Beiträge von Oliver222

... ich kann Dir von hier aus nur den guten Tipp geben, Deine vertrauenswürdigen Abwicklungen - also Online-Banking bzw. die Bearbeitung firmenspezifischer und vertraulicher Dokumente innerhalb geschlossener Firmen-Netzwerke niemals von öffentlichen Terminals aus anzustossen - bzw. Dich von dort aus einzuwählen...

Nach meiner Meinung wäre es eine andere Sache, wenn Du...

a. ...mit einem eigenem Notebook (Virenfrei) über eine sich gegenseitig verschlüsselnde SSL-(W)-Lan-Verbindung Online gehst und darüberhinaus im Zuge des HBCI (Sicherheits-Online-Banking) eine Software wie StarMoney bereits auf dem Gerät installiert hast, die externe Authorisierungen (Chip-Karte / Fingerprint-Verifikation am Notebook) zulässt und damit bereits Deine Eingaben verschlüsselt bevor sie in das (öffentliche) Netz gelangen - gleiches gilt für die gesicherte Einwahl in geschlossene Firmen-Netzwerke.

b. ...auf Deinem USB-Stick ein eigenständiges, bootbares Betriebssystem installiert hast, (inklusiv Browser und DFÜ-Verbindungseinrichtungen), so daß es theoretisch möglich wäre, von einem öffentlichen Terminal diesen Stick zu booten um an einem solchen öffentlichen Zugang "vorbei" zu arbeiten - hierzu müssten dann allerdings, nach meiner Ansicht, auch die Auslagerungsdateien des Betriebssystems und des Browsers auf dem Stick verbleiben - was sich einrichten ließe.

http://www.chip.de/artikel/c1_art…d1=30237&tid2=0

Nur der Sicherheit wegen...

Oliver

TheBrain schrieb:

Zitat

Mhmm, es soll ja auch vorkommen, dass ab und zu einfach mal irgendwo ein Malware-Link gesetzt wird !
natürlich nicht, um den Bekanntheitsgrad des jeweiligen zu erhöhen...

wie dürfen wir das verstehen? Was meinst Du mit: "einfach mal" und wo ist bei Dir "irgendwo"...?

Oliver

P.S. Es bleibt zu hoffen, dass der Themenstarter von ganz oben nicht voreilig (unseriöse) FF-Extensions über das "Cross Platform Component Object Model (XPCOM)" installiert hat - was sich definitiv auch im Negativen für die Gecko-Engine ausnutzen ließe...

Im Klartext: - Einige "Erweiterungs-Dienstleister" für den FF sind scheinbar schon jetzt mit Vorsicht zu geniessen - ähnlich unseriöser BHO´s für den IE...

http://www.spywarewarrior.com/rogue_anti-spyware.htm

Zitat [Auszug]:
http://www.winantivirus(Pro).com
[...] aggressive advertising (1, 2, 3, 4); false positives work as goad to purchase; inappropriate collection of Personally Identifiable Information; same company as WinAntiSpy 2005, WinAntiSpyware 2006, & WinFixer [A: 5-21-05 / U: 6-13-06] [...]

Mit anderen Worten - Prog. ist Malware - hält einer digitalen Verifikation nicht Stand und wird damit als unseriös deklariert - darüberhinaus ist Dein System bereits infiziert worden, soweit ich das beurteilen kann...

Entfernung der Malware wie folgt:

http://secured2k.home.comcast.net/tools/VirtumundoBeGone.exe

Oliver

Brummelchen schrieb:

Zitat

Wie soll man einer Firma glauben, die die lausigste Firewall ever herausgibt?

... darüberhinaus - was soll man von einer Firma halten, deren Aktien-Kursgewinn sich auf Dauer, antiproportional in Bezug auf die Qualität ihre eigenen Produkte am Markt verhält? (Aktienkurs rauf - Produktqualität runter - und zwar im gleichen Werteverhältnis)...

http://tool.boerse.de/index.php3?WKN=879358

Soweit ich informiert bin, ist Symantec auf vielen Rechnern bereits vorinstalliert - und kann, nach meiner Meinung, mit seiner Produkt-Politik und Qualität höchstens noch "Neuzugänge" beeindrucken (Hausfrauen und Senioren)...

Wer noch die alte DOS (4.01)-Aera mitgemacht hat, wird die PC-Tools (ehemals Central Point Software), sowie die Norton-Utilities ($189 !!! / 1991) mit ihren UnDelete/UnErase -Funktionen - als auch die NDOS-Version dieses Pakets noch kennen - Funktionen, die schon damals umstritten waren, bzw. in Teilen von anderen Firmen übernommen wurden.

