Binary etc.). Der Vorschlag, alle Prozesse des eigenen Kontos abzuschießen, um herauszufinden, von welchem Prozess ein bestimmtes Fenster dargestellt wird, ist hingegen drollig.
Beitrag #5102142 wurde vom Autor gelöscht.
Danke für Euer feedback. Unabhängig davon, was die Meldung letztendlich auslöst, bin ich in weiterer Ungewißheit erst einmal dankbar, dass "irgendetwas" blockiert wurde. Ob der Komplexität dieses Sachverhaltes kann man nur abwarten, dass, wenn es tatsächlich Penetrationsversuche von außen sind, diese bald nicht mehr auftreten. Config: TAE -> Splitter -> DSL-Modem -> Onboard Netzwerkkarte -> PPPOE Mit Port Explorer (& WhoIs) mitgeplottete Telegamme haben keine (für mich) auffällige(n) Quelle(n) ergeben.
Rufus Τ. F. schrieb: > Ein tatsächlich ernstzunehmender Virenscanner Nicht jeder Virenscanner findet alles. Starte mal eine Diagnose-CD mit aktuellem Virenscanner wenn DEIN System nicht läuft.
oszi40 schrieb: > Rufus Τ. F. schrieb: >> Ein tatsächlich ernstzunehmender Virenscanner > > Nicht jeder Virenscanner findet alles. Starte mal eine Diagnose-CD mit > aktuellem Virenscanner wenn DEIN System nicht läuft. genauer: wenn ein virenscanner etwas meldet, muss das nicht heißen das da tatsächlich etwas ist, und wenn ein virenscanner nichts meldet, muss das nicht heißen das da nichts ist. der tip mit der diagnose-cd ist aber ok. am besten eine mit aktuellen signaturen (gibts so cd's mit live update?), und noch besser mit verschiedenen scannern.
c.m. schrieb: > der tip mit der diagnose-cd ist aber ok. am besten eine mit aktuellen > signaturen (gibts so cd's mit live update?), und noch besser mit > verschiedenen scannern. Klar. Man muß sich nur informieren. Hinterhergetragen wird es einem nicht. Seit Jahren gibt es da das Desinfec't von der c't. Da sind drei oder vier drauf. Und einmal im Jahr gibt es ein Sonderheft zur Computersicherheit. Ist aber nichts für Geizhälse! Kostet Geld, etwa 1/2 Kasten Bier.
D. V. schrieb: > Ob der Komplexität dieses Sachverhaltes kann man nur abwarten, dass, > wenn es tatsächlich Penetrationsversuche von außen sind, diese bald > nicht mehr auftreten. Keiner hat geschrieben, das es sich um solche handeln könnte.
D. V. schrieb: > Config: TAE -> Splitter -> DSL-Modem -> Onboard Netzwerkkarte -> PPPOE Oh. Das ist ... mutig, denn das bedeutet, daß Du Dich komplett auf die Software-Firewall Deines Betriebssystems (Windows) verlassen musst. NAT-Router sind hier eine günstige und sehr hilfreiche zusätzliche Isolationsschicht.
EternalBlue ist als Basis von WannaCry eine Lücke, die Angriffe von aussen zulässt, ohne Mitwirkung des Anwenders zu benötigen. Dieses "aussen" kann sich bei den üblichen Heimnetzen mit Router wie die Fritzen auf ebendieses Heimnetz beschränken. Das hiesse bei so einer Meldung, dass man sich das Heimnetz man ansehen sollte. Wenn man sein System allerdings direkt ins Internet hängt, dann ist man unweigerlich permanent Angriffen aller Art ausgesetzt und sollte sich nicht wundern, wenn Scanner, die den Netztraffic mitschnüffeln, ab und zu anschlagen. Das ist dann normal. Ich würde aber dringend davon abraten, ohne solide Kenntnis von Netzwerk- und Sicherheitsgrundlagen, ein System so zu betreiben. Prinzipiell kann man das zwar schon machen, sollte dann sich aber mit der Windows Firewall sehr eingehend beschäftigen,. Und auch mit den Windows Services, bei denen man alles abschalten sollte, was nicht zwingend benötigt wird. Virenscanner sind in diesem Szenario möglicherweise mehr Schaden als Nutzen. Nicht nur suggerieren sie eine Sicherheit, die sie nicht wirklich garantieren können. Sondern sie enthalten auch selbst Bugs, die dann aufgrund ihres tiefen Eingriffs in das System Exploits mehr Raum geben als es ein von Scannern freie System möglichweise böte.
