Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Virus vermutlich durch den Besuch der Qype-Homepage

Frage Sicherheit Erkennung und -Abwehr

Mitglied: EDVMan27

EDVMan27 (Level 1) - Jetzt verbinden

01.07.2012, aktualisiert 20:42 Uhr, 4330 Aufrufe, 7 Kommentare

Hallo zusammen,

ich habe nun eben einen Anruf von einen Kunden bekommen, den wir ab demnächst betreuen sollen, dass er einen Virus auf seinem PC hat. Der typische Trojaner mit 50Euro zahlen, als GEMA-Variante und inkl. Dateiverschlüsselung.

Ich frage mich nur wie?
Ich habe die Anlage bis jetzt nur einmal gesehen und eine Kurzdoku erstellt, da sah aber alles prima aus.
Windows 7 Prof SP1 (alle Updates), FireFox (aktuellste Version mit "adblock plus") ESET Antivirus, Flash und Java aktuell.
Das Netzwerk wird durch eine "richtige" Firewall geschützt von der ich allerdings nicht die Konfiguration kenne.

Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.
Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher Ausrichtung.

Weiß Jemand hierzu etwas? Besonders in Hinblick auf Qype?

Danke

Stefan
Mitglied: NetWolf
01.07.2012, aktualisiert um 19:28 Uhr
Moin Moin,

also erst mal die wichtigste Sache zuerst: Netzwerkkabel aus dem PC ziehen, damit nicht noch andere PCs im Netzwerk infiziert werden!
Dann im abgesicherten Modus starten und den Virus beseitigen. (Anleitungen gibt es reichlich)

/Edit
Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.
und die Erde ist eine Scheibe

Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher Ausrichtung.
Hallo? Wie bist du denn drauf? Wie kommst du denn auf so eine uralte Weisheit? Auf Kinderseiten sind heutzutage mehr Viren und Trojaner verbreitet als auf irgendwelchen SEX-Seiten. (die verdienen Geld mit ihren Seiten und können es sich gar nicht leiten Viren zu verbreiten)

Der "GEMA" Virus/Trojaner wird i.d.R. über Email verbreitet. Viele Firmen empfangen noch HTML-Emails und wundern sich dann über solche Viren/Trojaner.

btw die Funktion einer Firewall ist es die ein- bzw. ausgehenden Ports zuzulassen. Sie ist kein Schutz gegen Viren/Trojaner. Dieses Gerücht ist damals aufgekommen als ein Virus den Port 135 genutzt hat und es hält sich hartnäckig.

/Edit
Du solltest deine Überschrift ändern, zumindest mit einem Fragezeichen versehen! So könnte man es als Behauptung verstehen und das könnte teure Konsequenzen haben!
/Edit

Grüße aus Rostock
Wolfgang
(Netwolf)
Bitte warten ..
Mitglied: Kaioshin
01.07.2012 um 23:56 Uhr
Hallo Stefan

Zitat von EDVMan27:
Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.

Vor kurzem hatte ich einen ähnlichen Fall. Der Kunde behauptete fest dass er den Computer in den letzten Tagen nicht genutzt hätte. Nach dem Überprüfen der Ereignisanzeige, stellte ich schnell fest dass der Computer in den letzten Tagen genutzt wurde. Der Browserverlauf zeigte auch die vermutliche Quelle für den Schädling.

Zitat von EDVMan27:
Ich frage mich nur wie?

Falls der Netzwerkverkehr aufgezeichnet wird, kannst du natürlich die letzten Verbindungen (kurz vor der Infizierung) analysieren. Auch den Browserverlauf kannst du anschauen (wie es in meinem Fall möglich war). Natürlich ist das Ganze nur mit Einverständnis des Kunden machbar.


Gruss,
Kaioshin
Bitte warten ..
Mitglied: Lochkartenstanzer
02.07.2012 um 09:56 Uhr
Zitat von EDVMan27:

Hallo,

Ich frage mich nur wie?

Nach dem Motto. "Das Auto hat doch Airbags, ABs, ASP, Navi, Bodenrader, Abstandswarner, etc." und trotzdem ist das Auto gegen den Baum gefahren."

was veregssen wird, ist den fahrer, äh, ich meine den user zu schulen, was trotz allem immer noch passieren kann.


Die Kundin versicherte mir, dass sie auf der Qype-Seite gesurft hat und auf einmal dieses weißen Bildschirm zu sehen bekam.

Das muß überhaupt nichts mit Qype zu tun haben.

Das ist natürlich nur dass was sie gesagt hat, aber die meisten Viren bekommen man nun auf Seiten mit männlicher
Ausrichtung.

Wie kommst Du denn auf diese hohe Ross? Die Pornoseiten habe starke finanzielle Interessen und sorgen sehr stringent dafür daß Ihre Seiten sauber bleiben. Man bekommt sowas, wenn es überhaupt über den Browser kommt, meist auf "seriösen Seiten",oft z.B. durch präparierte Werbung, die von anderen Anbi8etern geladen wird.

Weiß Jemand hierzu etwas? Besonders in Hinblick auf Qype?

deren Webseite ist werberverseucht.

Von daher:

  • System frisch aufsetzen,
  • aktuelle patches einspielen,
  • dafür sorgen, daß der patchstand aktuell ist.

und ganz wichtig

  • User schulen

lks
Bitte warten ..
Mitglied: Ravers
02.07.2012 um 11:03 Uhr
Moin,

letztens rief mich ein Bekannter an, der auch von dem Virus betroffen war.
Habe auch ihm erzählt, er solle seine System auf dem aktuellen Stand halten. - Frage: wo warste denn?
War ne eigentlich ganz seriöse Seite, bin mit meinem System auf die gleiche Seite gegangen (und der Win7-Rechner war aktuell gepatched, Virenscanner "nur" Avira, TeaTimer) und schwupps hatte ich ihn auch.

