Druckversion des Themas

Geschrieben von: fenriz 09.01.2013, 23:50

Habe gestern einen Rechner eines Kunden erhalten mit dem "GVU-Trojaner" an Board.

Eigentlich kein Ding, habe schon dutzende befreit davon.
Der Unterschied war nun das es sich um eine neue Variante des GVU Trojaners handelte welcher sich mit keiner der bewährten Methoden oder Tools entfernen lies.
Er saß nicht direkt in den Bootsektoren oder der Autostartregistry, sonder irgendwo dahinter.
Letzendlich half dann die https://www.botfrei.de/rescuecd.html

Geschrieben von: simracer 10.01.2013, 08:52

Tja gestern kurz vor Mittag erwischte mich erstmalig auch ein sog. GVU oder wie ich es nenne Sperrtrojaner als ich 5 oder 6 FF Fenster offen hatte, in einem der fenster etwas klicken wollte(es waren keine Schmuddelseiten)und von der AVG Firewall ein Abfragefenster aufpoppte mit einer Java Anwendung. Ich klickte zu vorschnell auf zulassen ohne mir die Details der Java Anwendung anzuschauen und ehe ich mich versah, war kurz nur mein leeres Desktopbild zu sehen und danach das Fenster des Trojaners das mir sehr ähnlich wenn nicht genauso aussah wie das das Fenster das fenriz gepopstet hat. Klar war ich in dem Moment erschrocken, resetete aber sofort meinen PC, probierte aus ob ich den im Abgesicherten Modus starten könne und nahm dann den Abgesicherten Modus mit Netzwwerktreibern, aktualisierte dann sofort Malwarebytes Free(genau genommen war es PCShield Free der "Klon" von Malwrebytes), trennte dann sofort die Internetverbindung, löschte im Systemstart einen mir suspekt erscheinenden Systemstart Eintrag und liess einen Voll-Scan mit Malwarebytes alias PCShield laufen der dann auch 3 Infektionen fand die ich löschen liess. Mir war das aber nicht genug und ich sicherte mir 2 für mich wichtige Ordner(Simbin und Foxmail mit den E-Mail Konten)und ich spielte im Anschluß via Paragon Boot/Rettungs CD das letzte Systembackup der Partition C vom 26.12.2012 ein. Als das erledigt war, überprüfte ich um auf Nummer sicher zu gehen mit dem dann installiertem AVG Free, Malwarebytes Free und zum Schluß mit Avast Free das ich später statt AVG Free installiert hatte, mein komplettes System mit allen 3 Partitionen per Voll Scans und keiner der 3 Suchläufe fand dann noch etwas von irgendwelchen Infektionen.

Geschrieben von: SLE 10.01.2013, 09:55

:-) Was war noch an eher angeblich proaktiv schützender Software aktiv und schwieg?
Wenn es nur die Firewallkomponente ist die sich meldet ist es zwar eh zu spät, weil da i.d.R. das meiste schon durch ist. Aber es zeigt auch gut, dass man mit Nachfragefenstern auch umgehen können sollte. Sandboxie und alles wäre gut.

Die Sperrtrojaner haben immer noch Konjunktur und Variantenreichtum, aber in letzter Zeit treten wenigstens kaum noch die Verschlüsselungsvarianten auf und es ist somit mit einem kurzen Schrecken getan.

Geschrieben von: simracer 10.01.2013, 10:10

SLE, zu dem Zeitpunkt war AVG IS und Zemana AntiLogger installiert. Ich habe noch extra(vielleicht war es ein Fehler)nach der Installation von AVG IS die Firewall in den interaktiven Modus geschaltet damit Abfragen an mich kommen. Zu 100% bin ich jetzt nicht sicher ob es ein fenster der Firewall war, aber die Meldefenster des AVG Wächters und IDP schauen definitiv anders aus als das Fenster das sich einblendete und das eingeblendete Abfragefenster sah aus wie davor auch schon andere solcher Fenster die von der Firewall kamen. Ich denke, mein Fehler war der das ich nicht auf die Option ging "Mehr Details sehen/anzeigen",. vielleicht hätten dann die Alarmglocken bei mir geklingelt und es hätte keine Infektion stattgefunden. Ich weiß es nicht. Mein Bekannter PC Fachmann hier im Ort bestätigte mir am gestrigen Abend am Telefon dann auch das es von mir richtig war ein Systembackup einzuspielen und er meinte auch eine Bereinigung mit Malwarebytes würde bei vielen Sperrtrojanern wie ich die nenne, nicht alles von den Infektionen eines solchen Trojaners löschen, es könnten noch Reste verbleiben. Worin ich mir aber sicher bin ist, das es meiner Meinung nach wichtig ist, sich regelmäßig Backups/Images zumindest der Systempartition C zu erstellen oder alternativ auch der gesamten Festplatte wenn man noch andere Partitionen hat.

Wer weiß, vielleicht ist der Sperrtrojaner der bei dem Bekannten von fenriz und bei mir aufgetreten ist, eine neue Variante. Zu deinem 2. Teil des Satzes: ich glaube das es eher nicht ein kurzer Schreck ist für Leute die mit so einer Trojanervariante in Berührung kommen und die keine Sicherung ihres Systems in Form eines Backups/Images zur Hand haben. Zuerst mal müssen die dann sehen ob Sie den Trojaner mit diversen Scannern wieder vom System bekommen und dann bleibt danach die Ungewissheit/das Unbehagen im Hinterkopf: "ist mein System jetzt auch wirklich wieder sauber und sicher?" Zudem dauern die Bereinigungsversuche mit diversen Scannern auch ne ganz Weile(ein paar Stunden sind da schnell um).

