AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Ich weiß nicht was du mit nachinstallieren meinst. Im Programmverzeichnis von Delphi haben keine Komponenten oder irgendwas etwas zu suchen.
Hier gibt es eine Anleitung von mir für die Installation von Delphi 7 unter Vista/7:
http://www.delphi-library.de/topic_D...ren_89408.html

Selbst hinzugefügte Komponenten wiederum gehören natürlich in ein anderes (beschreibbares) Verzeichnis. Dann braucht man dafür auch keine Adminrechte.
Dazu gehört natürlich, dass man nicht diese gräuliche dclusr.dpk zur Installation von Komponenten benutzt. Aber wer will das schon?

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Interessante Aussage. Du weißt also von Malware genau wo sie sich einnisten und was sie verändern und kannst das alles Rückgängig machen? Hm, damit könntest du wahrscheinlich sehr viel Geld verdienen. Ein menschlicher Virenscanner und Wunderheiler in einem?

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Den Satz hatte ich glatt überlesen...

Das heißt wenn ein Trojaner Code nachgeladen hatte, der irgendetwas am System verändert hat, und dieser Code dann wieder gelöscht wurde, kannst du das trotzdem nachvollziehen und rückgängig machen? (Das ist ja eine übliche Vorgehensweise von Viren / Trojanern um die eigenen Spuren zu verwischen.)

Deine Glaskugel möchte ich haben... :glaskugel:
Und da du da der einzige weltweit sein dürftest, kannst du deine Dienste ja den entsprechenden Stellen anbieten...

Aber im Ernst:
Wie willst du denn herausfinden was alles an einem kompromittierten Rechner für Hintertüren geöffnet wurden? :shock:

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

@Bummi, Luckie und jaenicke (bezogen auf Post #25)

Bitte die Sätze nicht anders deuten als sie gemeint sind oder dazu dichten was nicht drin steht. Sie sind so gemeint wie sie da stehen. Nicht mehr, aber auch nicht weniger.

Wenn ich sage, dass ich Rechner zu schützen weiß, dann, weil ich Kunden die früher permanent Probleme mit Viren hatten trotz Virenscanner, plötzlich keine Probleme haben. Und weil auch die Rechner von Computerneulingen seit der Installation noch nie einen Virusproblem hatten.

Ich hab früher richtige Untersuchungen bezüglich Virenbefall gemacht, die mit jedem Virenlabor mithalten oder sogar besser waren. Ich hatte zig virtuelle Maschinen laufen und habe getestet mit welcher Konfiguration welche Gefahren drohen. Ich habe richtig Feldforschung betrieben. Ich hab jetzt kein Lust meine Unterlagen durchzusuchen, aber es gab da auch Rechner mit einigen hunderten bis tausenden Schädlingen. Der krassester Fall war eine Maschine die im Sekundentakt Schädlinge nach lud (oder kopierte?) und sich so selbst aus dem den Rennen brachte, weil nach einer Zeit die Festplatte voll war. Bei einer andere Maschine liefen gleichzeitig einige hundert Schädlinge parallel und verbrauchten 100% Rechenleistung dadurch.

Das zeigt wie dumm Schädlinge sein können. Der Schädling der sich im Sekundentakt nach lud dachte, dass er sich so schützen kann, weil keiner schneller löschen kann als er sich vervielfältigen kann. Man darf hier also nicht dem Konzept des Schädlings folgen und versuchen schneller zu löschen als er sich kopieren kann, sondern muss ihm die Grundlage entziehen. Man muß zuerst dafür sorgen, dass er sich nicht weiter vervielfältigt, erst dann kann man anfangen ihn zu löschen. D. h. immer das Konzept durchbrechen.