Irgendwie haben sich die Zeiten nicht geändert...

Oliver

loshombre schrieb:

Zitat

Passt hier glaub ich ganz gut rein: http://www.pcwelt.de/news/sicherheit/58654/index.html#

Einen Vorteil hat die Sache ja, bezogen auf den verlinkten Artikel - was sich Microsoft bereits einverleibt hat, ist wenigstens vor Symantec sicher...

Oliver

@Moep

System:
a. Infektion des Systems durch Wurmbefall ausgeschlossen? (Welche CPU-Prozessauslastung wird im Taskmanagers während System-Idle und gleichzeitig geöffneter FF-Session bei Dir angezeigt)?

b. Sind innerhalb des Sicherheits-Centers unter WindowsXP keine "doppelten" Virenscanner "En Guard" - gleichzeitig aktiv?

c. Autostart-Ordner von unnötigen Ballast befreit?

Firefoxl:
Unter U. kann ein Speicherverwaltungsproblem innerhalb Firefoxes verantwortlich sein.

Öffne user.js und ändere dort folgende Werte::

user_pref("browser.cache.memory.capacity", 16000) - um den RAM-Speicher-Cache auf 16 MB zu begrenzen - anschliessend Neustarten.

Oliver

Du brauchst ein geschütztes Konfugurations-Script (geschützt über die Dateirechte) zur URL-Filterung unter Firefox und zwar abgelegt im Verzeichnis:

C:\Dokumente und Einstellungen\"Benutzer"\Anwendungsdaten\Mozilla\Firefox\Profiles\KryptischerName.Default\

Generelle Script-Definition innerhalb Firefoxes: (im Konfigurations-Menü).

FF >>> Verbindungseinstellungen >>> (Bereich:Allgemein) >>> (Feld)"Automatische Proxy-Konfigurations-URL"

Eintrag, bzw. Pfadangabe muß beginnen mit: file:/// (Drei Backslashes!!!)

Scipte, bzw gepflegte Open-Source-Filter unter:

http://dansguardian.org/

Allgemeine Betriebs-System Vorraussetzungen, damit das alles einhergeht, müssten dabei gelten wie folgt:

a. Kinder melden sich unter Windows (XP) nur mit einem eingeschränktem Nutzer-Konto an (womit keine Veränderungen an der Systemkonfiguration möglich sein sollen). Das Konto muß im Vorfeld erstellt worden sein.

b. Windows in einem "Kiosk-Modus" betreiben (über das Shared Computer Toolkit, (Freeware) und zwar in Bezug auf die Deaktivierung einzelner Windows-Programme und vorallem, des Internet-Exlorers). Es wäre sonst u.U. möglich, dass die lieben Kleinen (wenn sie schlau sind), innerhalb einer aktiven DFÜ-Verbindung mit dem Papierkorb weiter surfen. (alle Programme innerhalb Windows greifen auf den IE zurück - und der sollte deshalb deaktiviert werden).

c. Auch die URL-Filter sollten, wie Viren-Signaturen auch, regelmäßig eingespeist werden.

Oliver

Zitat

Halte ich auch nicht unbedingt für notwendig. Hat der FF eigentlich derzeit einen Phishing-Filter?

Hat er (noch) nicht...

Die Bewertungen der einzelnen Webseiten (in Bezug auf Web-Forgery) sollen, nach meinen bisherigen Kenntnissen, innerhalb der Spezifikationen des Firefox 2 Beta 1 über eingespeiste Informationen der "FF-Google-Toolbar" laufen (über Google-Server), was nach meiner Meinung kritisch zu betrachten ist...

Ein Beitrag hierzu.

http://www.edbott.com/weblog/?p=1419

Desweiteren, ist der zukünftige Pishing-Filter unter FF, anscheinend immer noch ein offenes Diskussionsthema innerhalb der Open-Source-Gemeinde - gerade bezogen auf Deinen (interessanten) Linkk - denn der Browser kann leztendlich dem Nutzer das Denken nicht abnehmen - egal ob: Rot - Gelb - oder - Grün...

Eine Frage verbleibt noch - was passiert eigentlich mit den (vertraulichen) Informationen, die letztendlich über solche öffentlichen Bewertungs-Server wandern müssen...?

Oliver

Zitat

Könntest Du mir ein Beispiel nennen, bei dem eine Low-Level-Seite angezeigt wird? Oder kommt das in der Praxis gar nicht vor?

