|
  |
 Google-Problem oder Sicherheits-Problem? |
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
 |
|
| Google-Problem oder Sicherheits-Problem? |
     |
Hallo,
Seit kurzem ist es mir nicht mehr möglich spez. auf Google einen ordentlichen Suchlauf durchzuführen. Ich werde mit einigen Werbeseiten zugemüllt (eigentlich sind es immer nur 3 dieselben: eine Art Hackerseite, eine SMS-Seite und eine mit einer Einstein-karrikatur zum Testen des IQs - Gewinnspiel). Ich könnte die 3 URLS hier posten, aber das unterlasse ich vorerst mal.
Die Dinger sind extrem hartnäckig.
Beispiel: Ich gehe auf Google (bis jetzt nur da aufgefallen) und suche z.B. nach "directx" - Option zeige Seiten auf deutsch.
Nehmen wir mal die ersten 10 Ergebnisse; Da sind bestimmt ein paar dabei aus einem Beitrag von chip.de. Die kenn ich also angeklickt. So, ab da passieren mehrere mögliche Vorgänge. Entweder ich lande auf dem chip-Beitrag, oder ich sehe plözlich eine neue Goggle Ergebnisliste (mir unverständlich) oder - in den meisten Fällen - schnappt die erste der drei Spam/Müll/Werbe wasauchimmer -Seite auf, gleich danach die nächste... 
Ich kann im System nix finden, ist das nun ein Wurm, ein Trojaner, ein Virus...hab ich was vergessen?.
Ich habe den avira AntiVir - kein Ergebnis
Ich habe AdAware1.06, YahooAntiSpy, NetcraftToolbar, CWShredder, Hijackthis, diverse Onlinescanner gegen Viren, Malware und Co...
keiner erkennt auch nur irgendwas. Ich hab VbSkript abgeschaltet, keine ActiveX zugelassen, Cookies, Verläufe etc. werden von mir nach jedem Webbesuch gelöscht.
Ich habe unzahlige Scans durchgeführt - online wie offline, abgesicherter Modus oder net - NIX - die Mistdinger sind immer präsent! *heul*
Nun frage ich mich : wo liegt das Problem? An einem zweiten Rechner mit fast der gleichen Konfig passiert das nämlich net. Also muß da was auf meinem PC sein.
Könnte mir da einer mal helfen - das wär echt Spitze! 
cu
moomba
|
|
25.03.2006 12:13 |
|
|
wolfie 
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
| RE: Google-Problem oder Sicherheits-Problem? |
|
Hallo moomba
Die geschilderten Symptome deuten klar auf einen Browser Hijacker hin.
Führe mal die Schritte aus unserem Anti-Hijacker Workshop
aus.
Einiges hast du zwar bereits getätigt, dein VirenScanner scheint den Übeltäter aber nicht zu finden.
Im Artikel findest du weiterführende Links, die du auch durchgehen solltest.
gruss wolfie
|
|
|
25.03.2006 13:24 |
|
|
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
Themenstarter 
|
|
Hi Wolfie,
Danke für die schnelle Antwort. 
Also ich hab jetzt wirklich alles mögliche ausprobiert. Spybot S&D läuft auch noch zusätzlich auf dem System. Ich hab HijackThis ausgeführt und das File auswerten lassen. Außer zwei Einträgen is nicht viel dabei herausgekommen und selbst die sind mit Vorsicht zu behandeln - ich will mir net das System abmurksen. Fazit alle aktiven Scanner tun so als wär nichts - und trotzdem ich krieg die Seiten immer und immer wieder angezeigt und es kommen sogar noch mehr dazu. Je länger man die eine oder andere Site offen hat, desto mehr schnappen dann auf.
Aber ein typisches Hijackerverhalten kann ich net genau bestimmmen weil: meine Startseite wird nicht verändert; Es passiert scheints nur auf Google; Die Abstände sind unregelmäßig.
Eines ist eindeutig - sie benutzen alle Active Scripting. Ich hab im IE unter den Extras/Sicherheit und Datenschutz mal alles auf die höchsten Einstellungen gesetzt. Dann hatte ich Ruhe. Also setzte ich erst mal nur die Option für Active Scripting auf Eingabeforderung - und schon ging es wieder los. Das gibts doch net, oder?