Geschrieben von: olli 10.01.2013, 10:14

Also wieder ein Stück Malware, welches die Grenzen der Signaturerkennung aufzeigt? Wenn man jetzt wüsste, wie sich Norton und Co verhalten hätten. Nach meine letzte Test aus dem “verseuchte Websites“ Threat bin ich nun verwirrter als vorher...

Geschrieben von: simracer 10.01.2013, 10:20

olli, sei froh wenn bei dir so ein Sperrtrojaner ungewollt nicht in Aktion tritt bzw versucht in Aktion zu treten.

Geschrieben von: SLE 10.01.2013, 10:30

Und blieb stumm...taugt halt nix.


Zumindest so aktuell bzw. per modifiziertem Dropper, dass es per Signatur nicht erkannt wurde (nicht ungewöhnlich!) und man mal live sehen konnte wie gut die proaktiven Komponenten anschlagen.


Es ist hier aber im Gegensatz zu den Verschlüsselungstrojanern möglich die eigenen Daten zu retten. Und das ist das eigentlich entscheidende - der Rest ist ersetzbar. Und wer wirklich am PC arbeitet der hat auch mit einem 1 Tage alte Image sc schnell einen gehörigen Verlust.

Geschrieben von: simracer 10.01.2013, 10:39

Das bestreite ich ja nicht SLE, aber wenn ich ein Systembackup einspiele, sind auch Eigene Daten(und noch mehr)unter Eigene Dateien zumindest wieder zu dem Zeitpunkt da, als das Systembackup erstellt wurde. Was stimmt ist das was du schreibst von Leuten die jeden Tag den PC zum Beispiel beruflich brauchen.

Stellt sich evtl. die Frage: wie hätten Proaktive Schutzmechanismen anderer Hersteller auf die genannte Sperrtrojaner Variante reagieren können oder nicht? wäre es anderen Proaktiven Komponenten anderer Hersteller zu dem Zeitpunkt möglich gewesen den Trojaner zu stoppen oder nicht? das wissen wir nicht.

Und wer könnte belegen, das zum Beispiel Kaspersky, BitDefender oder meinetwegen Mamutu usw. nicht stumm geblieben wären und den Sperrtrojaner in dieser Variante hätten stoppen können?

Geschrieben von: Schattenfang 10.01.2013, 10:46

Naja, sehe es mal so: Wo von Anfang an nichts da ist, wird auch nie etwas sein. Darüber hinaus gibt es genügend Tests (von Organisationen und auch User), die den Markt relativ transparent betrachten lassen. Man muss heute keine Programme mehr einsetzen, von denen man nicht weiß, was sie bieten. Und setze ich Programme ein, die proaktiv so gut wie nichts mitbringen, dann werde ich in solchen Situationen immer alt aussehen. Natürlich sind viele andere Programme in der Lage so etwas zu stoppen. Man muss sie nur nutzen

Geschrieben von: simracer 10.01.2013, 11:38

Möchtest du jetzt wieder die Neverending Diskussion fortsetzen in der es darum geht, Avast, AVG und Zemana AntiLogger sowie ein paar andere Schutz Programme taugen nichts bzw sind nicht so gut wie andere wie zum Beispiel EAM, Mamutu usw Ginge es nach deiner Aussage Schattenfang, dann hätte ich zum Beispiel doch mir schon viel früher als gestern einen Sperrtrojaner oder Ähnliches einfangen und alt aussehen müssen mit Avast, AVG usw weil die ja nicht so gut sind wie andere genannte Programme und deren proaktiven Schutzmodule

Geschrieben von: claudia 10.01.2013, 11:44

Sehe ich genauso, weil auch BB/HIPS ausgetrickst werden können oder man/frau falsche Entscheidungen trifft.
Und Signaturen schon beim Update veraltet sind.

Geschrieben von: SLE 10.01.2013, 12:02

Die Argumentation wandelt. Früher war es immer "noch nie..." nun ist es "erst jetzt". Du hast doch damals durch einen Test nachgewiesen, dass bei dir Comodo mit deinen Settings nicht reagierte, nun das gleiche für Zemana. (btw.: an diesem Programm bekommst du die meisten dieser Ransoms vorbei. Schicke dir gern Samples zum Testen - aber dann nur für Zemana).

Sei doch froh, dass es so glimpflich ablief und nutze die Chance dich mal auf ein Schutzkonzept festzulegen, es zu verstehen und dich mal mit innovativeren Ansätzen wie z.B. Sandboxen (hierbei Sandboxie und nicht die Schummellösungen mancher Anbieter) zu beschäftigen. Besser als das permanente Gewechsele.


Nö. Das wofür sie geschrieben sind erkennen sie. Das sie neueres i.d.R. nicht erkennen liegt in der Logik der Sache.

Geschrieben von: simracer 10.01.2013, 12:13

Willst du jetzt absichtlich etwas verdrehen SLE bis gestern schrieb ich zu recht hier und in anderen Foren das ich mir(bis gestern)noch nicht ungewolltSperrtrojaner, Ransomsoftware usw auf meinem System eingefangen hatte. Gestern erwischte mich dann ungewollt ein Sperrtrojaner, so weit gut und schön(oder auch nicht)aber meine Argumentation wandelt nicht so wie du es mir unterstellen willst weil meine bis gestrige Argumentation stimmte und seit gestern bzw heute nicht mehr. Jetzt, ab heute bzw seit gestern um genau zu sein kann ich nicht mehr "behaupten" das ich mir noch nicht ungewollt Sperrtrojaner, Ransomsoftware usw eingefangen hätte.

