Sie haben nicht die Zeit um Nach­zu­schauen ob hier neue Arti­kel ver­öf­fent­licht wur­den, Sie möch­ten die im Blog ver­öf­fent­lich­ten Arti­kel nach Ihrem Erschei­nen per Mail in der Art eines News­let­ters erhal­ten. Nichts ein­fa­cher als das. Ich habe diese Funk­tion ein­ge­baut und gebe sie zur Nut­zung frei.

Regel­mä­ßig mor­gens, zwi­schen 7⁰⁰ und 9⁰⁰ Uhr wer­den die Arti­kel des letz­ten Tages an die Leser des Abon­ne­ments ver­schickt, maxi­mal eine eMail am Tag.

Wie mel­den Sie sich an? Auf der rech­ten Seite, unter­halb der SUCHE befin­det sich die Über­schrift FEED. Dort gibt es den Ein­trag “RSS per Mail”.

Sie müs­sen zum Abon­nie­ren nicht wis­sen, was ein RSS-Feed ist. Wenn Sie es wis­sen wol­len, dann fin­den Sie bei Ellen von elmastudio.de einen kom­pe­ten­ten Arti­kel zum Thema.

Kli­cken Sie bitte auf “RSS per Mail”. Danach öffnet sich das Fens­ter von Feed­bur­ner, das ist der Dienst, den ich nutze. Dort geben Sie bitte Ihre eMail-Adresse und das Wort in der Sicher­heits­ab­frage, hier “bezin”, ein. Bestä­ti­gen Sie Ihre Anmel­dung mit “Anfrage wegen E-Mail-Abonnement abschließen”.

Da in Deutsch­land eine Dou­ble opt-in, also eine dop­pelte Anmel­dung, vor­ge­schrie­ben ist, erhal­ten Sie zeit­nah an die ange­ge­bene eMail-Adresse eine Bestä­ti­gungs­mail. Die Sie durch Klick auf einen ent­hal­te­nen Link bestä­ti­gen müs­sen. Nur dann bekom­men Sie die Arti­kel in Form eines News­let­ters regel­mä­ßig. So ver­hin­dere ich wei­test­ge­hend den Miss­brauch bzw. unge­wollte Anmeldungen.

Durch Klick auf den “Bestä­ti­gungs­link” akti­vie­ren Sie Ihr Abon­ne­ment. Eine eMail könnte wie auf dem nächs­ten Bild dar­ge­stellt aus­se­hen. Es kann sich aber auch noch etwas am Lay­out ändern.

Möch­ten Sie den News­let­ter nicht mehr auto­ma­tisch per eMail erhal­ten, dann rol­len Sie bitte im letz­ten News­let­ters bis an das untere Ende und kli­cken auf den hier rot umran­de­ten Link “unsub­scribe now”, was auf Deutsch als “Abbe­stel­len” ver­stan­den wer­den kann.

Das ist dann zwar schade, aber Lese­ge­wohn­hei­ten ändern sich.

Sie brau­chen keine Beden­ken haben, dass ich Ihre eMail­adresse zu ande­ren Zwe­cken als zum Ver­schi­cken eines News­let­ters benutze!

Nach dem Abbe­stel­len Ihres eMail Abon­ne­ments wird Ihre eMail Adresse auto­ma­tisch gelöscht.

Viel Spaß beim Lesen mei­ner Blo­g­ar­ti­kel als News­let­ter per eMail.

Sie haben einen eige­nen Blog und möch­ten die Funk­tio­na­li­tät nut­zen, kein Pro­blem. Bei Perun fin­den Sie unter “E-Mail-Newsletter via Feed­bur­ner” die Vorgehensweise.

Sie möch­ten den Text mei­ner Bestä­ti­gungs­mail haben. Hier ist er, Sie kön­nen ihn kopie­ren, bei Benut­zung wäre ein kur­zer Kom­men­tar hier im Blog nett.

Guten Tag und herz­lich willkommen,

Sie haben soeben den News­let­ter von “kuettner.it — Trai­ning & Bera­tung” abonniert.

Bitte kli­cken Sie auf den fol­gen­den Link, um Ihre eMail Adresse zu bestä­ti­gen und das Abon­ne­ment zu aktivieren:

${con­firm­link}

Kon­trol­lie­ren Sie bitte zunächst, ob alle Zei­chen der obi­gen Zeile in dem Link ent­hal­ten sind. Falls ein Zei­len­um­bruch ent­hal­ten ist, kann der Link unter­bro­chen sein. Kli­cken Sie dann auf den Link und ergän­zen Sie im Brow­ser in der URL-Adresse die rest­li­chen Zei­chen des Links.