D. V. schrieb: > Ob der Komplexität dieses Sachverhaltes kann man nur abwarten, dass, > wenn es tatsächlich Penetrationsversuche von außen sind, diese bald > nicht mehr auftreten. Träum weiter. Direkt im Internet platziert werden Angriffe nie aufhören. Sie werden wechseln, vielleicht mal Pause machen, aber nie wirklich auf Dauer verschwinden. In normalen NAT-Routern oder PC-Firewalls kriegt man das nur nicht zu sehen, weil der normale Anwender damit auch nicht viel anfangen kann.
Und bei Avast mal zu fragen ist zu einfach? Ich meine die sollten doch wissen... Aber gut, ich bin naiv und denke sowieso immer das alles einfach ist...
Rufus Τ. F. schrieb: > Richtig nutzlos aber wird diese Anzeige durch die Ellipse, die > unmittelbar darauf folgt. Solche Fenster haben nur begrenzt Platz. Es wäre aber durchaus möglich, dass die vollständige Information in einem Logfile steckt. Man sollte auch bedenken, wer davon adressiert wird. Der Admin - oder der Normalanwender, den man nicht mit zu viel für ihn wertloser Information beglücken will.
c-hater schrieb: > Du setzt voraus, dass diese Meldung wirklich von dem völlig unnützen > Avast-Krams kommt... > > Ich würde aber eher darauf tippen, dass das nicht der Fall ist, es sich > im Gegenteil um den Versuch einer Malware handeln, den Benutzer dazu zu > verleiten, ihr zu einer erfolgreichen systemweiten Infektion behilflich > zu sein. > Gerät ist, Aus der Sammlung berühmter letzter Sprüche: "Chef, die Hydraulik-Leuchte blinkt! --- Jungchen, da hat bestimmt bloss die Leuchte einen Wackelkontakt. Flieg weiter." So was ist zwar schon möglich. Sollte einen aber nicht daran hindern, es ernst zu nehmen. Man muss ja nicht drauf klicken, aber einen Scan auf reguläre Weise auszulösen schadet nicht. Vorzugsweise offline, wie schon berichtet. Mal vorausgesetzt es lohnt, wie ich vorhin skizzierte.
:
Bearbeitet durch User
A. K. schrieb: > Solche Fenster haben nur begrenzt Platz. Das ist hier keinerlei Rechtfertigung. Schon zu Zeiten von Windows 3.1 gab es funktionierende Mittel und Wege, derartige Informationen anzuzeigen, auch wenn das Fenster aus Designgründen nicht groß genug war. Textfelder kennen Scrollbalken, die man sogar automatisch nur dann einblenden lassen kann, wenn nötig. Nein, das ist einfach nur lausig schlechtes Design. Platzverschwendend und uninformativ. Wie bei aufmerksamkeitsheischendem Schlangenöl halt üblich.
Rufus Τ. F. schrieb: > Wie bei aufmerksamkeitsheischendem Schlangenöl halt üblich Ich dachte schon, die harten Virenschutzgegner wären allmählich ausgestorben, aber ab und zu kriecht doch wieder einer aus seinem Loch. Wahrscheinlich erledigt sich der Unsinn erst, wenn sie wirklich alle biologisch gestorben sind. Eine IT-Welt, indem niemand einen Virenschutz verwendet möchte ich mir lieber nicht vorstellen. Georg
Georg schrieb: > Ich dachte schon, die harten Virenschutzgegner wären allmählich > ausgestorben, aber ab und zu kriecht doch wieder einer aus seinem Loch. Du hast den Unterschied zwischen (nötigem) Virenschutz und (überflüssiger) Schlangenölsoftware nicht verstanden. Eine funktionierende Virenschutzsoftware wendet nicht 90% der Entwicklerkapazitäten auf ein tolles, "informatives" und schickes GUI auf, eine funktionierende Virenschutzsoftware erzeugt keine nichtssagenden, uninformativen und verstümmelten Meldungen wie die da oben. Stattdessen schützt sie vor Schadsoftware, und gibt bei deren Auftreten klare und vollständige Informationen aus.
