Discussion:
Merkwürdiges Windows 7
(zu alt für eine Antwort)
Uwe Forner
2011-09-17 10:12:24 UTC
Permalink
Hallo,
ich hatte einen Post zu diesem Thema bereits in d.c.o.m.n eingestellt,
aber keine befriedigende Antwort erhalten.
Es geht um folgendes:

Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.

Ansonsten konnte keine Veränderungen am System feststellen.
Namensauflösung erfolgt normal, die angefragten Banken waren lt.
Zertifikat auch die richtigen.

Seit meinem ersten Post (in d.c.o.m.n) habe ich mit verschiedenen
Scannern, unter anderem auch mit dem aktuellen von F-Secure von CD und
von meinem Linux aus (OpenSuSE auf einer anderen Platte) gescannt, aber
keinen relevanten Eintrag finden können.

Welcher Virus/Trojaner oder was auch immer kann das sein und wie
beseitigt man den.

Auffällig war, das ich feststellen musste, das es immer zuerst Probleme
mit der Maus gab, die hat immer eine Zeitlang nicht funktioniert.
Hat hier jemand ähnliche Probleme gehabt?

Ciao
Uwe
Christoph Sternberg
2011-09-17 13:24:03 UTC
Permalink
Post by Uwe Forner
Welcher Virus/Trojaner oder was auch immer kann das sein
Keine Ahnung, ist im Prinzip auch wurscht.
Post by Uwe Forner
und wie
beseitigt man den.
System plattmachen und neu aufsetzen.

Christoph Sternberg */\
Uwe Forner
2011-09-17 14:15:40 UTC
Permalink
Post by Christoph Sternberg
Keine Ahnung, ist im Prinzip auch wurscht.
Mir nicht. Muss ja ne Ursache haben. Es ist bestimmt wichtig zu wissen,
wo das herkommt.
Post by Christoph Sternberg
System plattmachen und neu aufsetzen.
In etwas mehr als zwei Wochen hab ich das schon dreimal gemacht. Hab
auch eine andere Verwendung für mein Zeit.

Ciao
Uwe
Helmut Hullen
2011-09-17 14:27:00 UTC
Permalink
Hallo, Uwe,

Du meintest am 17.09.11:

[Virus-Verdacht]
Post by Uwe Forner
Post by Christoph Sternberg
System plattmachen und neu aufsetzen.
In etwas mehr als zwei Wochen hab ich das schon dreimal gemacht. Hab
auch eine andere Verwendung für mein Zeit.
Dann benutzt Du ungeeignetes Werkzeug; derzeit scheinen einige Viren
über Browser und Webseiten einzufliegen.

Wenn Du auf Deinem Rechner den DNS-Server einstellst, dann klingt das
nach einer Verbindung ins Internet per DSL-Modem. Ist eigentlich
durchaus zuverlässig und stabil, aber vielleicht solltest Du mal
überlegen, auf einen "DSL-Router" umzusteigen - muss nicht neu sein,
muss nicht von AVM sein, muss nicht teuer sein (gebraucht für vielleicht
etwa 10 Euro).

Viele Gruesse!
Helmut
Uwe Forner
2011-09-17 17:12:37 UTC
Permalink
Post by Helmut Hullen
Post by Christoph Sternberg
System plattmachen und neu aufsetzen.
Hallo, wie gesagt einmal im Monat wäre vielleicht akzeptabel, inmal pro
Woche definitiv nicht.
Post by Helmut Hullen
Dann benutzt Du ungeeignetes Werkzeug; derzeit scheinen einige Viren
über Browser und Webseiten einzufliegen.
Ich nehme immer dieselbe (gekaufte) Installations-CD ...

Liege mit meinem kleinen Heimnetz hinter einer AVM 7270, hat mich
seinerzeit fast 200,- EUR gekostet und ich bin sehr zufrieden damit ...

Merkwürdig ist, alle anderen PC (3 Win7, zwei WinXP, ein Debian 6 -
Server - haben keine Probleme.

Ciao
Uwe
Helmut Hullen
2011-09-18 12:47:00 UTC
Permalink
Hallo, Uwe,
Post by Uwe Forner
Post by Helmut Hullen
Dann benutzt Du ungeeignetes Werkzeug; derzeit scheinen einige Viren
über Browser und Webseiten einzufliegen.
[...]
Post by Uwe Forner
Merkwürdig ist, alle anderen PC (3 Win7, zwei WinXP, ein Debian 6 -
Server - haben keine Probleme.
Liegen auf allen anderen Windows-Rechnern die gleichen Programme, werden
alle anderen Windows-Rechner von den gleichen Personen benutzt?