Hin­weise: In den meis­ten eMail-Programmen erscheint die­ser Link blau, so dass Sie die­sen ankli­cken kön­nen. Wenn dies nicht funk­tio­niert, kopie­ren Sie bitte die kom­plette Adresse in die obere Zeile des Browser-Fensters. Wenn Sie Ihren Zugang nicht inner­halb einer Woche bestä­ti­gen, wird die­ser wie­der gelöscht. Sie müs­sen sich dann neu registrieren.

Sollte die Anmel­dung nicht von Ihnen stam­men, kön­nen Sie diese eMail ignorieren.

Bei Pro­ble­men wen­den Sie sich bitte an die auf der Web­seite unter Impres­sum hin­ter­legte eMailadresse.

Vie­len Dank,
  Clau­dius H. Küttner

 

Viel Erfolg beim Auf­bau Ihres Newsletters.

• Inter­es­san­ter Ansatz um Umlaute in deut­schen WP Instal­la­tio­nen ohne Plu­gin kor­rekt umzu­set­zen. Älter aber .. http://bit.ly/hnpbVU ->
• Find ich gut! RT: @fctberlin: RT @imgriff: Pro­tect Your Vision: Gegen gereizte Augen am Bild­schirm http://is.gd/nwuGkZ ->
• Frühling/Sommer Gar­den­Flowers Theme für Word­Press 3.0 — http://bit.ly/hSh2yH via @blogginginside ->
• Page­rank Tools für Word­Press — http://bit.ly/hiX9c5 via @blogginginside ->
• FbVi­ral­like 0.1b | WpCode http://t.co/srnYPFY via @wpcode ->

Afsar Amiri schrieb als Kom­men­tar zu  “Win­dows Live Teil 2 — Bil­der­ga­le­rie anle­gen und ohne Login frei­ge­ben”, dass er Pro­bleme hätte mit dem neuen Hot­mail meh­rere (viele) Bil­der an Freunde und Bekannte zu verschicken.

Ich habe mir Hot­mail ange­schaut und zeige wie Sie meh­rere (viele) Bil­der mit Hilfe von Sky­Drive frei geben können.

Erstel­len Sie mit Hot­mail eine neue Mail. Kli­cken Sie dann auf “Anla­gen” und wäh­len Sie die Bil­der, die Sie verschicken/frei geben wol­len aus. Kli­cken Sie danach auf “Öffnen”. Mar­kie­ren Sie meh­rere Bil­der mit Hilfe der <STRG> Taste.

Die Bil­der benö­ti­gen je nach Online Ver­bin­dung eine gewisse Zeit um hoch­ge­la­den zu wer­den. Da Sie eine Bil­der­ga­le­rie erzeu­gen wol­len, kli­cken Sie auf “In ein Album ändern”.

Das Online­al­bum wird in Sky­Drive gespei­chert und stan­dard­mä­ßig für 90 Tage online gehal­ten. Das kön­nen Sie jedoch ändern, kli­cken Sie auf “Ablauf­da­tum ändern”

Im nächs­ten Dia­log­fens­ter kön­nen Sie das Ablauf­da­tum ändern, die Foto­größe ein­stel­len und dem Emp­fän­ger der Mail das Hin­zu­fü­gen, Bear­bei­ten oder Löschen von Bil­dern im Album erlauben.

ACH­TUNG! Um Ände­run­gen vor­neh­men zu kön­nen, muss die Per­son eine Live-ID besit­zen und ange­mel­det sein.

Ich habe die Mail ver­schickt, Nach­fol­gend ist die Mail dar­ge­stellt. Gut zu erken­nen sind die Links für “DIA­SHOW ANZEI­GEN” und “ALLE HERUNTERLADEN”.

So kön­nen Sie Ihre Bil­der mit Freun­den und Fami­li­en­an­ge­hö­ri­gen tei­len. Damit sie die Bil­der her­un­ter­la­den kön­nen, müs­sen sie eine Live-ID besit­zen und ange­mel­det sein. Ein anony­mer Besu­cher kann sich die Bil­der nur anschauen.

