Windows und SpyWare

[zmieff]

moin,

Es ist zum heulen! Ich hab mir ein neues Thinkpad R52 gekauft.
Tolle Hardware, WinXP sinnvoll vorinstalliert (brauch ich für die Schule),
IBM/Lenovo Software auch alles mit dabei, eigentlich alles super.

NetBSD hab ich auch schon installiert, nur der Gigabit-NIC läuft noch nicht (Broadcom NetXtreme), doch das ist eine andere Geschichte.
Vielleicht werd ich FreeBSD installieren.

So weit, so gut. Dann halt mal alles unter Win einrichten/installieren, dachte ich mir. Ein paar Applikationen installiert, konfiguiert usw.

Dann gings los. Nach ca. einer halben Stunde war der Computer bereits
zugemüllt mit Spyware. ok, Spybot runtergeladen, laufen lassen, ca. 200-250 Spyware-programme wurden gefunden.

Nach einer weiteren Stunde hatte ich alles halbwegs im Griff.

Jetzt hoff ich nur, dass NetBSD/FreeBSD möglichst bald läuft, und ich Win so selten wie möglich benutzen muss.



grüße

 

[Dinh]

Hast du denn keine Firewall?

Ich benutze - durch eine HW-Firewall geschützt - auch WinXP neben FreeBSD und hatte zum Glück noch nie solche Probleme!

 

[Fusselbär]

Hallo zmieff,

da gibt es so Tools,
die unötige Dienste unter Windows 2000 und XP abschalten:

(Mit Gui)
- http://www.dingens.org/

(Konsole)
- http://www.ntsvcfg.de/

Vielleicht hilft das ja etwas.


Gruß, Fusselbär

 

[AndreasMeyer]

Lies bitte mal diesen Artikel:
http://wiki.bsdforen.de/index.php/Windows_-_Sicherheit_unter_Windows
aufmerksam durch!

 

[AndreasMeyer]

da gibt es so Tools,
die unötige Dienste unter Windows 2000 und XP abschalten:

(Mit Gui)
- http://www.dingens.org/

(Konsole)
- http://www.ntsvcfg.de/

Vielleicht hilft das ja etwas.

=> Eine sehr schlechte Idee!

Viele Dienste von Windows haben wichtige Funktionen, die nicht auf den ersten Blick erkennbar sind, oder von Microsoft schlecht oder gar nicht dokumentiert sind! Nur ein Beispiel:

Die Aussage von den Programmautoren von http://www.dingens.org:

Viele Leute brauchen den Zeitplandienst nicht, und deshalb wird der bei Windows XP auch außer Betrieb gesetzt.

ist falsch. Jeder Windows XP-Rechner mit aktiviertem Zeitplandienst startet nach etwa 10 Minuten Leerlaufzeit ein minimales Defragmentieren. Dieses Defragmentieren erscheint nirgendswo im Zeitplandienst und man darf annehmen, dass noch mehr (unsichtbare) Befehle vom Zeitplandienst aufgerufen werden!

Was bringt dieses minimale Defragmentieren? Das Defragmentieren während der Leerlaufzeit ist Bestandteil von Prefetch. Windows XP versucht mit Prefetch Programmdateien möglichst optimal auf der Festplatte anzuordnen, damit der Start von Windows und Anwendungen wie MS Word, Firefox nicht durch den Flaschenhals "Festplatte" abgebremst wird.

Wie stark wirkt sich Prefetch aus? Nun ich hatte vor etwa 5 Monaten den Taskplaner dank eines "Super Tunning-Tip" deaktiviert und somit auch Prefetch abgeschaltet. Vor kurzem aktivierte ich den Taskplaner wieder und siehe da, der Rechner startete nach einigen Neustarts und einiger Leerlaufzeit rund 30 Sekunden schneller.

Für mehr Informationen zu Prefetch siehe bitte:
http://www.helmrohr.de/Guides/Prefetching.htm
http://msdn.microsoft.com/msdnmag/issues/01/12/XPKernel/default.aspx

Zum Thema "unötige Dienste unter Windows 2000 und XP abschalten" siehe bitte auch das aktuelle c't:
http://www.heise.de/ct/05/17/102/

 

[d-ra]

...... "Super Tunning-Tip" ....

Ich habe ähnlich schlechte Erfahrungen mit sog. "guten Tipps" gemacht. Das recht bekannte XP-Antispy (oder so irgendwie war der Name) aktiviert in den empfohlenen Einstellungen das Überschreiben der Swap-Datei beim runterfahren. Je nach größe dieser Datei dauert dann das Runterfahren deutlich länger. Hat mir nicht gefallen.