Viele Gruesse!
Helmut
Juergen Ilse
2011-09-21 16:19:30 UTC
Permalink
Hallo,
Post by Uwe Forner
Post by Helmut Hullen
Post by Christoph Sternberg
System plattmachen und neu aufsetzen.
Hallo, wie gesagt einmal im Monat wäre vielleicht akzeptabel, inmal pro
Woche definitiv nicht.
Dann ueberlege, wie du deinen Rechner sicherer konfigurieren und sinn-
voller damit umgehen kannst. Dazu gehoeren u.a. *alle* auf dem Rechner
installierte Software aktuell halten (d.h. verfuegbare Security-Patches
einspielen, Software mit bekannten ungepatchten Sicherheitsluecken meiden,
sichere Konfiguration des Rechners, fuer alltaegliches arbeiten auf Admi-
nistratorrechte verzichten).
Post by Uwe Forner
Post by Helmut Hullen
Dann benutzt Du ungeeignetes Werkzeug; derzeit scheinen einige Viren
über Browser und Webseiten einzufliegen.
Ich nehme immer dieselbe (gekaufte) Installations-CD ...
Die einzige chance, einen kompromittierten Rechner wieder in einen sicher
uznkompromittierten Zustand zu bekommen, ist aber nun mal platt machen
und neu aufsetzen. Versuche zu ermitteln, welche moeglichen einfallswege
es fuer Schadsoftware gibt, und *schliesse* sie, *bevor* du den Rechner
wieder an oeffentlichen Datennetzen betreibst. Wenn du das nicht selbst
kannst, zieh jemanden zu rate, der sich damit auskennt. Nein, Nachfragen
im Usenet ersetzt kein Fachwissen und auch nicht den Experten vor Ort.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Uwe Forner
2011-09-21 19:24:43 UTC
Permalink
Hallo,
Post by Juergen Ilse
Dann ueberlege, wie du deinen Rechner sicherer konfigurieren und sinn-
voller damit umgehen kannst. Dazu gehoeren u.a. *alle* auf dem Rechner
installierte Software aktuell halten (d.h. verfuegbare Security-Patches
einspielen, Software mit bekannten ungepatchten Sicherheitsluecken meiden,
sichere Konfiguration des Rechners, fuer alltaegliches arbeiten auf Admi-
nistratorrechte verzichten).
der Tip ist echt gut, hast Du auch wirklich alles hier gelesen? Deine
Ergüsse passen aber nicht zur Fragestellung. Noch mal für Dich, es geht
nicht so sehr um das "Wie" (das ist durchaus klar und keine Gegenstand
dieses Postings) sonder um das "Warum" und "Durch wen"). Wenn auf einem
Rechner neue, bisher unbekannte Probleme auftauchen, sollte man s diese
gründlich analysiren und möglichst an der sogenannten "Wurzel" anpacken.
Dazu gehört durchaus auch die Kenntnis vom "Schadenverursacher".
Post by Juergen Ilse
Die einzige chance, einen kompromittierten Rechner wieder in einen sicher
uznkompromittierten Zustand zu bekommen, ist aber nun mal platt machen
und neu aufsetzen. Versuche zu ermitteln, welche moeglichen einfallswege
es fuer Schadsoftware gibt, und *schliesse* sie, *bevor* du den Rechner
wieder an oeffentlichen Datennetzen betreibst. Wenn du das nicht selbst
kannst, zieh jemanden zu rate, der sich damit auskennt. Nein, Nachfragen
im Usenet ersetzt kein Fachwissen und auch nicht den Experten vor Ort.
Das sagt alles. Ich denke es ist besser, Du verschonst uns mit Deinen
"Weisheiten". Der Sinn (und auch der Unsinn) des UseNet sollte allen,
die hier gepostet haben, durchaus bekannt sein. Dazu brauchen wir Deine
Auslassungen nicht.

Ciao
Uwe
Juergen P. Meier
2011-09-22 04:16:23 UTC
Permalink
Post by Uwe Forner
Post by Juergen Ilse
Dann ueberlege, wie du deinen Rechner sicherer konfigurieren und sinn-
voller damit umgehen kannst. Dazu gehoeren u.a. *alle* auf dem Rechner
installierte Software aktuell halten (d.h. verfuegbare Security-Patches
einspielen, Software mit bekannten ungepatchten Sicherheitsluecken meiden,
sichere Konfiguration des Rechners, fuer alltaegliches arbeiten auf Admi-
nistratorrechte verzichten).
der Tip ist echt gut,
In der Tat.
Post by Uwe Forner
hast Du auch wirklich alles hier gelesen? Deine
Im Gegensatz zu dir vermutlich schon.
Post by Uwe Forner
Ergüsse passen aber nicht zur Fragestellung. Noch mal für Dich, es geht
Hast du alles gelesen? Die Fragestellung war im Kern "wie schuetze ich
mein System vor Schadprogrammen?". Und darauf ist obiges die einzig
/sinnvolle/ Antwort.
Post by Uwe Forner
nicht so sehr um das "Wie" (das ist durchaus klar und keine Gegenstand
dieses Postings) sonder um das "Warum" und "Durch wen"). Wenn auf einem
Diese Fragen werden impliziit beantwortet: Weil alles andere Dummfug
ist. Durch den Admin.
Post by Uwe Forner
Rechner neue, bisher unbekannte Probleme auftauchen, sollte man s diese
Fuer die meisten Nutzer von Windows sind selbst triviale Probleme erst
mal unbekannt und neu.
Post by Uwe Forner
gründlich analysiren und möglichst an der sogenannten "Wurzel" anpacken.
Dazu gehört durchaus auch die Kenntnis vom "Schadenverursacher".
Was nutzt es dem Normalanwender, wenn du weist, dass dein System gerade
von Schadprogramm X, genannt Y, Variante 185 mit Nachladefunktion fuer
weithin unbekannte, weitere Schadprogramme infiziert wurde?
Post by Uwe Forner
Post by Juergen Ilse
Die einzige chance, einen kompromittierten Rechner wieder in einen sicher
uznkompromittierten Zustand zu bekommen, ist aber nun mal platt machen
und neu aufsetzen. Versuche zu ermitteln, welche moeglichen einfallswege
es fuer Schadsoftware gibt, und *schliesse* sie, *bevor* du den Rechner
wieder an oeffentlichen Datennetzen betreibst. Wenn du das nicht selbst
kannst, zieh jemanden zu rate, der sich damit auskennt. Nein, Nachfragen
im Usenet ersetzt kein Fachwissen und auch nicht den Experten vor Ort.
Das sagt alles.
In der Tat.
Post by Uwe Forner
Ich denke es ist besser, Du verschonst uns mit Deinen
"Weisheiten". Der Sinn (und auch der Unsinn) des UseNet sollte allen,
Tja, es ist echt Schade, dass es so viele Dumme gibt, die lieber
an magischen Feenstaub der AV-Produkte glauben als technische Fakten
zu akzeptieren nur weil diese nicht in ihr Weltbild passen.
Post by Uwe Forner
die hier gepostet haben, durchaus bekannt sein. Dazu brauchen wir Deine
Auslassungen nicht.
Ich muss dich aber leider Enttaeuschen, auch wenn du noch so feste
daran glaubst, es wird daraus keine Wahrheit.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Helmut Hullen
2011-09-17 14:15:00 UTC
Permalink
Hallo, Uwe,
Post by Uwe Forner
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer
als DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden.
Die IP-Adressen gehören zu einer Domain in Polen - hast Du Kontakte zu
einem User oder einer Firma in Polen?