Geschrieben von: Schattenfang 10.01.2013, 12:17

Wenn Dein Sicherheitskonzept primär auf der Einspielung alter Images beruht habe ich da überhaupt nichts gegen. Ist auch ein Konzept. Es gibt aber Leute, die dieses Konzept nicht gut finden und lieber Technologien einsetzen, die eine höhere Chance haben solche Infektion von Vornherein zu verhindern.

Geschrieben von: simracer 10.01.2013, 12:23

Das regelmäßige Erstellen von Systembackups gehört bei mir dazu Schattenfang. Nicht mehr und nicht weniger und glaub mir es gibt sehr viele User im Netz die meilenweit davon entfernt sind wie die User in den Foren wie diesem, um ihr Windows gegen Malwarebefall abzusichern. Da gibt es mehr als genug die sich weder um die Aktualität ihrer Systeme kümmern und um Virenschutz Programme egal welcher Art einen Bogen machen getreu dem Motto: "mir passiert ja nichts"

Hab ich irgendwo geschrieben das ich es nicht gut finde wenn andere Leute(speziell hier bei Rokop)Strategien wie Sandboxie, bessere Proaktive Schutz Programme usw verwenden als ich und die andere Strategien bevorzugen?

Geschrieben von: claudia 10.01.2013, 12:54

@Sebastian
der "Fehler" den Uwe mit Comodo gemacht hat war, Comodo im Spielmodus zu testen (Spielmodus = Trainigs-Modus)
und zu Zemana nur soviel, das es auch nicht die vordergründige Aufgabe von Zemana als Keylogger-Schutzlösung ist.

Geschrieben von: SLE 10.01.2013, 13:06

Ja. Man suchte sich damals die Nische "Anti-Logger" - nur gab es die nie wirklich.

Andere Lösungen erkennen eben auch sämtliches Keyloggerverhalten (auch welches was Zemana nicht erkennt) aber eben noch mehr. Auf der ersten Blick kann der Hersteller Zemana da mit seinen albernen signierten Testtools zwar noch Laien veralbern, aber man hat natürlich erkannt aus der Nische raus zu müssen um zu überleben. Also versucht man schon längere Zeit mehr in Richtung Hips zu gehen, wo man aber in keiner Linie mithalten kann. Ähnliches gilt für Spyshelter - auch wenn die besser waren als Zemana. Spyshelter ist schon fast tot, aber auch Zemana wird meiner Einschätzung nach innerhalb der nächsten Jahre vom Markt verschwinden, zumindest in der bisherigen Form.

Wer das Tool jetzt noch nutzt macht das doch nur, weil es free ist bzw. die erweiterte Version ständig verschenkt wird bzw. auch weil es eben ruhiger ist als zuverlässigere, etablierte Lösungen. Was ich nicht überwache kann ich natürlich auch nicht melden. Uwe hat ein Real-world Szenario gehabt, mit dem realen Einfallsvektor Browser, und gesehen, wo Zemana nicht greift. Der beste Testcase den man haben kann. In den anderen Punktem (Userfehler bei der Bedienung, Nichtverstehen der eingesetzten Software deshalb Fehlkonfiguration) ist er ja eh etwas beratungsresistent.

@Uwe: Hast du die Malwarebyteslogs noch - bzw. war eine Erkennung mit dem Namen Exploit.Drop.G bzw. Exploit.Drop.GS dabei?

Geschrieben von: simracer 10.01.2013, 13:11

Sebastian, mehr als das: http://www.abload.de/image.php?img=unbenanntq1ph1.jpg kann ich dir jetzt nicht mehr nicht anbieten, das postete ich gestern in Matzes Forum.

Na so schlimm bin ich nun auch wieder nicht Sebastian. Okay ich benutze noch keine richtige Sandboxie, aber ich hatte zum Beispiel claudia gegenüber ein offenes Ohr was die Einstellungen für Comodo FW Defense+ betraf und setzte die auch um. Kannst ja claudia fragen. Und ob das nun so schlimm ist wenn ich auf Avast oder AVG setze und nicht auf meinetwegen EAM oder Mamutu, das ist doch Ansichtssache und sollte jedem weitestgehend selbst überlassen bleiben welche Schutzsoftware er einsetzt oder?

Geschrieben von: SLE 10.01.2013, 13:16

Reicht, alles klar.
OT: Ist diese rebrandete MWB Version eigentlich auf dem gleichen Stand wie das Original (1.7)

Geschrieben von: simracer 10.01.2013, 13:18

Nein das war noch version 1.65.1.1000, die hinken wohl etwas hinterher.

Geschrieben von: SLE 10.01.2013, 13:20

Mir immer schleierhaft, wieso man bei sowas (sofern gleich teuer, bzw. beide gratis) nicht das Original nutzt, wo Neuerungen i.d.R. eher einfließen.

Geschrieben von: simracer 10.01.2013, 13:23

Was sagt dir bzw uns das aus das Exploit.Drop.G bzw. Exploit.Drop.GS dabei waren? Kannst du das näher erklären?

Geschrieben von: simracer 10.01.2013, 13:26

Die Frage muß ich dir aber jetzt nicht wirklich beantworten oder ist bei mir genauso wie bei........na du weisst schon Mein Gott Sebastian, es gibt halt User wie mich, Steinlaus und noch ein paar mehr, die gerne mal hin und her hüpfen bei den Virenschutz Programmen.

Geschrieben von: der allgäuer 10.01.2013, 15:26

ja, und erfolg gleich null.

Geschrieben von: Steinlaus 10.01.2013, 17:22

.. he he bleib mal locker Chica.
Alleine schon wegen den Tunten-Farben würde ich das Tool nicht nutzen.. ich bleibe da beim Originalen!


Habe mir um auf Nummer sicher zu gehen mal http://www.surfright.nl/en/kickstart#boot USB flash drive erstellt.

