Suche wirklich gewieften IT-Sicherheitsexperten/Expertin für ein paar kniffelige Fragen bezüglich Citadel.
Bitte Nachricht im Spiel - Danke sehr!
citadel? .de oder .org xD
das wäre in einem forum für die entsprechende Software besser aufgehoben!
Lg TLP
Sorry, da habe ich mich falsch ausgedrückt. Ich habe mir den Citadel Trojaner eingefangen und müsste wissen, wie man den am einfachsten wieder loskriegt.
ahh okay.
Also was ich dir sagen kann ist, dass citadel ein banking trojaner ist (was du schon wissen wirst).Also würde ich von online-banking momentan abraten ;)
Es ist ein Toolkit welches angepasst werden kann, somit ist es nicht so einfach möglich ihn automatisch zu entfernen.
Wenn du im Netz dazu googlest wirst du oft auf SpyHunter verwiesen. Bitte nicht nutzen. SpyHunter ist ein pseudoScanner und wird dir nicht viel bringen.
Citadel ist unglaublich clever programmiert, wenn ich mich recht erinnere. Es ist in sich mehrfach verschlüsselt, zerlegt und wird erst bei der Ausführung zusammengesetzt und dekodiert. Eine nähere Analyse wird durch lustige fehlerhafte Sprungziele nahezu unmöglich gemacht. Höchstens eine live-analyse wäre möglich, ist aber ebenfalls nicht trivial.
Wenn du ihn entfernen willst (wovon ich mal ausgehe) schaffst du das auf Windowsebene nicht. Der Kern wird (nehme ich an, wenn der schreiber es nicht umkonfiguriert hat) ein tdl-4 oder tdl-5 kern sein, was heißt, dass er sämtliche Betriebssystemfunktionen hooked. Ein Virenscanner, der nun Verzeichnisse durchsucht, kann gewisse Dateien nicht finden, weil das Directorylisting übernommen / manipuliert wird.
Mindestens eine live-dvd wie knoppicillin oder knoppix wirst du also benötigen. Ich würde dir raten, deine wichtigen Daten zu sichern und dein System neu aufzusetzten. Bei Viren, Trojanern, etc ist dies immer der beste weg, da wirklich alle Spuren zu erwischen nicht immer ganz einfach ist.
Wenn dies nicht geht, aus welchem Grund auch immer, würde ich dich, aufgrund, dass hier meine Kenntnisse über citadel enden, an bessere Leute verweisen. Geh mal auf http://www.trojaner-board.de und poste dort dein Problem, die werden dich dann Schritt für Schritt guiden, wie du OTL, combofix und Co zu nutzen hast.
Lg TLP
Vielen Dank! Ich habe es fast befürchtet, dass es nicht einfacher zu machen geht. Wäre ja auch zu schön gewesen. Das einzig Gute daran: Ich werde wieder mehr über PCs lernen bei der Aktion.
Wie merkt man denn, dass man so was hat?
Natürlich nur durch passende Schutzprogramme und Aufspürungsprogramme wie Anti-Maleware, Virenschutz, Firewall und vieles mehr.
Der Citadel genannte Trojaner basiert auf der Malware ZeuS, einer der ältesten und beliebtesten Online-Banking-Trojaner, deswegen hat zum Beispiel McAfee schnell ausgelöst, da ähnlich bekannte bereits vorhanden waren.
Unter anderem helfen auch Virtualisierungstechniken, Hardware-Firewalls, Linux Distribution im RAM laufen lassen, demilitarisierte Zonen im Vpn, eigene Programme "hardcoden" ... es gibt viele Möglichkeiten... Die frage ist nur, ob sich der Aufwand für denn Heimbedarf wirklich lohnt.
Zu beachten ist jedoch das kein Schutz Perfekt ist, man kann nur das für sich selbst beste herauszuschöpfen.
also gar nicht, ,gut zu wissen :D
Naja Penthe hats ja auch irgendwie rausgefunden, dass ihr Computer besessen ist.
Das erste Anzeichen war ein Schreibfehler: Wenn man versucht, einen Accent zu schreiben, kam dieser immer doppelt ´´ also statt dass man ihn nicht sieht, bis man den Buchstaben geschrieben hat, wo er drauf gehört. Ich habe danach gegoogelt und erfahren, dass das für einen Keylogger spricht. Antivir drüber laufen lassen, ein paar Dinger wurden auch entdeckt, die ich aus der Quarantäne gelöscht habe. Aber der Fehler bestand weiter.