Deshalb auch mein Tipp: Finger weg von so Zeugs. Ich hab mir damals sehr schnell einen (Hardware-) Router zugelegt womit sich eine "Personal-Firewall" erübrigt hat. Ich hatte dann keine Probleme mehr mit Schad / Werbeprogrammen. Virenscanner ist selbstredend Pflicht - ganz klar. Und am Patchday: Patches einspielen. Sofort - eine Woche später kann schon zu spät sein.

 

[lars]

Was imho zur Grundausstattung eines Windows Clients gehört:
-Tweak UI von Microsoft, gehört zu den "Powertoys"
-XP-Antispy
-Autoruns, AccessEnum, IPMon von Sysinternals.com
-eine Application Layer Firewall wie z.B. ZoneAlarm, damit man weiss, welche Software
phone home betreibt und dies dann unterbinden kann, siehe z.b. Adobe's Acrobat Reader
und natürlich Know-How.

 

[AndreasMeyer]

welche Software
phone home betreibt und dies dann unterbinden kann, siehe z.b. Adobe's Acrobat Reader

Und die mit dem Update 7.0.3 geschlossenen Sicherheitslücken des Adobe Readers sind bei Dir immer noch offen?

 

[d-ra]

....
phone home betreibt und dies dann unterbinden kann, siehe z.b. Adobe's Acrobat Reader

Man kann auch die Auto-Update Funktion des Acrobat Readers ausschalten (ich glaube das ging über msconfig). Ob der noch andere "Phone-Home" Funktionen hat weiss ich jetzt gerade nicht.
Unabhängig davon sollte man natürlich immer verfolgen welche kritischen Probleme bei all den installierten Prorämmchen so existieren.
Leider gibt es sowas wie portaudit -Fa unter Windows nicht (nicht in der Funktionalität). Ein ganz massiver Nachteil.

 

[minuseins]

moin,

Es ist zum heulen! Ich hab mir ein neues Thinkpad R52 gekauft.
Tolle Hardware, WinXP sinnvoll vorinstalliert (brauch ich für die Schule),
IBM/Lenovo Software auch alles mit dabei, eigentlich alles super.

NetBSD hab ich auch schon installiert, nur der Gigabit-NIC läuft noch nicht (Broadcom NetXtreme), doch das ist eine andere Geschichte.
Vielleicht werd ich FreeBSD installieren.

So weit, so gut. Dann halt mal alles unter Win einrichten/installieren, dachte ich mir. Ein paar Applikationen installiert, konfiguiert usw.

Dann gings los. Nach ca. einer halben Stunde war der Computer bereits
zugemüllt mit Spyware. ok, Spybot runtergeladen, laufen lassen, ca. 200-250 Spyware-programme wurden gefunden.

Nach einer weiteren Stunde hatte ich alles halbwegs im Griff.

Jetzt hoff ich nur, dass NetBSD/FreeBSD möglichst bald läuft, und ich Win so selten wie möglich benutzen muss.



grüße

typisch PEBCAK.

Ich gehoere sicherlich nicht zu denen die nicht mal einen Witz auf Kosten von M$ reissen, aber wer ohne eingeschaltete Firewall mit einem frisch installierten WindowsXP ins Internet zu muessen, brauch sich nicht wundern das sich sein Rechner verschnupft. Wuerde ja auch keiner meckern, wenn seine vor vier Jahren nach Standard, installiere *BSD/Linux Kiste gehackt worden waere.

Wie M$-Firewall mag nicht der Brueller sein, insbesondere wenn man pf kennt, aber sie haelt dicht. Ab SP2 hat sich zusaetzlich einiges getan und es werden sogar Applikationen ueberprueft. Da du gemeint hast, das du das Notebook erst kuerzlich erstanden hast, gehe ich davon aus, das dein WinXP bereits ein SP2 installiert hatte. Wenn nicht, kann ich nur wieder meinen Kopf ueber IBM schuetteln. Wenn ja musst du schon vorsaetzlich die Firewall deaktiviert haben. In dem Fall ist dir ohnehin nicht zu helfen. Spaetestens dann gehoerst du zu den Leuten die russisch Roulett mit 'ner Halbautomatik spielen.

Bei Windows 2000 ist es allerdings schon Schwieriger eine frische Installation auf einen aktullen Patchstand zu bringen, ohne das sich der Rechner einen Schnupfen holt.

An die anderen c't-Mit-Ins-Horn-Blaser:

Klar gibt es unsinnige Tips, Interessanterweise hat allerdings die c't gerade den Interessantesten Punkt der Festplattentuning moeglichkeiten gar nicht evaluiert.