Um ehrlich mit Dir zu sein - ich habe bisher keine Seiten dieser Kategorie finden können.

Solche "Low-Level-Verification" (Einfärbung Gelb), ist innerhalb der "Anti-Phishing-Bewertung" (nicht nur beim FF) eher eine sich schnell veränderbare "Transition-Zone" (ein volatiler Übergangs-Bereich) - wobei man sich eigentlich die Frage stellen sollte, ob diese "Zwischeneinfärbung" notwendig ist. (Bei einer Ampel reicht schließlich auch bloß Rot oder Grün).

Ne´ganz andere kritische Sache wäre, nach meiner Meinung: (OT)

a. Wer setzt die Standards solcher dezentralen Certificate-Server im Internet?
b. Sind solche Server u.U. kompromittierbar?
c. Wo verbleiben die Informationen meiner angewählten SSL/TSL-Seiten, die dann im Vorfeld über solche Server "hüpfen"?

Vielleicht eine Referenz: (gilt für alle Browser, die sich innerhalb des Anti-Pishing-Konsortiums zusammengeschlossen haben).

http://blogs.msdn.com/ie/archive/2005/11/21/495507.aspx

Oliver

#urlbar[level="low"] #autocomplete-security-wrapper
background-color: rgb(255, 255, 175)

Einfärbung und Darstellung der URL-Bank.

Für die "Low-Level"-Einordnung der Webseiten (gelb) sprechen anwählbare, dezentrale Black- bzw. Whitelist -Server, User-selected logos (Petnames) und SSL-Domain Hashing nach Unicode Standard - soweit ich hier bisher informiert bin...

Oliver

sputnixx23schrieb:

Zitat

habe eben mit thunderbird eine Empfangsbestätigung von web.de öffnen wollen - da ist ebenfalls das System ausgestiegen

sputnixx23

- tritt Dein Problem bloß bei Zugriff von Thunderbird auf "Web.de" (Push-Mail / Abruf) auf? oder bereits beim bloßen Aufruf der Domain-Adresse von "Web.de", innerhalb des Browsers?

- tritt bei anderen Browsern das gleiche Problem auf?

- "about:config" in die Firefox-Adresszeile eintippen - dort dann den Wert von "network.protocol-handler.external.mailto" auf "false" setzten - gilt jedoch nur für die HTML-Tag´s "img" und geht damit zwar nicht direkt auf Dein Problem ein - aber dennoch einen Versuch wäre es Wert.

Oliver

truthwoth schrieb:

Zitat

In einem ThinkPad-Forum habe ich nun gelesen, dass diese Problematik auch schon bei anderen aufgetreten ist und vielleicht durch eines der IBM Tools ausgelöst wird.
Aber dann werde ich dort mal weiter nachfragen...

wir beide reden doch nicht aneinander vorbei, oder?

solltest Du Dein System wirklich bereits im abgesicherten Modus gestartet haben, dann sollten eigentlich auch keine IBM-Tools mehr in Deiner Konfiguration "herumwurschteln" können. Der abgesicherte Modus lädt ja eben genau bloß die allernotwendigsten Bestandteile von Windows - ohne diese ganzen Zweit, und IBM -Zusatzprogramme, die sich in Autostarts, bzw. in den "Run-Schlüsseln" Deiner Registry bereits schon verewigt haben.

Versuche nocheinmal, die FF-Startpage nach erfolgreichem Windows-MinimalBoot auf "about:blank" umzumodeln - anschließend dann nocheinmal den Computer im abgesicherten Modus starten um zu schauen, ob die Einträge wenigstens im "Safe-Boot" bei Dir erhalten bleiben - wir wären dann vielleicht schon ein Stück weiter...

Oliver

- Betriebsystem?
- Firefoxversion?
- AdBlock oder andere Erweiterungen?
- separate FilterProxies? (lokal oder extern?)

- Sekundärscan mit einer andereren Virenschutzsoftware?

- Hardwarefehler ausgeschlossen?

vielleicht noch ein paar mehr Angaben von Dir?

sollte es WinXP SP2 sein, dann kann könnte es, nach meinem Wissen, an einem Treiberschutz liegen - nur dann wäre das Problem eher global...

Oliver

trustworth

in Deinem Fall wird es langsam schwer...

das "FileMon"-Utility von Pumpa ist nach meiner Meinung zu kompliziert, um eine Real-Time-System-Analyse auf Deinem System nachzuvollziehen - das Tool protokolliert darüberhinaus auch nicht die eventuell bereits komprometierten Dienste-Zugriffe, sondern kann diese selbst unter eingeschränktem Admin-Konto bloß darstellen - jedoch nicht analysieren.