Geschrieben von: simracer 10.01.2013, 18:45

he he du Laus ich bin locker und meinte deinen Nick nicht in Verbindung nicht mit Malwarebytes, wohl aber mit anderen Virensvhutz Programmen die du gerne auch mal wechselst.

Geschrieben von: simracer 10.01.2013, 20:55

Gerade den Artikel in KurtW's Forum gesehen: http://www.heise.de/security/meldung/Gefaehrliche-Luecke-in-aktueller-Java-Version-1780850.html vielleicht begünstigte diese Sicherheitslücke gestern bei mir den erfolgreichen Angriff des Sperrtrojaners

Geschrieben von: SLE 10.01.2013, 21:26

Brauchst du Java?

Ich erkenne durch die Signaturbenennung von MWB die Variante. Seit Mitte Dezember im Umlauf.

Geschrieben von: simracer 10.01.2013, 21:40

Danke für die Erklärung SLE

Geschrieben von: BluesBrother 10.01.2013, 22:00

zur info: so etwas wie einen "gvu-trojaner" gibt es nicht!. http://www.gvu.de/index.php?id=39

Geschrieben von: Tiqui Taca 11.01.2013, 00:36

So flexibel, mächtig und zukunftsfähig (Dank Android) Java auch ist - mich überrascht dessen hoher Verbreitungsgrad unter Windows immer wieder. Selbst die üblichen Verdächtigen OOo und LO kommen im Prinzip auch ohne Java RE aus. Auch das Browser-Plugin wird so gut wie gar nicht benötigt (mir fällt eigentlich nur die Druckfunktion von DHL als Einsatzzweck ein).
Na ja, muss jeder selbst entscheiden.

(@simracer)
Als Alternative zum hin und her Hüpfen:

- wenn schon XP, dann nur mit Benutzerrechten surfen. Ist zwar kein Heilmittel mehr, aber besser als gar nichts. Noch besser: aktuelles OS verwenden. Linux-Distribution, Mac, Win 8 - Du hast die freie Auswahl.

- Java deinstallieren

- eine Kombination aus NoScript+RequestPolicy. Effektiver geht es IMHO gar nicht.

Zur Java-Lücke: heise ist da ja mal wieder sehr oberflächlich. Vertical oder horizontal privilege escalation, was genau nutzt die denn aus?

Zur Namensgebung „GVU-Trojaner“ - nicht nur „GVU“ ist hier fehl am Platz, auch der inflationär benutzte Begriff „Trojaner“ ist im Grunde irreführend und falsch. Schließlich waren die Bewohner von Troja laut Ilias nicht die Täter, sondern die Opfer. Das Trojanische Pferd wurde von den Griechen erschaffen, welche in Homer´s Ilias als „Danaer“ bezeichnet wurden. Folglich müsste es eigentlich Danaer oder https://de.wikipedia.org/wiki/Danaergeschenk heißen.
(bitte nicht als Klugschei*erei werten, ich mag solche Ungenauigkeiten einfach nicht!)

Geschrieben von: claudia 11.01.2013, 00:49

nur ist es gar nicht so leicht Java vollständig wieder vom Rechner zu bekommen, wenn es einmal installiert war.

Nutze selber XP-Prof. und Win 8 kämme selbst geschenkt nicht auf meinem Rechner, sonst gebe ich dir in allen Punkten recht.

Geschrieben von: simracer 11.01.2013, 00:53

Wenn du der Meinung bist, mir sagen zu wollen was ich für ein System wie zu verwenden haben sollte und mir diesbezüglich gut gemeinte Vorschläge unterbreiten möchtest, dann registrier ich das aber mehr auch nicht. Wenn du glaubst ich würde mich nicht um mein System genügend kümmern und das wäre nicht mehr zeitgemäß, dann gehe mal im realen Leben in eine PC-Werkstatt/Laden und frag dort nach was für PC's die infiziert sind, dort abgegeben werden und dann komm mal zu mir und vergleiche das mit dem System vor Ort das ich hier benutze. Ich kenne 2 Leute persönlich die im realen Leben(für Foren hätten die gar keine Zeit und auch kein Interesse)je einen PC-Laden bzw PC Service vor Ort bei Geschätfs und Privatkunden betreuen und beide bestätigten mir unabhängig voneinander das ich ihrer Meinung nach sehr viel dafür tue unsere PC's mit XP gut gegen Malware abzusichern.
Edit: oder frag mal hier in Rokop zum Beispiel claudia, welch "gepflegte" Windows PC's Sie schon vorfand als Sie von Bekannten gerufen wurde und denen helfen sollte bei Malwarebefall.

Geschrieben von: claudia 11.01.2013, 00:53

nur ist es gar nicht so leicht Java vollständig wieder vom Rechner zu bekommen, wenn es einmal installiert war.

Nutze selber XP-Prof. und Win 8 kämme selbst geschenkt nicht auf meinem Rechner, sonst gebe ich dir in allen Punkten recht.

Edit
Uwe sehe das du noch mitliest
(genau das meinte ich auch mit Grundkonzept ist wichtiger als AV xyz)

Geschrieben von: simracer 11.01.2013, 00:59

claudia ich poche gar nicht mal darauf ob bei Virenschutz nun Produkt A besser ist als B. Wenn ich aber zu leichtsinnig wäre und mein Grundkonzept nicht stimmen würde, dann hätte ich mich in den letzten Jahren in denen ich in Foren unterwegs bin nicht erst gestern bzw vorgestern mit so einem heftigen Trojaner wie einem Sperrtrojaner ungewollt infizieren müssen, sondern das hätte dann schon eher bei mir passieren müssen oder meinst du nicht?