Dann bekam ich Post von meinem Provider, dass unser Zugang gehackt wurde. Auf Nachfrage erfuhr ich dann, dass es sich um Citadel handeln muss. Jetzt suche ich jemanden, der den infizierten Rechner ausfindig macht und mir dann Windows neu aufspielt. Ich habe ja den Rechner mit dem Accent-Fehler im Verdacht, aber es kann auch jeder andere sein, der zu dem Zeitpunkg, den mir mein Provider mitgeteilt hat, online war. Vielleicht war das mit dem Schreibfehler nur ein Zufall.
Zum Glück machen wir kein Homebanking. Keine Ahnung, was jemand mit einem Account anfangen will, von dem nur privat gemailt, gespielt und in Foren geschrieben wird und hin und wieder bei Amazon bestellt (auf Rechnung :P)
Zitat von: Noctifer am 26. Juni 2013, 12:44:05
Natürlich nur durch passende Schutzprogramme und Aufspürungsprogramme wie Anti-Maleware, Virenschutz, Firewall und vieles mehr.
*lach* ne Software gegen Männer? :D
BTT: Gibt noch nen viel einfacheren Weg, bzw ein gutes indiez: Citadel verhindert normalerweise den Zugriff auf bekannte Sicherheits- / Anti-Malware-Seiten. virustotal.com ist beispielsweise gesperrt durch Citadel. Allerdings nur hardcoded durch sperren der IP. Ein Tunneln nach Virustotal sollte also weiterhin funktionieren.
Zitat von: Noctifer am 26. Juni 2013, 12:44:05Unter anderem helfen auch Virtualisierungstechniken, Hardware-Firewalls, Linux Distribution im RAM laufen lassen, demilitarisierte Zonen im Vpn, eigene Programme "hardcoden" ... es gibt viele Möglichkeiten... Die frage ist nur, ob sich der Aufwand für denn Heimbedarf wirklich lohnt.
Das hilft aber nicht bei der Entfernung von citadel, höchstens gegen die Infektion durch Citadel. Auch wenn ich die Aufzählung ein wenig quatschig finde.
Virtualisierung: Da kann dein virtualisiertes System trotzdem befallen werden. Nur eben dein System im Hintergrund nicht. Das bringt dir vornehmlich etwas, wenn du weißt wann du ein Risiko eingehst und wann nicht. Das wissen die meisten aber nicht.
Hardware-Firewall: gibt es in der Realität nicht. Reine HW-FW sind nicht existent. Was du wahrscheinlich meinst, sind externe Firewalls. Aber die muss trotzdem den Virus erkennen können. Es ist trotzdem Software die da läuft.
Linux Distribution im RAM? Ich weiß nicht was du damit meinst?! Wenn du Linux auf deinem System laufen hast, dann wird dir ein Windows-Trojaner nicht viel anhaben.
Demilitarisierte Zone: Ja bringt etwas, wenn es nicht mal wieder an der "Dummheit" des Users scheitert (@penthe ich unterstelle dir das nicht^^ nicht falsch verstehen)
Programme hardcoden bringt nix, da sich citadel kein Wurm ist. Wenn dann müsstest du dein gesamtes System härten.
Ob sich der Aufwand lohnt, da stimme ich dir zu: Wohl kaum. Zumal die neue Citadel Version nicht mehr auf die Menge setzt, sondern sehr gezielt auf Großfirmen und Institutionen setzt und kleine Systeme eigentlich gar nicht mehr attakiert.
Noch ein Wort zum Abschluss: Was wirklich hohe Sicherheit bietet (hinter so einem System sitze ich momentan zum Beispiel) ist ein fireeye system. Fireeye ist extrem mächtig und kann auch Erstlingsviren, trojaner, etc erkennen. Also selbst Viren die gerade zum ersten mal auftauchen (private Virenscanner können nur jene Viren erkennen, die aufgrund ihrer Sigantur bereits bekannt sind. Neue werden, egal bei welchem Virenscanner, nicht entdeckt.). Aber wie gesagt: ob man wirklich das Geld für Fireeye ausgeben will... Ich wage es für den normalen User zu bezweifeln.