Rufus Τ. F. schrieb: ... > Eine funktionierende Virenschutzsoftware wendet nicht 90% der > Entwicklerkapazitäten auf ein tolles, "informatives" und schickes GUI > auf, eine funktionierende Virenschutzsoftware erzeugt keine > nichtssagenden, uninformativen und verstümmelten Meldungen wie die da > oben. > > Stattdessen schützt sie vor Schadsoftware, und gibt bei deren Auftreten > klare und vollständige Informationen aus. Was empfiehlst Du dann, Stand heute, für gängige Betriebssysteme, als "funktionierende Virenschutzsoftware"? Gängig im Sinne von: - Win7 - Win8..10 - Linux - iOS Danke Dir, marcus
darf ich mal mit etwas Offtopic reinkrätschen!? Oben steht dass der TO mutig ist, weil er mit seinem DSL-Modem direkt am PC (bzw. am Splitter) hängt. In wiefern schütz da z.B. eine Fritzbox die noch eine Standardkonfiguration hat. Ich habe bei meiner 7390 unter Firewall nichts ver- oder eingestellt. Ich habe mich da schon ein paar mal gefragt ob das so sinnvoll und empfehlenswert ist. Ist die firewall bei einem Router automatisch entsprechend konfiguriert oder ist das einfach nur dämlich was ich hier mache??
Kein Netzwerk-Spezi schrieb: > In wiefern schütz da z.B. eine Fritzbox die noch eine > Standardkonfiguration hat. Das ist ein NAT-Router, d.h. von "außen" kommende Datenpakete werden vom Router gar nicht erst an den an den Router angeschlossenen PC weitergeleitet. Das geschieht nur, wenn diese Pakete Reaktion auf eine vom PC initiierte TCP-Verbindung sind (d.h. z.B. Antworten auf HTTP-Anfragen an einen Webserver). Ausnahmen kann man mittels Port-Forwarding einrichten, dann werden auch unaufgefordert zugestellte Datenpakete für den betreffenden Port an den PC weitergeleitet, aber das ist nicht Bestandteil der Standardkonfiguration eines NAT-Routers. Insofern ist ein NAT-Router --egal welcher-- ein guter, wenn auch natürlich nicht perfekter Schutz vor Angriffen von "außen". Eine Firewall im eigentlichen Sinne stellt das noch gar nicht dar; mit der kann man in der Fritzbox auch ausgehenden Datenverkehr sperren (z.B. bestimmten PCs im eigenen Netzwerk das Versenden von Emails verbieten). Das von mir als "mutig" bezeichnete Konzept verlässt sich darauf, daß all diese sicherheitsrelevanten Dinge von der Windows-Firewall übernommen werden, daß diese perfekt und störungsfrei funktioniert und daß der vorgelagerte PPOE-Treiber sowie der Netzwerkkartentreiber selbst ebenfalls keinerlei Sicherheitslöcher aufweisen. Also: Die Fritzbox in ihrer Standardkonfiguration zu betreiben ist sinnvoll und sicher, weiterer Konfigurationsaufwand ist in den meisten Fällen unnötig.
:
Bearbeitet durch User
Danke Rufus! sehr verständlich erklärt und ich kann ruhigen gewissen (weiter-)schlafen ;-)
Beitrag #5103815 wurde von einem Moderator gelöscht.
Beitrag #5103828 wurde von einem Moderator gelöscht.
Beitrag #5103854 wurde von einem Moderator gelöscht.
Beitrag #5103943 wurde von einem Moderator gelöscht.
Was soll das eigentlich werden? Provozieren bis du rausfliegst? Um die Sache gehts dir ja sowas von offensichtlich nicht.
:
Bearbeitet durch User
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.