Dazu gehoert die 8.3 Namenserstellung, der Update der Zugriffzeit von Dateien und das ganze Metainfo-Analyse-Geraffel von bekannten Dateierweiterungen, wie Bildern, Office-Dokumenten, Audio und Filmdateien.

Letzeres bringt ebenso, wie das Abschalten der Effekte, keinen wirklichen Leistungszuwachs bei ein Anwendung, wie z.B. Spiel XYZ, Beschleunigt aber die Handhabung ungemein, wenn ein Oeffnen des Dateibrowser gleich die Dateien anzeigt und nicht erst nach einigen Sekunden Rechnerrei.

Aber im Prinzip gilt wie immer der Grundsatz: Wer tuned sollte wissen warum, weshalb und ob das ueberhaupt mit seinem System geht. Aber die, die Blind TuningTipps befolgen, sind wohl die gleichen, die in modernen zwei Taktern einfach mal den Bohrer in den Auspuff schiben und sich TuningChips fuer 9,95 aus EBay fuer Ihre Karre holen.

/me der sich gerade mit den Unzulaenglichkeiten von VBA plagt

 

[lars]

@AndreasMeyer:

Und die mit dem Update 7.0.3 geschlossenen Sicherheitslücken des Adobe Readers sind bei Dir immer noch offen?

Das kann ich nicht beurteilen, da ich nicht mehr weiss, welche Version das war, die nach Hause telephonierte.
Vielleicht war es auch die Online-Autou-Update-Funktion.

Abgesehen davon, habe ich je länger, je mehr das Gefühl eine Firewall am Perimeter reiche nicht aus, um ein LAN zu schützen.
Sondern mindestens zwei sind nötig.
Von Aussen nach Innen der altbekannte Paketfilter.
Von Innen nach Aussen aber hostbasierte Application-Layer-Firewalls.

Immer mehr Software baut automatisch einen Kommunikationskanal ins Internet auf.
Sei es zum Nutzen eines Benutzers oder eines Angreifers.
Ein Paketfilter kann an dieser Stelle nicht helfen, wenn die Software über einen Port
wie DNS, SMTP, HTTP etc., kommuniziert.
Daher glaube ich immer mehr, dass es nötig, dass jeder Client eine Firewall lokal betreibt, die auf Programm-Ebene
den Netzzugriff kontrolliert.

Täusche ich mich?

 

[da_andy]

ich nutze auch win xp pro auf thinkpad t42, wegen der arbeit halt, bald kommt aber höchstwahrscheinlich doch netbsd drauf, gefällt mir immer mehr als openbsd (was am anfang geplant war) naja auf jedenfall gibts ein weiteres sehr nützliches tool namens XPANTISPY...
das ist eins der besten tools, was eigentlich gegen das telefonieren von xp gibts, es gibt auch verschiedene einstellungen zwecks updates usw. wenn jemand xp im einsatz hat, ist das eigentlich ein muß...

 

[d-ra]

... Daher glaube ich immer mehr, dass es nötig, dass jeder Client eine Firewall lokal betreibt, die auf Programm-Ebene
den Netzzugriff kontrolliert.

Täusche ich mich?

Hm ... an diesen Worten ist was dran. Zuhause hatte ich nur am WLAN ne Personal-Firewall (die vom SP2). Das hat auch gereicht.
Aber in einem größeren Netz, wie Schule, Uni, Firma .... da gebe ich Dir irgendwo recht. Am besten man verwendet Windows nur dann wenn man wirklich dazu gezwungen wird.

 

[-Daemon-]

Eines vorneweg: Unser Netzwerk ist offen wie ein eingeschlagenes Fenster, sprich keine Firewall. (Wird bald anders sein)
Bevor ich FreeBSD hatte, hab ich Win 2k SP4 benutzt (ist für mich immer noch das ultimative Windows wenn's drauf ankommt). Ich hatte nie Probleme mit Viren oder Spy-/Adware. Allerdings habe ich einen guten (ist subjektiv, ich weiß...) Virenscanner (FP-Win) gehabt, der jede Woche aktualisiert wurde. Das einzige was ich an Diensten ausgeschaltet hab, war die Updateautomatik.

Auch unser Laptop mit XP SP2 hat noch nie Probleme gemacht. Der ist allerdings wirklich verrammelt.


Das extreme Gegenteil zu dieser Situation hat ein Klassenkamerad von mir geliefert. Der hatte, aus welchen Gründen auch immer, seine Firewall ausgeschaltet und hatte prompt 25 Viren auf dem System... Der Rechner war danach unbrauchbar.