ACH­TUNG! Die Bil­der wer­den irgendwo in der Cloud gespei­chert, Mit Kennt­nis der Adresse kann jede Per­son die Bil­der anschauen! Wol­len Sie das nicht, dann schauen Sie sich bitte “Win­dows Live Teil 4 – Dateien hoch­la­den und frei­ge­ben” an.

Viel Erfolg beim Bil­der Austauschen.

• RT @thsch WordPress-Datenschutz-Plugins für Face­books Like-Button und Kom­men­tare | SCHWENKE & DRAM.. http://bit.ly/ewgu1B ->
• Kos­ten­lo­ses App­le­ZoomEx­ten­ded Theme für Word­Press 3.0 — http://t.co/JsDJ8gf via @blogginginside ->
• Kos­ten­los — Word­Press 3.0 Bam­boo Theme — http://t.co/mZMAfCC via @blogginginside ->
• RT: @fctberlin: Weit hin­ten, hin­ter den Wort­ber­gen, fern der Laen­der Voka­lien und Kon­so­nan­tien leben die #Blind­texte. http://dld.bz/JGpr ->
• Neuer Blog-Eintrag: Win­dows Live Essen­ti­als Teil 6 – Ein­rich­ten / Ver­wal­ten der Family http://bit.ly/hjNERz ->
• RT @thsch Rechts­wid­rig: WordPress.com-Stats Plu­gin als Tro­ja­ner für Wer­be­tra­cker | SCHWENKE & DRAM.. http://bit.ly/fL9ruV ->
• Neuer Blog-Eintrag: Der Wurm “Sys­tem Tool 2011” Teil 3 – Aus dem Admi­nis­tra­to­ren http://bit.ly/gCADSF ->
• Neuer Blog-Eintrag: Meine Tweets in der Woche vom 31.01.2011 bis 06.02.2011 http://bit.ly/gjxHOU ->

Nach­dem ich im letz­ten Post zu den Micro­soft Live Essen­ti­als – Family Safety beschrieb, wie die Kin­der­schutz­soft­ware instal­liert wird, komme ich nun zum Ein­rich­ten bzw. Ver­wal­ten der Kinderschutzsoftware.

Als diese Reihe ent­stand gab es zwar schon eine deutsch­spra­chige Beta­ver­sion der Win­dows Live Essen­ti­als 2011, jedoch benutzte ich diese noch nicht. Mitt­ler­weile ist die Finale Ver­sion der Win­dows Live Essen­ti­als 2011 ver­öf­fent­licht und nur noch für Benut­zer von Win­dows Vista bzw. Sie­ben verwendbar.

Für Benut­zer von Win­dows XP inso­fern ein Pro­blem, da sie die letzte für XP geeig­nete Ver­sion fin­den müs­sen. Hier sind die Links zu bei­den Versionen:

• Win­dows Live Essen­ti­als für Win­dows XP und
• Win­dows Live Essen­ti­als 2011 für Vista und Win­dows Sie­ben.

Für den wei­te­ren Ablauf des Ver­wal­tens der Family Safety gehe ich davon aus, dass Sie das Pro­gramm instal­liert haben und im Besitz einer Win­dows Live ID sind. Wenn nicht, dann legen Sie sich bitte eine an, siehe “Win­dows Live Teil 1 — Anmel­den”, sie wird zwin­gend benötigt.

Ver­wal­ten der Family Safety

Star­ten Sie Ihr Sys­tem in Ihrem admi­nis­tra­ti­ven Account und legen Sie für jedes Kind einen eige­nen Benut­zer Account an. Haben Sie meh­rere Kin­der, so soll­ten Sie auch Pass­worte ver­ge­ben. Ich habe einen pass­wort­ge­schütz­ten Zugang für die Eltern und einen für das Kind (ohne Pass­word) eingerichtet.

Das Kind hat einen nor­ma­len Benut­zer Account, kei­nen Admi­nis­tra­to­ren Account. Das ist zwin­gend not­wen­dig, sonst kann Ihr Kind die Ein­stel­lun­gen der Kin­der­schutz­soft­ware Family Safety umgehen!

Log­gen Sie sich nun in Ihren Account, hier “Eltern” genannt, ein. Suchen Sie im Start­menü – alle Pro­gramme – Win­dows Live den Menüein­trag “Win­dows Live Family Safety” und füh­ren Sie das Pro­gramm aus.