Geschrieben von: Tiqui Taca 11.01.2013, 01:42

Ich kenne Dich nicht, daher beurteile ich das völlig neutral und halte mich an die Fakten. Und Fakt ist: Du hast Dir trotz Deiner Sicherheitsvorkehrungen Ransomware eingefangen. Selbst wenn Du die Firewall-Meldung aufmerksamer gelesen hättest und den Zugriff blockiert hättest - die Malware war zu diesem Zeitpunkt schon auf dem System und hätte sich auch über einen anderen Prozess Internet-Zugriff verschaffen können.

Und der Hinweis mit Windows 8 war lediglich ein Versuch Dir zu sagen, dass das neue MS-OS Schutzfunktionen beinhaltet, die es u.a. Exploits deutlich schwerer machen. Unter Linux könnten Java-Exploits zwar auch funktionieren, allerdings eher in der Theorie als in der Praxis, denn sie müssten sowohl an Linux selbst als auch dessen (standardmäßig nicht installierten) OpenJDK angepasst werden (Oracle hat den Support der Java-Version für Linux vor einiger Zeit eingestellt).

Insofern... war nur ein gut gemeinter Rat, zumal Win 8 gerade sehr günstig zu erwerben ist.
Und Dein Argument mit dem ONV, der sein System noch schlechter absichert, sollte hier eigentlich nicht gelten, da ich davon ausgehe, dass sich Mitglieder dieses Forums doch etwas besser auskennen...



[OT]Den Satz höre ich leider ziemlich oft. Wieso eigentlich? Was stört euch denn genau an Win 8? Etwa ModernUI/Metro? Das ist lediglich eine Art erweitertes Startmenü, mehr nicht... Die meisten Änderungen http://www.golem.de/news/windows-8-die-neuerungen-unter-der-haube-1208-93719.html.[/OT]

Geschrieben von: claudia 11.01.2013, 01:48

du müsstest mich doch kennen - das einmal einmal zuviel ist nach meiner Philosophie

Überdenken was man verbessern kann, wäre ja nicht verkehrt und ob du dann bereit bis,
es umzusetzen bleibt natürlich dir überlassen.

Geschrieben von: fenriz 11.01.2013, 03:45

lustig, im selben Artikel weiter unten nennt man die Malware dann selbst GVU Trojaner.

"Wie kann der Rechner wieder entsperrt werden?
Der GVU-Tr ojaner ist in zahlreichen Variationen im Umlauf."

Also bitte keine Wortglauberei wegen diverser Bezeichnungen jeder wei was gemeint ist.

Geschrieben von: J4U 11.01.2013, 11:07

Dann bist Du aber nicht nur neu bei Rokop - Herzlich Willkommen - sondern neu im www
Mich stört an Windows 8 wenig, aber Windows 8 stört sich an meiner Hardware.
Wenn ich Windows 8 so installiere, wie M$ das will, dann sind alle meine Bildschirme nicht tauglich. Klar, ohne Kachelklickibunti funktioniert es...

Zu Java: Start > Systemsteuerung > Java > Sicherheit > da den Haken bei Java-Content im Browser aktivieren entfernen und den Browser neu starten. Sollte genügen, außer halt im IE. Den legt man derzeit am besten an die Kette.

J4U

Geschrieben von: simracer 11.01.2013, 11:22

Danke für den Tipp. Bedeutet das dann, wenn ich mit FF auf eine Webseite komme die Java benötigt das die dann nicht richtig dargestellt wird?

Geschrieben von: J4U 11.01.2013, 12:15

http://www.cosgan.de/smilie.php

Probiere es halt aus: http://www.java.com/de/download/testjava.jsp
Je nach Browser (Opera) sollte man auch folgenden Satz inkl. Link auf der Testseite beachten: Überspringen Sie die Installation der aktuellen Version, und testen Sie die derzeit installierte Java-Version
Das Ergebnis sollte in etwa so:




aussehen.

Geschrieben von: simracer 11.01.2013, 12:30

Okay Danke für die Erklärung ich hab das vorhin mal deaktiviert so wie du es beschrieben hast und werde dann ja in nächster Zeit mit dem FF sehen ob ich Java überhaupt vermissen würde.

Geschrieben von: SLE 11.01.2013, 13:41

Nein und kaum eine Webseite benötigt Java. Es ist nur ein weitverbreiteter Trugschluss Java mit JavaScript (das unterstützt jeder Browser) zu verwechseln.
Selbst die DHL wie von Tiqui Taca aufgeführt, sollte mittlerweile ohne Java auskommen. Einzig ein paar veraltete Browsergames benötigen noch Java ansonsten gibt es für 98% aller Heimanwender keinen Grund überhaupt Java zu installieren.

Natürlich gibt es auch Software, die Java benötigt - aber das meldet diese a.) und b.) installieren die meisten dieser Programme ihre eigene JRE im Programmordner (oft wird eben eine ganz bestimmte Version benötigt) und ballern nicht den Browser mit so einem Mist zu.