Gruß,
Philipp

P.S.: Von den ganzen Tools halt ich nicht viel, lieber das System sauber und ordentlcih konfigurieren, dann braucht man solche Sachen nicht. Außerdem pfuschen die doch eh nur in der Registry rum...

 

[da_andy]

naja würde ich net so sagen, grad xpantispy verhindert so einige telefonate nach hause...

mit viren hatte ich bis jetzt auch kaum probs, halte mein system auf dem aktuellsten stand und nutze antivir-personal virenprog, firewall ist bei mir aus...habe selten eine benutzt und wenn dann nur die black ice pro, den zonealarm & co. taugen überhaupt nix...da ist man sogar mit der windoof-fw besser dran...
ansonsten soll bald wahrscheinlich eine hardware-fw mit *bsd den einzug halten, das reicht sowieso mehr als aus...

 

[hartmut]

Deshalb auch mein Tipp: Finger weg von so Zeugs. Ich hab mir damals sehr schnell einen (Hardware-) Router zugelegt womit sich eine "Personal-Firewall" erübrigt hat. Ich hatte dann keine Probleme mehr mit Schad / Werbeprogrammen. Virenscanner ist selbstredend Pflicht - ganz klar. Und am Patchday: Patches einspielen. Sofort - eine Woche später kann schon zu spät sein.

<senf>
Genau so fahr' ich auch. NB: Die Macher von dingens.org schreiben auch explizit (sinngemäß): "NAT-Router sind oft die bessere Wahl."
</senf>

HTH

 

[ww]

Hi,

da ich zwangsläufig in der Windowswelt verkehre, verstehe ich Dein Problem nicht, hatte auch selbst noch nie eine Seuche an Bord. Auf den ersten Blick möchte ich wetten, daß Du als Administrator online warst und das macht_man_nicht.

Eine Winbox sollte gepatcht sein, hinter einem (DSL-)Router stehen und nur als nichtprivilegierter User online sein. Zusätzlich ist z.B. Outpost und F-Prot sinnvoll; dann kann Dir nichts passieren.

Keine Frage, daß Win viele Eigenschaften hat, die einem als *nix-Nutzer auf den *** gehen, aber gar so schrecklich ist es auch nicht.

Meint: WW

 

[quantumleeks]

Genauso sieht es aus. Und wer von den hier anwesenden Foristen zufällig den Beruf des Mediengestalters ausübt, weiß auch, dass an Mac oder Windows kein Weg vorbeigeht. Für Anwendungen wie Advent 3B2, XPress oder InDesign CS2 wird es unter UNIX auf absehbare Zeit keine Alternativen geben. Oder hat hier schon mal einer von euch in der Praxis einen 1500 Seiten starken und kleinbedruckten Warenkatalog wie den der bekannten großen Versandhäuser unter *BSD layoutet? Kommt mir hier nicht mit LaTeX oder mit Scribus, das kaufe ich keinem ab.

 

[ww]

@quantumleeks:
Es geht ja nicht um das Thema "Kann ich Win ersetzen" und das Heiseblafasel "Nimm doch gimp statt Photoshop", sondern um das Bild vom Winrechner, der unvermeidlich nach 10min. von Würmer u.a. Geviech durchseucht ist. Und da ist meine persönliche Erfahrung mit W2K und W2K3-Servern, die 24/7 online sind, daß das kein Problem sein muß.

In diesem Zusammenhang möchte ich besonders den VPN-fähigen DSL-Router von Netgear empfehlen. Typ habe ich gerade nicht, ist aber nicht der ovale Dreck, sondern ein dunkelblaues Teil aus Metall. Sehr schön zu konfigurieren und mit guter FW-Funktionalität (u.a. default to deny, selectives Öffnen von Ports etc.).

Regards,
Wolfgang

 

[zmieff]

typisch PEBCAK.

Ich gehoere sicherlich nicht zu denen die nicht mal einen Witz auf Kosten von M$ reissen, aber wer ohne eingeschaltete Firewall mit einem frisch installierten WindowsXP ins Internet zu muessen, brauch sich nicht wundern das sich sein Rechner verschnupft. Wuerde ja auch keiner meckern, wenn seine vor vier Jahren nach Standard, installiere *BSD/Linux Kiste gehackt worden waere.

Wie M$-Firewall mag nicht der Brueller sein, insbesondere wenn man pf kennt, aber sie haelt dicht. Ab SP2 hat sich zusaetzlich einiges getan und es werden sogar Applikationen ueberprueft. Da du gemeint hast, das du das Notebook erst kuerzlich erstanden hast, gehe ich davon aus, das dein WinXP bereits ein SP2 installiert hatte. Wenn nicht, kann ich nur wieder meinen Kopf ueber IBM schuetteln. Wenn ja musst du schon vorsaetzlich die Firewall deaktiviert haben. In dem Fall ist dir ohnehin nicht zu helfen. Spaetestens dann gehoerst du zu den Leuten die russisch Roulett mit 'ner Halbautomatik spielen.