Ich hab die aufgehenden Sites in die Liste der eingeschränkten Sites eingefügt. Das verhindert zwar vorerst die Symptome, beseitigt aber nicht das Problem...
cu
moomba
|
|
|
26.03.2006 01:56 |
|
|
Gandalf
Stamm-Gast
Dabei seit: 25.12.2004
Beiträge: 101
Herkunft: Austria
|
|
Lass dein System mal probehalber mit dem Online-Scanner von Microsoft
checken. Ist zwar noch Beta - findet aber auch Root-Kits. Schaden kanns nicht.
Gandalf
|
|
|
26.03.2006 08:54 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
Poste hier bitte mal einen HijackThis Report
gruss
wolfie
|
|
|
26.03.2006 12:35 |
|
|
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
Themenstarter
|
|
Hi all,
Thx Gandalf für den Tip mit dem MS Online-Scanner, hab ihn mehrfach laufenlassen...alles bestens - zeigt er zumindest an.
Nachdem ich gestern die zweifelhaften Sites im IE hab blocken lassen, wurde die eine Hackersite zumindest mal vom Yahoo-Popupblocker erkannt und gestoppt. Das hat er vorher nämlich net gemacht - obwohl er eigentlich sollte.
Nach wie vor startete ich einen Suchlauf nach "directx" auf Google und benutzte das/die Ergebnisse die auf die chip.de-Site verweisen.
Naja - chip.de ist von Haus aus ziemlich zugespammt, vielleicht liegts ja daran??
Also, wenn alle Stricke reißen, werd ich wohl mein System über ein Image rücksetzen müssen...
cu
moomba 
Hier der Hijackreport von gestern:
|
|
|
26.03.2006 20:31 |
|
|
mise
neu im Forum
Dabei seit: 29.11.2005
Beiträge: 32
Herkunft: Mannheim
|
|
Hi,
Also in deinem Bericht sind doch noch einige Sachen vorhanden.
unter www.hijackthis.de
kannst du das auswerten.
Kannst javersuchen, die Sachen on Hand zu löschen, wenn die anderen Programme die Sachen wirklich nicht finden.
__________________
Gruß mise
|
|
|
26.03.2006 20:52 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
| Zitat: |
Original von moomba
Also, wenn alle Stricke reißen, werd ich wohl mein System über ein Image rücksetzen müssen... |
|
Davon rate ich vorerst ab!
Wer sagt denn, dass die Malware nicht mitgesichert wurde?
So wie's gemäss HijackThis aussieht, solltest du dringend folgendes tun:
1. Lösche den als "böse" eingestuften Eintrag und den nächstfolgenden, als "unbekannt" eingestuften BHO-Eintrag.
Browser Hijacker zeigen sich oft als "Browser Helper Object (BHO)"
Das kannst du gleich mit HijackThis bewerkstelligen. Einfach markieren und deleten lassen.
2. Bring deinen Internet Explorer auf den neuesten Stand. Verwende dazu Microsoft Update.
gruss wolfie
|
|
|
26.03.2006 21:33 |
|
|
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
Themenstarter
|
|
Hallo,
Sorry, hat etwas gedauert. Wolfie ich habe Deine Ratschläge befolgt, hab mir auch die Auswertung nochmal vorher angesehen.
Die zweifelhaften Einträge existieren jetzt nicht mehr...
Der Internetexplorer gilt allerdings bei bislang erfolgreicher Verweigerung von SP2 natürlich als veraltet - Bis auf diesen Umstand sind meine Updates alle vollständig.
Bei einem weiteren Lauf wurde zb. das als evtl. böse eingestuft -
C:\WINDOWS\System32\msuni11d.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467}
Komisch - das hat etwas mit der Update-Funktion von Spybot zu tun. Löscht man das, existieren keine Downloadserveradressen mehr und die Updates gehen nicht mehr.
Der Online-Scanner von Microsoft findet nichts: alles bestens...denkste!!!
Ich landete irgendwann mal auf dem Trojanerboard und ladete mir das Tool "escan" von MWAV. Im abgesicherten Modus gestartet will es folgendes erkannt haben:
Die Objekte
"netster"
"powerstrip"
"tencent 99"
"hotbar"
alle im Dateisystem erkannt - aber wo??
er kann sie natürlich entfernen - vorrausgesetzt man kauft die Scannervollversion...
