PC-Experience » Software Foren: » Sonstige Software und Treiber: » Google-Problem oder Sicherheits-Problem?

Google-Problem oder Sicherheits-Problem?

moomba
Hallo,

Seit kurzem ist es mir nicht mehr möglich spez. auf Google einen ordentlichen Suchlauf durchzuführen. Ich werde mit einigen Werbeseiten zugemüllt (eigentlich sind es immer nur 3 dieselben: eine Art Hackerseite, eine SMS-Seite und eine mit einer Einstein-karrikatur zum Testen des IQs - Gewinnspiel). Ich könnte die 3 URLS hier posten, aber das unterlasse ich vorerst mal.
Die Dinger sind extrem hartnäckig.
Beispiel: Ich gehe auf Google (bis jetzt nur da aufgefallen) und suche z.B. nach "directx" - Option zeige Seiten auf deutsch.
Nehmen wir mal die ersten 10 Ergebnisse; Da sind bestimmt ein paar dabei aus einem Beitrag von chip.de. Die kenn ich also angeklickt. So, ab da passieren mehrere mögliche Vorgänge. Entweder ich lande auf dem chip-Beitrag, oder ich sehe plözlich eine neue Goggle Ergebnisliste (mir unverständlich) oder - in den meisten Fällen - schnappt die erste der drei Spam/Müll/Werbe wasauchimmer -Seite auf, gleich danach die nächste... traurigsein
Ich kann im System nix finden, ist das nun ein Wurm, ein Trojaner, ein Virus...hab ich was vergessen?.
Ich habe den avira AntiVir - kein Ergebnis
Ich habe AdAware1.06, YahooAntiSpy, NetcraftToolbar, CWShredder, Hijackthis, diverse Onlinescanner gegen Viren, Malware und Co...
keiner erkennt auch nur irgendwas. Ich hab VbSkript abgeschaltet, keine ActiveX zugelassen, Cookies, Verläufe etc. werden von mir nach jedem Webbesuch gelöscht.
Ich habe unzahlige Scans durchgeführt - online wie offline, abgesicherter Modus oder net - NIX - die Mistdinger sind immer präsent! *heul*
Nun frage ich mich : wo liegt das Problem? An einem zweiten Rechner mit fast der gleichen Konfig passiert das nämlich net. Also muß da was auf meinem PC sein.
Könnte mir da einer mal helfen - das wär echt Spitze! Augenzwinkern

cu
moomba
wolfie
Hallo moomba

Die geschilderten Symptome deuten klar auf einen Browser Hijacker hin.

Führe mal die Schritte aus unserem Anti-Hijacker Workshop aus.
Einiges hast du zwar bereits getätigt, dein VirenScanner scheint den Übeltäter aber nicht zu finden.
Im Artikel findest du weiterführende Links, die du auch durchgehen solltest.


gruss wolfie
moomba
Hi Wolfie,

Danke für die schnelle Antwort. oki
Also ich hab jetzt wirklich alles mögliche ausprobiert. Spybot S&D läuft auch noch zusätzlich auf dem System. Ich hab HijackThis ausgeführt und das File auswerten lassen. Außer zwei Einträgen is nicht viel dabei herausgekommen und selbst die sind mit Vorsicht zu behandeln - ich will mir net das System abmurksen. Fazit alle aktiven Scanner tun so als wär nichts - und trotzdem ich krieg die Seiten immer und immer wieder angezeigt und es kommen sogar noch mehr dazu. Je länger man die eine oder andere Site offen hat, desto mehr schnappen dann auf.