Eigentlich hatte ich mich nur gewundert, wie schnell sowas trotz aktivierter Windowsfirewall, SP2 (war natürlich schon installiert) passiert.

Außerdem ist mir das Ganze zum ersten Mal passiert. Ich war der Meinung, dass man mindestens 1 Stunde als Admin surfen bzw. die Programme installieren kann, ohne dass sofort alles nur mehr blinkt.

Aber naja, selbst schuld. Ist ja nix passiert.

Grüße

 

[zmieff]

Hi,

da ich zwangsläufig in der Windowswelt verkehre, verstehe ich Dein Problem nicht, hatte auch selbst noch nie eine Seuche an Bord. Auf den ersten Blick möchte ich wetten, daß Du als Administrator online warst und das macht_man_nicht.

Eine Winbox sollte gepatcht sein, hinter einem (DSL-)Router stehen und nur als nichtprivilegierter User online sein. Zusätzlich ist z.B. Outpost und F-Prot sinnvoll; dann kann Dir nichts passieren.

Keine Frage, daß Win viele Eigenschaften hat, die einem als *nix-Nutzer auf den *** gehen, aber gar so schrecklich ist es auch nicht.

Meint: WW

Die Winbox steht hinter nem dslrouter mit (simplem) Paketfilter, die Winfirewall ist aktiviert. Es ist mir zum erstem Mal passiert, und wird besimmt zum letzen Mal passiert sein.

und normalerweise bin ich nicht als admin unterwegs. Aber ist schon vorbei und vergessen

 

[minuseins]

Eigentlich hatte ich mich nur gewundert, wie schnell sowas trotz aktivierter Windowsfirewall, SP2 (war natürlich schon installiert) passiert.

Sollte das tatsaechlich so der Fall gewesen sein, dann war deine Firewall aus was fuer Gruenden auch immer falsch eingestellt. Mit der Default-Einstellung von MS geht das definitiv nicht. Eingehende Verbindungen sind nicht erlaubt, Ausgehende werden aufgrund Ihres Verbindungsstatus geprueft.

Ein anderer Punkt ist der IE, wenn du natuerlich auf diversen (meist) dubiosen Seiten surfst ist das eine andere Sache. Hier kann man sich natuerlich etwas einfangen, insbesondere wenn man als Admin unterwegs ist.

 

[TCM]

das mit dem taskplaner und dem prefetching-mist ist natuerlich auch wieder eine schoene obscurity. das prefetching ansich ist schon nur ein rumdoktorn an dem bloat. dazu dann die offensichtliche einstellung der programmier-affen bei m$, dass der user erstmal bloede ist und von moeglichst vielen settings moeglichst wenig zu sehen kriegen soll. mir gehen heute noch diese blasen im systray auf den sack, die einen bei jedem furz (zb link down, bei 5 vlans ist das dann lustig) die taskleiste ins gesicht druecken und um aufmerksamkeit betteln. sowas dann wegzukriegen ist dann fuer den dummen user natuerlich schon wieder zu "advanced", also heisst es bestimmt, in der registry rumzufummeln. und apropos registry, geht mir bloss weg!

windows ist ein kleinkind, was keine 2 schritte im netz laufen kann, ohne sich zu besabbern und ohne dass ein richtiges betriebssystem ihm die hand haelt und den ganzen boesen traffic wegfiltert.

<noch mehr rant, stundenlang>

so

 

[da_andy]

wo wir grad sowieso beim thema sind, sagt mal kennt einer eine nicht zusammen gefrickelten hardware (w-lan)router mit firewall auf basis von bsd/unix drauf???
ich suche sowas ganze zeit, aber die meisten hersteller machen überhaupt keine angaben, was sie einsetzten, finde das ganze echt seltsam, vorallem haben doch fast alle moderne router irgendwie sowas wie ein OS drauf...vom preis her soll das ganze net teuerer wie 200 euro sein, ich hätte zwar chance irgendwie auf einen alten rechner alá P2 400 etc. was zu bauen, aber diese dinger fressen meiner meinung bissl zu viel strom als so ein kleiner router...

 

[TCM]

willst du fertig oder selberbauen? falls letzteres, schreit das nach http://www.pcengines.ch/wrap.htm . ob du da inkl wlan unter 200,- bleibst, weiss ich nicht genau.