Discussion:
Postbank Virus
(zu alt für eine Antwort)
Thomas Wildgruber
2010-09-29 10:57:23 UTC
Permalink
Hi Group,

ich habe einen privaten PC einer Mitarbeiterin hier stehen und die gibt an
sich beim Onlinebanking bei der Postbank einen Virus oder Trojaner
eingefangen zu haben. Ich habe das System jetzt mit zwei Offline
Virenscanner überprüft und beide haben nichts gefunden.

Kennt die Geschichte jemand und kann genaueres dazu sagen, was da passiert
ist? Bevor ich das System auf Verdacht neu installiere, würde ich gerne
wissen warum.

Thx & Bye Tom
--
"Jeder muss im job permanently seine intangible assets mit high risk neu
relaunchen und seine skills so posten, dass die benefits alle ratings
sprengen, damit der cashflow stimmt. Wichtig ist corporate identity, die
mit perfect customizing und eye catchern jedes Jahr geupgedatet wird!"(H.K)
Michael Landenberger
2010-09-29 11:28:25 UTC
Permalink
Post by Thomas Wildgruber
ich habe einen privaten PC einer Mitarbeiterin hier stehen
und die gibt an sich beim Onlinebanking bei der Postbank
einen Virus oder Trojaner eingefangen zu haben.
Woran macht sie das fest?
Post by Thomas Wildgruber
Kennt die Geschichte jemand und kann genaueres dazu sagen,
was da passiert ist?
Mir ist nichts davon bekannt, dass die Postbank-Banking-Seite jemals Malware
verteilt hätte. Wenn der betreffende Rechner tatsächlich kompromittiert ist,
dann hat er sich den Schädling mit an Sicherheit grenzender
Wahrscheinlichkeit anderswo eingefangen.

BTW: was ist ein "Offline-Virenscanner"?

Gruß

Michael
Thomas Wildgruber
2010-09-29 12:41:14 UTC
Permalink
Post by Michael Landenberger
Post by Thomas Wildgruber
ich habe einen privaten PC einer Mitarbeiterin hier stehen
und die gibt an sich beim Onlinebanking bei der Postbank
einen Virus oder Trojaner eingefangen zu haben.
Woran macht sie das fest?
Sie soll 10 oder 20 TANs auf der Postbank Webseite eintragen. Die Seite ist
höchstwahrscheinlich gefälscht. Aber mich würde interessieren, wie genau
das Zustande kommt und ob das Problem möglicherweise leichter zu beheben
und das System uU noch zu retten ist.
Post by Michael Landenberger
Post by Thomas Wildgruber
Kennt die Geschichte jemand und kann genaueres dazu sagen,
was da passiert ist?
Mir ist nichts davon bekannt, dass die Postbank-Banking-Seite jemals Malware
verteilt hätte. Wenn der betreffende Rechner tatsächlich kompromittiert ist,
dann hat er sich den Schädling mit an Sicherheit grenzender
Wahrscheinlichkeit anderswo eingefangen.
Siehe oben. Wird vermutlich eine Phishing Attacke sein.
Post by Michael Landenberger
BTW: was ist ein "Offline-Virenscanner"?
Ein Virenscanner der mit einem anderen System (meist von CD) geladen wird
und die Systemplatte scannt ohne dass das darauf installierte System
gestartet ist.

HTH Tom
--
"Manches Gewissen ist nur rein, weil es nie benutzt wurde" (Robert Lembke)
Helmut Hullen
2010-09-29 12:50:00 UTC
Permalink
Hallo, Thomas,
Post by Thomas Wildgruber
Post by Michael Landenberger
Post by Thomas Wildgruber
ich habe einen privaten PC einer Mitarbeiterin hier stehen
und die gibt an sich beim Onlinebanking bei der Postbank
einen Virus oder Trojaner eingefangen zu haben.
Woran macht sie das fest?
Sie soll 10 oder 20 TANs auf der Postbank Webseite eintragen. Die
Seite ist höchstwahrscheinlich gefälscht. Aber mich würde
interessieren, wie genau das Zustande kommt und ob das Problem
möglicherweise leichter zu beheben und das System uU noch zu retten
ist.
Also eine schlichte E-Mail, die ihr ein freundlicher Bösewicht
zugeschickt hat.

Hat sie diese E-Mail noch?

Viele Gruesse!
Helmut
Michael Landenberger
2010-09-29 14:43:42 UTC
Permalink
Post by Thomas Wildgruber
Sie soll 10 oder 20 TANs auf der Postbank Webseite eintragen. Die Seite
ist höchstwahrscheinlich gefälscht.
Die ist nicht höchstwahrscheinlich gefälscht, sondern mit Sicherheit. Es
gibt keine einzige echte Postbank-Seite, auf der man mehrere TANs
gleichzeitig eintragen soll.
Post by Thomas Wildgruber
Aber mich würde interessieren, wie genau das Zustande kommt und
ob das Problem möglicherweise leichter zu beheben und das System
uU noch zu retten ist.
Es gibt eigentlich nur 2 Möglichkeiten. Entweder hat deine Mitarbeiterin
eine Phishing-Mail bekommen und der darin enthaltene Link hat sie auf die
gefälschte Seite geführt. Wenn sie rechtzeitig gemerkt hat, dass da etwas
faul ist, und keine TANs eingegeben hat, dann ist zumindest kein
finanzieller Schaden entstanden. Allerdings könnte der Urheber der
gefälschten Seite auf die Idee gekommen sein, die Seite so zu gestalten,
dass man damit nicht nur TANs abphishen, sondern auch gleich noch über die
ein oder andere Sicherheitslücke Malware verteilen kann. Ob das der Fall
war, lässt sich schwer überprüfen. Wenn das System nach allen Regeln der
Kunst abgesichert war (was ich nach deiner Schilderung allerdings
bezweifele), dann sollte nichts passiert sein.