Aber ein typisches Hijackerverhalten kann ich net genau bestimmmen weil: meine Startseite wird nicht verändert; Es passiert scheints nur auf Google; Die Abstände sind unregelmäßig.
Eines ist eindeutig - sie benutzen alle Active Scripting. Ich hab im IE unter den Extras/Sicherheit und Datenschutz mal alles auf die höchsten Einstellungen gesetzt. Dann hatte ich Ruhe. Also setzte ich erst mal nur die Option für Active Scripting auf Eingabeforderung - und schon ging es wieder los. Das gibts doch net, oder? traurigsein

Ich hab die aufgehenden Sites in die Liste der eingeschränkten Sites eingefügt. Das verhindert zwar vorerst die Symptome, beseitigt aber nicht das Problem...

cu
moomba
Gandalf
Lass dein System mal probehalber mit dem Online-Scanner von Microsoft checken. Ist zwar noch Beta - findet aber auch Root-Kits. Schaden kanns nicht.

Gandalf
wolfie
Poste hier bitte mal einen HijackThis Report

gruss
wolfie
moomba
Hi all,

Thx Gandalf für den Tip mit dem MS Online-Scanner, hab ihn mehrfach laufenlassen...alles bestens - zeigt er zumindest an.

Nachdem ich gestern die zweifelhaften Sites im IE hab blocken lassen, wurde die eine Hackersite zumindest mal vom Yahoo-Popupblocker erkannt und gestoppt. Das hat er vorher nämlich net gemacht - obwohl er eigentlich sollte.
Nach wie vor startete ich einen Suchlauf nach "directx" auf Google und benutzte das/die Ergebnisse die auf die chip.de-Site verweisen.
Naja - chip.de ist von Haus aus ziemlich zugespammt, vielleicht liegts ja daran??
Also, wenn alle Stricke reißen, werd ich wohl mein System über ein Image rücksetzen müssen...


cu
moomba juhu

Hier der Hijackreport von gestern:
mise
Hi,

Also in deinem Bericht sind doch noch einige Sachen vorhanden.
unter www.hijackthis.de kannst du das auswerten.

Kannst javersuchen, die Sachen on Hand zu löschen, wenn die anderen Programme die Sachen wirklich nicht finden.
wolfie
Zitat:
Original von moomba
Also, wenn alle Stricke reißen, werd ich wohl mein System über ein Image rücksetzen müssen...

Davon rate ich vorerst ab!
Wer sagt denn, dass die Malware nicht mitgesichert wurde?


So wie's gemäss HijackThis aussieht, solltest du dringend folgendes tun:

1. Lösche den als "böse" eingestuften Eintrag und den nächstfolgenden, als "unbekannt" eingestuften BHO-Eintrag.
Browser Hijacker zeigen sich oft als "Browser Helper Object (BHO)"
Das kannst du gleich mit HijackThis bewerkstelligen. Einfach markieren und deleten lassen.

2. Bring deinen Internet Explorer auf den neuesten Stand. Verwende dazu Microsoft Update.


gruss wolfie
moomba
Hallo,

Sorry, hat etwas gedauert. Wolfie ich habe Deine Ratschläge befolgt, hab mir auch die Auswertung nochmal vorher angesehen.
Die zweifelhaften Einträge existieren jetzt nicht mehr...
Der Internetexplorer gilt allerdings bei bislang erfolgreicher Verweigerung von SP2 natürlich als veraltet - Bis auf diesen Umstand sind meine Updates alle vollständig.

Bei einem weiteren Lauf wurde zb. das als evtl. böse eingestuft -

C:\WINDOWS\System32\msuni11d.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467}

Komisch - das hat etwas mit der Update-Funktion von Spybot zu tun. Löscht man das, existieren keine Downloadserveradressen mehr und die Updates gehen nicht mehr.

Der Online-Scanner von Microsoft findet nichts: alles bestens...denkste!!!
Ich landete irgendwann mal auf dem Trojanerboard und ladete mir das Tool "escan" von MWAV. Im abgesicherten Modus gestartet will es folgendes erkannt haben:
Die Objekte
"netster"
"powerstrip"
"tencent 99"
"hotbar"
alle im Dateisystem erkannt - aber wo??

er kann sie natürlich entfernen - vorrausgesetzt man kauft die Scannervollversion...