Lg TLP
Da will jemand Modrechte für Arthoria haben Penthe xD
Zitat von: Penthesilea am 26. Juni 2013, 14:13:18
Antivir drüber laufen lassen, ein paar Dinger wurden auch entdeckt, die ich aus der Quarantäne gelöscht habe. Aber der Fehler bestand weiter.
Kleiner Tipp: Das bringt nur wirklich was, wenn du es im abgesicherten Modus machst. Im normalen Betrieb ist es heute standard, dass sich ein Virus, selbst nach dem löschen wieder herstellt.
Zitat von: Penthesilea am 26. Juni 2013, 14:13:18Zum Glück machen wir kein Homebanking. Keine Ahnung, was jemand mit einem Account anfangen will, von dem nur privat gemailt, gespielt und in Foren geschrieben wird und hin und wieder bei Amazon bestellt (auf Rechnung :P)
Daten. Userdaten sind Geld wert. Wenn du etwas im Internet bestellst gibst du ja meistens schon, name, geburtstag, etc an. Also weiß man schonmal wer du bist. Citadel hat außerdem ein Botnetz im Hintergrund, jeder infizierte Rechner wird automatisch in das Botnetz aufgenommen. Je nachdem wie du deine sachen bei Amazon bezahlst, kann man damit auch was anfangen, nach was suchst du im internet, etc etc profiling eben. Du mailst von dem computer aus? Gut darüber kann man sich gut verbreiten ;) etc
Accountübernahmen werden auch immer gerne mal gemacht. Citadel hat (ich hab ja kA welche Version du drauf hast) auch nen kompletten Fernzugriff eingebaut: Bildschirmübertragung und allem drum und dran ;)
Lg TLP
@TheLightPrince zweck's Linux; Google hilft & schön das immer jeder auf alle Einzelheiten eingehen muss, aber seht die Kombinationen mal als Gesamtbild, dann sieht das schon ganz anders aus ;-)
Das es Hardware-Firewall in der Praxis nicht gibt, ist mir auch bekannt -> wer's nicht weißt, Google hilft hier ebenfalls. Der Begriff wird nun mal immer "moderner".
Dann mal weiter zum gequatsche ...
Zur Erkennung des Virus an sich:
Name der letzten Version [2012] XDocCrypt/Dorifel.
Benutzt vemutlich als Einfallstor einen mit dem Botnetz-Trojaner Citadel verseuchten Rechner.
Erkennbar bei doppelten Dateinamenserweiterungen.
Wird über Spam-Mails verbreitet, vorzugsweise in Office-Doc's.
Nun eine kleine Enttäuschung, wenn du dich gut auskennst, kannst du diesen mit viel Zeitaufwand und Können beseitigen, jedoch ist eine Neuaufsetzung schneller und einfacher.
Hinweis!
Sei vorsichtig mit Backup's, der Bootnetz-Trojaner hat in seiner neusten Fassung Rootkit-Funktion eingebaut bekommen, so dass der Schädling sich in die DriverStartIO-Routine einklinkt und die Schreib-Operationen steuert, nicht umsonst wurde er als Office Trojaner benannt. Wenn du also ein Backup machst, pass gut auf, ob dir bei denn Dokumenten irgendetwas seltsames auffällt wie Unpassende Dateigrößen, Dateinamenserweiterungen, Umformatierungen ...
Das heißt natürlich auch, das er in Boot-Sektoren verankert ist, ähnlich wie ein älterer Trojaner namens "Popureb"
Das hat zur Folge das eine Beseitigung im live Betrieb fast unmöglich ist und selbst wenn die Sicherheitssoftware nicht auslöst, dies eine Täuschung sein könnte.
Nützliche Hilfsquellen http://blog.fox-it.com/2013/02/21/writeup-on-nbc-com-distributing-citadel-malware/ (http://blog.fox-it.com/2013/02/21/writeup-on-nbc-com-distributing-citadel-malware/) // Englisch!
Wenn du dich mit solchen Materien weiter auseinander setzen möchtest, beschaffe ich dir gerne noch Infomaterial.
Schönen Tag noch :)
Edit: Ergänzung.
