Angriff auf Masterpasswort?

  • Ganz offensichtlich gabs bei mir einen schweren Angriff aufs Firefox Masterpasswort. Es ist blockiert oder wurde geändert.
    Da ich mehrere pcs(2) sowie mehrere festplatten/pc habe wo es installationen ohne MASTERPASSWORT gibt(wie auf dem aktuellen pc) kann ich trotzdem in die foren/email-konten.
    Da es Probleme gab beim esetonlinescan-der pc ist am schluss wiedergestartet ohne dass ich die fehler sah und korrigieren konnte, habe ich die onlinsescans gestoppt. msinternet security fand wie immer nichts. aber:
    im taskmanager, aber nur im administratorkonto taucht dies auf:
    Strychni unintren
    Offenbar ist das was neues.
    wenn man googelt führen ein paar treffer ins nichts-zufall.
    und es gibt bereits eine "lösung". vermutlich noch mehr spionage.

    Da ich aber nicht nur auf dem infizierten rechner sondern auch auf einem zweiten eine masterpasswort-blockade habe, die FRAGE: kann ich auf diversen rechnern/platten verschiedene masterpasswörter verwenden?
    Alle die in frage kommen werden nicht angenommen!
    Und: ich habe den tip hier beherzigt:
    chrome://pippki/content/resetpassword.xul
    http://www.tecchannel.de/sicherheit/too…_zuruecksetzen/

    half nicht, als ich Febe installieren wollte fragt er wieder nach dem MPW. evtl. hätte ich den pc wieder starten sollen.
    Danke febe kann ich die gespeicherten passwörte etc. wieder installieren.

    bleibt noch firemaster zum löschen des masterpasswortes.
    ich mach mal ein cmos clear, dann onlinescans. oder warte ab was für tips hier folgen. danke

    Seltsam ist auch:
    Wenn ich das Masterpasswort löschen will(als administrator) dann ist das ok ausgegraut. nur abbrechen geht.

    MPA

  • * MSE ist der letzte Scheiss (nicht MSI, sondern MSE)
    * Säubern eines gefährdeten Systems
    http://www.microsoft.com/germany/techne…les/600574.mspx

    Zitat

    Sie können ein kompromittiertes System auch nicht säubern, indem Sie einen Virenscanner
    verwenden. Um die Wahrheit zu sagen, einem (vollständig) kompromittierten System ist
    einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt
    darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen.
    Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf.
    einfach mit einem Tool, das falsche Tatsachen vorspiegelt.

    Solltest du was anderes meinen, bin ich vorzeitig raus und verschwende keine weitere Zeit.

    MfG

    Einmal editiert, zuletzt von Anonymous (19. Februar 2013 um 10:33)

  • 1. die lage ist wieder in ordnung.
    was wars?
    2. das masterpasswort war blockiert
    3. im taskmanager des administratoren-kontos zeigte sich der prozess Strychni unintren.
    der verabschiedete sich fast sofort nach dem aufrufen des process explorer, obwohl ich dort drin nicht fand...
    3. dann fand kasperskyonlinescan eine invidia.exe(ein virus). evtl. gehört der zu Strychni unintren.
    4. dann konnte ich das alte MASTERPASSWORT wieder verwenden ohne dass ich am system viel änderte.

    Schlecht zu verstehen war nur dass auf den anderen-vor wochen letztmals verwendeten platten das PW auch blockiert war.
    hab es dann mit der brutalen methode deblockiert, F-reset gemacht und mit FEBE die passwörter etc. zurückgespielt.
    regvac tiefenscan ist auch sehr empfehlenswert.
    Hab bei den scans platte und usb-LW separat getrennt.
    jetzt läuft trendmicros housecall und untersucht die externe.

    MPA

  • @ europanorama

    Was zu tun ist, hat dir .Bernd bereits mitgeteilt. Ich würde damit nicht lange fackeln und das gesamte System sofort offline-setzen.

    Da hat sich jemand sehr viel Mühe gemacht in dein System einzudringen. Was er ja letztlich auch geschafft hat. Es ist kaum anzunehmen, dass dieser "Jemand" nicht einen Keylogger, eine Backdoor oder was auch immer hinterlassen hat, was ihm jederzeit erlaubt, jede deiner Passwortänderungen in Echtzeit mitzulesen und für seine Zwecke zu nutzen.