Wenn nicht: Neu-Installation, oder Einspielen des letzten vermutlich
sauberen Backups.

Viele Gruesse!
Helmut
Jens Hektor
2011-09-17 15:36:56 UTC
Permalink
Post by Uwe Forner
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.
Zum schlauer werden Registry-Tracker verwenden:

http://technet.microsoft.com/en-us/sysinternals/bb896645

<off>keinesfalls plattmachen oder Virenscanner benutzen,
das ist "Beweismittelvernichtung"</off>
Juergen Ilse
2011-09-21 16:21:44 UTC
Permalink
Hallo,
Post by Jens Hektor
Post by Uwe Forner
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.
http://technet.microsoft.com/en-us/sysinternals/bb896645
<off>keinesfalls plattmachen oder Virenscanner benutzen,
das ist "Beweismittelvernichtung"</off>
Letzterer Ratschlag gilt dann, wenn man plant, eine forensische Analyse
durchzufuehren (oder durchfuehren zu lassen) oder wenn man plant, Anzeige
zu erstatten. Hat man beides nicht vor, ist es relativ sinnlos, den ver-
wanzten Kram aufzuheben.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Juergen P. Meier
2011-09-22 04:25:35 UTC
Permalink
Post by Juergen Ilse
Post by Jens Hektor
Post by Uwe Forner
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
****
Post by Juergen Ilse
Post by Jens Hektor
Post by Uwe Forner
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.
http://technet.microsoft.com/en-us/sysinternals/bb896645
<off>keinesfalls plattmachen oder Virenscanner benutzen,
das ist "Beweismittelvernichtung"</off>
Letzterer Ratschlag gilt dann, wenn man plant, eine forensische Analyse
durchzufuehren (oder durchfuehren zu lassen) oder wenn man plant, Anzeige
zu erstatten. Hat man beides nicht vor, ist es relativ sinnlos, den ver-
wanzten Kram aufzuheben.
Als Privatnutzer kann man hoechstens Strafanzeige gegen Unbekannt
stellen. In der Praxis duerfte sich die Staatsanwaltschaft ebenso wie
die Polizei dabei aber nicht weiter fuer den infizierten Rechner der
Privatperson interessieren, das Verfahren ob der Erfolgsaussichten
einstellen und der Anwender ist danach nicht wirklich schlauer.

