[HaBo]

nlite

Anzeige

Spyware ist bekanntlich ein weites Feld und es gibt viele Meinungen, was jetzt die besten AntiSpyware-Programme sind. Nachdem es mir zu dumm war, zwei oder gar mehr kommerzielle Programme zu installieren, um gegen "alles" gewappnet zu sein, habe ich es mal mit folgender Kombination versucht:

Microsoft AntiSpyware
http://www.microsoft.com/downloads/d...t Anti Spyware

SpywareBlaster
http://www.javacoolsoftware.com/spywareblaster.html

SpywareGuard
http://www.javacoolsoftware.com/spywareguard.html

Jetzt surfe ich schon eine ganze Weile mit dem Avant-Browser (IE-Engine!) durch spywareverseuchte Seiten, die ich früher wenn dann nur mit Opera berührt hätte (der war zwar grundsätzlich resistent, lud aber dennoch Spywaredateien in seinen Cache). Unglaublich aber wahr, es passiert rein gar nichts! Keine neuen Startseiten, keine exe's aus dem Temp Ordner, die nur mal schnell ins Internet wollen...einfach nur Ruhe.

Bevor ich jetzt in Begeisterungsstürme ob dieser DAU-sicheren Kombination ausbreche, kann mir vielleicht jemand sagen, wo an dieser Konfiguration doch ein Haken ist? Wenn mir jemand per PN eine besonders fiese Seite nennen kann, welche die neuste Spyware mitliefert, bin ich ebenfalls dankbar ;)

Zero_X

Das was jetzt noch passieren kann ist, daß sich die Programme ihre Definitionsdateien gegenseitig abschießen können
Auf Spywareseiten wirst du von alleine treffen. Es kommen immer schlimmere und nervigere Sachen heraus.

+++ATH0

Ich habe 10 neue Virenscanner und 5 PFW, dann habe ich 3 Antihacker-Tools und 4 AntiSpyware Programme. Ich habe extra noh 4 Registry-Watcher und 6 Security-Suits. Und ihr glaubt es nicht ! !!!!!!!!!!111 Ich hatte lange keine Virenprobleme mehr!!!! Könnt ihr mir mal ein Virenpack schicken, damit ich es mal testen kann ob ich dann noch sauber bin ????!!!!111111 einseinselfff

mfg,
Sup0rh4x0rriz0r0r

nlite

Scherzkeks. Schau dir die Programme erst einmal an, bevor du sie auf eine Stufe mit Arbeitspeicherfressern wie Security-Suiten stellst. Deinem sarkastischen Nachäffen entnehme ich, dass du überhaupt keine "Security"-Programme installiert hast und trotzdem keinerlei Probleme hast (von denen du weißt). Dabei vertraust du sicher auf lauter nicht-Microsoft-Produkte wenn nicht gar Betriebssysteme. Hier ging es mir darum zu zeigen, dass man ein gewöhliches Windows-System mit minimalem Aufwand gegen Spyware absichern kann, ohne einen alternativen Browser etc. zu brauchen. Und genau das, da bin ich mir sicher, willst du nicht wahr haben. :]

CDW

genau das halte ich leider nicht für wirklich umsetzbar:
http://www.heise.de/newsticker/resul...erheitsl%FCcke
Und so weiter...

http://www.heise.de/newsticker/resul...erheitsl%FCcke
http://www.heise.de/security/dienste...heck/demos/ie/

das sarkastisch Nachäffen kann man übrigens verstehen (einfach hier ein wenig im Forum rumschauen oder noch besser auf meinen "lieblingsforum" chip.de in den "Viren,Trojaner usw." gehen und da die HJthis logs anschauen - ein AV samt "Feuerwand" ist meistens kein großes Hinderniss. )


Oder Du glaubst, Du hättest Ruhe - aber ich weiß ja nicht,was Dir lieber ist, Spyware, die sich bemerkbar macht oder doch eher ein paar nette "Gäste" auf dem Rechner

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

nlite

Ich weiß, wie es aussieht, wenn man auf gewisse Seiten mit einem normalen IE geht: Es laden sich haufenweise .exe's herunter, die dann recht schnell für Popup-Fenster, Browser-Umleitungen etc. sorgen. Insofern kann ich sehr wohl beurteilen, ob die Ruhe jetzt nur daher kommt, dass die Spyware friedlich im Hintergrund kommuniziert. Diverse Virenscanner, sowohl online als auch lokal finden nichts - was sie wiederrum bei einem normalen IE nach dem Besuch gewisser Seiten immer getan haben. Es gibt auch keine Dateien im Systemordner mit aktuellem Erstellungsdatum...