Ne´ganz andere Geschichte ist, daß FileMon ein TimeStamp-Utility (Authenzitäts-Signierung für Dateien) an Bord hat, das nur innerhalb einer "sauberen" Umgebung eingesetzt werden sollte um später in einem infizierten System als "Referenz" zu dienen, was jedoch schon jetzt in Deinem System scheinbar nicht gegeben ist.

Versuche einen Neustart in den abgesicherten Modus bei Bootvorgang - danach die Einstellungen ändern und nochmals regulär starten...

Alternativ dazu könntest Du natürlich mit Deinem Lenovo-Notebook und seiner integrierten Image-Software (ehemals "IBM-Rapid-Restore" bei IBM-Noterbooks) einen Wiederherstellungszeitpunkt anwählen, der noch vor dem Zeitpunkt Deines Problems erstellt wurde.

Ansonsten bin auch ich hier im Moment mit meinem Latein am Ende.

Oliver

Orkan schrieb:

Zitat

Router (sind) gut gegen das was besser draußen bleiben sollte.
Software Firewall gut gegen das was lieber nicht nach draußen sollte.

Ohne es hier besser wissen zu wollen - jedoch ein Router arbeitet, nach meinem Wissen, auf einer tieferen Netz-OSI-Ebene (Schicht 3) - was heißt - das eingesetzte System "erkennt" die unterschiedlichen Netzwerkprotokolle und arbeitet über "Adressumsetzung" (Nat) den anfallenden Traffic (eingehend und ausgehend selektierend) unterhalb der OS-Ebene ab. (Ethernet to Token-Ring etc.).

Eine Software-Firewall hingegen, kann eigentlich nur auf der oberflächigen API-Ebene des eingesetzten OS operieren und ist damit über einen manipulierbaren Dienste-Hijack (Trojaner) des eingesetzten OS mehr als störanfällig - eben genau was den Traffic von innen nach außen angeht. (Umgekehrt macht es eigentlich mehr Sinn).

Oliver

xxx

trustworth
-Du bist doch unter dem WinXP-Konto als Admin angemeldet?

-irgendwelche resistenten Antivirenprogramme, die vielleicht eine Anderung der Startseite verhindern?

Oliver

Lösche in Deiner aktuellen HijackThis Log-File-Auswertung alles was mit "MSN" (Start, Search etc.) angezeigt wird oder überhaupt mit "MSN" zu tun hat - auch die "016 - Einträge", die i.d.R. im HJT-Log-File auch unter Firefox mit dargestellt werden.

Keine "about:blank"-Eintragungen Deinerseits nötig - sondern bloß hinter dem Gleichheitszeichen löschen - mehr nicht... (mit "about:blank"-Einträgen haben, nach meiner bisherigen Erfahrung, einige Spyware-Scanner Probleme und deklarieren diese harmlosen Eintragungen dennoch als Spyware und wandeln diese dann wiederum in Standard "MSN-Startseiten" um, auch wenn es Grotesk erscheint).

Simon schrieb:

Zitat

Das nur in der prefs.js zu ändern, bringt nichts, wenn der Eintrag auch in der user.js ist, welche eine höhere Priorität hat.

Prüfe auch das - danach System Neustarten.

Lade anschliessend folgenden Scanner herunter:
http://www.grisoft.cz/softw/70/filed…_4.0.0.172c.exe

Update die Signaturen, (kann dauern, je nach Internet-Zugang) und lasse danach einen Durchlauf machen.

Wenn das alles nichts hilft, müssen wir uns den Router vornehmen. Ich vermute ohnehin, dass das Problem eher dort liegt, als local auf dem Notebook.

Oliver

Zitat

user_pref("browser.startup.homepage", "about:blank");

das hat er ja bereits getan, so wie ich ihn verstanden habe...

nur, damit ist die Frage immer noch nicht beantwortet wie der MSN-Eintrag dort hingelangte.

Oliver

Zitat

Sollte ich HijackThis herunterladen und installieren?

Das solltest Du tun - anschliessend in der Auswertung die Einträge

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

und weiter

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URl=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=

alle Einträge deaktivieren, danach System neustarten...

Darüber hinaus in der Registry den Eintrag:

HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel

Homepage=1 löschen.

manche WebPages "blocken" die Möglichkeit die Startseite zu verändern. MSN ist bekannt dafür.

Deine Hosts-Datei ist ok.

Oliver