Eine forensische Analyse kann durchuas Spass machen, lehrreich sein
und dem Anwender ein paar interessante Stunden bis Tage bescheren und
tiefe Einblicke in ein Windows System wie auch Schadsoftware erlauben.
Im Privatumfeld duerfte sich bei der deutlich ueberwiegenden
Mehrheit der Nutzer jedoch das Interesse an so was in engen Grenzen
halten, sobald klar wird, welcher Aufwand, wieviel Fachwissen erlernt
sein wollen, um auch nur ansatzweise sinnvoll vorzugehen.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Jens Hektor
2011-09-22 07:41:05 UTC
Permalink
Post by Juergen P. Meier
Post by Juergen Ilse
Post by Jens Hektor
http://technet.microsoft.com/en-us/sysinternals/bb896645
<off>keinesfalls plattmachen oder Virenscanner benutzen,
das ist "Beweismittelvernichtung"</off>
Letzterer Ratschlag gilt dann, wenn man plant, eine forensische Analyse
durchzufuehren (oder durchfuehren zu lassen) oder wenn man plant, Anzeige
zu erstatten. Hat man beides nicht vor, ist es relativ sinnlos, den ver-
wanzten Kram aufzuheben.
[...]
Post by Juergen P. Meier
Eine forensische Analyse kann durchuas Spass machen, lehrreich sein
und dem Anwender ein paar interessante Stunden bis Tage bescheren und
tiefe Einblicke in ein Windows System wie auch Schadsoftware erlauben.
Eben.
Post by Juergen P. Meier
Im Privatumfeld duerfte sich bei der deutlich ueberwiegenden
Mehrheit der Nutzer jedoch das Interesse an so was in engen Grenzen
halten, sobald klar wird, welcher Aufwand, wieviel Fachwissen erlernt
sein wollen, um auch nur ansatzweise sinnvoll vorzugehen.
Das ist aber nicht die Gruppe der Leute, die hier aufschlagen,
respektive nicht die Art Auskunft, die man hier erwartet.

Oder bin ich hier falsch, wenn ich schlauer werden will?

Das unreflektierte Neuaufsetzen eines Systems nach
einer *vermuteten* Infektion nenne ich in meinem
Arbeitsumfeld (Hochschule) "Beweismittelvernichtung".

Grundsätzlich ist immer der Status zu klären damit der
Anwender auch lernt, was er falsch gemacht hat.
Und das darf und soll auch Aufwand darstellen.
Helmut Hullen
2011-09-22 07:47:00 UTC
Permalink
Hallo, Jens,
Post by Jens Hektor
Post by Juergen P. Meier
Im Privatumfeld duerfte sich bei der deutlich ueberwiegenden
Mehrheit der Nutzer jedoch das Interesse an so was in engen Grenzen
halten, sobald klar wird, welcher Aufwand, wieviel Fachwissen
erlernt sein wollen, um auch nur ansatzweise sinnvoll vorzugehen.
Das ist aber nicht die Gruppe der Leute, die hier aufschlagen,
respektive nicht die Art Auskunft, die man hier erwartet.
Oder bin ich hier falsch, wenn ich schlauer werden will?
Du bist nicht "man", Du bist nicht Mustermann.
Dies ist keine Newsgroup einzig für die Supercracks. Hier fragt auch
Otto Normaluser, und er darf hoffen, eine auch für ihn verständliche und
hilfreiche Antwort zu bekommen.
Post by Jens Hektor
Das unreflektierte Neuaufsetzen eines Systems nach
einer *vermuteten* Infektion nenne ich in meinem
Arbeitsumfeld (Hochschule) "Beweismittelvernichtung".
Wenn er die Beweise gesichert hätte: was könnte er damit anfangen?
Post by Jens Hektor
Grundsätzlich ist immer der Status zu klären damit der
Anwender auch lernt, was er falsch gemacht hat.
Und das darf und soll auch Aufwand darstellen.
So darfst Du (vielleicht) mit Untergebenen umgehen. So kannst Du nicht
unbedingt mit Kunden umgehen.

(Könnte sein, dass Dir mein Ton nicht gefällt: dann wärest Du der
lernunwilige Anwender ...)

Viele Gruesse!
Helmut
Jens Hektor
2011-09-24 05:20:42 UTC
Permalink
Post by Helmut Hullen
Du bist nicht "man", Du bist nicht Mustermann.
Dies ist keine Newsgroup einzig für die Supercracks. Hier fragt auch
Otto Normaluser, und er darf hoffen, eine auch für ihn verständliche und
hilfreiche Antwort zu bekommen.
Genau. Und nichts verdummendes.

"Ich mach jede Woche mein Windows neu" ist das Resultat der Verdummung.
Post by Helmut Hullen
Post by Jens Hektor
Das unreflektierte Neuaufsetzen eines Systems nach
einer *vermuteten* Infektion nenne ich in meinem
Arbeitsumfeld (Hochschule) "Beweismittelvernichtung".
Wenn er die Beweise gesichert hätte: was könnte er damit anfangen?
Googeln? Jemanden *qualifiziert* fragen, der sich damit auskennt?
Post by Helmut Hullen
Post by Jens Hektor
Grundsätzlich ist immer der Status zu klären damit der
Anwender auch lernt, was er falsch gemacht hat.
Und das darf und soll auch Aufwand darstellen.
So darfst Du (vielleicht) mit Untergebenen umgehen. So kannst Du nicht
unbedingt mit Kunden umgehen.
S.a. mein Arbeitsumfeld. Hier ist "lernen" der zentrale
Geschäftsprozess. Das hat nichts mit Hierarchien zu tun,

S.a. Funktionsweise brain.exe
Post by Helmut Hullen
(Könnte sein, dass Dir mein Ton nicht gefällt: dann wärest Du der
lernunwilige Anwender ...)
Ich unterscheide meistens zwischen Ton und Inhalt und
passe beides an die Gegebenheiten an.
Helmut Hullen
2011-09-24 05:42:00 UTC
Permalink
Hallo, Jens,
Post by Jens Hektor
Post by Helmut Hullen
Post by Jens Hektor
Das unreflektierte Neuaufsetzen eines Systems nach
einer *vermuteten* Infektion nenne ich in meinem
Arbeitsumfeld (Hochschule) "Beweismittelvernichtung".
Wenn er die Beweise gesichert hätte: was könnte er damit anfangen?
Googeln? Jemanden *qualifiziert* fragen, der sich damit auskennt?
Und dann? "Beweismittel" brauche ich am ehesten dann, wenn ich vor
Gericht klagen will, z.B. auf Schadensersatz.