Also, ich höre immer nur Meinungen und das übliche "AntiVirus, AntiSpywware Firewall, alles für die DAUs"-geflame - wie wärs, wenn mir mal einer von euch einen Fakt liefern könnte, warum ich DAU mit meinen supertollen Programmen ein gefundes Fressen für alle Skript-Kiddies bin?

p-Logic

Oh, ein Abtrünniger vom Pfad der Tugend
[/spam]

Gerade IE konnte ich noch nie leiden. Da geht es sicher noch Anderen so.

Ich surfe mit FFx (Außerdem hab ich eine Anti-Viren Voodoo Puppe aufgestellt )
Alle paar Monate untersuche ich mein System mit Ad-Aware und ähnlichen Scannern und finde: Nichts.

Ist also auch eine Möglichkeit
Jedem das seine.

nlite

Also ich sage nicht, dass man untugendhaft ist, nur weil man keine Microsoft-Produkte benutzt - aber wenn man schon für alles eine Alternative nutzt, kann man gleich die Finger von Windows selbst lassen.

Den IE kann wohl niemand leiden - aber dafür gibt es Browsererweiterungen wie zB Avant und schon hat man Opera-Funktionalität (Mausgesten, RSS, Tabs...).

Dass Adaware nichts findet kann auch am Programm selbst liegen - in den letzten Vergleichstest hat es enttäuschend abgeschnitten und wurde insbesondere von Spybot und SpySweeper verdrängt. Außerdem gehe ich mal davon aus, dass du nicht auf "schmutzigen" Seiten surfst .

CDW

weils so ist. Schon den Browsercheck bei c't nachgeschaut? Was passiert denn, wenn eine weiter Lücke ala WMF auftaucht - die bloße Bildbetrachtung im IE reicht dann schon für eine Infektion? Was willst Du denn für Fakten? Soll denn hier einer was extra für Dich aus den Fingern saugen?
http://www.chip.de/suche/suche.html?...q=spywareguard

naja, gugst Du hier:http://www.computerterrorism.com/res...e/ct21-11-2005 (bis zum POF scrollen)
hast ja vielleicht Glück.


Edit: na dann... Dir ist aber schon klar dass diese Programme entweder die Funktionen sperren müssen oder nebenbei laufen und "überwachen" müssen. Und wenn man auf den IE verzichten, so braucht man "gar nichts" zu installieren und kann trotzdem noch surfen (und sogar die meisten Seiten nutzen). Ich sehe nämlich keinen Sinn darin, zig Programme zu installieren, nur um extra IE nutzen zu können.
Übrigens war mein Anliegen eher auf "unbekannte" Gefahren ausgelegt - sprich ungepatchte und nicht weitverbreitete Lücken im IE, die auch die Hersteller der Programme nicht kennen und somit auch keinen "Schutz" bieten können. WMF war ein Beispiel - was wäre denn passiert, wenn Du damit noch vor dem bekanntwerden der Lücke (und damit ohne entsprechende "Gegenmaßnahmen"der Software) auf so eine Seite gekommen wärst?

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

nlite

Ich kenne genug Seiten, die den wmf-Exploit nutzen - bei Opera wird man dann gefragt, ob man sich so eine wmf-Datei herunterladen will - jetzt passiert nicht einmal mehr das.

Das Proof-of-Concept mit dem JavaScript war ein netter Versuch, wurde aber leider auch geblockt. Nach dem selben Prinzip funktionieren auch viele Spyware-Seiten, allerdings wird bei denen nicht einmal mehr die Eingabeaufforderung angezeigt, weil sie von Spyware-Blaster indiziert sind und damit als "nicht vertrauenswürdig" im IE eingestuft werden. :O

Was die Hijack-This logs betrifft, nun, mit viel gutem Willen schafft man es immer, sich sein System zu infizieren, etwa wenn man aktiv eine Datei selbst herunterlädt. Was das passive Downloaden anbelangt, so habe ich noch keinen Gegenbeweis, dass ich mit meiner Konfiguration dafür empfänglich bin.

SUID:root

Ich finde die Idee von nlite gar nicht schlecht und die Information ist nicht uninteressant. Wenn er damit gute Erfahrungen gemacht hat, dann ist das doch okay und vielleicht auch für andere User nützlich.