Geschrieben von: SLE 11.01.2013, 13:43

Das sollte hier ja bekannt sein. Ich störe mich immer mehr am Wort DEN als an einer Bezeichnung die der leichteren Beschreibung dient. Zuoft kommen dann nämlich nichtssagende Hilfevorschläge ala
- Programm X erkennt DEN BKA-/GEMA/U-Cash Trojaner
- so entfernt man DEN BKA-/GEMA/U-Cash Trojaner

Geschrieben von: markusg 11.01.2013, 15:47

@fenriz
Der Unterschied war nun das es sich um eine neue Variante des GVU Trojaners handelte welcher sich mit keiner der bewährten Methoden oder Tools entfernen
lies.
Er saß nicht direkt in den Bootsektoren oder der Autostartregistry, sonder irgendwo dahinter.
Letzendlich half dann die ...
was meinst du mit "dahinter"
es gibt eig momentan keine neuen Variannten von GVU ransom ware, gibt halt momentan ein neues Bild, das anzeigt, dass der Provider den PC gesperrt haben.
gestartet wird über ne lnk, oder je nach variannte auch ne exe im autostart.
im mbr saßen die Ransomware samples, die hier in de verbreitet werden, noch nie.
da jetzt im blackhole pack, welches ja hauptsächlich zur verbreitung genutzt wird, ein neuer java 0day eingefügt wurde, ist mit steigenen Infektionen zu rechnen.
deine logs währen interessant gewesen

@sle, zu deinem letzten Post, da gebe ich dir recht, zumal man auf seiten wie Chip.de auch lesen kann, nutzt einfach die SWH und gut ist, man lässt aber vollkommen außer acht, dass auch evtl. mehr Malware ins system gedroppt wurde, solche Tipps nerfen mich persönlich auch ziemlich

Geschrieben von: simracer 11.01.2013, 16:19

Die SWH habe ich schon lange auf meinem System für alle 3 Partitionen deaktiviert(bei XP Home geht das auch nicht anders)seit ich Backups mache und es vorher immer wieder mal zu Problemen mit der SWH kam und ein Systemwiederherstellungspunkt nicht richtig oder gar nicht wiederhergestellt wurde. Das nervte dann immer so "schön" wenn dort stand die Systemwiedeherstellung sei fehlgeschlagen oder es konnten/wurden keine Änderungen am System vorgenommen werden.

Geschrieben von: Solution-Design 11.01.2013, 23:27

Oder so:
[attachment=8001:Aufnahme1.jpg]

Geschrieben von: SLE 11.01.2013, 23:46

Passiert oft, wenn man bei den komischen AV's vor der SWH den Selbstschutz nicht deaktiviert.

Geschrieben von: J4U 12.01.2013, 00:11

Und dann so:


Kann auch passieren. Bei XP war es meistens so, dass 1 Punkt nahezu immer funktionierte und je weiter man zurückging, um so geringer war die Wahrscheinlichkeit, ein lauffähiges System zu erhalten.

OK, bevor wir ins OT abdriften...

Geschrieben von: simracer 12.01.2013, 00:28

Stell dir mal vor es passierte auch schon mal mit deaktiviertem Selbstschutz oder wenn ein anderes AV als die wie du es nennst komischen AV's installiert war oder gar keines

Geschrieben von: SLE 12.01.2013, 00:34

Ich meinte alle AVs mit Selbstschutz (wobei v.a. Kaspersky für solche Faxen bekannt ist) und ja es kann auch ohne AVs passieren, v.a. unter buggy XP.

Geschrieben von: simracer 12.01.2013, 00:39

Ich dachte du zielst auf die 2 ab die ich gerne benutze na ja als ich mit Backups anfing, gab mir jemand den Tipp, das ich auf die Systemwiederherstellung verzichten könne wenn ich regelmäßig Backups mache und seitdem halte ich mich auch daran und vermisse die Systemwiederherstellung auch nicht. Dieser jemand meinte seinerzeit auch, das die Systemwiederherstellung bei XP sehr launisch sein könne(das durfte ich auch mehr als einmal mitbekommen)und manchmal einer Lotterie gleiche.

Geschrieben von: simracer 12.01.2013, 00:57

Bei mir mit dem FF schaut es jetzt so aus: http://www.abload.de/image.php?img=4sdzcb.jpg nachdem ich den Tipp von J4U angewendet habe.

Komisch bei mir wurden im IE 8 aber wohl auch die Java AddOns deaktiviert: http://www.abload.de/image.php?img=5n0u3b.jpg

Geschrieben von: Schattenfang 12.01.2013, 01:10

Nur ganz kurz von mir: Java braucht niemand und gehört meiner Meinung nach heutzutage auf keinen einzigen Rechner mehr! Deutlich geschrieben, aber bitter ernst gemeint. Zweitens: Vergesst SWH....die Routine ist zumindest unter Win7 und abwärts so dermaßen schlecht und lieblos produziert, dass jedes Billig-Image mehr wert ist.

Geschrieben von: simracer 12.01.2013, 01:16

Schattenfang, ich begnüge mich erstmal damit es für die Browser deaktiviert zu lassen. Evtl. deinstalliere ich es auch später mal.

So ungefähr bekam ich es 2008 von dem jemand auch gesagt als ich den damals neuen gebauten Desktop PC hatte und derjenige sagte zu mir: warum fängst du nicht mit Backups deines Systems an und deaktivierst die Systemwiederherstellung ein für allemal. Ich hörte auf ihm und bin heute froh seiner Empfehlung gefolgt zu sein.

Geschrieben von: Oldie 12.01.2013, 09:53

Schön, dass Du die Bedürfnisse aller User so genau kennst!
Hier wird zum Beispiel Java für die Handelsplattform benötigt: http://marketindex.rbs.com/de/Home
Etliche Chatprogramme verwenden ebenfalls Java.

Geschrieben von: simracer 12.01.2013, 10:06

Oldie, man kann ja als Kompromiss den Vorschlag von J4U befolgen: http://www.rokop-security.de/index.php?s=&showtopic=22891&view=findpost&p=365856 ohne deswegen Java gleich deinstallieren zu müssen.