Hier­nach wer­den Sie auf­ge­for­dert die Win­dows Live ID der Eltern und das Pass­wort ein­zu­ge­ben, dann wird Ihnen ein Dia­log zur Ein­rich­tung der Über­wa­chung des Fami­lien Com­pu­ters ange­zeigt. Sie müs­sen min­des­tens ein Konto über­wa­chen lassen.

Sollte Ihr Mann oder Ihre Frau zu exzes­si­vem Shop­pen nei­gen, so könn­ten Sie die fre­quen­tier­ten Shop­ping­por­tale ein­fach auf die schwarze Liste set­zen, zeige ich spä­ter noch detailliert.

Gut zu erken­nen, das Win­dows Konto der Eltern ist mit einem Kenn– bzw. Pass­wort geschützt, das Admi­nis­tra­to­ren­konto soll­ten Sie auch mit einem Pass­wort schüt­zen. Die­ses ist bei vie­len Instal­la­tio­nen stan­dard­mä­ßig nicht gesetzt, so auch hier auf dem Rech­ner “Fami­li­en­Com­pu­ter”. Hier habe ich jetzt nur das Konto des Kin­des in die Über­wa­chung genom­men. Um die Ein­stel­lun­gen für das Konto vor­zu­neh­men, kli­cken Sie bitte auf Weiter.

Ein­zig das Konto für das Kind wurde zur Über­wa­chung aus­ge­wählt, das Win­dows Konto Kind wird mit dem Family Safety Konto Kind ver­knüpft. Hier soll­ten Sie ent­spre­chende Zuord­nun­gen tref­fen. Wenn Sie Nach­le­sen wol­len, so kli­cken Sie auf den Link “Was muss ich über die Zuord­nung von Kon­ten wis­sen?” Sonst kli­cken Sie auf Speichern.

Hier meckert Win­dows live Family Safety, dass für des lokale Admin Konto kein Pass­wort ver­ge­ben wurde. Durch Klick auf “Kenn­wör­ter hin­zu­fü­gen” kön­nen und soll­ten Sie das Ändern. Kli­cken Sie danach auf Weiter.

Nun sind die Ein­stel­lun­gen auf dem loka­len Rech­ner getan. Alle wei­tern Ein­stel­lun­gen wer­den mit Hilfe Ihrer Win­dows Live ID über das Inter­net mit irgend­ei­nem Rech­ner durch­ge­führt. Mei­net­we­gen auch aus einem Inter­net Café in Tim­buktu. Dann soll­ten Sie sich jedoch die Adresse http://familysafety.live.com mer­ken. Kli­cken Sie bitte auf den Link und Sie wer­den auf die Family Safety Seite gelei­tet, log­gen Sie sich ein und ver­wal­ten Sie die Einstellungen.

Möch­ten Sie die Ein­stel­lun­gen ver­wal­ten, so kli­cken Sie auf “Edit Set­tings”. Möch­ten Sie die Akti­vi­tä­ten des über­wach­ten Kon­to­in­ha­bers kon­trol­lie­ren, so kli­cken Sie auf “View activity report”. Ich habe “Edit Set­tings” gewählt.

Ein­stel­lun­gen für ein jün­ge­res Kind

Sie haben ein klei­ne­res Kind, bspw. ein Schul­kind, das nur von Ihnen zuge­las­sene Web­sei­ten besu­chen darf. Hier kommt eine soge­nannte Whi­te­list zum Ein­satz. alle Web­sei­ten, die auf die­ser Whi­te­list ste­hen, dür­fen ange­surft wer­den. Alle die nicht auf der Liste ste­hen, sind ver­bo­ten, kön­nen jedoch bei Bedarf frei geschal­ten wer­den. Zeige ich. Kli­cken Sie auf “Web filtering”.

Stan­dard­mä­ßig steht die Ein­stel­lung für den Web­fil­ter auf “Online com­mu­ni­ca­tion (basic)”, das wäre eine geeig­nete Ein­stel­lung für ein grö­ße­res Kind. Die­ses Kind darf alle Social Media Sei­ten ansur­fen, Sei­ten mit Adult Inhal­ten wer­den blockiert.

Sie wäh­len, für das jün­gere Kind, “Allow list only”. Das ist die Whi­te­list. Kli­cken Sie nach dem Umstel­len des Web­fil­ters auf “Save” und dann im Menü auf “Web fil­te­ring list”.