Und für Otto Normaluser dürfte eine solche Klage mindestens
uninteressant sein. Wozu also dann die möglichen Beweismittel sichern?
Post by Jens Hektor
Post by Helmut Hullen
Post by Jens Hektor
Grundsätzlich ist immer der Status zu klären damit der
Anwender auch lernt, was er falsch gemacht hat.
Und das darf und soll auch Aufwand darstellen.
So darfst Du (vielleicht) mit Untergebenen umgehen. So kannst Du
nicht unbedingt mit Kunden umgehen.
S.a. mein Arbeitsumfeld. Hier ist "lernen" der zentrale
Geschäftsprozess. Das hat nichts mit Hierarchien zu tun,
Klar - aber hier ist nicht Dein (berufliches) Arbeitsumfeld. Hier kannst
Du nicht mit Prüfung drohen und mit Diplom ködern.

Viele Gruesse!
Helmut

Peter Schreiner
2011-09-17 17:01:56 UTC
Permalink
Post by Uwe Forner
Hallo,
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.
Sollte es sich tatsächlich um einen Virus handeln (Wahrscheinlichkeit
hoch) wäre das ein Beweis dafür, dass auch das sogenannte "sicherste
Betriebssystem" (lt. Expertenmeinung) gegen Angriffe auch nicht genug
Schutz bieten kann.
Robert Jasiek
2011-09-17 17:10:30 UTC
Permalink
Post by Peter Schreiner
wäre das ein Beweis dafür, dass auch das sogenannte "sicherste
Betriebssystem" (lt. Expertenmeinung) gegen Angriffe auch nicht genug
Schutz bieten kann.
Eher Beweis dafür, dass W7 in Default-Konfiguration nicht sicher genug
ist. Es geht besser:

http://home.snafu.de/jasiek/vista_security_concept.html
Ralph Lehmann
2011-09-17 22:00:05 UTC
Permalink
Post by Robert Jasiek
Post by Peter Schreiner
wäre das ein Beweis dafür, dass auch das sogenannte "sicherste
Betriebssystem" (lt. Expertenmeinung) gegen Angriffe auch nicht genug
Schutz bieten kann.
Eher Beweis dafür, dass W7 in Default-Konfiguration nicht sicher genug
http://home.snafu.de/jasiek/vista_security_concept.html
Zitat:
2009-02-01 newest contents, 2009-02-01 last update, 2009-02-01 first day
/Zitat
Robert Jasiek
2011-09-17 22:42:54 UTC
Permalink
Post by Ralph Lehmann
2009-02-01 newest contents, 2009-02-01 last update, 2009-02-01 first day
Die einzig wirklich relevante weitere Info ist, dass man bei der
Benutzung von 64b auch noch C:\Program Files (x86) whitelisten muss.
Naja, und das Offensichtliche: Bei W7 muss man den UAC-Schieber ganz
nach oben tun. Wenn du dennoch Verständnisfragen hast, werde ich mich
bemühen, sie zu beantworten.
Ansgar -59cobalt- Wiechers
2011-09-18 16:33:44 UTC
Permalink
Post by Robert Jasiek
Post by Ralph Lehmann
2009-02-01 newest contents, 2009-02-01 last update, 2009-02-01 first day
Die einzig wirklich relevante weitere Info ist, dass man bei der
Benutzung von 64b auch noch C:\Program Files (x86) whitelisten muss.
Naja, und das Offensichtliche: Bei W7 muss man den UAC-Schieber ganz
nach oben tun.
Nein. Man muss ihn im Gegenteil ganz nach unten tun und konsequent LUA
verwenden.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Robert Jasiek
2011-09-18 17:40:59 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
[UAC in W7]
Man muss ihn im Gegenteil ganz nach unten tun und konsequent LUA
verwenden.
Für mein Sicherheitskonzept muss die UAC eingeschaltet sein, damit
Integrity Levels auch angewendet werden. Wenn man die UAC einschaltet,
dann bekanntlich auf höchstem Level, weil schon das 2.-höchste
Sicherheitslücken hat.

Wenn man ein anderes Sicherheitskonzept verfolgt, das von den
Integrity Levels keinen Gebrauch macht, dann gibt es - je nach
Sicherheitskonzept - zwei prinzipiell sinnvolle Stellungen des
UAC-Reglers: entweder ganz oben oder ganz ausgeschaltet.

Nun frage ich mich natürlich, warum du von den Integrity Levels keinen
Gebrauch machen willst.