Soll heißen: gepatchde Systeme geben einen die größtmögliche Sicherheit, aber auch die Systeme können dennoch erfolgreich angegriffen werden.
Daher ist Datensicherung auch unumgänglich.

Will auch meinen Vorrednern recht geben, die Infektionen kommen idR. von seriösen Seiten.

greetz
ravers
Bitte warten ..
Mitglied: Kaioshin
02.07.2012 um 21:25 Uhr
Hallo Leute

Zitat von Ravers:
[...] War ne eigentlich ganz seriöse Seite, bin mit meinem System auf die gleiche Seite gegangen (und der Win7-Rechner war > aktuell gepatched, Virenscanner "nur" Avira, TeaTimer) und schwupps hatte ich ihn auch.

Soll heißen: gepatchde Systeme geben einen die größtmögliche Sicherheit, aber auch die Systeme können dennoch erfolgreich > angegriffen werden. [...]

Im folgenden Wikipedia-Artikel sind einige Tipps in Bezug auf Schutz durch diese Infizierungsmethode.
http://de.wikipedia.org/wiki/Drive-by-Download


Gruss,
Kaioshin
Bitte warten ..
Mitglied: Lochkartenstanzer
02.07.2012 um 21:48 Uhr
Moin,

zu Kaioshins Hinweis ist noch zu ergänzen, daß die Besseren dieser Malwareschleudern auch so gebaut sind, daß sie nicht einfach alle infizieren, die vorbeikommen, sondern nur einen geringen Prozentsatz und manchmal sogar abhängig vom IP-bereich, aus dem man drauf zugreift. das evrhindert, daß man zu schnell draufkommt, wo man sich das zeug eingefangen hat und insbesondere die Admins nicht mekren, daß da etwas fault ist.

lks
Bitte warten ..
Mitglied: EmmaPeel
03.07.2012, aktualisiert um 10:18 Uhr
Hallo Stefan, ich habe letzten Samstag (also 30. Juni) exakt das Selbe erlebt. Ich habe auf der Qype-Website mehrere Seiten aufgerufen (ich bin dort angemeldeter Nutzer) und beim 3. Seitenwechsel innerhalb von Qype ging das GEMA-Virus-Fenster auf. Ich nutze Windows 7, IE9 und Antivir war auf dem neuesten Stand. Kein Virenscanner (im abgesicherten Modus) war in der Lage, den Virus zu identifizieren und auch diverse Tools versagten. Ich habe mich dann über die Systemwiederherstellung und Rücksetzung auf einen älteren Wiederherstellungspunkt vorerst gerettet. Allerdings ist das erstmal nur eine Notlösung, da der Virus vermutlich immer noch auf dem Rechner ist. Ich habe Qype per Mail informiert, aber keine Antwort erhalten. Gruß Edith
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Seltsame Links auf Homepage des Unternehmens - Antivirus erkennt keinen Virus
gelöst Frage von lucky78Viren und Trojaner10 Kommentare

Hallo, ich habe ein seltsames Phänomenen in einem meiner betreuten Netzwerke. Auf der Internet-Seite des Unternehmens werden innerhalb der ...

Blogs
Was versteht man unter Krypto-Mining und inwiefern kann ein Homepage-Betreiber mit einer CPU-Auslastung der Besucher Geld machen?
gelöst Frage von cramtroniBlogs4 Kommentare

Guten Tag zusammen, habe gerade einen Bericht der "PCWELT" gelesen, aber nicht richtig verstanden, was nun Krypto-Mining ist, und ...

Cluster
Besuch in einer cinesischen BitCoin-Mine
Information von LochkartenstanzerCluster13 Kommentare

von der New York Times, mit schönen Bildern. lks PS: Wenn man die Leistung auf dem letzten Bild grob ...

Netzwerkmanagement
WLAN für externe Besucher im Betrieb
gelöst Frage von M.MarzNetzwerkmanagement12 Kommentare

Hallo zusammen, wir möchten ein externes WLAN für Besucher im Betrieb einrichten. Das wichtigste für uns ist, dass die ...

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 5 StundenMikroTik RouterOS4 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 6 StundenSicherheit

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Information von admtech vor 8 StundenAdministrator.de Feedback9 Kommentare

Hallo Administrator User, mit dem Release 5.7 haben wir unsere Startseite überarbeitet und die Beiträge und Fragen voneinander getrennt. ...

Vmware

VMware Desktopprodukte sind verwundbar

Information von Penny.Cilin vor 13 StundenVmware

Die VMware-Anwendungen zum Umgang mit virtuellen Maschinen Fusion, Horizon Client und Workstation sowie die Plattform NSX sind verwundbar. Davon ...

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Frage von ahstaxVisual Studio24 Kommentare

Hallo, ich möchte gerne ein vb.net-Tool schreiben, das am Ende eine Outlook-E-Mail erzeugt. Grundsätzlich ist mir klar, wie das ...

Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server16 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows Netzwerk
Netzwerk Neustrukturierung
Frage von IT-DreamerWindows Netzwerk16 Kommentare

Hallo verehrte Community und Admins, bei uns im Haus steht eine Neustrukturierung an. Dafür benötige ich von euch ein ...

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Frage von AkcentWindows 1015 Kommentare

Hallo, habe hier einen Windows 10 Rechner der von einem User umgefallen wurde (Beine übers Knie, an den PC ...