Viele User haben nunmal Probleme mit Spyware, auch wenn wir wissen, wie es ohne geht.
Diese Programme sind für viele Leute die einfachere Alternative solche Probleme zu lösen.
Bitte lasst den Thread jetzt nicht wieder in einen "Anti-Spyware/Firewall vs. GarNix"-Thread werden. Das hatten wir hier nun schon oft genug.

Achso: ich bin auch frei von Spyware. Danke FF. Einen AV hab ich drauf, allerdings hat der nie was zu tun. Und das, trotz böser Seiten.

Viele Grüsse

root

nlite

Danke für das Glätten der Wogen!

Dazu möchte ich noch sagen, dass FF kein vollständiger Ersatz für den IE ist, da bestimmte Seiten Darstellungsprobleme haben (zB http://www.av-comparatives.org/seite...se_2005_11.php). Zudem läuft er nicht immer stabil, wie ich selber feststellen musste. Allerdings gibt es die gleiche Meinung auch vom Avant-Browser, weshalb das sicher nicht für alle User gleichermaßen zutrifft. Außerdem will der eine oder andere vielleicht Windows Update verwenden und kann darum ebenfalls nicht auf den IE verzichten. Für diese Leute ist die AntiSpyware/SpywareBlaster/SpywareGuard eine unkomplizierte Lösung, um auch aus dem IE einen sicheren Browser zu machen.

+++ATH0

Jaja. Wartet nur ab. Ich h4x0r euch noch alle.
Ne mal im Ernst. Man möge mir verzeihen, dass ich etwas albern war. Aber mit gutem Grund. Du wusstest sicher worauf ich hinaus wollte.
Jedoch hast du daraufhin Schlüsse gezogen, die ich in keinsterweise impliziert habe. Ich benutze z.B. MS-Office. (Ja, staunt nur *g*).

Ich bin im Moment (leider ohne viel Zeit: Facharbeit und JuFo-Arbeit stehen an *arggh*) dabei ein erweitertes POC für PFWs zu erstellen, da ich es CDW ja versprochen hab . Und zwar im K-Mode ! Er wird in der Lage sein den NDIS-Hooks, den viele PFWs benutzen zu umgehen. (TDI-Filter sowieso ).
Und dann noch im Usermode. Und zwar wende ich dort einen Trick an zu dem mich uall aka brechi mit seiner uallCollection inspiriert hat. Ich lade eine saubere Kopie der Kernel-DLLs in den Speicher durch hooken von RtlEqualUnicodeString. Die 2. Dll ist "garantiert" nicht gehhokt. Somit kann man wieder ganz unproblematisch die üblichen Funktionen benutzen, die man so braucht um die PFW zu verarschen (VirtuallAlloc, CreateRemoteThread etc.)

Have a nice day

nlite

So, für alle, dies interessiert, gibts jetzt noch ein "Update" zu dem, was ich oben geschrieben habe.

Also, zunächst muss ich sagen, dass mir dieses ganze Anti-Viren/Spyware/Trojaner-Zeugs nun endgültig zum Hals heraushängt. Ich habe keine Lust mehr, mich ständig über den "noch besseren" Schutz zu informieren. Darum habe ich mir jetzt einen VirtualPC eingerichtet, der über ein virtuelles NAT ins Internet geht. Alles, was im Internet nicht https oder sonst vertrauenswürdig ist, besuche ich jetzt nur noch über diesen virtuellen PC. Die Internetverbindung des realen Computers bleibt nun ausschließlich Online-Banking und sicherem Webmail vorbehalten. Mit ZoneAlarm schaue ich drauf, dass auch die MS-Programme trotz "Keine Updates etc."-Einstellungen offline bleiben , nachdem die Windows-Firewall für die natürlich eine interne Ausnahme macht . Auf dem virtuellen PC läuft an Schutz gerade mal der Gratis-AVG-Scanner von Grisoft, damit ich .exe-Dateien, die ich auf den realen Computer übertrage, überprüfen kann und der oben erwähnte SpywareBlaster gegen Cookies. An Browsern verwende ich weiterhin Avant (IE-Engine) aus Kompatibilitätsgründen und Opera für bekannt problematische Inhalte. Was sich nun wirklich an Spyware ohne mein Wissen auf meinem virtuellen PC breit macht, kann mir verständlicherweise recht egal sein. Ein "Neuaufsetzen" braucht ca. eine halbe Stunde, ohne dass mein Computer dadurch unbenutzbar wird. Derzeit hat der virtuelle PC als Betriebssystem noch ein schlankes XP, in näherer Zukunft will ich mir auch ein XP Embedded basteln, damit die Arbeitsspeicherbelastung auch für ältere PCs erträglich wird.