Ich hab mir daraufhin noch ein paar weitere Engines installiert.
z.B. Spyware Doctor

Der findet plötzlich alles Mögliche...er will folgendes erkannt haben:
Trojan.Glashide.B unter c:\windows\notepad.exe
und unter c:\windows\System32\dllcache\notepad.exe
und nochmal unter c:\windows\System32\notepad.exe...

Notepad? Mein Notepad soll verseucht sein?

...Selbstverständlich kann er den Virus/Trojaner etc. entfernen/reparieren...vorrausgesetzt - richtig - man kauft ihn ;-)

Es ist schon eigenartig, das alle freien Scanner egal ob gegen Viren oder gegen Malware/Spyware - offline wie online so gut wie nichts erkennen oder finden.
Nur die kommerziellen erkennen Sachen zu der es a) - wenig oder gar nichts im Internet zu finden ist und b) - Den angeblichen (Phantasie??)Schädling nicht beseitigen können - es sei denn man kauft selbstverständlich das Produkt. Ich will ja nix unterstellen aber für mich wären das keine Hilfen sondern allenfalls zweifelhafte Geschäftspraktiken.

Sollte ich dem Trojanerboard Glauben schenken muß ich bei Komprommitierung meines Systemes eine komplette Neuinstallation wagen...
Hier kämen dann meine Sicherungsimages zum Einsatz - Einige wurden ja sogar im absolut "jungfräulichen" Offlinezustand vorgenommen. Aber selbst das ist ein langer Weg...

cu
moomba
wolfie
Hallo moomba

Aber immerhin wissen wir jetzt, wie es um die Malware auf deinem System steht.
Die Eingrenzung des Fehlers ist schon die halbe Miete!

Vorschlag:
Installiere dir eine Trial-Version von Kaspersky Antivirus .
Entferne vorher alle bestehenden AntiVirus-Produkte auf deinem System. KAV hat seine liebe Mühe mit Konkurrenz-Produkten Augenzwinkern
Die Anti-Spyware SW's (Ad-Aware, CWShredder usw.) kannst du natürlich bestehen lassen.

In unserem Kaspersky-Workshop findest du nützliche Hinweise zur Konfiguration, welche du unbedingt beherzigen solltest.
Mach dann mal einen vollständigen Scan.

gruss
wolfie
Tux
für unentschlossene gibts den hervorragenden Scanner von Kaspersky auch online: klick

meiner Meinung nach der einzige Onlinescanner, der was taugt oki
moomba
Hallo all,

So, jetzt bastle ich schon gut eine Woche an dem Problem rum, und mir scheint ich bin nicht sehr weit gekommen.
Mittlerweile hab ich fast jeden Scanner durch der im Netz zu finden ist;-)
Allerdings ohne Erfolg. Die Trialversion von Kasperksy-Antivirus hab ich momentan laufen. Nach mehrfachen Scans, auch im abges. Modus mit den höchsten Sicherheitseinstellungen und erweiterten, aktuellen Datenbanken war außer zwei SP1-Updatepacks, die als RiskTool erkannt wurden (exe-Archive) nichts zu finden. (Hab sie schweren Herzens gelöscht).
Nebenher läuft SpybotS&D und SpyProtector - Das ist ein Zusatztool zu Security-Taskmanager, den ich mir vor kurzem gekauft habe. Dazu nutze ich nach wie vor noch AdAware und Yahoo AntiSpy.

Mal ehrlich - das ist doch irre oder?