Die zweite Möglichkeit besteht darin, dass sich deine Mitarbeiterin schon
vorher einen Schädling eingefangen hat, der nun Aufrufe der echten
Postbankseite auf die gefälschte Seite umleitet. In diesem Fall gilt das,
was bei jedem Schädlingsbefall gilt: du wirst um eine Neuinstallation nicht
herumkommen.
Post by Thomas Wildgruber
Post by Michael Landenberger
BTW: was ist ein "Offline-Virenscanner"?
Ein Virenscanner der mit einem anderen System (meist von CD) geladen
wird und die Systemplatte scannt ohne dass das darauf installierte
System gestartet ist.
Achso. Ok, das war schonmal eine sinnvolle Maßnahme. Allerdings kann auch
die nicht 100%ig jeden Schädling aufspüren. Wenn dein Virenscanner nichts
meldet, heißt das also noch lange nicht, dass da auch nichts ist. Ich würde
das Ergebnis des Virusscans auf jeden Fall im Zusammenhang mit anderen
Kriterien bewerten. Wenn der Rechner den Eindruck macht, für
Schädlingsbefall besonders anfällig zu sein, würde ich dem Ergebnis des
Virusscans nicht trauen (Stichworte: Arbeiten mit Admin-Rechten, Verwendung
unsicherer Software, benutzte Software und/oder Betriebssystem nicht auf dem
neuesten Stand, Programme aus zweifelhaften Quellen wurden ausgeführt oder
Malware-Mailanhänge geöffnet etc.)

Gruß

Michael
Harald Hengel
2010-09-29 14:48:59 UTC
Permalink
Post by Thomas Wildgruber
Post by Michael Landenberger
Woran macht sie das fest?
Sie soll 10 oder 20 TANs auf der Postbank Webseite eintragen. Die
Seite ist höchstwahrscheinlich gefälscht.
Nicht höchstwahrscheinlich.
Mit Sicherheit!
Post by Thomas Wildgruber
Aber mich würde
interessieren, wie genau das Zustande kommt und ob das Problem
möglicherweise leichter zu beheben und das System uU noch zu retten
ist.
Wenn du/sie Risikobereit ist, dann pfusch dran rum oder lass einen
Virenscanner machen.
Selbst wenn ein Virenscanner das Teil erkennt und beseitigt bleiben
große Risiken, es könnte z.B. ein Modul aktiv bleiben, welches die
"Reinigung" erkennt und neuen Schadcode nachläd.
Vieles ist denkbar, was du nicht in den Griff bekommen kannst.

Ich würde ausserdem nach Möglichkeit die Festplatte sichern, bzw. die
Platte nicht weiter anrühren und auf eine frische installieren.

Du hast im Zweifel die alte Platte als Beweis, dass du auf Schadcode
reingefallen bist, ob es wirklich nutzt, wenn das Konto geräumt ist,
kann dir keiner Versprechen.

Ich würde vor allem genau prüfen, ob die vergangenen Überweisungen
*alle* korrekt durchgeführt wurden.
Wichtig, das *Bankpasswort* sofort ändern!
Das von einem sauberen Rechner und auf der echten Bankseite.
Darauf achten, dass es eine HTTPS ist, wenn nicht, ist das eine
Fakeseite.

Wurden bereits TANs irgendwo eingegeben?
Es reicht das Eingegeben, abschicken musst du nicht unbedingt, damit sie
in falsche Hände geraten.

Harald
Thomas Wildgruber
2010-09-29 16:05:24 UTC
Permalink
Post by Harald Hengel
Post by Thomas Wildgruber
Aber mich würde
interessieren, wie genau das Zustande kommt und ob das Problem
möglicherweise leichter zu beheben und das System uU noch zu retten
ist.
Wenn du/sie Risikobereit ist, dann pfusch dran rum oder lass einen
Virenscanner machen.
Selbst wenn ein Virenscanner das Teil erkennt und beseitigt bleiben
große Risiken, es könnte z.B. ein Modul aktiv bleiben, welches die
"Reinigung" erkennt und neuen Schadcode nachläd.
Vieles ist denkbar, was du nicht in den Griff bekommen kannst.
Das Interesse an der ganzen Geschichte ist rein akademisch. Ich hatte jetzt
nicht allzuviel Zeit aber ein netstat konnte keine Verbindung ausmachen,
die über Ripe aufgelöst nicht zur Postbank gehört. Eine falsch geroutete
Seite bzw auf einen anderen Server umgeleitete scheint es nicht zu sein.

Im Run-Key unter HKCU habe ich einen verdächtigen Eintrag gefunden, der zu
einer seltsamen Datei im Profilordner des Benutzers zeigt. Ich denke das
könnte schon eine Spur sein.
Post by Harald Hengel
Ich würde ausserdem nach Möglichkeit die Festplatte sichern, bzw. die
Platte nicht weiter anrühren und auf eine frische installieren.
Du hast im Zweifel die alte Platte als Beweis, dass du auf Schadcode
reingefallen bist, ob es wirklich nutzt, wenn das Konto geräumt ist,
kann dir keiner Versprechen.
Auf jeden Fall, ich installiere immer auf einer anderen Platte, nicht nur
wegen Beweismittel, auch unter normalen Umständen kann es vorkommen, dass
der Benutzer noch eine Datei auf seinem alten Rechner vergessen hat.
Post by Harald Hengel
Ich würde vor allem genau prüfen, ob die vergangenen Überweisungen
*alle* korrekt durchgeführt wurden.
Wichtig, das *Bankpasswort* sofort ändern!
Das von einem sauberen Rechner und auf der echten Bankseite.
Darauf achten, dass es eine HTTPS ist, wenn nicht, ist das eine
Fakeseite.
Wurden bereits TANs irgendwo eingegeben?
Es reicht das Eingegeben, abschicken musst du nicht unbedingt, damit sie
in falsche Hände geraten.
Nein es wurden keine TANs eingegeben, wobei die Benutzerin zufällig auch
gerade eine neue TAN Liste bei der Bank angefordert hat aber das schlechte
Deutsch auf der Seite hat sie zu einem Anruf bei der Postbank bewegt und
die haben sofort den Onlinezugange gesperrt. Ich denke da ist sie mit einem
blauen Auge davon gekommen.