Gelegentlich habe ich mich dran gemacht solche extrem befallene Rechner Just4Fun wieder erfolgreich von Schädlingen zu befreien. Und wenn ich sage, dass man alles befreien kann, oder zumindest stilllegen kann, dann stimmt das schon. Man muß nur Erfahrung haben. Du muß wissen, dass Schädlinge im Grunde genommen dumm sind, es sind einfache Konstrukte die durchaus erfolgreich ein Konzept verfolgen, aber nicht genial sind. Die Leute glauben, dass sie genial sind weil sie es geschafft haben einen Rechner zu befallen. In Wahrheit sind es Grobmotoriker die durchaus mit einem dicken Hammer irgendwo draufhauen können und so viel Schaden anrichten, aber sonst nicht besonders helle sind. Ich behaupte nicht, dass man einen Schädling genial programmieren kann, aber wozu? Wozu Auffand betreiben? Ein Trojaner zielt auf eine spezielle Lücke, da ist es gut, vielleicht unternimmt er auch einiges zum Eigenschutz, aber nicht alles. Ein Trojaner nutzt Sicherheitslücken aus, hat in der Regel aber auch Sicherheitslücken.

Ich hab Systeme wieder frei bekommen, wenn man Interesse hatte. Manchmal ist es Fummelsarbeit, aber manchmal ist es einfacher als man denkt. Wenn ein Schädling sich nicht entfernen läßt, dann kann man dafür sorgen, dass er keinen Schaden anrichtet. Es gibt einige Konzepte wie man ein Schädlingsproblem angehen kann.

Wie dumm Schädlinge sein können, wobei ich nicht den Fehler begehen will sie zu unterschätzen, habe ich bemerkt als ich meinen Dialer-Killer noch unter Windows 9x entwickelt hatte. So größenwahnsinnig es sich anhört, mein Toll war besser als jedes kommerzielle Tool. Wieso ich es nicht kommerziell anbot, keine Ahnung, vielleicht fehlte mir da der Mut. Irgendwann kam DSL und das Problem hat sich erledigt. Denn während die professionellen Systeme tief im System alles überwachten, oder nach Signatur im Programmcode suchten, ist mir die Schwachstelle der Dialer aufgefallen - ihr Name. Sonderbar, man hat sich so viel Mühe gegeben sie gut zu programmieren, aber keiner ist auf die Idee gekommen dem Dialer einen guten Namen zu geben. So unglaublich es klingt, alle Dialer hatten Namen die sich aus einer handvoll Begriffen zusammen setzte oder kopierten sich in bestimmte Ordner. Überwachte man die Prozesse und suchte nach Muster oder überwachte bestimmte Ordner, war die Trefferquote 100%.

Und wer jetzt meint, dass das Programm nicht zuverlässig arbeiten konnte, weil es ja irgendwer auf die Idee hätte kommen können den Prozess zu verstecken, klar, wäre möglich gewesen, hat aber keiner gemacht. Zumindest bei mir oder meinen Freunden nicht. Woher ich das weiß? Über die Telefonrechnung. Das ist das was ich mit Schwachstellen meine, manchmal ist die Schwachstelle simpler als man denkt. Das mein Toll funktionierte weiß ich, weil ich jeden Abschuss mit dem Sound aus Spiel mir das Lied vom Tode quittierte ;) Bisschen Spaß muss sein.

Wo habe ich das behauptet? Was weg ist, ist weg. Was zerstört ist ist zerstört. Zerstörtes kann auch ich nicht wiederherstellen. Was ich geschrieben habe ist, dass ein Schädling genauso wie ein Kopierschutz nur von Menschen geschrieben wurde und überlistet werden kann.

Ok, es geht hier doch nicht drum welchen Schaden ein Schädling anrichtet, sondern wie drauf reagiert wird. Wenn dein Rechner befallen ist und deine Software meint, dass sie nichts machen kann, wie reagierst du? Ruhig, versuchst das Problem zu analysieren, oder panisch, schnell alles platt machen?

Ich habe mich nicht besser gemacht als ich bin, aber Schädlinge sind wie ein Kopierschutz von Menschen gemacht und haben immer eine Schwachstelle. Man muß die nur finden.

Das ist es ja, nicht dem Konzept folgen, denn da ist der Schädling gut und schützt sich. Vielmehr das Konzept durchbrechen.