Zitat von: Noctifer am 27. Juni 2013, 11:50:29
@TheLightPrince zweck's Linux; Google hilft & schön das immer jeder auf alle Einzelheiten eingehen muss, aber seht die Kombinationen mal als Gesamtbild, dann sieht das schon ganz anders aus ;-)
Nach gelabber? :D Natürlich :) wenn du dir die Arbeit machst Sachen aufzuzählen, dann geh ich als freundlicher Leser auch auf alles ein und Frage nach der Absicht des geposteten, wenn es sich mir nicht erschließt.
Zitat von: Noctifer am 27. Juni 2013, 11:50:29
Dann mal weiter zum gequatsche ...
[...]
Nun eine kleine Enttäuschung, wenn du dich gut auskennst, kannst du diesen mit viel Zeitaufwand und Können beseitigen, jedoch ist eine Neuaufsetzung schneller und einfacher.
eine Enttäuschung für wen? Ist doch gut... Falls du dich auf mich beziehst: Ich schrieb über den livebetrieb (s. oben) und das hast du ja im Hinweis auch selbst festgestellt.
ZitatDas hat zur Folge das eine Beseitigung im live Betrieb fast unmöglich ist und selbst wenn die Sicherheitssoftware nicht auslöst, dies eine Täuschung sein könnte.
ZitatWenn du dich mit solchen Materien weiter auseinander setzen möchtest, beschaffe ich dir gerne noch Infomaterial.
Ist das an mich oder penthe? *lach*
Lg TLP
Vielen Dank, the Lightprince und Noctifer! Ihr scheint euch ja beide gut auszukennen, was ich von mir nicht behaupten kann. Sieht so aus, als müsste ich mir mal kompetente Hilfe ins Haus holen und in persona an meine PCs lassen. *grusel* Auch dabei habe ich natürlich Sorge, entweder weiter ausspioniert oder finanziell ausgenommen zu werden.
Vorab aber mal noch ein paar Fragen:
Ist es richtig, dass diese Hacker mit ihrem Botnetz nur dann über meinen infizierten PC aktiv werden können, wenn dieser eingeschaltet UND online ist?
Kann Citadel mit mir als Absender per Mail weiterverschickt werden? Wie? Als Anhang ode Link? Oder genügt schon Öffnen zum Lesen der Mail?
Kann ich mit PCs, die mit Sicherheit nicht infiziert sind, weiterhin unbesorg online gehen?
Wenn ich kein Heimnetzwerk habe (hier gehen über meinen Router abwechselnd ca. 8 Geräte online, die aber nicht untereinander verbunden sind), besteht dann nicht die Gefahr, dass ich mir die anderen Rechner auch infiziere?
Und vorerst die letzte Frage (für heute...): Stimmt es, dass sich Citadel auch per USB Sticks, Fotodateien und so weiter verbreiten kann? Also wenn ich meine Urlaubsbilder auf einem sauberen Rechner lade, nachdem der Fotoapparat schon mit dem infizierten verbunden war, habe ich Citadel dann auch auf dem gesunden Rechner, bzw. auf der Festplatte, wo ich die Fotos aufbewahre? Dasselbe für Textdateien: Wenn ich sie zwecks Datensicherung auf einen Stick oder eine Festplatte ziehe, den Rechner bereinige (n lasse) und die Daten zurückspiele, kann ich mir Citadel also sofort wieder einfangen? Wenn ja, wie kann ich das vermeiden? Meine Textdateien sind unendlich wichtig, da steckt Jahre lange Arbeit drin. Okay, ausdrucken und neu abschreiben der 800 Seiten wäre auch eine Option ;-)
Danke fürs Helfen und Gedankenmachen!
Zitat von: Penthesilea am 27. Juni 2013, 14:33:29
Ist es richtig, dass diese Hacker mit ihrem Botnetz nur dann über meinen infizierten PC aktiv werden können, wenn dieser eingeschaltet UND online ist?
klar. citadel wird zwar auf deinem pc Daten sammeln, aber er kann sie nicht wegschicken und es kann auch niemand auf deinen pc zugreifen, wenn er nicht online ist. Er braucht ja seinen CC-Server damit er was tun kann.
Zitat von: Penthesilea am 27. Juni 2013, 14:33:29
Kann Citadel mit mir als Absender per Mail weiterverschickt werden? Wie? Als Anhang ode Link? Oder genügt schon Öffnen zum Lesen der Mail?
weiß ich leider nicht mehr genau. evtl weiß da Noctifer mehr, oder du musst mal google bemühen.