Ich hoffe jetzt nur, dass ihre Daten (PDFs, JPGs, DOCs, XLSs etc) nichts
abbekommen haben, die musste ich ihr nämlich jetzt - ohne Widerrede - auf
einen Stick ziehen. Ich habe aber drei unterschiedliche Virenscanner drüber
laufen lassen und auch die beiden Offlinescans sind über die Dateien drüber
ohne etwas verdächtiges zu finden.

Das ist so das einzige Wölkchen, was den Himmel trübt aber ich denke sollte
in Ordnung sein.

Thx & Bye Tom
--
"Ich weiß nicht, was der französische Staatspräsident Mitterand denkt, aber
ich denke dasselbe." (Helmut Kohl)
Harald Hengel
2010-09-29 17:46:16 UTC
Permalink
Post by Thomas Wildgruber
Post by Harald Hengel
Vieles ist denkbar, was du nicht in den Griff bekommen kannst.
Das Interesse an der ganzen Geschichte ist rein akademisch. Ich hatte
jetzt nicht allzuviel Zeit aber ein netstat konnte keine Verbindung
ausmachen, die über Ripe aufgelöst nicht zur Postbank gehört.
Bei der offenen Seite, die 20 TANs abfordert?
Post by Thomas Wildgruber
Eine
falsch geroutete Seite bzw auf einen anderen Server umgeleitete
scheint es nicht zu sein.
Im Run-Key unter HKCU habe ich einen verdächtigen Eintrag gefunden,
der zu einer seltsamen Datei im Profilordner des Benutzers zeigt. Ich
denke das könnte schon eine Spur sein.
Das ist anzunehmen.
Post by Thomas Wildgruber
Post by Harald Hengel
Ich würde ausserdem nach Möglichkeit die Festplatte sichern, bzw. die
Platte nicht weiter anrühren und auf eine frische installieren.
Du hast im Zweifel die alte Platte als Beweis, dass du auf Schadcode
reingefallen bist, ob es wirklich nutzt, wenn das Konto geräumt ist,
kann dir keiner Versprechen.
Auf jeden Fall, ich installiere immer auf einer anderen Platte, nicht
nur wegen Beweismittel, auch unter normalen Umständen kann es
vorkommen, dass der Benutzer noch eine Datei auf seinem alten Rechner
vergessen hat.
Manchmal will man nicht in eine neue Platte investieren.
Post by Thomas Wildgruber
Post by Harald Hengel
Ich würde vor allem genau prüfen, ob die vergangenen Überweisungen
Wurden bereits TANs irgendwo eingegeben?
Es reicht das Eingegeben, abschicken musst du nicht unbedingt, damit
sie in falsche Hände geraten.
Nein es wurden keine TANs eingegeben, wobei die Benutzerin zufällig
auch gerade eine neue TAN Liste bei der Bank angefordert hat aber das
schlechte Deutsch auf der Seite hat sie zu einem Anruf bei der
Postbank bewegt und die haben sofort den Onlinezugange gesperrt. Ich
denke da ist sie mit einem blauen Auge davon gekommen.
Das sieht dann von der Seite schon einmal gut aus.
Dann wird sie auch ein neues Passwort bekommen.
Post by Thomas Wildgruber
Ich hoffe jetzt nur, dass ihre Daten (PDFs, JPGs, DOCs, XLSs etc)
nichts abbekommen haben, die musste ich ihr nämlich jetzt - ohne
Widerrede - auf einen Stick ziehen. Ich habe aber drei
unterschiedliche Virenscanner drüber laufen lassen und auch die
beiden Offlinescans sind über die Dateien drüber ohne etwas
verdächtiges zu finden.
Die Daten noch einmal seperat sichern, 4-8 Wochen warten und erneut
einem Scna unterziehen. Bis dahin dürften einige Scanner eine Malware
erkennen, falls eine drin steckt.
Post by Thomas Wildgruber
Das ist so das einzige Wölkchen, was den Himmel trübt aber ich denke
sollte in Ordnung sein.
Harald
Michael Landenberger
2010-09-30 23:10:57 UTC
Permalink
Ich hatte jetzt nicht allzuviel Zeit aber ein netstat
konnte keine Verbindung ausmachen, die über Ripe aufgelöst
nicht zur Postbank gehört. Eine falsch geroutete Seite bzw
auf einen anderen Server umgeleitete scheint es nicht zu sein.
Dann gilt Alarmstufe rot, denn das könnte ein Anzeichen dafür sein, dass die
echte Postbankseite innerhalb des Browsers durch Schadsoftware "umgestaltet"
wird. Und wer sich einen solch schweren Brocken eingefangen hat, ist auch
williges Opfer für allerlei andere Malware. Für mich wären damit genug
Verdachtsmomente zusammengekommen, um den Rechner komplett neu aufzusetzen.

Gruß

Michael
Harald Hengel
2010-10-01 00:02:09 UTC
Permalink
Für mich wären damit genug Verdachtsmomente
zusammengekommen, um den Rechner komplett neu aufzusetzen.
Liest du eigentlich die Threads an denen du dich beteiligst?
Das ist schon lange geklärt.