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Es nutzt dir doch absolut überhaupt nichts, wenn du den Virus an sich entfernt hast (das können viele und ist in der Regel auch kein so großes Problem), wenn du nicht weißt, ob sicherheitsrelevante Einstellungen verändert wurden. Und das kann im Grunde niemand wirklich wissen, es sei denn man hat wirklich den Assemblercode komplett verstanden und weiß, dass auch nichts nachgeladen wird. Und ob man wirklich allen relevanten Code gesehen hat und nicht schon welcher entfernt wurde, weiß man trotzdem nicht.

Als Folge hast du dann vielleicht kurz danach dann einen noch besseren Virus drauf, der noch mehr Schaden anrichtet. Und das nur, weil nicht erkannt wurde was der erste Virus verändert hat.

Privat mag man sich solche Glücksspiele leisten wollen, wenn man nicht viel Wert auf seine Daten legt, aber im Unternehmensumfeld wäre ein solch fahrlässiges Verhalten untragbar und hätte ggf. sogar ein juristisches Nachspiel.

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Sebastian, ich glaube du willst mich nur so verstehen wie du mich verstehen willst. Ich hab gesagt, es gibt für jeden Schädling ein Konzept. Physikalisch entfernen ist nur eine Möglichkeit, gelegentlich aber auch die falsche. Wenn ich Entfernen schreibe, dann verstehe ich darunter nicht unbedingt löschen, sondern, wenn es nicht geht, aus dem Spiel nehmen. Man kann einen Schädling auch da belassen wo er ist, vor allem wenn es von tausend Seiten beschützt wird, in diesem Fall muß man ihn glauben lassen, dass er immer noch da ist, in Wirklichkeit sortiert er Socken.

Du brauchst mir nicht zu glauben, habe ich dir versucht meine Dienste zu verkaufen? Du kennst mich doch nicht, du weißt doch nicht was ich kann, du kannst es dir nur nicht vorstellen, dass es gehen könnte. Wenn das deine Vorstellung übersteigt oder deiner Lebenseinstellung, dann meinetwegen.

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Das ist keine Antwort auf meine Bitte.

a) der Link funktioniert so nicht. Ändre es bitte von "http://branch." in "http://www.".
b) ich arbeite seit eh und jeh mit einem Arbeisverzeichniss. Ich wußte nicht, dass noch einer seine Projekte in das Borladverzeichnis ablegt.
c) dein Tipp funktioniert wohl nur bei Vista und Windows 7, nicht aber bei Windows XP. Ich hab jetzt nicht die Muße es zu testen, aber ich glaube delphi32.$$$ wird jedes Mal temporär im Bin Ordner angelegt wenn man eine Komponente installiert. Was vielleicht unter Vista & Co funktioniert, geht aber nicht unter XP.

Habe ich nicht behauptet. Für Komponenten habe auch ich einen eigenen Ordner. Irgendwie beantwortest du Fragen die ich nie gestellt habe. Aber trotzdem danke.

Ich weiß es nicht, ich mache es ja auch so selten. Aber bei mir will Delphi in bei Komponenteninstallation Sachen kompilieren usw. und es ghet nicht ohne Adminrechte. Also wenn mir einer zeigen wie das geht, dann bin ich glücklich.

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Stimmt, da hast du Recht.
Sorry, XP ist schon ne Weile her bei mir.
Jetzt verstehe ich auch erst was du meinst.

Dann muss man für die Datei wohl wirklich Schreibrechte vergeben (bzw. nen Hard Link oder so drauf setzen), den Virtual Store gab es da ja noch nicht...

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Mehr ist nicht zu sagen

gruss

AW: Avira meldet Trojaner bei Webseitenaufruf über shellexecute
 

Die Diskussion ist ja ein wenig auseinandergedriftet. Übrigens hat die heuristik bei allen Virenscannern das gleiche Problem, je größer die Datei, desto weniger Fehlalarme gibt es. Pack einfach ein 200kb großes Bild auf dein Formular und gut ist.

Peter