Ich hab mir daraufhin noch ein paar weitere Engines installiert.
z.B. Spyware Doctor
Der findet plötzlich alles Mögliche...er will folgendes erkannt haben:
Trojan.Glashide.B unter c:\windows\notepad.exe
und unter c:\windows\System32\dllcache\notepad.exe
und nochmal unter c:\windows\System32\notepad.exe...
Notepad? Mein Notepad soll verseucht sein?
...Selbstverständlich kann er den Virus/Trojaner etc. entfernen/reparieren...vorrausgesetzt - richtig - man kauft ihn ;-)
Es ist schon eigenartig, das alle freien Scanner egal ob gegen Viren oder gegen Malware/Spyware - offline wie online so gut wie nichts erkennen oder finden.
Nur die kommerziellen erkennen Sachen zu der es a) - wenig oder gar nichts im Internet zu finden ist und b) - Den angeblichen (Phantasie??)Schädling nicht beseitigen können - es sei denn man kauft selbstverständlich das Produkt. Ich will ja nix unterstellen aber für mich wären das keine Hilfen sondern allenfalls zweifelhafte Geschäftspraktiken.
Sollte ich dem Trojanerboard Glauben schenken muß ich bei Komprommitierung meines Systemes eine komplette Neuinstallation wagen...
Hier kämen dann meine Sicherungsimages zum Einsatz - Einige wurden ja sogar im absolut "jungfräulichen" Offlinezustand vorgenommen. Aber selbst das ist ein langer Weg...
cu
moomba
|
|
|
28.03.2006 13:50 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
Hallo moomba
Aber immerhin wissen wir jetzt, wie es um die Malware auf deinem System steht.
Die Eingrenzung des Fehlers ist schon die halbe Miete!
Vorschlag:
Installiere dir eine Trial-Version von Kaspersky Antivirus
.
Entferne vorher alle bestehenden AntiVirus-Produkte auf deinem System. KAV hat seine liebe Mühe mit Konkurrenz-Produkten
Die Anti-Spyware SW's (Ad-Aware, CWShredder usw.) kannst du natürlich bestehen lassen.
In unserem Kaspersky-Workshop
findest du nützliche Hinweise zur Konfiguration, welche du unbedingt beherzigen solltest.
Mach dann mal einen vollständigen Scan.
gruss
wolfie
|
|
|
28.03.2006 14:01 |
|
|
Tux
Premium Member
Dabei seit: 04.09.2003
Beiträge: 2.940
Herkunft: Göttingen
|
|
für unentschlossene gibts den hervorragenden Scanner von Kaspersky auch online: klick
meiner Meinung nach der einzige Onlinescanner, der was taugt
__________________
MfG
Tux
Linux is like a wigwam. No windows, no gates and an apache inside!
|
|
|
28.03.2006 14:14 |
|
|
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
Themenstarter
|
|
Hallo all,
So, jetzt bastle ich schon gut eine Woche an dem Problem rum, und mir scheint ich bin nicht sehr weit gekommen.
Mittlerweile hab ich fast jeden Scanner durch der im Netz zu finden ist;-)
Allerdings ohne Erfolg. Die Trialversion von Kasperksy-Antivirus hab ich momentan laufen. Nach mehrfachen Scans, auch im abges. Modus mit den höchsten Sicherheitseinstellungen und erweiterten, aktuellen Datenbanken war außer zwei SP1-Updatepacks, die als RiskTool erkannt wurden (exe-Archive) nichts zu finden. (Hab sie schweren Herzens gelöscht).
Nebenher läuft SpybotS&D und SpyProtector - Das ist ein Zusatztool zu Security-Taskmanager, den ich mir vor kurzem gekauft habe. Dazu nutze ich nach wie vor noch AdAware und Yahoo AntiSpy.
Mal ehrlich - das ist doch irre oder?
Escan verweist immer noch beharrlich auf die Adware/Spyware und ich weis net wie ich die wegkriege...siehe:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Mar 29 10:42:43 2006 => System found infected with powerstrip Spyware/Adware ({669695bc-a811-4a9d-8cdf-ba8c795f261c})! Action taken: Keine Aktion vorgenommen.
Wed Mar 29 10:42:45 2006 => System found infected with tencent qq Spyware/Adware (acodec.dll)! Action taken: Keine Aktion vorgenommen.
Wed Mar 29 10:42:46 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: Keine Aktion vorgenommen.