Harald
Thomas - Pronto - Wildgruber
2010-10-01 17:23:58 UTC
Permalink
Post by Michael Landenberger
Ich hatte jetzt nicht allzuviel Zeit aber ein netstat
konnte keine Verbindung ausmachen, die über Ripe aufgelöst
nicht zur Postbank gehört. Eine falsch geroutete Seite bzw
auf einen anderen Server umgeleitete scheint es nicht zu sein.
Dann gilt Alarmstufe rot, denn das könnte ein Anzeichen dafür sein, dass die
echte Postbankseite innerhalb des Browsers durch Schadsoftware "umgestaltet"
wird. Und wer sich einen solch schweren Brocken eingefangen hat, ist auch
williges Opfer für allerlei andere Malware. Für mich wären damit genug
Verdachtsmomente zusammengekommen, um den Rechner komplett neu aufzusetzen.
Ich hatte den Eindruck, dass es so ein ähnlicher Effekt gewesen
sein könnte, wie man ihn von den UAC Dialogen in Vista oder
Windows 7 kennt. Der eigentliche Inhalt der Postbankseite war
leicht abgesoftet und die Eingabemaske für die TANs könnte als
Bild einfach drüber gelegt sein. Ich könnte mir schon vorstellen,
dass die eigentliche Verbindung zum Angreifer erst dann aufgebaut
wird, wenn der Benutzer auf OK klickt.

Das war so mein erster Eindruck, als ich das gesehen hatte und
keine verdächtige Netzwerkverbindung ausmachen konnte. Das ich den
Rechner neu installiere ist für mich schon lange klar.

Bye Tom

Harald Hengel
2010-09-29 14:35:04 UTC
Permalink
Post by Michael Landenberger
Post by Thomas Wildgruber
Kennt die Geschichte jemand und kann genaueres dazu sagen,
was da passiert ist?
Mir ist nichts davon bekannt, dass die Postbank-Banking-Seite jemals
Malware verteilt hätte.
Mir ist es bekannt, die Postbank hat selbst gewarnt.

Natürlich war es nicht die echte Postbankseite, sondern ein Fake.
Post by Michael Landenberger
Wenn der betreffende Rechner tatsächlich
kompromittiert ist, dann hat er sich den Schädling mit an Sicherheit
grenzender Wahrscheinlichkeit anderswo eingefangen.
Warum nicht auf einer vermeintlichen Postbankseite?
Aus Anwendersicht *ist* es die Postbankseite.
Post by Michael Landenberger
BTW: was ist ein "Offline-Virenscanner"?
Das tut weh.
Schau mal bei Avira vorbei, die bieten das sogar kostenlos.

Harald
Michael Landenberger
2010-09-29 16:52:11 UTC
Permalink
Post by Harald Hengel
Post by Michael Landenberger
Mir ist nichts davon bekannt, dass die Postbank-Banking-Seite
jemals Malware verteilt hätte.
Mir ist es bekannt, die Postbank hat selbst gewarnt.
Natürlich war es nicht die echte Postbankseite, sondern ein Fake.
Eine gefakte Postbankseite ist für mich keine Postbankseite. Also gilt nach
wie vor: keine Postbankseite hat je Malware verteilt.
Post by Harald Hengel
Post by Michael Landenberger
BTW: was ist ein "Offline-Virenscanner"?
Das tut weh.
Schau mal bei Avira vorbei, die bieten das sogar kostenlos.
Klar. So gut wie jeder Virenscanner-Hersteller bietet so etwas an: nämlich
einen Virenscanner, der ohne Internetverbindung ("offline") arbeiten kann,
nachdem er installiert und auf den neuesten Stand gebracht wurde. Ob der
Virenscanner auf dem zu untersuchenden System installiert ist oder von einer
separat gebooteten Live-CD gestartet wird (wie es der OP korrekterweise
gemacht hat), lässt sich dagegen aus dem Begriff "Offline-Virenscanner"
nicht ablesen, denn beide Varianten können einen Scan ausführen, ohne dass
eine Netzverbindung besteht. Deswegen habe ich nachgefragt.

"Offline-Virenscanner" ist für mich einfach das Gegenteil eines
Online-Virenscanners, also eines Virenscanners, der zwingend eine
Netzverbindung benötigt, um überhaupt arbeiten zu können. Dazu gehören
Virenscan-Seiten im Netz auf Basis von ActiveX-Controls oder Java, aber auch
Seiten wie virustotal.com oder jotti.org, wo der Benutzer verdächtige
Dateien selbst hochladen muss.

Gruß

Michael
Harald Hengel
2010-09-29 17:55:45 UTC
Permalink
Post by Michael Landenberger
Post by Harald Hengel
Natürlich war es nicht die echte Postbankseite, sondern ein Fake.
Eine gefakte Postbankseite ist für mich keine Postbankseite. Also
gilt nach wie vor: keine Postbankseite hat je Malware verteilt.
Was es für dich ist, sit wenig interessant, was es für den anderen ist,
ist Sache.
Post by Michael Landenberger
nämlich einen Virenscanner, der ohne Internetverbindung ("offline")
arbeiten kann, nachdem er installiert und auf den neuesten Stand
gebracht wurde.
Du kennst dich nicht aus, da muss nichts installiert werden.

CD rein, von der booten und laufen lassen.
Post by Michael Landenberger
Ob der Virenscanner auf dem zu untersuchenden System
installiert ist oder von einer separat gebooteten Live-CD gestartet
wird (wie es der OP korrekterweise gemacht hat), lässt sich dagegen
aus dem Begriff "Offline-Virenscanner" nicht ablesen,
Naja, der Ausdruck war nicht korrekt, aber deshalb wollen wir doch das
erbsenzählen nicht anfangen.