Ich habe in das Ein­ga­be­feld wdrmaus.de ein­ge­ge­ben, das ist die Seite der Sen­dung mit der Maus, danach habe ich auf “Allow” (Erlau­ben) geklickt. Als nächs­ter Ein­trag steht www.kika.de im Ein­ga­be­feld, auch hier muss nun “Allow” ange­klickt wer­den. Sie kön­nen noch aus­wäh­len ob die Web­seite nur für diese Per­son, also das Kind (For this per­son only) oder für Alle erlaubt wer­den soll. Bei einer alters­ge­rech­ten Whi­te­list würde ich für jedes Kind eigene Ein­stel­lun­gen fest­le­gen. Anschlie­ßend kli­cken Sie bitte auf “Save”.

Damit sind die Ein­stel­lun­gen für ein klei­ne­res Kind abge­schlos­sen. Natür­lich wer­den Sie ggf. wei­tere Web­sei­ten freischalten.

Das nächste Bild zeigt die Seite der Sen­dung mit der Maus im Account des Kin­des, die Seite wird kor­rekt dargestellt.

Danach habe ich http://google.de auf­ge­ru­fen. Diese Seite wurde noch nicht erlaubt, also wird sie blo­ckiert. Hier kann das Kind eine elek­tro­ni­sche Anfrage an die Eltern stel­len und um Frei­gabe bit­ten, oder die Eltern per­sön­lich fra­gen, die dann die betref­fende Seite frei schalten.

Die Anfrage wurde abge­schickt. Hier gibt es auch einen Link auf deutsch­spra­chige kind­ge­rechte Web­sei­ten. Bitte schauen Sie sich die Sei­ten trotz­dem genau an.

Log­gen Sie sich in auf der Family Safety Seite ein, so sehen Sie unter “Request” die eben ver­sen­dete Anfrage Ihres Kin­des und kön­nen ent­schei­den ob Sie sie mit “Approve this account only” für Ihr Kind frei schal­ten. Mit “Approve for all accounts” schal­ten Sie die Seite für alle Kin­der frei.

Auf dem nächs­ten Bild sehen Sie Ihren Hot­mail Post­ein­gang, auch dort hin wird die Anfrage gesen­det. Nach­dem Sie die Mail geöff­net haben, kön­nen Sie durch Klick auf “Alle zulas­sen” die Seite bestätigen.

Hat Ihr Kind bei der blo­ckier­ten Web­seite auf “Per­sön­lich fra­gen” geklickt, so bleibt die Seite auch wei­ter­hin gesperrt, aber es öffnet sich ein Dia­log­fens­ter. Dort kön­nen die Eltern dann Ihr Pass­wort ein­ge­ben und die Seite geneh­mi­gen. Wie­der kann nur der Account des Kin­des oder alle gewählt werden.

So kön­nen Sie pro­blem­los den Web­fil­ter nach und nach an die wach­sen­den Bedürf­nisse Ihres jün­ge­ren Kin­des anpassen.

Für etwas ältere Kin­der könnte man zwar prin­zi­pi­ell auch noch die zwei wei­te­ren Ein­stel­lun­gen wählen:

• Child-friendly, erlaubt “kin­der­freund­li­che Sei­ten” und blo­ckiert Adult-Inhalte,
• Gene­ral inte­rest, erlaubt Web­sei­ten die “von all­ge­mei­nem Inter­esse” sind und blo­ckiert Adult-Inhalte.

Ich halte nicht von die­sen Ein­stel­lun­gen, denn was bedeu­tet kin­der­freund­lich oder all­ge­mei­nes Inter­esse. Diese Ein­stell­mög­lich­kei­ten sind mir zu schwamming!

Ein­stel­lun­gen für ein älte­res Kind

Ein älte­res Kind darf nahezu alle Sei­ten im Netz ansur­fen. “Schwein­kram­sei­ten” wer­den auto­ma­tisch blo­ckiert. Social Media wer­den zuge­las­sen. Als Bei­spiel habe ich hier nun einen Ein­trag in der Black­list (Blo­cked web­sei­tes) kon­fi­gu­riert. Die Seite von http://zalando.de wird hier exem­pla­risch blockiert.

Im Menü “Web fil­te­ring” stel­len Sie den Schie­be­reg­ler bitte auf “Online com­mu­ni­ca­ti­ons (basic)”. Spei­chern die Ände­run­gen und wäh­len dann den Menüein­trag “Web fil­te­ring list”. Dort füge ich zalando.de ein und kli­cke auf “Block”.

Der Ver­such auf das Schuhe-Shopping-Portal zuzu­grei­fen schei­tert. Perfekt!