Konsequent (mindstens) einen Standardbenutzer mit eingeschränkten
ACL-Zugriffsrechten zu benutzen - da sind wir uns wohl einig?
Ansgar -59cobalt- Wiechers
2011-09-18 23:49:40 UTC
Permalink
Post by Robert Jasiek
Post by Ansgar -59cobalt- Wiechers
[UAC in W7]
Man muss ihn im Gegenteil ganz nach unten tun und konsequent LUA
verwenden.
Für mein Sicherheitskonzept muss die UAC eingeschaltet sein, damit
Integrity Levels auch angewendet werden.
[...]
Post by Robert Jasiek
Nun frage ich mich natürlich, warum du von den Integrity Levels keinen
Gebrauch machen willst.
Welchen Mehrwert soll das bringen? Nicht vertrauenswürde Applikationen
lässt man entweder in einem eigenen Benutzerkontext (unter eigenem
Benutzerkonto) laufen, steckt sie in eine Sandbox, oder installiert sie
gar nicht erst.

Sorry, aber dieses ganze Rumgefrickel mit UAC, Integrity Levels, und
TrustedInstaller-Bullshit einzig zu dem Zweck, dass alle DAUs weiter in
der Gruppe "Administratoren" bleiben können, nervt einfach. Nicht
zuletzt, weil es bei der Arbeit viel zu oft unnütz im Weg rumsteht.
Post by Robert Jasiek
Konsequent (mindstens) einen Standardbenutzer mit eingeschränkten
ACL-Zugriffsrechten zu benutzen - da sind wir uns wohl einig?
Ja. Nur sehe ich darüber hinaus keinerlei Nutzen in UAC, jedoch sehr
viele Probleme und Beeinträchtigungen meiner Workflows.

Ich kann beispielsweise genau gar keinen Mehrwert (geschweige denn
Sicherheitsgewinn) darin erkennen, beim Start von Regedit als normaler
Benutzer mein Passwort nochmal eingeben zu müssen. Oder erst mal den
Besitz von HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} übernehmen
zu müssen, bevor ich die Beschriftung des "Arbeitsplatz"-Icons ändern
kann.

cu
59cobalt
--
"All vulnerabilities deserve a public fear period prior to patches
becoming available."
--Jason Coombs on Bugtraq
Robert Jasiek
2011-09-19 05:38:06 UTC
Permalink
Post by Ansgar -59cobalt- Wiechers
Post by Robert Jasiek
Nun frage ich mich natürlich, warum du von den Integrity Levels keinen
Gebrauch machen willst.
Welchen Mehrwert soll das bringen? Nicht vertrauenswürde Applikationen
lässt man entweder in einem eigenen Benutzerkontext (unter eigenem
Benutzerkonto) laufen, steckt sie in eine Sandbox, oder installiert sie
gar nicht erst.
Integrity Levels bilden eine Mehrebenen-Sandbox! Wenn du schreibst
"steckt sie in eine Sandbox", dann geht das auch mittels ILs.

Der Mehrwert ist die Trennung jeweils voneinander von System (IL =
System), lokalem User (IL = Medium) und mit dem Internet
kommunizierendem User (IL = Low).

Natürlich sollen nicht vertrauenswürde Anwendungen (Internetprogramme)
unter einem eigenen Benutzerkonto laufen. Wäre Windows so simpel wie
Singularity, dann könnte das womöglich auch ausreichen. Bekanntlich
aber ist Windows ein Spaghettihaufen von Kommunikationswegen. Da, wo
weder Benutzer-ACLs, SRPs noch WindowsStations greifen, können es die
ILs.
Post by Ansgar -59cobalt- Wiechers
Sorry, aber dieses ganze Rumgefrickel mit UAC, Integrity Levels, und
TrustedInstaller-Bullshit einzig zu dem Zweck, dass alle DAUs weiter in
der Gruppe "Administratoren" bleiben können, nervt einfach.
Ein sauber und elegant designted Betriebssystem wäre uns allen
lieber:)
Post by Ansgar -59cobalt- Wiechers
Nicht
zuletzt, weil es bei der Arbeit viel zu oft unnütz im Weg rumsteht.
Viel zu oft? Es geht so. Integrity Levels zB nerven mich NUR dann,
wenn irgendwelche Deppen unter den Softwareentwicklern sich
nicht-standardmäßig verhalten und man dann mühsam herausfinden muss,
genau wie sie ihre Programme arbeiten lassen, d.i. auf welche
Ressourcen sie zugreifen wollen.
Post by Ansgar -59cobalt- Wiechers
Nur sehe ich darüber hinaus keinerlei Nutzen in UAC,
Mir wäre auch lieber, wenn es keine Deppen mehr gäbe und die UAC dann
überflüssig würde.
Post by Ansgar -59cobalt- Wiechers
Ich kann beispielsweise genau gar keinen Mehrwert [...] darin erkennen,
[...] erst mal den
Besitz von HKCR\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D} übernehmen
zu müssen, bevor ich die Beschriftung des "Arbeitsplatz"-Icons ändern
kann.
Das hätte MS in der Tat sinnvoller lösen können. Da wurde aus einer
Alltagsaufgabe ein Sicherheitsproblem gemacht bzw. ein vorher
bestehendes Sicherheitsproblem nicht von der Alltagsaufgabe getrennt.
MS muss nachbessern, nicht durch Symptomgefrickle (UAC-Regler),
sondern an der Ursache.
Robert Jasiek
2011-09-19 18:43:40 UTC
Permalink
Ich habe auch nichts gegen die Integrity Levels an sich. Aber da es sie
nicht ohne den restlichen UAC-Bullshit gibt, scheiden sie halt einfach
von vornherein aus.
Aha, nun verstehe ich deinen Standpunkt! Ich hingegen finde es gut,
dass die UAC meine Flüchtigkeitsfehler zu schnellen Klickens abfängt
bzw. mich daran erinnert, was eine systemnahe Aktion ist.
Juergen P. Meier
2011-09-20 05:01:02 UTC
Permalink
Post by Robert Jasiek
Ich habe auch nichts gegen die Integrity Levels an sich. Aber da es sie
nicht ohne den restlichen UAC-Bullshit gibt, scheiden sie halt einfach
von vornherein aus.
Aha, nun verstehe ich deinen Standpunkt! Ich hingegen finde es gut,
dass die UAC meine Flüchtigkeitsfehler zu schnellen Klickens abfängt
bzw. mich daran erinnert, was eine systemnahe Aktion ist.
Dummerweise ist das das Gegenteil einer Sicherheitsfunktion.
Juergen Ilse
2011-09-21 16:27:57 UTC
Permalink
Hallo,
Post by Robert Jasiek
Ich habe auch nichts gegen die Integrity Levels an sich. Aber da es sie
nicht ohne den restlichen UAC-Bullshit gibt, scheiden sie halt einfach
von vornherein aus.
Aha, nun verstehe ich deinen Standpunkt! Ich hingegen finde es gut,
dass die UAC meine Flüchtigkeitsfehler zu schnellen Klickens abfängt
bzw. mich daran erinnert, was eine systemnahe Aktion ist.
Ich haette fuer administrative Aufgaben lieber ein "DU NICHT!" als ein
"wenn sie wirklich wollen, klicken sie hier" oder ein "dazu muessen sie
jetzt ihr Passwort eingeben".