Zitat von: Penthesilea am 27. Juni 2013, 14:33:29
Kann ich mit PCs, die mit Sicherheit nicht infiziert sind, weiterhin unbesorg online gehen?
Wenn ich kein Heimnetzwerk habe (hier gehen über meinen Router abwechselnd ca. 8 Geräte online, die aber nicht untereinander verbunden sind), besteht dann nicht die Gefahr, dass ich mir die anderen Rechner auch infiziere?
uff. also prinzipiell, würde ich nicht über ein Netz online gehen, in dem ein infiziertes Gerät hängt.
Zitat von: Penthesilea am 27. Juni 2013, 14:33:29
Und vorerst die letzte Frage (für heute...): Stimmt es, dass sich Citadel auch per USB Sticks, Fotodateien und so weiter verbreiten kann? Also wenn ich meine Urlaubsbilder auf einem sauberen Rechner lade, nachdem der Fotoapparat schon mit dem infizierten verbunden war, habe ich Citadel dann auch auf dem gesunden Rechner, bzw. auf der Festplatte, wo ich die Fotos aufbewahre? Dasselbe für Textdateien: Wenn ich sie zwecks Datensicherung auf einen Stick oder eine Festplatte ziehe, den Rechner bereinige (n lasse) und die Daten zurückspiele, kann ich mir Citadel also sofort wieder einfangen? Wenn ja, wie kann ich das vermeiden?
wie ich oben schon schrieb und Noctifer auch nochmal hooked citadel Systemfunktionen, unter anderem das schreiben von dateien und die IO Funktionen. Also kann es sehr gut sein, dass sich citadel in dateien schreibt die du auf ein externes medium spielst, aber er kann sich auch einfach in die bootsektoren dieses externen geräts schreiben, dann hast du ihn in der regel wieder drauf, sobald du den stick ansteckst.
Mach das ganze unter einer linux partition und das sollte kein problem sein. Es sei denn die Datei ist schon infiziert. Bei Textdateien aber sehr unwahrscheinlich. Bei doc dateien schon wahrscheinlicher. ich würde mir alle unter linux auf einen stick ziehen und dann mal bei virustotal hochladen und so auf viren prüfen lassen oder auch direkt mit einem virenscanner deiner wahl unter linux untersuchen lassen.
Zitat von: Penthesilea am 27. Juni 2013, 14:33:29
Meine Textdateien sind unendlich wichtig, da steckt Jahre lange Arbeit drin. Okay, ausdrucken und neu abschreiben der 800 Seiten wäre auch eine Option ;-)
ausdrucken und neueinscannen wäre da schon besser ^^
Lg TLP
Totale Noob-Frage: Wie geht das mit Linux? Ich weiß, dass das ein unabhängiges Betriebssystem ist. Wo muss das in meinem Fall hin?
Sorry, war voreilig, die Frage hat sich erledigt.
Was ist hiervon zu halten, um zunächst einmal herauszufinden, welcher PC infiziert ist?
Ich verspreche mir davon, dass ich meine Textdateien sofort auf einem "sauberen" Stick sichern kann, falls das Programm mir sagt, dass ein geprüfter PC nicht infiziert ist. Ist so ein Programm zuverlässig oder kann Citadel sich vor ihm verstecken?
Am besten nimmst Du eine Scan-CD von einem bekannten Antiviren-Hersteller (z.B. Kaspersky Rescue Disk 10 (http://www.kaspersky.com/virus-scanner)) und gehst damit die einzelnen Rechner durch - dann weißt Du schonmal, wo etwas drauf sein könnte.
Sämtliche CDs die ich kenne, bieten die Option nur zu suchen, und die willst Du wohl erstmal nutzen.
Und Wichtig: die CD nur auf einem garantiert virenfreien Rechner (Nachbar o.ä.) erstellen!
Zitat von: Ranthoron am 27. Juni 2013, 20:59:11
Am besten nimmst Du eine Scan-CD von einem bekannten Antiviren-Hersteller (z.B. Kaspersky Rescue Disk 10 (http://www.kaspersky.com/virus-scanner)) und gehst damit die einzelnen Rechner durch - dann weißt Du schonmal, wo etwas drauf sein könnte.