Natür­lich kann auch hier die Frei­schal­tung bean­tragt wer­den, muss aber nicht geneh­migt werden.

Ein shop­ping­süch­ti­ger Erwachsener

Im Menü “Web fil­te­ring” stel­len Sie den Schie­be­reg­ler bitte auf “Warn on adult)”. Spei­chern die Ände­run­gen und wäh­len dann den Menüein­trag “Web fil­te­ring list”. Dort tra­gen Sie die zu blo­ckie­ren­den Shop­ping­sei­ten  wie:

• zalando.de,
• ebay.de,
• guut.de,
• gourmondo.de oder
• amazon.de

ein und kli­cken dann auf “Block”.

Seine Bit­ten kön­nen Sie ja ignorieren.

Viel Erfolg beim Schutz Ihrer Kinder.

Obwohl ein mit dem “Sys­tem Tool 2011” ver­seuch­tes Admi­nis­tra­to­ren­kon­tos nicht vor­kom­men dürfte, denn wer ist schon so unver­nünf­tig und surft mit her­un­ter gelas­se­ner Hose, werde ich regel­mä­ßig eines ande­ren belehrt.

Es ist ein­fach bequem und es kann ja nichts pas­sie­ren, denn man hat ja einen Viren­wäch­ter. Meist ist einer der kos­ten­lo­sen Gesel­len oder einer der Marke “lobe mich, ich habe einen unge­fähr­li­chen Virus gefun­den” instal­liert. Man wähnt sich sicher

Sie fin­den in die­sem Post ein wenig “Grund­la­gen­for­schung” und die Vor­ge­hens­weise um den Schäd­ling aus dem Admi­nis­tra­to­ren­konto zu ent­fer­nen. Ich habe das Ver-Wurmen mehr­mals an einen vir­tu­el­len Sys­tem aus­pro­biert. Die Ver­sion 2011 sollte wie spä­ter beschrie­ben ent­fern­bar sein.

Fol­gende Hilfs­mit­tel setze ich ein, wobei die aus­führ­ba­ren Dateien zumin­dest des Sys­In­ter­nals Pro­cess Explo­rers vor­sorg­lich in “iexplore.exe” umbe­nannt wur­den. Nähere Infor­ma­tio­nen fin­den Sie in Der Wurm “Sys­tem Tool 2011” Teil 2 – Aus einem Benut­zer Account ent­fer­nen:

1. Den Sys­In­ter­nals Pro­cess Explo­rer,
2. Sys­In­ter­nals AutoR­uns,
3. Sys­In­ter­nals TCPIP View und den
4. Gridin­Soft Tro­jan Kil­ler (ent­täuschte ).

Infi­zie­ren des Opfersystems

Ich ver­wende ein vir­tu­el­les Win­dows XP das mit dem “Sys­tem Tool 2011” Wurm “geimpft” wird. Benutzt wird der Account “Sys­tem Tool 2011”, er ist Mit­glied in der Gruppe Admi­nis­tra­to­ren. Der Com­pu­ter hat den Namen “OpferPC” und gehört zur Arbeits­gruppe “Opfer”.

Nach dem Start der Virus­da­tei gene­riert diese eine neue Kopie von sich selbst mit einem zufäl­li­gen Namen, hier “b0eEl01804.exe” und legt diese im Unter­ver­zeich­nis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” ab und löscht sich nach dem Start der neuen Datei.  Sowohl der Name, als auch der Pfad ist zufäl­lig und scheint nicht wie­der­holt vor­zu­kom­men. Die­ses Ver­hal­ten zeigt der Wurm “Sys­tem Tool 2011” auch in einen nor­ma­len Benut­zer Account.

Dar­über hin­aus erzeugt der Wurm eine wei­tere Datei mit zufäl­li­gem Namen, hier  “w32topll.exe” im Ver­zeich­nis “C:\Windows\system32\”. Diese Datei hat die Attri­bute “Schreib­ge­schützt” und “Ver­steckt”. Die­ses Ver­hal­ten zeigt der Wurm nur in einem Administratoren-Konto. Im wei­te­ren werde ich die Datei Tro­ja­ner nennen.

Erstaun­li­cher­weise erzeugt der Tro­ja­ner, hier “w32topll.exe”, eine recht hohe Sys­tem­last und behält diese auch über einen län­ge­ren Zeit­raum hin­weg bei. Hier kön­nen Sie ggf. auf Ihrem Sys­tem ein­grei­fen, wenn ein Pro­gramm aus­ge­führt wird, das Sie nicht gestar­tet haben und das eine rela­tiv hohe Sys­tem­last erzeugt.