Wed Mar 29 10:42:47 2006 => System found infected with family keylogger Commercial KeyLogger (C:\WINDOWS\system32\ctfmon.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Wed Mar 29 10:42:45 2006 => Offending file found: C:\WINDOWS\System32\acodec.dll
Wed Mar 29 10:42:46 2006 => Offending file found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_
Wed Mar 29 10:42:47 2006 => Offending file found: C:\WINDOWS\system32\ctfmon.exe
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Außerdem beunruhigt mich immer noch die Geschichte mit den 3! Notepad.exe-Dateien die laut SpywareDoctor mit einem Trojaner verseucht seien. Ich hatte im vorhergehenden Posting den Namen falsch geschrieben, sry. Richtig sei: Trojan.Gaslide.B
Anbei ein Screenshot - hab das Prog. schon deinstalliert. Ich hab zwar im Netz einige Infos gefunden, aber kein Scanner der ihn erkennt, geschweige denn vernichtet.
Also im Moment - ich weiß net mehr weiter...
So, zum Schluß noch das neueste HJT Protokoll:
Logfile of HijackThis v1.99.1
Scan saved at 16:08:56, on 29.03.06
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
F:\Security Task Manager\SpyProtector.exe
F:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\HijackThis\HijackThis_v1991.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.control-center.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.control-center.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [Spy Protector] F:\Security Task Manager\SpyProtector.exe /autostart
O4 - HKLM\..\Run: [KAVPersonal50] "f:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Fit-width Print - {3C34EBD2-038D-4d4f-B081-16D99D8BE2B4} - C:\WINDOWS\Downloaded Program Files\IEPrint.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: IEPrint - http://www.visiontech.ltd.uk/software/download/IEPrint.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} - http://security.symantec.com/sscv6/Share...bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - http://us.dl1.yimg.com/download.yahoo.co...nst20040510.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - https://scan.safety.live.com/resource/do...lscbase7617.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1124488939609
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} - http://security.symantec.com/sscv6/Share...n/bin/cabsa.cab
O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) - http://ax.emsisoft.com/axscan.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/techsupp...ta/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} - https://www-secure.symantec.com/techsupp.../ActiveData.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{649C5630-B839-4262-BE46-96FF4BC29492}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: kavsvc - Kaspersky Lab - f:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LFX - Sysinternals - www.sysinternals.com
- C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\LFX.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
Danke für Eure Mühe
cu
moomba
|
|
|
29.03.2006 17:32 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
Hallo moomba
Klingt nicht sehr erfrischend, das Ganze.
Den "Spyware Doctor" kannst du rauchen...
Dafür habe ich eine Beschreibung gefunden, wie du den "gaslide-Trojaner" entfernen kannst: Symantec
Dies bereinigt mindestens mal die notepad-Geschichten.
Die Beschreibung dieses Trojaners lautet : Trojan.Gaslide is a Trojan Horse that attempts to modify the settings in the Internet Explorer Web browser.
Du solltest also auch mal durch die IE-Einstellungen streifen und nach dem Rechten sehen.
Wie siehts eigentlich aus, wenn du einen anderen Browser, z.B. Mozilla-Firefox verwendest?
Weiter die Anleitung zum Entfernen
des W32.Kedebe.B@mm-Wurms (betrifft deinen Eintrag "tencent qq")
Hier handelt es sich zwar primär um einen Massen-Mail Wurm, soll aber auch Zugriffe auf einzelne Websites verhindern.
Bei beiden Beschreibungen findest du gegen Schluss die "Removal Instructions".
Vor den dort gezeigten Registry-Änderungen bitte den Save (Export) der Registry nicht vergessen!
Hier was ganz übles: gemäss deinem Report treibt ein Key-Logger als "ctfmon.exe" sein Unwesen!
Das Programm dient eigentlich der alternativen Benutzereingabe unter Office XP.
Falls du das nicht benötigst, deaktiviere es in Office. Sollte das Teil danach wieder aktiv werden, wissen wir Bescheid...
Lies dazu auch diesen Artikel
.
Poste dann bitte eine Liste des Autostarts. z.B. mit einem Screenshot von MSCONFIG ("Systemstart"),
und erstelle eine Liste der laufenden Prozesse mit Process-Explorer
von Sysinternals
gruss
wolfie
Und: Bitte stelle die HijackThis-Logs als TXT-File hier hinein
|
|
|
29.03.2006 19:59 |
|
|
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
Themenstarter
|
|
Hallo wieder,
So, nun bin ich fast am Ende...mein letzter Versuch. Ich komm einfach nicht zu Potte.
