Jump to content

DedSec

Members
  • Content Count

    293
  • Joined

  • Last visited

About DedSec

  • Rank
    Cadet
  1. Welches Forum wäre richtig? Wenn ich das Freenet-Konto lösche, ist damit auch der Account weg?
  2. Hallo Freunde, heute bekam ich eine Mail, anscheinend von meiner Mailadresse, wonach mir mitgeteilt wurde, der Versender habe vollen Zugriff auf mein "Gerät", er habe meinen Mail-Account gehackt, (das angegebene Passwort ist zwar nicht mehr aktuell, aber es stimmt), ich hätte Seiten mit Porno-Material besucht, er hätte mittels einem Remote-Zugriff meine Webcam gestartet und mich gefilmt. Ich möge innerhalb von 2 Tagen im Wert von 600 $ Bitcoins auf einer angegeben Seite kaufen, dann bliebe das "Geheimnis" unter uns. Andernfalls würde das Video an Freunde und Bekannte versandt werden. Zunächst einmal habe ich keine "Adult-Seiten" besucht, außerdem habe ich keine Webcam. Daher ist das lediglich ein Versuch, mich einzuschüchtern, damit ich zahle. Ich werde nicht zahlen. Das Einzige, was mich beunruhigt, ist dass das angegebene Passwort früher von mir verwendet wurde. Ich habe kurz danach auf meinen Account bei Freenet zugreifen können, nichts ungewöhnliches festgestellt, aber mein Passwort geändert. Momentan läuft eine Untersuchung mit KIS 19.0.0. 1088 b Was kann ich noch tun?
  3. Ist der Beitrag inzwischen wieder aufgetaucht, oder ließ sich sein Schicksal ermitteln?
  4. Im CCleaner waren mal Trojaner eingeschleust gewesen. Daher ist KIS wohl etwas empfindlich.
  5. Diese Frage führt nicht zum Ziel. Substantiell ist vielmehr, ob zum MS Defender tatsächlich noch eine (weitere) Antivirensoftware vonnöten ist.
  6. Hallo Freunde, was sagt Ihr hierzu? Kaspersky soll sich beschwert haben, dass die Onboard-Programme von MS so gut sind und Anti-Virensoftware überflüssig wird.
  7. Und ich habe mich schon gewundert, was das für ein neues "Gerät" sein soll
  8. Oder um mit Hegel die Hoffnung zu haben, dass aus Quantität irgendwann Qualität wird.
  9. Sieht trotz der von KIS festgestellten Backdoor ganz gut aus:
  10. Aus vertraulicher Quelle: Der zweite Teil der Nutzlast ist für die Beharrlichkeit verantwortlich. Hier wird ein anderer Mechanismus auf Windows 7+ als auf Windows XP verwendet. Unter Windows 7+ wird die Binärdatei in eine Datei mit dem Namen "C: \ Windows \ system32 \ lTSMSISrv.dll" geladen und das automatische Laden der Bibliothek wird durch die Ausführung des NT-Dienstes "SessionEnv" (der RDP-Dienst) gewährleistet. Bei XP wird die Binärdatei als "C: \Windows\system32\spool\prtprocs\w32x86\localspl.dll" gespeichert und der Code verwendet den "Spooler" -Dienst zum Laden. Strukturell sind die DLLs sehr interessant, weil sie den Code der anderen Anbieter durch die Injektion der bösartigen Funktionalität in legitime DLLs husten. Der 32-Bit-Code wird durch eine gepatchte Version von VirtCDRDrv32.dll (Teil des Corel-WinZip-Pakets) aktiviert, während das 64-Bit EFACli64.dll - Teil eines Symantec-Produkts verwendet. Der Großteil des bösartigen Codes wird aus der Registry ausgeliefert(der Binärcode wird direkt in der Registry unter den Tasten "HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ WbemPerf \ 00 [1-4]" gespeichert. Wiederum zeigen alle diese Techniken die hohe Raffinesse des Angreifers
  11. Ich hatte die 64-Bitversion installiert gehabt und tatsächlich hat KIS nach einem Scan eine Backdoor gefunden (s.o.) Eine weitere hatte sich sogar in einer Wiederherstellungsdatei für Windows eingenistet. Letztere wollte KIS unbehandelt lassen. Daher habe ich mich entschlossen, die infizierte Datei zu löschen. Ich warte immer noch auf einen Ratschlag von Experten, wie nun am besten weiter zu verfahren ist.
  12. Die 5.33_ 64 bit. Die nicht verarbeiteten Dateien befanden sich in einer Windows-Wiederherstellungspart. in einem anderen Laufwerk (J:/). Den gesamten Ordner habe ich gelöscht. Soll ich Windows neu aufsetzen?
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.