Wei­tere zufäl­lige Pro­gramm­na­men wur­den wie folgt gewählt, der Spei­cher­ort war immer einheitlich:

• w32topll.exe
• netshelk.exe
• normnfdp.exe
• tslabels3.exe
• msfeedsc.exe

Das “Sys­tem Tools 2011”, hier “b0eEl01804.exe”, nahm wäh­rend des Infek­ti­ons­pro­zes­ses Kon­takt mit meh­re­ren Ser­vern auf. Bspw. mit der IP Adresse 91.193.194.40. Der Ser­ver befin­det sich laut Scan in der Nähe der Hafen­stadt Odessa. Das bedeu­tet aber nicht, dass die ehren­wer­ten Men­schen, die hin­ter “Sys­tem Tool 2011” ste­hen nun aus der Ukraine stam­men müs­sen, son­dern nur, dass dort ein von Ihnen ver­wen­de­ter Ser­ver steht.

Loka­li­sie­ren kön­nen Sie die Ser­ver über die Web­seite IPInfoDB.com. Mit fol­gen­den drei Ser­ver wurde Kon­takt aufgenommen:

• 91.193.194.40 “ohne Namen” in der Nähe von Odessa,
• 85.17.45.66, “hosted-by.leaseweb.com” in der Nähe von Ams­ter­dam und
• 95.211.8.196, “hosted-by.leaseweb.com” eben­falls nahe Amsterdam.

Ein Scan mit den Micro­soft Secu­rity Essen­ti­als v2.x ergibt für den Tro­ja­ner fol­gende Infor­ma­tion (Link):

TrojanDownloader:Win32/Ponmocup.A ist ein Tro­ja­ner, der heim­lich Schad­code aus dem Inter­net nach­lädt und ggf. wei­tere Schad­soft­ware instal­liert. Der Tro­ja­ner erzeugt/ändert ggf. die fol­gen­den Dateien auf einem infi­zier­ten System:

• %windir%\temp\scse.tmp
• %windir%\temp\scsf.tmp
• c:\documents and settings\administratorxplore.exe
• ver­än­dert die Datei <sys­tem folder>\drivers\etc\hosts¹

¹ <sys­tem fol­der> ver­weist in einem Win­dows 2000/NT auf den Pfad “C:\Winnt\System32” und auf einem Win­dows XP/Vista/Sieben Rech­ner auf den Pfad “C:\Windows\System32”.

Auf mei­nem Sys­tem hat der “Sys­tem Tool 2011” bzw. der Tro­ja­ner nur in der host-Datei die rot umran­de­ten Ein­träge vor­ge­nom­men. Er biegt damit bei Auf­ruf der Rech­ne­r­adres­sen die­sen Auf­ruf auf das lokale Sys­tem um. Man sollte die hin­zu­ge­füg­ten Ein­träge löschen. Der Ein­trag von local­host wird stan­dard­mä­ßig von Win­dows bei der Instal­la­tion erzeugt und sollte nicht gelöscht werden.

Die o.g. 3 Dateien (scse.tmp, scsf.tmp und administratorxplore.exe) habe ich nicht gefunden.

Nach­dem sich der Wurm auf dem Sys­tem instal­liert hat, zeigt er Viren-Meldungen und unter­bin­det die Aus­füh­rung nahezu aller Pro­gramme außer dem Datei– und dem Internet-Explorer.

Dies­mal zeigte sich eine neue Updatemel­dung, die jedoch genauso nur zur Kauf­seite für die ver­meint­li­che “Antivieren-Software” führt.

Nach dem Neu­start des Sys­tems, das soll­ten Sie bei einem infi­zier­ten Sys­tem mög­lichst nicht durch­füh­ren, ruft der Tro­ja­ner, hier “w32topll.exe”, das Sys­tem­pro­gramm “ipconfig.exe” auf um ver­mut­lich die Netz­werk­ver­bin­dungs­da­ten abzufragen.

Nach dem Abschie­ßen der “Sys­tem Tool 2011” fin­det Sys­In­ter­nals AutoR­uns die Star­tein­träge der “Sys­tem Tool 2011” und des Tro­ja­ners. Hier brau­che Sie nur die Häk­chen aus der Box, durch ankli­cken, ent­fer­nen. Nun wer­den diese Pro­gramme beim Start des Sys­tems nicht mehr aus­ge­führt und kön­nen gelöscht werden.