Escan verweist immer noch beharrlich auf die Adware/Spyware und ich weis net wie ich die wegkriege...siehe:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Mar 29 10:42:43 2006 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: Keine Aktion vorgenommen.
Wed Mar 29 10:42:45 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: Keine Aktion vorgenommen.
Wed Mar 29 10:42:46 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: Keine Aktion vorgenommen.
Wed Mar 29 10:42:47 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Mar 29 10:42:45 2006 => Offending file found: C:\WINDOWS\System32\acodec.dll
Wed Mar 29 10:42:46 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Wed Mar 29 10:42:47 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Außerdem beunruhigt mich immer noch die Geschichte mit den 3! Notepad.exe-Dateien die laut SpywareDoctor mit einem Trojaner verseucht seien. Ich hatte im vorhergehenden Posting den Namen falsch geschrieben, sry. Richtig sei: Trojan.Gaslide.B
Anbei ein Screenshot - hab das Prog. schon deinstalliert. Ich hab zwar im Netz einige Infos gefunden, aber kein Scanner der ihn erkennt, geschweige denn vernichtet.
Also im Moment - ich weiß net mehr weiter...

So, zum Schluß noch das neueste HJT Protokoll:

Logfile of HijackThis v1.99.1
Scan saved at 16:08:56, on 29.03.06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
F:\Security Task Manager\SpyProtector.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\HijackThis\HijackThis_v1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.control-center.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.control-center.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [Spy Protector] F:\Security Task Manager\SpyProtector.exe /autostart
O4 - HKLM\..\Run: [KAVPersonal50] "f:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\Downloaded Program Files\IEPrint.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: IEPrint - http://www.visiontech.ltd.uk/software/download/IEPrint.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - http://us.dl1.yimg.com/download.yahoo.co...nst20040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/do...lscbase7617.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1124488939609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp...ta/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} - https://www-secure.symantec.com/techsupp.../ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{649C5630-B839-4262-BE46-96FF4BC29492}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: kavsvc - Kaspersky Lab - f:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LFX - Sysinternals - www.sysinternals.com - C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\LFX.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Danke für Eure Mühe oki

cu
moomba
wolfie
Hallo moomba

Klingt nicht sehr erfrischend, das Ganze.
Den "Spyware Doctor" kannst du rauchen...

Dafür habe ich eine Beschreibung gefunden, wie du den "gaslide-Trojaner" entfernen kannst: Symantec

Dies bereinigt mindestens mal die notepad-Geschichten.
Die Beschreibung dieses Trojaners lautet : Trojan.Gaslide is a Trojan Horse that attempts to modify the settings in the Internet Explorer Web browser.
Du solltest also auch mal durch die IE-Einstellungen streifen und nach dem Rechten sehen.

Wie siehts eigentlich aus, wenn du einen anderen Browser, z.B. Mozilla-Firefox verwendest?


Weiter die Anleitung zum Entfernen des W32.Kedebe.B@mm-Wurms (betrifft deinen Eintrag "tencent qq")
Hier handelt es sich zwar primär um einen Massen-Mail Wurm, soll aber auch Zugriffe auf einzelne Websites verhindern.

Bei beiden Beschreibungen findest du gegen Schluss die "Removal Instructions".
Vor den dort gezeigten Registry-Änderungen bitte den Save (Export) der Registry nicht vergessen!



Hier was ganz übles: gemäss deinem Report treibt ein Key-Logger als "ctfmon.exe" sein Unwesen!
Das Programm dient eigentlich der alternativen Benutzereingabe unter Office XP.
Falls du das nicht benötigst, deaktiviere es in Office. Sollte das Teil danach wieder aktiv werden, wissen wir Bescheid...
Lies dazu auch diesen Artikel .