    Mit welchem Zweck dieser Angriff erfolgt ist, wirst du am besten wissen. Wie es aussieht, erfolgte die Kompromittierung gar nicht von außen, sondern sehr wahrscheinlich über eine "menschliche Schnittstelle".

    Dieser Zustand ist durch keine der von dir genannten Massnahmen (Passwortrücksetzung, OnlineScan, OnAccessScan umkehrbar. Das System ist definitiv hinüber. Kurz gesagt: Da findet von außen ganz aktuell ein uneingeschränkter Vollzugriff auf dein System statt, der komplett deiner Einflussnahme entzogen ist.


    Zitat von europanorama


    Offenbar ist das was neues.


    Nein, das ist eine alte Kamelle.


    Zitat von europanorama

    wenn man googelt führen ein paar treffer ins nichts-zufall.


    Schlecht gegoogelt. - Das war eine professionelle Brute Force Attack, die über zwei gebastelte IPC-Passwortlisten ausgeführt wurde.

    Eine Liste liegt als *.txt, die andere als *.dic vor. Beide Listen liegen auf unterschiedlichen Servern. Die Daten können aus dem reinen Quelltext extrahiert werden.

    Die erste Liste liefert zunächst auf 2.667 Seiten exakt 170.641 ein- bis achtstellige Klartext-Passwörter und Klartext-Fragmente inkl. Sonderzeichen, die sich beliebig kombinieren und dann auch noch in beliebige Zeichensätze konvertieren lassen.

    Zusammen mit den ebenfalls in dieser Datei enthaltenen Variablen (siehe Code Box unten) ergibt das eine Passwortliste, mit der man so gut wie jedes schwache Passwort knacken kann.

    Noch besser wird es, wenn man die zweite Liste dazu nimmt. Sie beinhaltet auf 1.733 Seiten 110.851 Klartext-Passwörter und Klartext-Fragmente.

    Wobei die erste Liste massiv Passwörter angreift, die aus Zahlen und Buchstaben zusammengesetzt sind. Die zweite Liste ist eher Buchstaben-lastig und berücksichtigt eine relativ überschaubare Anzahl von Zahlen-basierten Passwortkombis.

    Die verwendeten Variablen in Liste 1:

    Code
    %null%
    %username%
    %username%12
    %username%123
    %username%1234


    Damit lässt sich so ziemlich alles zusammenbasteln. Ich möchte wetten, dass sich mit diesen Liste auch das von dir genutzte Masterpasswort zusammenbauen lässt.

  • Hatte kürzlich eine Blockade des Firefox-Masterpasswortes. Da ich mehrere Festplatten habe hab ich das untersucht.
    Eine Festplatte war ohne MPW.

    Bei einer Festplatte habe ich das MPW durch FF-reset deblockiert. Bei der Hauptfestplatte habe ich mehrere versch. onlinescans(eset und kaspersky) gemacht und es wurde was gefunden. Im taskmanager war eine invidia.exe sichtbar die seltsamerweise nach dem aufruf von portexplorer von selbst verschwand. sonst war die datei nirgends sichtbar.
    Das Komische an der Sache ist das:
    Eine Festplatte war seit Wochen nicht mehr in Betrieb aber trotzdem war auch dort der Zugang blockiert.
    Ich vermute entweder:
    a) hat Firefox erfolglose loginversuche mit sperrung beantwortet und zur Sicherheit auch auf dem anderen System.
    b) oder es war ein Schläfer der zu einem bestimmten zeitpunkt beide system blockierte.
    Natürlich habe ich dann das MPW geändert. Danke

    MPA

  • Ob der Beitrag eine Frage sein soll und wie sie auch immer lauten mag, die einzig mögliche Antwort lautet: Ist das System kompromittiert (und das hast du beschrieben), so muß es nach Formatieren der Festplatte neu aufgesetzt werden. Erläuterung.

  • Zitat von Road-Runner

    Damit dürfte dann auch Dein anderes Problem (Firefox 19.0.1 stürzt ständig ab) gelöst sein.