Mir war zumindest klar, was er meinte.
Und da kann man bei der Antwort drauf eingehen ohne Fragen zu stellen.
Post by Michael Landenberger
denn beide
Varianten können einen Scan ausführen, ohne dass eine Netzverbindung
besteht. Deswegen habe ich nachgefragt.
Das kann sogar ein normal installierter, ohne Netzverbindung.
Post by Michael Landenberger
"Offline-Virenscanner" ist für mich einfach das Gegenteil eines
Online-Virenscanners, also eines Virenscanners, der zwingend eine
Netzverbindung benötigt, um überhaupt arbeiten zu können.
Vom Begriff hast du nicht unrecht, nur dass es so etwas nicht gibt.
Post by Michael Landenberger
Dazu gehören
Virenscan-Seiten im Netz auf Basis von ActiveX-Controls oder Java,
aber auch Seiten wie virustotal.com oder jotti.org, wo der Benutzer
verdächtige Dateien selbst hochladen muss.
Genau, und dr Offlinescanner bringt seine Daten mit, scannt die
betreffende Platte, ohne dass sie selbst mit ihrem BS online ist.

Da heb ich sogar noch dir Kurve zu einer einigermassen plausiblen
Erklärung bekommen. ;-)

Harald
Michael Landenberger
2010-09-29 20:35:46 UTC
Permalink
Post by Harald Hengel
Was es für dich ist, sit wenig interessant, was es für den
anderen ist, ist Sache.
Also ist auch uninteressant, was es für dich ist.
Post by Harald Hengel
Du kennst dich nicht aus, da muss nichts installiert werden.
Du kannst nicht sinnentnehmend lesen, das ist alles. Für die Hengels unter
uns: es gibt Virenscanner, die müssen installiert werden. Nachdem das
erledigt ist und auch die neuesten Signaturen heruntergeladen und
installiert wurden, kann man die Netzverbindung trennen. Man nennt diesen
Zustand "offline". Nichtsdestotrotz kann der Virenscanner nun seine
Tätigkeit aufnehmen und einen Scan durchführen, er braucht dazu keine
Netzverbindung (mehr). Es handelt sich also um einen Offline-Scanner.

Andere Virenscanner müssen nicht installiert werden (stell dir vor, das war
mir bekannt). Sie befinden sich auf einer bootfähigen Live-CD. Davon wird
ein Betriebssystem gebootet. Danach kann man den ebenfalls auf der CD
befindlichen Virenscanner starten und einen Scan durchführen. Vor dem
Scannen sollte man aber auch hier die neuesten Signaturen herunterladen. Für
den eigentlichen Scan ist aber ebenfalls keine Netzverbindung mehr nötig. Es
handelt sich also ebenfalls um einen Offline-Scanner.

Na, klingelts?

Gruß

Michael
Thomas - Pronto - Wildgruber
2010-09-29 21:27:56 UTC
Permalink
Post by Michael Landenberger
[...]
Du kannst nicht sinnentnehmend lesen, das ist alles. Für die Hengels unter
uns: es gibt Virenscanner, die müssen installiert werden. Nachdem das
erledigt ist und auch die neuesten Signaturen heruntergeladen und
installiert wurden, kann man die Netzverbindung trennen. Man nennt diesen
Zustand "offline". Nichtsdestotrotz kann der Virenscanner nun seine
Tätigkeit aufnehmen und einen Scan durchführen, er braucht dazu keine
Netzverbindung (mehr). Es handelt sich also um einen Offline-Scanner.
[...]
Mann Mann, haut euch doch die Köpfe ein. Das System, welches ich
scanne ist nicht gebootet, demnach Offline. Was soll daran sein,
dass einen Offline Scan zu nennen?

Bye Tom
Juergen Ilse
2010-09-30 08:16:34 UTC
Permalink
Hallo,
Post by Thomas - Pronto - Wildgruber
Mann Mann, haut euch doch die Köpfe ein. Das System, welches ich
scanne ist nicht gebootet, demnach Offline. Was soll daran sein,
dass einen Offline Scan zu nennen?
Seit es (oft als "Online-Scan" bezeichnet) auch die (IMHO unsinnige)
Moeglichkeit gibt, sein System von einem ueber den Webbrowser geladenes
Active-X oder Java-Applet scannen zu lassen, ist es naheliegend, die
Methoden, bei denen keine Verbindung zum Internet benoetigt wird, alle
als "Offline-Scan" zu bezeichnen ...

Da du die Bedeutung dessen, was du darunter verstehst, nicht explizit
genannt hast, kann da schon mal ein Missverstaendnis draus entstehen ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Thomas - Pronto - Wildgruber
2010-09-30 17:39:59 UTC
Permalink
Post by Juergen Ilse
Seit es (oft als "Online-Scan" bezeichnet) auch die (IMHO unsinnige)
Moeglichkeit gibt, sein System von einem ueber den Webbrowser geladenes
Active-X oder Java-Applet scannen zu lassen, ist es naheliegend, die
Methoden, bei denen keine Verbindung zum Internet benoetigt wird, alle
als "Offline-Scan" zu bezeichnen ...
Da du die Bedeutung dessen, was du darunter verstehst, nicht explizit
genannt hast, kann da schon mal ein Missverstaendnis draus entstehen ...
In meinem Wortschatz - von dem ich nicht behaupten möchte, dass er
semantisch immer d'accord mit der Allgemeinheit ist oder dessen
was uns als allgemein gültig aufs Auge gedrückt wird (Für mich ist
ein auf das duale System basierende Gigabyte immer noch ein GB und
kein GiB) - ist ein System auch offline, wenn es zB ausgeschaltet
ist.

Wenn ich in einer Fachabteilung bei uns die Meldung rausgebe, dass
von dann bis dann der Server Xy offline ist, meint da keiner, ich
ziehe bloß das Nertzwerkkabel ab ;-) Ich schalte den Dienst ab
oder boote uU das ganze System neu. Und wenn es aus ist, ist es
Offline. Ich denke, das dürfte sich in weit über 90% der IT Welt
so abspielen.