Poste dann bitte eine Liste des Autostarts. z.B. mit einem Screenshot von MSCONFIG ("Systemstart"),
und erstelle eine Liste der laufenden Prozesse mit Process-Explorer von Sysinternals



gruss
wolfie

Und: Bitte stelle die HijackThis-Logs als TXT-File hier hinein
moomba
Hallo wieder,

So, nun bin ich fast am Ende...mein letzter Versuch. Ich komm einfach nicht zu Potte.
Thx Wolfie fürs schnelle Posting - bin alles Schritt für Schritt durch...
Der Reihe nach:
Ich hab alle IE-Einstellungen geprüft - nix ist verändert. Hab sogar von S&D meine Host-Datei schreibschützen lassen. Selbst die Startseite...
Notepad hab ich alles mal in Quarantäne geschickt - nützt nur nichts - es taucht immer wieder auf, dh. es läßt sich nicht löschen. Es wird für alle txt-files benötigt - jetzt läufts nur noch in engl. und man hat keine Einstellungen mehr.
Ebenso die Sache mit dem Keylogger...ctfmon.exe...habs deaktiviert wie beschrieben...nützt nichts - taucht immer wieder auf.

Die beiden Berichte von Symantek hab ich genau studiert...ich hab das System nach jeder einzelnen Datei die in den Berichten aufgeführt ist durchsucht. Bis auf 4 Dateien, die aber scheinbar auch Systemdateien sind, ist nichts vorhanden:
Beim Trojan.Gaslide.B (ist das "B" wichtig??) wären das die "Notepad.exe" im Moment vorhanden unter ...\WINDOWS (wird immer wieder ersetzt).
und
"rstrui.exe" unter...\System32

Beim W32.Kedebe.B@mm ist es die "dllhost.exe" und die "services.exe" - beide zu finden unter ...\system32

Wolfie - Frage: Was hat der W32.Kede... mit der "tencent qq"-Ad/Spyware zu tun? Ich hab da keine Infos gefunden.
Und was ist mit "powerstrip"...?

Was mir aufgefallen ist: alle diese Dateien tragen das Datum (zuletzt geändert am) 02.04.03 - dieses Datum tragen allerdings die meisten Systemdateien, was doch bedeuten müsste: im Falle einer Modifizierung ist doch dieses Datum eigentlich ein neueres oder? Ergo müssten das Originale sein.

Ich hab alle beschriebenen Registryschlüssel aus den beiden Berichten abgegrast. - Keine Veränderungen erkennbar, es ist nichts Ungewöhnliches eingetragen.

So, die Symantec-Beschreibung verlangt erstmal ein Löschen per Virenscanner - das geht aber net, weil der Scanner von Symantec (online wie offline) nix erkennt.

Der Autostart zeigt auch nichts Ungewöhnliches - was da läuft ist mir bekannt - zumindest was man erkennen kann.

Ich war heute mal am zweiten Rechner in meinem Heimnetz und hab den mal spasshalber mit Escan geprüft: der zeigte nur eine "downloadware Spyware/Adware"
Ich hab dann mal nur Hijackthis runtergeladen vom Trojanerinfo und schon fand Escan noch die "hotbar Spyware/Adware" wie bei mir. Allerdings ist das eine Datei "wbemess.lo_" die in beiden Fällen vom Backupsystem von Spybots&d erstellt wird - scheinbar ungefährlich. Die andere ist auch nur eine "Webinstall" von Saitek im Temp-Ordner von Windows.

Aber wie ich schon ahnte wird das Ganze mit dem Abmurksen des Systemes enden...
Wenn ich nämlich jetzt eine Hijackthis-Auswertung machen lasse tauchen immer wieder die gleichen Schlüssel (mit "no file") als unbekannt in der Sektion 2 auf, egal wie oft ich sie lösche *verzweifel*
Scheinbar hab ich jetzt schon zuviel hin -und hergelöscht.

Ich poste mal die Logs (muss aber mehr Postings machen weil nur eine Datei möglich ist).
So, ich werde wohl langsam die grobe Kelle auspacken... Augenzwinkern

cu
moomba
wolfie
Zitat:
... Was hat der W32.Kede... mit der "tencent qq"-Ad/Spyware zu tun? Ich hab da keine Infos gefunden.

Benutze die Suchfunktion bei Symantec und gib da "tencent" oder "tencent qq" ein. Die dann angezeigte Liste enthält ca. 6 Trojaner und Würmer!
Oder Google mal nach all den im Bericht erwähnten Prozessen...