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Juergen P. Meier
2011-09-22 04:31:53 UTC
Permalink
Post by Uwe Forner
Hallo,
Post by Robert Jasiek
Ich habe auch nichts gegen die Integrity Levels an sich. Aber da es sie
nicht ohne den restlichen UAC-Bullshit gibt, scheiden sie halt einfach
von vornherein aus.
Aha, nun verstehe ich deinen Standpunkt! Ich hingegen finde es gut,
dass die UAC meine Flüchtigkeitsfehler zu schnellen Klickens abfängt
bzw. mich daran erinnert, was eine systemnahe Aktion ist.
Ich haette fuer administrative Aufgaben lieber ein "DU NICHT!" als ein
"wenn sie wirklich wollen, klicken sie hier" oder ein "dazu muessen sie
jetzt ihr Passwort eingeben".
Betrachtet man ausschliesslich Fehler in den beiden
Privilegierungsmechsnismen von OS X und Windows, gibt es folgende
fundamentale Unterschiede

Apple Mac OS X (<10.7):

Whitelist/Elevation-Approach: Unprivilegierte Nutzer muessen fuer
Privilegierte Aktionen sich als privilegierter Nutzer identifizieren.
Ein Defekt/Fehler in diesem Elevation-System fuehrt dazu, dass
sich unprivilegierte Nutzer nicht privilegieren /koennen/.
Schadsoftware kann sich so keine privilegien Verschaffen.

Mickeysoft Wintenedo:

Blacklist/Demotion-Approach: Privilegierte Nutzer werden in ihren
Privilegien durch eine zusaetzliche, in der Vergangenheit mehrfach
angreifbare, fehlerhafte und loechrige Schutzschicht daran gehindert,
privilegierte Aktionen auszufuehren, ohne dass sie diese per UAC
freigeben.
Ein Defekt/FEhler in diesem Demotion-System fuehrt dazu, dass
die Privilegien privilegierter Nutzer nicht korrekt beschraenkt
werden, Schadsoftware die von diesem Benutzer ausgefuehrt wird sich
also administrative Privilegien verschaffen kann.

Diverse Linux-Systeme und alles, was sich Unix schimpft, verwendet
ebenfalls den oberen Ansatz.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Ralph Lehmann
2011-09-22 06:51:42 UTC
Permalink
Post by Juergen P. Meier
Betrachtet man ausschliesslich Fehler in den beiden
Privilegierungsmechsnismen von OS X und Windows, gibt es folgende
fundamentale Unterschiede
Whitelist/Elevation-Approach: Unprivilegierte Nutzer muessen fuer
Privilegierte Aktionen sich als privilegierter Nutzer identifizieren.
...
Blacklist/Demotion-Approach: Privilegierte Nutzer werden in ihren
Privilegien durch eine zusaetzliche, in der Vergangenheit mehrfach
angreifbare, fehlerhafte und loechrige Schutzschicht daran gehindert,
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
Kommen da noch ein paar Belege?
Post by Juergen P. Meier
privilegierte Aktionen auszufuehren, ohne dass sie diese per UAC
freigeben.
Legst Du auch noch ergänzend dar, wie sich das System auf dem _Mac_
gegenüber einem _privilegierten_ Benutzer und auf dem _Windows 7 PC_
gegenüber einem _nicht privilegierten_ Benutzer verhält?