Der Gridin­Soft Tro­jan Kil­ler ent­täuschte voll­ends, er fand zwar das im Ver­zeich­nis “C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\b0eEl01804\” befind­li­che “Sys­tem Tool 2011” und seine Ver­knüp­fung auf dem Desk­top und ein paar Registry-Einträge zur Pro­grammd­e­in­stal­la­tion, jedoch nicht die Start-Einträge die­ser Datei in der Regis­try. Bei der suche nach dem Tro­ja­ner ver­sagte das Tool kom­plett, denn es fand dien ver­steckte Datei “w32topll.exe” nicht und kei­nen Ein­trag in der Regis­try. Schade!

Beim Stö­bern fand ich sogar einen Ein­trag zur Dein­stal­la­tion von “Sys­tem Tool 2011” in der Sys­tem­steue­rung, lei­der lässt sich das Pro­gramm so nicht entfernen.

Den Wurm aus dem Sys­tem entfernen

Ich über­nehme kei­ner­lei Haf­tung wenn bei Ihnen aus mir unbe­kann­ten Grün­den die Des­in­fek­tion nicht funk­tio­niert. Der sicherste Weg um die Infek­tion eines Sys­tems zu besei­ti­gen ist immer die Neu­in­stal­la­tion des Sys­tems, aber nicht unbe­dingt zwin­gend notwendig.

Nach dem Erken­nen der Infek­tion beach­ten Sie bitte fol­gende Maßregeln:

1. Kei­ner­lei Update der ver­meint­li­chen Anti­vi­ren Soft­ware zulassen!
2. LAN-Kabel raus­zie­hen oder WLAN abschalten!
3. Rech­ner sofort ausschalten!
4. Rech­ner bis zur Viren-Bekämpfung nicht mehr Einschalten!
5. Diese Maß­nah­men allen Fami­li­en­mit­glie­dern kund tun!

Zum Ent­fer­nen gehen Sie wie folgt vor:

1. Pro­zess der “Sys­tem Tool 2011”, hier “b0eEl01804.exe”, mit dem Sys­tem Explo­rer von Sys­In­ter­nals abschie­ßen, vor­her “procexp.exe” in “iexplore.exe” umbenennen.
2. Mit Sys­In­ter­nals AutoR­uns den Start der bei­den Viren­pro­gramme, hier “b0eEl01804.exe” und “w32topll.exe” unterbinden.
3. Kon­trol­lie­ren ob an fol­gen­den Orten Spu­ren hin­ter­las­sen wur­den und diese ggf. beseitigen

   %windir%\temp\scse.tmp
   %windir%\temp\scsf.tmp
   c:\documents and settings\administratorxplore.exe
   

4. Die Datei “hosts” im Ver­zeich­nis “<sys­tem folder>\drivers\etc\” putzen.
5. Sys­tem neu star­ten und die Dateien des “Sys­tem Tool 2011” und den Tro­ja­ner hän­disch löschen.

Nun wäre ein guter Moment, um eine aktu­elle und vor allem echte Anti-Viren-Software zu instal­lie­ren. Den­ken Sie bitte eben­falls dar­über nach, ob Sie auch zukünf­tig als Admi­nis­tra­tor im Netz sur­fen wol­len? Nut­zen Sie diese Change.

Viel Erfolg bei der Würmer-Jagd.

• Mal rein­schauen RT: @iheartwordpress: top 5 pla­ces to learn word­press http://jet.li/g6ILrU #word­press ->
• Teil 2 von 3 zum Performance-Tuning von Word­Press http://bit.ly/dORvMa ->
• Gut ver­ständ­lich von netheweb.de “Eine Lan­ding­page für eure Fan­page” http://bit.ly/gNsjw4 #Face­Book ->
• #Word­press #BackUp in der #Cloud — Updraft – Kom­for­ta­ble Back­ups für Word­Press 3 http://bit.ly/eaxqzm ->
• Mit dem “Micro­soft Mathematics-Add-In für Word und One­Note” For­meln in Word ein­fa­cher ein­ge­ben http://bit.ly/eov0WO ->
• Neuer Blog-Eintrag: Meine Tweets in der Woche vom 24.01.2011 bis 30.01.2011 http://bit.ly/glhwVt ->