Thx Wolfie fürs schnelle Posting - bin alles Schritt für Schritt durch...
Der Reihe nach:
Ich hab alle IE-Einstellungen geprüft - nix ist verändert. Hab sogar von S&D meine Host-Datei schreibschützen lassen. Selbst die Startseite...
Notepad hab ich alles mal in Quarantäne geschickt - nützt nur nichts - es taucht immer wieder auf, dh. es läßt sich nicht löschen. Es wird für alle txt-files benötigt - jetzt läufts nur noch in engl. und man hat keine Einstellungen mehr.
Ebenso die Sache mit dem Keylogger...ctfmon.exe...habs deaktiviert wie beschrieben...nützt nichts - taucht immer wieder auf.
Die beiden Berichte von Symantek hab ich genau studiert...ich hab das System nach jeder einzelnen Datei die in den Berichten aufgeführt ist durchsucht. Bis auf 4 Dateien, die aber scheinbar auch Systemdateien sind, ist nichts vorhanden:
Beim Trojan.Gaslide.B (ist das "B" wichtig??) wären das die "Notepad.exe" im Moment vorhanden unter ...\WINDOWS (wird immer wieder ersetzt).
und
"rstrui.exe" unter...\System32
Beim W32.Kedebe.B@mm ist es die "dllhost.exe" und die "services.exe" - beide zu finden unter ...\system32
Wolfie - Frage: Was hat der W32.Kede... mit der "tencent qq"-Ad/Spyware zu tun? Ich hab da keine Infos gefunden.
Und was ist mit "powerstrip"...?
Was mir aufgefallen ist: alle diese Dateien tragen das Datum (zuletzt geändert am) 02.04.03 - dieses Datum tragen allerdings die meisten Systemdateien, was doch bedeuten müsste: im Falle einer Modifizierung ist doch dieses Datum eigentlich ein neueres oder? Ergo müssten das Originale sein.
Ich hab alle beschriebenen Registryschlüssel aus den beiden Berichten abgegrast. - Keine Veränderungen erkennbar, es ist nichts Ungewöhnliches eingetragen.
So, die Symantec-Beschreibung verlangt erstmal ein Löschen per Virenscanner - das geht aber net, weil der Scanner von Symantec (online wie offline) nix erkennt.
Der Autostart zeigt auch nichts Ungewöhnliches - was da läuft ist mir bekannt - zumindest was man erkennen kann.
Ich war heute mal am zweiten Rechner in meinem Heimnetz und hab den mal spasshalber mit Escan geprüft: der zeigte nur eine "downloadware Spyware/Adware"
Ich hab dann mal nur Hijackthis runtergeladen vom Trojanerinfo und schon fand Escan noch die "hotbar Spyware/Adware" wie bei mir. Allerdings ist das eine Datei "wbemess.lo_" die in beiden Fällen vom Backupsystem von Spybots&d erstellt wird - scheinbar ungefährlich. Die andere ist auch nur eine "Webinstall" von Saitek im Temp-Ordner von Windows.
Aber wie ich schon ahnte wird das Ganze mit dem Abmurksen des Systemes enden...
Wenn ich nämlich jetzt eine Hijackthis-Auswertung machen lasse tauchen immer wieder die gleichen Schlüssel (mit "no file") als unbekannt in der Sektion 2 auf, egal wie oft ich sie lösche *verzweifel*
Scheinbar hab ich jetzt schon zuviel hin -und hergelöscht.
Ich poste mal die Logs (muss aber mehr Postings machen weil nur eine Datei möglich ist).
So, ich werde wohl langsam die grobe Kelle auspacken...
cu
moomba
Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von moomba: 30.03.2006 21:09.
|
|
|
30.03.2006 21:06 |
|
|
wolfie
Stamm-Gast
Dabei seit: 27.02.2005
Beiträge: 104
Herkunft: Schweiz
|
|
| Zitat: |
| ... Was hat der W32.Kede... mit der "tencent qq"-Ad/Spyware zu tun? Ich hab da keine Infos gefunden. |
|
Benutze die Suchfunktion bei Symantec und gib da "tencent" oder "tencent qq" ein. Die dann angezeigte Liste enthält ca. 6 Trojaner und Würmer!