Sämtliche CDs die ich kenne, bieten die Option nur zu suchen, und die willst Du wohl erstmal nutzen.
Und Wichtig: die CD nur auf einem garantiert virenfreien Rechner (Nachbar o.ä.) erstellen!
*unterschreib*
alternative wäre: http://www.heise.de/download/knoppicillin-download.html
oder: http://www.knoppix.org/
oder: http://www.avira.com/de/download?product=avira-antivir-rescue-system
Lg TLP
Problem: bei allen musst du dich iwie schon ein bisschen auskennen. Ohne jegliches Wissen wirds schwierig :/
sooo noch ein Hinweis von einem Kollegen grad: Du kannst deine Festplatte quasi wegwerfen. und zwar weil (ich fasse mich kurz):
-> Du ziehst deine wichtigen Daten runter (willst du ja sowieso machen).
-> Nun formatierst du deine Festplatten und spielst dein System neu auf
-> Du hast Citadel wieder drauf (insofern Citadel tatsächlich noch den ZeuS-Kern hat, wie es aber aussieht)
Du wirst ihn nur los, wenn du tatsächlich jedes einzelne Bit mit einer 0 überschreibst.
Er hat natürlich recht und zwar ist das auch recht simple zu erklären:
schnelles formatieren FAT: löscht nur die Einträge in der Allocation Table, daten bleiben vorhanden
schnelles formatieren NTFS: Die I-Node verknüpfungen werden gelöscht, Daten bleiben erhalten
für die langsamen verfahren spar ich mirs mal, auf jedenfall ist dort, wenn ich als virus im MBR sitze, habe ich auch kontrolle über die Aufteilung der Festplatte, will ich also einen Teil der Platte verbergen... dann mach ich das. Bei den normalen Formatierungen wird der Master Boot Record in der Regel nicht überschrieben, also verstecke ich mich einfach in einem teil der Festplatte, den ich als Defekt oder nicht existent auszeichne und trage mich in den bootloader ein. Nun installierst du deine Daten / Windows auf das vermeintlich leere Medium und ich bin sofort wieder da.
Abhilfe: MBR überschreiben oder wie mein Kollege vorhin so schön formulierte: "wild hin und her formatieren." Was er meint ist das umformatieren auf ein anderes Dateisystem:
Ist es FAT? Dann umformatieren auf NTFS
Ist es NTFS? Dann ab zu FAT.
Dann einfach wieder zurück und der MBR und Bootloader sind auch gelöscht.
Aber du merkst schon... lass wen dran, der weiß was er tut. Ist besser :/
Lg TLP
PS: Ich hoffe das nimmt hier niemand als Lehrstunde "Wie schreibe ich einen Trojaner" xD
@TheLightPrince Dann muss ich mich entschuldigen, ich habe bisschen Probleme gezielte & kurze Formulierungen kronkret zu formulieren :-/
Zitat von: Penthesilea am 27. Juni 2013, 14:33:29
Kann Citadel mit mir als Absender per Mail weiterverschickt werden? Wie? Als Anhang ode Link? Oder genügt schon Öffnen zum Lesen der Mail?
Die Sicherheitstechniken von Mailservern sind allein in denn letzten 5 Jahren so stark herangewachsen, das man per Dos Ebene nicht mal über ein normales Telnet über die cmd.exe miteinander kommunizieren kann. In so einen Server einzudringen ist schwerste Arbeit, vor allem da viele auf Blacklists stehen & es nur noch wenige open Relays gibt, bei dennen sich das wirklich lohnen würde.
Microsoft wurde und wird eben immer Opfer von solchen Viren & Trojanern sein, denn Office Produkte sind die gängisten
und werden so auch
extrem viel über Mail per Anhang verschickt. Solche Dingen basieren immer auf Vertrauen der User, welche sich in Sicherheit wiegen, nur um am Schluss feststellen zu müssen, das Sie ein dickes Problem an der backe haben ...