    Ich sehe gerade, dass Elend schwärt bereits seit Mitte Februar: https://www.camp-firefox.de/forum/viewtopi…=848885#p849180


    @ europanorama

    Was da seit mindestens 20. Februar auf deinem Rechner los ist, ist keine Lappalie:

    Zitat von Docc

    Dieser Zustand ist durch keine der von dir genannten Massnahmen (Passwortrücksetzung, OnlineScan, OnAccessScan umkehrbar. Das System ist definitiv hinüber. Kurz gesagt: Da findet von außen ganz aktuell ein uneingeschränkter Vollzugriff auf dein System statt, der komplett deiner Einflussnahme entzogen ist.

  • @ europanorama

    Da du dein Problem ja nun schon eine lange Zeit vor dir her schiebst, nehme ich an, dass es ein Verständnis- bzw. ein Verständigungsproblem gibt. Darum versuche ich mal mit einfachen Worten zu erklären, was derzeit auf deinem Rechner los ist.

    Die auf deinem Rechner installierte Backdoor ist eine Hintertüre, durch die beliebige Schädlinge auf deinem System ausgeführt werden können. Die von dir geschilderten Symptome sind also nichts anderes als die Aktivitäten dieser Schadware.

    Sobald du dich z. B. bei ebay einloggst oder etwa OnlineBanking betreibst, können deine Kenn- und Passwörter protokolliert werden und gelangen durch die Backdoor in fremde Hände. Es ist also allerhöchste Zeit, diese Hintertüre zu schließen. Aber das wird nur gelingen, wenn du das System sauber neu installierst.

    Hier noch ein paar erklärende Links zum Thema "Backdoor":

    http://de.wikipedia.org/wiki/Backdoor
    http://www.viruslist.com/de/glossary?glossid=188780043
    http://www.viruslist.com/de/viruses/enc…apter=152540521

    Ich hoffe, dass du damit etwas anfangen kannst, und dass du dich zu einer Neuinstallation durchringst. - Wenn du Fragen hast, melde dich.

  • Da das andere neuere thema gesperrt ist fahr ich hier fort, es betrifft dasselbe system.
    ca. 3 wochen nach diesem angriff habe ich eine pesfdisk.exe-datei einfangen hijackthis spricht von "plug icedragon scheduler2" -ist wohl ein fantasienamen.
    Datei-auch von anderen in virustotal.com schon eingetragen.
    Das von mir hochgeschätzte superantispyware hat diesmal nichts gefunden.
    Es gab auch noch eine iconforamazon.exe auf dem desktop. ein ableger fand sich in einem nichtbenutzten konto, welches mal blockiert war. diese datei rsp bedrohung läuft auch noch unter anderem namen. ich meine: amazonsetup-installer oder ähnlich.

    Ich vermute woher die bedrohung pesfdisk.exe herhommt und werde mich in zukunft strategisch anders verhalten.
    Danke
    Update:
    Habe mehrere Partitionen, ist die Bedrohung nicht gebannt, wenn nur die Systempartiton ersetzt wird. Ein sauberes Backup darüberkopiert wird oder Winxp nur in der systempartititon neu installiert wird. die andere partitionen stehen gelassen werden.
    Werde vermutlich nicht darum herum kommen und die Daten auf ein esata-laufwerk zu kopieren und alles platt zu machen.

    MPA

  • Du raffst das nicht oder? Sichere deine perönlichen Daten und mache format c: ! Aber mach vorher noch Online-Banking und log dich überall ein, wo du angemeldet bist! Du wirst ja erst dann klug, wenn dein Konto leergeräumt ist und deine Identität geklaut ist! Und dann ist das Geheule groß. Aber anders lernst du es ja nicht!

  • Zitat von europanorama

    Da das andere neuere thema gesperrt ist fahr ich hier fort, es betrifft dasselbe system.

    Du willst es nicht wahrhaben, aber es ist so. Dein System ist total verseucht.

    Unterlasse weitere Fragen in diesem Forum bis Dein System neu aufgesetzt wurde..

    Weitere Threads zum gleichen Thema werde ich auch sperren, da die freiwilligen Helfer hier besseres zu tun haben als immer wieder den gleichen Rat zu geben, der zumindest bis heute noch nicht befolgt wurde.

    Zitat von europanorama

    Werde vermutlich nicht darum herum kommen und die Daten auf ein esata-laufwerk zu kopieren und alles platt zu machen.

    Ersetze das Wort vermutlich durch sicher und handle dann dementsprechend.