Lesern gegenüber, denen Du noch nicht als _objektiv analysierender_ und
_sachlich diskutierender_ Poster mit untadeligen Manieren bekannt bist,
könnten sonst den Eindruck bekommen, Du verglichest Äpfel mit Birnen.
Juergen P. Meier
2011-09-18 05:19:18 UTC
Permalink
Post by Uwe Forner
Hallo,
ich hatte einen Post zu diesem Thema bereits in d.c.o.m.n eingestellt,
aber keine befriedigende Antwort erhalten.
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Diese beiden Addressen gehoeren zum Netzbereich der Netia Telekom
aus Warschau, Polen - einem lokalen Internetprovider. Also vermutlich
geknackte Rechner von ansonsten unbeteiligten Dritten.
Post by Uwe Forner
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.
Ansonsten konnte keine Veränderungen am System feststellen.
Das bedeuett lediglich dass der Schadcode nicht all zu dilletantisch
gemacht ist.
Post by Uwe Forner
Namensauflösung erfolgt normal, die angefragten Banken waren lt.
Woran machst du das fest?
Die benden oben genannten Hosts antworten (mir) nicht auf DNS Queries.
Evtl. wurden die geknackten Recher von den Polen schon vom Netz genommen.
Post by Uwe Forner
Zertifikat auch die richtigen.
Bist Du Dir Da Sicher? Hast du den Fingerprint offline (z.B. per Fax,
Telefon oder persoenliches Vorsprechen in einer Filliale) verifiziert?
Oder vertraust du den vorinstallierten Root-CAs (wie z.B. DigiNotar
*hr hr hr*)?
Post by Uwe Forner
Seit meinem ersten Post (in d.c.o.m.n) habe ich mit verschiedenen
Scannern, unter anderem auch mit dem aktuellen von F-Secure von CD und
von meinem Linux aus (OpenSuSE auf einer anderen Platte) gescannt, aber
keinen relevanten Eintrag finden können.
Dann ist dieses Schadprogramm einfach noch nicht indiziert worden und
entstammt nicht aus einem billigen/simplen Viren-Construction-Kit (das
koennen die tollen "Verhaltensanalysen" durchaus erkennen - aber nur
bei billigen Kits).

Du hast dann wohl eines der paar % aktiver Malware, die von keinem
Schadprogramm erkannt wird.
Post by Uwe Forner
Welcher Virus/Trojaner oder was auch immer kann das sein und wie
beseitigt man den.
http://faq.jors.net/virus.html
Post by Uwe Forner
Auffällig war, das ich feststellen musste, das es immer zuerst Probleme
mit der Maus gab, die hat immer eine Zeitlang nicht funktioniert.
Hat hier jemand ähnliche Probleme gehabt?
Das korreliert u.U. nicht. Oder es ist ein Symptom einer aktiven
Fernsteuerung deines Rechners durch den Angreifer.

Befolge die Hinweise unter obiger URL. Bis zum Plattmachen ist dein
Rechner eine Gefahr fuer andere!

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Juergen Ilse
2011-09-21 16:11:38 UTC
Permalink
Hallo,
Post by Uwe Forner
ich hatte einen Post zu diesem Thema bereits in d.c.o.m.n eingestellt,
aber keine befriedigende Antwort erhalten.
Die Netzwerkeinstellungen meiner Windows 7 Home Premium werden durch
irgend einen Virus oder dergleichen dahingehend geändert, das immer als
DNS-Server 213.146.35.35 und 213.146.36.36 eingetragen werden. Diese
Einstellung erfolgt unabhängig davon ob die IP-Adresse per DHCP (von
meinem Router) oder von Hand vorgenommen wird. Meine Einstellung (als
DNS den Router zu verwenden) wird damit überschrieben.
Ansonsten konnte keine Veränderungen am System feststellen.
Namensauflösung erfolgt normal, die angefragten Banken waren lt.
Zertifikat auch die richtigen.
Wenn da auf deinem Rechner etwas die DNS-Einstellungen aendert und dir
keine Moeglichkeit laesst, sie wieder auf die von dir gewuenschten Werte
zu stellen, ist die chance gross, dass deine Rechner durch irgend eine
Schadsoftware kompromittiert wurde. Welche Schadsoftware das nun genau
ist, ist hoechstens fuer Forensiker oder autoren von Virenscannern
interessant ...
Post by Uwe Forner
Seit meinem ersten Post (in d.c.o.m.n) habe ich mit verschiedenen
Scannern, unter anderem auch mit dem aktuellen von F-Secure von CD und
von meinem Linux aus (OpenSuSE auf einer anderen Platte) gescannt, aber
keinen relevanten Eintrag finden können.
Welcher Virus/Trojaner oder was auch immer kann das sein und wie
beseitigt man den.
Schadsoftware die den Rechner kompromittiert hat beseitigt man durch
"Neuinstallation des Systems und aller benoetigter Software". Nein,
es gibt keine weniger aufwendige Methode, um den Rechner wieder in
einen "sicher unkompromittierten Zustand" zu bekommen.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Lesen Sie weiter auf narkive:
Loading...