Wie du denn Trojaner beseitigen kannst, weißt du ja nun, hier nun ein paar Tipps, welches das System sicherer machen:
Computer:
- halte Dinge wie Defender, Firewall, Virenprogramm
und Anti-Maleware stets aktuell und benutze nur gute programme (also welche mit möglichst guter heuristik)
- empfehlen ist hier und da mal ein cmd scan
- benutze sichere Browser wie Firefox u.ä. (hier Spalten sich oft die Meinungen) und halte ihn aktuell
- wenn möglich, deaktiviere Java Script
- DOM-Storage deaktivieren! (supercookie)
- Servicepacks / Updates helfen auch
Falls du jmd. hast der sich wirklich gut auskennt oder du beschließt jemanden die Arbeit machen zu lassen, währen da noch folgende Punkte zu beachten:
Router:
- Möglichkeit zum rooten um sehr viel mehr Funktionen freizuschalten
- Benutzung v. Router-Firewalls
- Vertrauliche Verbindungen (z.B. zum Unternehmen) per Tunnel wie Vpn o.ä.
- Ip-Filter definieren
- WLAN-Router nach Möglichkeit nicht
- WLAN ist eine Angriffsfläche mehr um du dich kümmern musst
- Aufruf der Router-Konfigurationsoberfläche stets in einem separaten Browser (z.B. K-Meleon, portable Opera, etc.), der
ausschließlich dafür verwendet wird.
- Schutz der Router-Konfigurationsoberfläche mit einem mindestens 8-stelligen, starken Passwort.
- Deaktivierung der Fernwartungsfunktion im Konfigurationsmenü, falls vorhanden.
Soo... sollte erstmal reichen, wenn du dich wirklich mit speziellen Grundschutz-Maßnahmen auseinandersetzen möchtest kann ihr dir mit gutem Gewissen dies empfehlen:
http://malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar (http://malte-wetz.de/wiki/pmwiki.php/De/KompromittierungUnvermeidbar)
Falls jemand Fehler entdeckt oder meint etwas wichtiges ergänzen zu müssen, bitte tut dies.
Danke euch beiden noch einmal!
Ich hatte vergessen, oben den Link einzuügen. Ich meinte "House Call" für die "Schnelldiagnose". Immerhin konnte ich inzwischen anhand der Tatsache, dass einer unserer Rechner Virustotal nicht mehr aufrufen kann und der Antivir Browserschutz deaktiviert ist und sich auch nicht mehr aktivieren lässt, feststellen, dass dieser infiziert sein muss.
Mit dem Formatieren und Neuaufsetzen bin ich vermutlich überfordert. An wen kann man sich denn wenden, um wirklich vertrauenswürdige Hilfe zu bekommen? Mein Provider bietet für einen Pauschalpreis (der mir inzwischen angesichts der Arbeit sehr günstig vorkommt) Hilfe per Team View o. ä. an, aber damit kann man bestimmt nicht Windows neu aufspielen. Ebenfalls muss ja zum Ändern der PWs der Router vorübergehend abgeschaltet werden, also wird das nicht ausreichen, um wirklich Abhilfe zu schaffen.
Ähem, wohnt einer von euch beiden zufällig in Nordbaden? ;-)
Der Artikel ist klasse, verständlich geschrieben und aussagekräftig. Danke auch dafür!
Leider ist jeder Pc-user für die Sicherheit seinen Systems selbst verantwortlich - somit auch für die Kosten im Befallungsfällen und Sonstiges.
Ein Fernzugriff wird dir nichts nützen, denn beim Formatieren der Primärfestplatte (wo schließlich das laufende Betriebssystem drauf ist) darf diese ja nicht "online" sein -> Hier benutzt man meist Live-Cd's oder das Dos.
Das einzigste was hier Sinn macht ist von deinem Provider oder einer Pc-Firma deines vertrauens eine Vorortreperatur anzufordern, hier hilft meist nur Preisvergleich von denn angebotenen Dienstleistungen, ich würde dir natürlich gerne helfen, aber das sind mir paar hundert Kilometer zuviel ^^
Empfehlen kann ich dir "Kleinfirmen" - diese sind meist billiger & dort trifft man oft auf so genannte "Freaks", also die Universalgenies der IT-Welt.
Einfach anrufen -> Problem schildern wie "Zersörung des Betriebssystem's durch Virenberfall des Citadel's" und dann nur hoffen das der Typ der kommt nicht nur rummlungert, kostet schließlich alles Bares Geld.
Ist nicht viel, hoffe es hilft trotzdem ein bisschen.
Danke, das wird wohl die einzige Möglichkeit sein, wenn ich mich nicht selbst traue.
Ich halbe euch auf dem Laufenden.