Zitat:
... Und was ist mit "powerstrip"...?

Wie wär's mit etwas Eigeninitiative, moomba? "Hotbar" stünde übrigens auch noch zur Analyse bereit...


Zitat:
Was mir aufgefallen ist: alle diese Dateien tragen das Datum (zuletzt geändert am) 02.04.03 - dieses Datum tragen allerdings die meisten Systemdateien, was doch bedeuten müsste: im Falle einer Modifizierung ist doch dieses Datum eigentlich ein neueres oder? Ergo müssten das Originale sein.

Gut möglich, dass sich Hacker vor 20 Jahren mit einem veränderten Erstellungsdatum verraten haben Augenzwinkern
Heutzutage wird code modifiziert, ohne die Dateiattribute zu verändern...
Ohne böswilligem Tun Vorschub zu leisten: Guter Hackercode setzt sich wie ein Virus auf seinen Wirt und lässt sich von ihm starten. Link genügt...
(wahrscheinlich heissen die Dinger deshalb VIRUS Augenzwinkern )


Zitat:
... Ich hab alle beschriebenen Registryschlüssel aus den beiden Berichten abgegrast. - Keine Veränderungen erkennbar, es ist nichts Ungewöhnliches eingetragen.

Kann ich mir kaum vorstellen.
Bei dieser Fülle von Malware - das sie existiert zeigen deine Berichte - müsstest du schon den einen oder anderen Registry-Eintrag aufspüren können...


Nun, ich denke wir haben dir die Lösungswege aufgezeigt. Die Umsetzung liegt jetzt bei dir!


Wie du richtig bemerkst: Notfalls eben mit der "groben Kelle" anrühren, sprich System neu aufsetzen.
Und wie man ein System im Rahmen des Möglichen sicher betreibt, erfährst du in unserem Sicherheitsworkshop
Danebst empfehle ich dir dringend auch mal den Performance-Workshop zu besuchen. Da steht viel Nützliches drin!


gruss wolfie
moomba
hallo wolfie,

thx fürs weitere posting, hast recht ich glaube das bringt nix weiter...

Zitat:
Wie wär's mit etwas Eigeninitiative, moomba? "Hotbar" stünde übrigens auch noch zur Analyse bereit...


Also ich bastel jetz über ne Woche dran rum, ich hab eigentlich net vor, noch da lange rum zu zu tun...Wenn ichs hätte studieren wollen, wäre ich Informatiker geworden...bin aber blos ein simpler User. Ich will auch Deine Zeit net weiter vergeuden ;-)
Und noch etwas:
Ich hab mir den zweifelhaften Spass erlaubt und mir von diesem escan mal die komlette Testvariante runtergeladen und installiert.
Und was glaubst du was der gefunden hat? - Richtig - NIX!

Ist doch eigenartig - oder? Vor allem wenn man bedenkt, dass die Virusdefinitionen zu den Dingern von Symantek mindestens 1 Jahr und beim Trojaner sogar über 2 Jahre alt sind. Zudem benutzt die Testvariante des Vollprogramms mit Sicherheit die gleiche Engine wie das kleine Lock...sry Logprogramm.
Aber, macht Euch selbst einen Reim darauf - ich habs getan ;-)

cu
moomba
Wallace
Hello

ich denke wolfie hat es auf den Punkt gebracht, von "bringt nichts" hat er nichts geschrieben

Probleme lösen sich in der Konseqeunz nicht durch diskutieren, sondern durch das Umsetzen von Tipps und die hast du zur Genüge erhalten, allein die Umsetzung fehlt bisher

ich sehe unsererseits keinen Grund, diesen Thread noch weiter zu supporten und darum beenden wir ihn jetzt


-closed-

Wallace
Forensoftware: Burning Board , entwickelt von WoltLab GmbH