Regedit ist ja auch kein Offline Registry Editor, wenn das System
keine Netzwerkwerkverbindung hat und ansonsten ein Online Registry
Editor. Der Terminus Offline Registry Editor hat genau die selbe
Bedeutung die ich, wohl fälschlicher Weise, einen Offline
Virenscanner zugeschrieben habe. Aber ich bitte Euch, wenn jemand
die Begrifflichkeiten nicht bekannt sind, wie soll er da auf "Live
CD" kommen? Davon hätte ich sogar viele ;-)

Seltsamerweise wurde der Terminus Offline Virenscanner im
Nachbarthread sofort erkannt ... und nicht mal im Ansatz in Frage
gestellt...

Bye Tom
Gert Link
2010-09-30 18:06:06 UTC
Permalink
Post by Thomas - Pronto - Wildgruber
Seltsamerweise wurde der Terminus Offline Virenscanner im
Nachbarthread sofort erkannt ... und nicht mal im Ansatz in Frage
gestellt...
Da hast Du ja auch im Eröffungspost definiert, was *du* damit meinst
("bootfähige Images als Alternative ... [zu Knoppicilin])"

Gert
Juergen Ilse
2010-09-30 18:41:58 UTC
Permalink
Hallo,
Post by Gert Link
Post by Thomas - Pronto - Wildgruber
Seltsamerweise wurde der Terminus Offline Virenscanner im
Nachbarthread sofort erkannt ... und nicht mal im Ansatz in Frage
gestellt...
Da hast Du ja auch im Eröffungspost definiert, was *du* damit meinst
("bootfähige Images als Alternative ... [zu Knoppicilin])"
... nicht aber in diesem Thread. Nicht jeder hat die Namen der Frage-
steller so weit im Gedaechtnis, dass er den Zusammenhang beider Threads
(aufgrund "gleichen Threwad-Eroeffners") sofort parat habenn muss ...
Zusammenhang beider Threads
(aufgrund "gleichen Threwad-Eroeffners") sofort parat habenn muss ...

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Thomas - Pronto - Wildgruber
2010-09-30 21:49:21 UTC
Permalink
Post by Gert Link
Post by Thomas - Pronto - Wildgruber
Seltsamerweise wurde der Terminus Offline Virenscanner im
Nachbarthread sofort erkannt ... und nicht mal im Ansatz in Frage
gestellt...
Da hast Du ja auch im Eröffungspost definiert, was *du* damit meinst
("bootfähige Images als Alternative ... [zu Knoppicilin])"
Das stimmt allerdings, da hast du Recht. Naja ich habs ja jetzt
gelernt, dass es eine "Live CD" ist (oder wars life?) wobei der
Name schon dämlich gewählt ist. Aus dem Zusammenhang erschließt
sich mir da nix ... außer es wäre tatsächlich die Life CD ...
aber auch das scheint mir weit hergeholt zu sein ;-)

Auf jeden Fall war es ein amüsanter Thread. Dem "Postbank Virus"
bin ich zwar kein Stück näher gekommen aber immerhin weis ich
jetzt was eine Li[vf]e CD und was ein Online/Offline Scanner ist.

Thx & Bye Tom
Michael Landenberger
2010-09-30 23:13:34 UTC
Permalink
Dem "Postbank Virus" bin ich zwar kein Stück näher gekommen
aber immerhin weis ich jetzt was eine Li[vf]e CD und was
ein Online/Offline Scanner ist.
Diese Info hast du Herrn Hengel zu verdanken. Wie du dich sicher erinnerst,
habe ich deine Antwort auf die Frage, was du unter einem Offline-Scanner
verstehst, schlicht zur Kenntnis genommen und bin dann wieder zur
Tagesordnung übergegangen. Nur Herr Hengel glaubte, mir Unwissenheit
unterstellen zu müssen, was ich natürlich so nicht auf mir sitzen lassen
konnte. Deswegen habe ich ihm (und nicht dir) lang und breit erklären
müssen, was ich unter einem Offline-Scanner verstehe. Das nächste Mal bin
ich schlauer: ich werde den guten Harald einfach filtern. Dann kann ich
meine Zeit sinnvolleren Dingen widmen.

Gruß

Michael
Harald Hengel
2010-10-01 00:07:08 UTC
Permalink
Post by Michael Landenberger
Diese Info hast du Herrn Hengel zu verdanken. Wie du dich sicher
erinnerst, habe ich deine Antwort auf die Frage, was du unter einem
Offline-Scanner verstehst, schlicht zur Kenntnis genommen und bin
dann wieder zur Tagesordnung übergegangen.
Irgendwie ist es seltsam, jeder versteht was gemeint war, nur stellst
dumme Fragen und lamentierst rum was nun ein Offline Scanner sein
könnte.
Post by Michael Landenberger
Nur Herr Hengel glaubte,
mir Unwissenheit unterstellen zu müssen, was ich natürlich so nicht
auf mir sitzen lassen konnte.
Deshalb versuchst du deine Unwissenheit weiter zu belegen?
Post by Michael Landenberger
Deswegen habe ich ihm (und nicht dir)
lang und breit erklären müssen, was ich unter einem Offline-Scanner
verstehe.
Komisch, alle ausser dir haben verstanden was gemeint war und sich
dümmliche Fragen verkniffen.
Post by Michael Landenberger
Das nächste Mal bin ich schlauer: ich werde den guten
Harald einfach filtern. Dann kann ich meine Zeit sinnvolleren Dingen
widmen.
Danke.