Geschrieben von: Oldie 12.01.2013, 10:33

Es ging mir um die anmaßende Aussage, dass niemand Java benötigt. Das Elster-Online-Portal der Finanzverwaltung benötigt zum Beispiel auch Java.
https://www.elsteronline.de/eportal/

Geschrieben von: simracer 12.01.2013, 10:38

Oldie, Schattenfang hat halt seine Meinung zu Java abgegeben was so weit ja in Ordnung ist. Bedenkt man das die meisten Infektionen über Sicherheitslücken in den Java Browser AddOns aufs System kommen(hab ich bei CB gelesen), dann hat Schattenfang mit seiner Meinung gar nicht so Unrecht und das was J4U postete, finde ich ist ein guter Kompormiss weil Java nicht deinstalliert werden muss aber die AddOns in den Browsern deaktiviert bzw entfernt werden.

Geschrieben von: Oldie 12.01.2013, 10:52

Schattenfang hat mit seiner Meinung, dass niemand Java braucht, eben nicht recht. Wenn er es nicht braucht, ok! Aber andere brauchen es eben doch!

Geschrieben von: simracer 12.01.2013, 11:02

Komm schon Oldie daran musst du dich jetzt doch nicht "aufreiben"

Geschrieben von: Solution-Design 12.01.2013, 11:21

So ist es. Vergessen nur Viele. Außerdem war es unter XP besonders vorteilhaft, die Systemwiederherstellung im abgesicherten Modus laufen zu lassen. Ich hatte bei Beachtung dieser Kleinigkeiten zumindest nie ein Problem mit der Systemwiederherstellung. Weder an meinem, noch an Fremd-PCs.



Ein Image hat mit der Systemwiederherstellung wenig gemein.



Nicht nur dort. Auch außerhalb des üblichen Internet-Browsens wird Java benötigt. Beispiel Lexware.

Geschrieben von: simracer 12.01.2013, 11:29

So ehrlich bin ich das ich auch oft den Avast Selbstschutz bspw. damals nicht deaktivierte und die Systemwiederherstellung meistens unter Windows und nicht im Abgesicherten Modus startete. Wie aber schon erwähnt: bei mir bleibt seit Verwendung von Paragon die Systemwiederherstellung dauerhaft deaktiviert weil ich finde diese nicht mehr zu gebrauchen.

Geschrieben von: SLE 12.01.2013, 13:03

Welcher Kompromiss? Die Browserseiten die Java (nicht Javascript) benötigen sollten so nicht funktionieren. Wer also für andere Anwendungen kein Java braucht kann es dann durchaus entfernen.

Zu Webseiten die noch Java brauchen: Es werden zum Glück immer weniger, da andere Methoden deutlich vorteilhafter sind. Ich denke und hoffe, dass auch die öffentlichen Institutionen (das Elster Beispiel hat mich jetzt etwas geschockt) bald umschwenken und modernere und weniger fehleranfällige (ich spreche nicht von Sicherheitslücken) Lösungen programmieren lassen.

Ansonsten: Sandboxie Nutzer lachen darüber - gleich 2mal. Java Exploits verpuffen in der Sandbox und daneben kann man sogar eine spezielle Sandbox haben und nur in der ist Java installiert. Diese kann man nutzen, wenn man wirklich mal auf eine Seite stößt die es braucht.

Zu Schattenfangs Aussage: Ich sehe es ähnlich - beim gewöhnlichen Browsen wird Java i.d.R. nicht benötigt.

Zu den lokalen Anwendungen die Java benötigen. Hier hat(te) Java den Vorteil relativ leicht plattformübergreifend programmieren zu können. Jede einigermaßen gescheite Softwareschmiede sollte in solchen Fällen jedoch entweder die JRE selbst mitbringen oder zumindest eine Option dafür anbieten. Auf ein global installiertes JRE zu setzen ist veraltet.

Gut, jetzt sind wir wirklich off-topic. Man könnte es noch fortsetzten, da es für Flash ähnliche Beispiele gibt. Eine tschechische AV Schmiede verlangt sogar sowas um die Statistiken ansehen zu können. In dieser Branche eigentlich noch mehr ein Unding.

Über XP und die Systemwiederherstellugn brauchen wir nicht mehr schreiben. Xp ist zum glück bald tot Auch wenn ich die Systemwiederherstellung nicht nutze, ab Vista hat sie doch ein paar Nützlichkeiten als Begleitung. (Schattenkopien etc.). Im Falle einer Malwareinfektion würde ich sie aber nicht nutzen - um den Bogen zum Thema wieder zu schließen.

Geschrieben von: stROhKOPf 12.01.2013, 13:11

Absolut deiner Meinung!







Vermisse schon ca. 1/2 Jahr lang kein Java auf dem Rechner und schon gar beim browsen nicht.



Da hatte ich aber auch gestaunt.

Geschrieben von: simracer 12.01.2013, 13:13

Na ja SLE, ich nannte es eben einen "Kompromiss" den Vorschlag von J4U und hab das so bei unseren PC's und den Notebook meines Schwagers umgesetzt um Malware Einhalt zu gebieten die die unsicheren Browser Plugins von Java nutzen würden um ein System zu infizieren.

Ist bestimmt Avast: http://www.abload.de/image.php?img=83sjw1.jpg kannst du ruhig dazuschreiben SLE

Geschrieben von: Schattenfang 12.01.2013, 13:28

Wie oft im Jahr nutzt Du bitte die Elster-Software? Es mag sein, dass man für bestimmte Dinge noch Java braucht, obwohl es zunehmend aus den Strukturen verbannt wird. Zum Glück. Ein einmaliges Installieren und anschließendes Deinstallieren ist doch kein Problem. Mit Nutzung meinte ich einen regelmäßigen, langfristigen Einsatz.
Der Trend von Java weg zu gehen und sogar Dinge zu boykottieren, die nach wie vor auf Java setzen ist doch nicht neu. Fast alle Unternehmen der IT-Sicherheit raten das den Internetnutzern seit Jahren. F-Secure zum Beispiel begann damit in 2011 und hat im letzten Jahr erneut einige Weblogeinträge zum Thema verfasst, in denen sie alle raten auf Java zu verzichten:
http://safeandsavvy.f-secure.com/2012/01/14/why-you-should-get-rid-of-java-now/
http://www.f-secure.com/weblog/archives/00002285.html

Man braucht Java für eine Internetnutzung tatsächlich nicht. Im beruflichen Kontext mag ich es nicht abschätzen, aber ich sprach von Home-Usern.