Oder Google mal nach all den im Bericht erwähnten Prozessen...
| Zitat: |
| ... Und was ist mit "powerstrip"...? |
|
Wie wär's mit etwas Eigeninitiative, moomba? "Hotbar" stünde übrigens auch noch zur Analyse bereit...
| Zitat: |
| Was mir aufgefallen ist: alle diese Dateien tragen das Datum (zuletzt geändert am) 02.04.03 - dieses Datum tragen allerdings die meisten Systemdateien, was doch bedeuten müsste: im Falle einer Modifizierung ist doch dieses Datum eigentlich ein neueres oder? Ergo müssten das Originale sein. |
|
Gut möglich, dass sich Hacker vor 20 Jahren mit einem veränderten Erstellungsdatum verraten haben
Heutzutage wird code modifiziert, ohne die Dateiattribute zu verändern...
Ohne böswilligem Tun Vorschub zu leisten: Guter Hackercode setzt sich wie ein Virus auf seinen Wirt und lässt sich von ihm starten. Link genügt...
(wahrscheinlich heissen die Dinger deshalb VIRUS
)
| Zitat: |
| ... Ich hab alle beschriebenen Registryschlüssel aus den beiden Berichten abgegrast. - Keine Veränderungen erkennbar, es ist nichts Ungewöhnliches eingetragen. |
|
Kann ich mir kaum vorstellen.
Bei dieser Fülle von Malware - das sie existiert zeigen deine Berichte - müsstest du schon den einen oder anderen Registry-Eintrag aufspüren können...
Nun, ich denke wir haben dir die Lösungswege aufgezeigt. Die Umsetzung liegt jetzt bei dir!
Wie du richtig bemerkst: Notfalls eben mit der "groben Kelle" anrühren, sprich System neu aufsetzen.
Und wie man ein System im Rahmen des Möglichen sicher betreibt, erfährst du in unserem Sicherheitsworkshop
Danebst empfehle ich dir dringend auch mal den Performance-Workshop
zu besuchen. Da steht viel Nützliches drin!
gruss wolfie
|
|
|
30.03.2006 21:58 |
|
|
moomba
neu im Forum
Dabei seit: 23.03.2005
Beiträge: 17
Themenstarter
|
|
hallo wolfie,
thx fürs weitere posting, hast recht ich glaube das bringt nix weiter...
| Zitat: |
| Wie wär's mit etwas Eigeninitiative, moomba? "Hotbar" stünde übrigens auch noch zur Analyse bereit... |
|
Also ich bastel jetz über ne Woche dran rum, ich hab eigentlich net vor, noch da lange rum zu zu tun...Wenn ichs hätte studieren wollen, wäre ich Informatiker geworden...bin aber blos ein simpler User. Ich will auch Deine Zeit net weiter vergeuden ;-)
Und noch etwas:
Ich hab mir den zweifelhaften Spass erlaubt und mir von diesem escan mal die komlette Testvariante runtergeladen und installiert.
Und was glaubst du was der gefunden hat? - Richtig - NIX!
Ist doch eigenartig - oder? Vor allem wenn man bedenkt, dass die Virusdefinitionen zu den Dingern von Symantek mindestens 1 Jahr und beim Trojaner sogar über 2 Jahre alt sind. Zudem benutzt die Testvariante des Vollprogramms mit Sicherheit die gleiche Engine wie das kleine Lock...sry Logprogramm.
Aber, macht Euch selbst einen Reim darauf - ich habs getan ;-)
cu
moomba
|
|
|
31.03.2006 00:53 |
|
|
Wallace
Redakteur/Co-Administrator
Dabei seit: 21.08.2002
Beiträge: 5.128
Herkunft: Montreal
|
|
Hello
ich denke wolfie hat es auf den Punkt gebracht, von "bringt nichts" hat er nichts geschrieben
Probleme lösen sich in der Konseqeunz nicht durch diskutieren, sondern durch das Umsetzen von Tipps und die hast du zur Genüge erhalten, allein die Umsetzung fehlt bisher
ich sehe unsererseits keinen Grund, diesen Thread noch weiter zu supporten und darum beenden wir ihn jetzt
-closed-
Wallace
|
|
|
31.03.2006 01:16 |
|
|
|
|
|
Designed by PC-Experience.de, online seit 06.August 2002
Copyright © 2002 - 2023 PC-Experience.de |
|