Harald
Juergen Ilse
2010-09-30 18:39:36 UTC
Permalink
Hallo,
Post by Thomas - Pronto - Wildgruber
Post by Juergen Ilse
Seit es (oft als "Online-Scan" bezeichnet) auch die (IMHO unsinnige)
Moeglichkeit gibt, sein System von einem ueber den Webbrowser geladenes
Active-X oder Java-Applet scannen zu lassen, ist es naheliegend, die
Methoden, bei denen keine Verbindung zum Internet benoetigt wird, alle
als "Offline-Scan" zu bezeichnen ...
Da du die Bedeutung dessen, was du darunter verstehst, nicht explizit
genannt hast, kann da schon mal ein Missverstaendnis draus entstehen ...
In meinem Wortschatz - von dem ich nicht behaupten möchte, dass er
semantisch immer d'accord mit der Allgemeinheit ist oder dessen
was uns als allgemein gültig aufs Auge gedrückt wird (Für mich ist
ein auf das duale System basierende Gigabyte immer noch ein GB und
kein GiB) - ist ein System auch offline, wenn es zB ausgeschaltet
ist.
Richtig. Ebenso ist z.B. ein Netzwerkserver auch Offline, wenn es meine
Netzverbindung hat oder aus anderen Gruenden nicht erreichbar ist.
Da also das Wort "Offline" verschiedene BEdeutungen haben kann (je nach
Kontext und Begleitumstaenden), sehe ich keinen Grund, warum das nicht
auch fuer einen Begriff wie "Ofline-Scanner" gelten sollte. Nur weil die
von dir gemeinte Bedeutung eine Interpretationsmoeglichkeit ist, heisst
das noch lange nicht, dass es keine weitere Moeglichkeiten geben koennte.
Post by Thomas - Pronto - Wildgruber
Seltsamerweise wurde der Terminus Offline Virenscanner im
Nachbarthread sofort erkannt ... und nicht mal im Ansatz in Frage
gestellt...
Wenn es mehrere plausible Moeglichkeiten gibt (aber eine begrenzte Anzahl),
ist es nicht verwunderlich, wenn es auch mal vorkommt, dass jemand die von
dir favorisierte Moeglichkeit waehlt.

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Harald Hengel
2010-09-29 22:52:29 UTC
Permalink
Post by Michael Landenberger
Du kannst nicht sinnentnehmend lesen, das ist alles. Für die Hengels
unter uns: es gibt Virenscanner, die müssen installiert werden.
Nachdem das erledigt ist und auch die neuesten Signaturen
heruntergeladen und installiert wurden, kann man die Netzverbindung
trennen. Man nennt diesen Zustand "offline". Nichtsdestotrotz kann
der Virenscanner nun seine Tätigkeit aufnehmen und einen Scan
durchführen, er braucht dazu keine Netzverbindung (mehr). Es handelt
sich also um einen Offline-Scanner.
Ja Michael, ich weiss das.
Das kannst du mit jedem Scanner, dennoch war ich nith so dämlich zu
glauben der OP hätte das gemeint.
Post by Michael Landenberger
Andere Virenscanner müssen nicht installiert werden (stell dir vor,
das war mir bekannt). Sie befinden sich auf einer bootfähigen
Live-CD. Davon wird ein Betriebssystem gebootet. Danach kann man den
ebenfalls auf der CD befindlichen Virenscanner starten und einen Scan
durchführen. Vor dem Scannen sollte man aber auch hier die neuesten
Signaturen herunterladen. Für den eigentlichen Scan ist aber
ebenfalls keine Netzverbindung mehr nötig. Es handelt sich also
ebenfalls um einen Offline-Scanner.
Jaja, interessante Wiederholung meiner Ausführung. ;-)
Post by Michael Landenberger
Na, klingelts?
Klar doch.

Harald
Helmut Hullen
2010-09-30 06:22:00 UTC
Permalink
Hallo, Michael,
Post by Michael Landenberger
Du kannst nicht sinnentnehmend lesen, das ist alles. Für die Hengels
unter uns: es gibt Virenscanner, die müssen installiert werden.
Nachdem das erledigt ist und auch die neuesten Signaturen
heruntergeladen und installiert wurden, kann man die Netzverbindung
trennen. Man nennt diesen Zustand "offline". Nichtsdestotrotz kann
der Virenscanner nun seine Tätigkeit aufnehmen und einen Scan
durchführen, er braucht dazu keine Netzverbindung (mehr). Es handelt
sich also um einen Offline-Scanner.
Aber welchen Vorteil soll es haben, wenn der Rechner während des
Scannens offline ist?

Sinnvoll wäre es, wenn der der Rechner nicht "normal" bootet, sondern
den Scanner von CD oder USB-Stick bootet, damit auch der Schweinkram
gesucht werden kann, der sich z.B. in der Registry einnistet und dem
"normalen" System vorgaukelt, es sei sauber.

Viele Gruesse!
Helmut
Michael Landenberger
2010-09-30 07:16:13 UTC
Permalink
Post by Helmut Hullen
Sinnvoll wäre es, wenn der der Rechner nicht "normal" bootet,
sondern den Scanner von CD oder USB-Stick bootet, damit auch
der Schweinkram gesucht werden kann, der sich z.B. in der
Registry einnistet und dem "normalen" System vorgaukelt, es
sei sauber.
Natürlich ist das sinnvoll (ich weiß das, ich bin ja nicht der Hengel ;-)).
Es hat aber mit "offline" nichts zu tun. Online/offline hängt allein vom
Bestehen einer Netzwerkverbindung ab, nicht vom Bootmedium.