Geschrieben von: Oldie 12.01.2013, 15:23

Du hast von "niemand" gesprochen, also nicht explizit von Home-Usern. Musst nicht nur von Deinen Interessen ausgehen.

Geschrieben von: J4U 12.01.2013, 15:45

Kein Mensch braucht Java, manchmal braucht man Java doch, ...
Immer schön, mit Leuten zu tun zu haben, die genau wissen was sie wollen.

Das ist mir zu absolut. Es gibt durchaus Fälle, wo ein versautes OS besser ist als gar kein OS.

J4U

Geschrieben von: Tiqui Taca 12.01.2013, 15:51

???
Java ist neben C# und C++ die wichtigste Programmiersprache im Bereich kommerzieller Software. Wer zukünftig mit seiner Anwendung bzw. App Geld verdienen möchte, kommt um Java gar nicht mehr herum! Google hätte für Android nicht eine sich auf dem absteigenden Ast befindliche Programmiersprache gewählt...
Java ist mächtig, vielseitig einsetzbar und plattformunabhängig. Die Grundlagen sind auch schnell gelernt, dass Problem liegt eher bei der Komplexität und (vor allem) Vielzahl der Klassenbibliotheken.

Geschrieben von: stROhKOPf 12.01.2013, 16:38

Das ist ja alles schön und gut, aber was interessiert mich das als Anwender? Die Software muss sicher sein. Ist sie es nicht und das über einen längeren Zeitraum, dann wird sie einfach nicht mehr benutzt - aus die Maus. Als Privatanwender kann ich mir das leisten und im Betrieb wäre es mir egal.

Geschrieben von: Schattenfang 12.01.2013, 16:45

Brauchen und benötigen sind zwei Dinge. Brauchst Du die Elster-Software? Also ich nicht. Aber sie benötigt Java. Wo ist das Problem?


Dir ist der Unterschied aber schon bewusst, oder? Ich wusste gar nicht, dass ich java-programmierte Anwendungen verbanne, wenn ich die lokale, löchrige Desktop-Schnittstelle nicht installiere.



So und nicht anders!

Geschrieben von: Tiqui Taca 12.01.2013, 17:22

Darum ging es mir gar nicht. Mich stört lediglich Deine Pauschalisierung „niemand braucht Java auf dem Rechner“.

btw: Es gibt immer noch genügend Anwendungen, welche eine installierte JRE voraussetzen. Die wohl Bekannteste beginnt mit „J“ und endet auf „Downloader“ (und höre Dir das Geflenne der Nutzer an, wenn der nicht mehr geht...).

Geschrieben von: simracer 12.01.2013, 18:39

Auch wenn es hier schon gar nicht mehr um GVU Trojaner sondern mehr um Java geht oder gerade deswegen diese Meldungen:

Quelle und die ganze Meldung gibt es bei: http://www.heise.de/security/meldung/Oracle-kuendigt-86-Patches-an-1782668.html
Quelle: http://www.heise.de/security/meldung/Mozilla-und-Apple-schalten-das-Java-Plug-in-ab-1782640.html

Geschrieben von: fenriz 12.01.2013, 22:34

wir sind jetz aber OT.

Geschrieben von: Fabian Wosar 12.01.2013, 23:47

Ich brauch Java auch, fuer Minecraft . Allerdings hab ich wirklich schon seit Ewigkeiten keine Notwendigkeit mehr fuer Java im Browser gehabt. Allerdings nutz ich weder das Online Elster Formular noch die AusweisApp .

Geschrieben von: simracer 29.01.2013, 23:31

Auch bei chip.de gibt es einen Bericht zu den GVU Trojaner(n): http://www.chip.de/news/Porno-Erpresser-GVU-Trojaner-in-neuer-Version_60126777.html

Geschrieben von: simracer 06.02.2013, 17:21

Noch immer haben viele Virenschutz Programme Probleme GVU Trojaner zu erkennen. Beispiel: https://www.virustotal.com/file/9c16a65b3eee99f24b32acfce3d21551a4e17cad475f36406fb97e0696e83fa3/analysis/

Geschrieben von: flexibel44 06.02.2013, 19:45

Es fällt mir immer mal wieder auf, dass Bitdefender etwas erkennt, aber F-Secure nicht. Die benutzen doch die gleiche Engine. GDATA ist dann auch immer in der Erkennung dabei. Übernimmt F-Secure sehr verzögert die Signaturen?

Geschrieben von: fec2 04.05.2013, 15:34

Da eine Version des Trojaners auch ein Webcam Foto in das Erpresserschreiben einfügt (eigentlich genial ) wollte ich mal fragen wie man die integrierte Webcam am besten abdreht?

Deaktivieren des Geräts ist angeblich kein Hindernis für einen Trojaner, also am besten überkleben oder wie?

Geschrieben von: simracer 04.05.2013, 16:29

Ja damit: http://www.autoteile-plauen.de/artikel-203.htm

Geschrieben von: fec2 04.05.2013, 17:23

Haha! Danke, das sollte dann wirklich sicher sein.