Gruß

Michael
Harald Hengel
2010-09-30 07:32:04 UTC
Permalink
Post by Michael Landenberger
Post by Helmut Hullen
Sinnvoll wäre es, wenn der der Rechner nicht "normal" bootet,
sondern den Scanner von CD oder USB-Stick bootet, damit auch
der Schweinkram gesucht werden kann, der sich z.B. in der
Registry einnistet und dem "normalen" System vorgaukelt, es
sei sauber.
Natürlich ist das sinnvoll (ich weiß das, ich bin ja nicht der Hengel ;-)).
Richtig, deshalb machst du ja auch den Profimissversteher.
Post by Michael Landenberger
Es hat aber mit "offline" nichts zu tun. Online/offline hängt
allein vom Bestehen einer Netzwerkverbindung ab, nicht vom Bootmedium.
Stimmt, aber auch könntest schlau genug sein um zu erkennen, was gemeint
war. Es ehrt dich nicht, darauf rumzureiten, dass sich jemand nicht
korrekt ausgedrückt hat, im Gegenteil.

Harald
Helmut Hullen
2010-09-29 11:36:00 UTC
Permalink
Hallo, Thomas,
Post by Thomas Wildgruber
ich habe einen privaten PC einer Mitarbeiterin hier stehen und die
gibt an sich beim Onlinebanking bei der Postbank einen Virus oder
Trojaner eingefangen zu haben.
Hat sie diese Vermutung mit einigen weiteren Informationen ergänzen
können?
Bei einer solchen Mitteilung tippe ich am ehesten auf "Scareware", also
auf ein Mistprogramm, das einerseits "Ihr Rechner hat sich einen Virus
eingefangen!!!!hundertzwölf" meldet und dann andererseits den Besuch
einer tatsächliche vervirten Webseite empfiehlt.

Viele Gruesse!
Helmut
Ralf Brinkmann
2010-09-29 12:36:34 UTC
Permalink
Hallo Helmut!
Post by Helmut Hullen
Bei einer solchen Mitteilung tippe ich am ehesten auf "Scareware"
Oder 'ne ganz einfache Phishingmail, die diese Angst bei ihr ausgelöst
hat. Da war mal so eine Welle...

Gruß, Ralf
--
Windows XP Home SP3
Opera 10.70-9053
The Bat! Pro 4.2.36.4
Juergen Ilse
2010-09-29 19:32:32 UTC
Permalink
Hallo,
Post by Thomas Wildgruber
ich habe einen privaten PC einer Mitarbeiterin hier stehen und die gibt an
sich beim Onlinebanking bei der Postbank einen Virus oder Trojaner
eingefangen zu haben.
Wie begruendet sie ihren Verdacht?
Post by Thomas Wildgruber
Ich habe das System jetzt mit zwei Offline Virenscanner überprüft und
beide haben nichts gefunden.
Abgesehen davon, dass dieses Ergebnis nichts heissen muss:
Hast du zum scannen von einem "sicher sauberen Medium" gebootet oder den
Scanner aus dem vermeintlich infizierten System heraus gestartet? in
letzterem Fall sind die Ergebnisse der Scans noch weniger vertrauens-
wuerdig als Ergebnisse von Virenscanner ohnehin schon sind: Ein kompro-
mittiertes System iefert keine vertrauenswuerdigen Daten mehr (das be-
trifft auch Ergenisse von aus dem kompromittierten System heraus gestar-
teter Viren-Scanner). Du koenntest dich also beim Start des Scanners aus
dem bereits installierten Systemn heraus nur dann zumindest teil weise auf
die Ergebnisse verlassen, wenn das System nicht kompromittiert ist, nur
wenn du das bereits wuesstest, braeuchtest du den Scn nicht mehr ...
Post by Thomas Wildgruber
Kennt die Geschichte jemand und kann genaueres dazu sagen, was da passiert
ist? Bevor ich das System auf Verdacht neu installiere, würde ich gerne
wissen warum.
... womit wie wieder bei der ersten Frage waeren: Wie kommt deine Bekannte
darauf, dass das System infiziert ist? Welche Symptome sind aufgetreten?

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Michael Paul
2010-09-29 21:34:03 UTC
Permalink
Am 29.09.2010, 21:32 Uhr, schrieb Juergen Ilse =
Post by Juergen Ilse
ich habe einen privaten PC einer Mitarbeiterin hier stehen und die gi=
bt =
Post by Juergen Ilse
an
sich beim Onlinebanking bei der Postbank einen Virus oder Trojaner
eingefangen zu haben.
Wie begruendet sie ihren Verdacht?
Ich habe das System jetzt mit zwei Offline Virenscanner =FCberpr=FCft=
und
Post by Juergen Ilse
beide haben nichts gefunden.
Hast du zum scannen von einem "sicher sauberen Medium" gebootet oder d=
en
Post by Juergen Ilse
Scanner aus dem vermeintlich infizierten System heraus gestartet?
So wie ich das verstanden habe, hat er im Nachbarfred einen =

"Offline-Scanner" gesucht und eine Live-CD gemeint ;-)

Michael
Harald Hengel
2010-09-30 07:39:35 UTC
Permalink
Post by Michael Paul
So wie ich das verstanden habe, hat er im Nachbarfred einen
"Offline-Scanner" gesucht und eine Live-CD gemeint ;-)
Eine Leben- oder Wohnen CD?

Harald
Harald Hengel
2010-09-30 07:36:12 UTC
Permalink
nur wenn du das bereits wuesstest, braeuchtest du den Scn nicht mehr
...
Es ist immer wieder lustig, was du dir für einen Unsinn
zusammenschreibst.
Das klingt so wie, wenn mein Auto kaputt ist, braucht es nicht in die
Werkstatt zur genaueren Diagnose. ;-)
... womit wie wieder bei der ersten Frage waeren: Wie kommt deine
Bekannte darauf, dass das System infiziert ist? Welche Symptome sind
aufgetreten?
Die Symptome waren doch schon im Thread beschrieben.

Harald
Loading...