Heres one for you,
If you have a folder in your windows folder called amcdl, or amc, you have been "infected."
This information gathering program installs and uses some or all of the
following files, based on your operating system, which are called everytime you launch your browser:
htmdeng.exe
advert.dll
amcis.dll
amcis2.dll
ipcclient.dll
msipcsv.exe
amcompat.tlb
amstream.dll
advpack.dll
I searched and found some (not all) of them, including looking (or at least
attemptind to look) for "hidden" files.
I Renamed the .dlls (in case something I must have *really* needs them),
and
emptied the ..\amc directory and made it read only, and (finally)
created a
..\amcdl directory and made it read only.
the next step is to install ncimon or zonealarm.
OK folks, I have been busy "reviewing" the contents and code contained
in the DLL's that Aureate makes use of. Here are a few of my findings up
to this point:
advert.dll
This DLL creates a hidden window everytime you open your browser. It
creates
and sends 4 pages of information to the Aureate servers using port 1749
on your system, these pages include:
1. Your name as listed in the system registry ( not the name you
installed
one of the programs with )
2. Your IP address
3. The reverse DNS match of your address. ( tells them what ISP and area of
country you are in )
4. A listing of ALL software that is shown in your registry as being
installed. ( Not just the companies they work with )
5. This DLL sends the following information to their server on all URL's
you
visit:
A.) ad banners you may click on
B.) all downloads you do showing the filename/file
size/date/time/type
of file(image, zip,executable, etc)
C.) full time and date stamps of all your actions while using your
browser
D.) the remote dialup number you are dialing in on (taken out of
your
dialer configuration)
E.) dialup password if saved, does not "appear" at first glance to
send
this through to them.
6. Contains programmers note: "Show me the money! I want to be Mike!"
advpack.dll
Used during the installation only to check for other needed files.
amcis.dll
This DLL modifies the following registry keys:
1. HKEY_CURRENT_CONFIG
2. HKEY_DYN_DATA
3. HKEY_PERFORMANCE_DATA
4. HKEY_USERS
5. HKEY_LOCAL_MACHINE
6. HKEY_CURRENT_USER
7. HKEY_CLASSES_ROOT
Unregisterss oleaut32.dll from memory as provided by M$oft and replaces with
its own calls. Switches back to M$oft's when browser is closed.
Creates stub processes to be started anytime your browser is opened.
amcompat.tlb
This guy tracks any multimedia clips ( video/pictures/sound ) that you view
It tracks the rating level on the video/picture/sound and title /
location
Contains references to DblClick ( still digging on this one! )
amstream.dll
Setups TWO way communications between your system and theirs.
Used to send info and receive update commands/files
Open port 1749 for communications
This is all the further I have gone on the DLL's used by Aureate. I
have
also discovered that if you remove only one of the DLL's after it has
been
started once and is still in memory, the program will make its directory
hidden and replace the missing DLL with a fresh one from their site.
The following is a listing of all software known to install the Aureate spy
on your system.
GetRight
Go!Zilla
CuteFTP 3.0
NetAnts
Net Vampire
Free Solitaire
JetCar
buddyPhone 2
CuteFTP 3.0
NewsShark
Abe's MP3 Finder
Dwyco Video Conferencing
Delphi Tester
MP3 Fiend
WebCopier
Aureate Group Mail
Binary Boy
Download Wonder
ASP1-A3
NetCaptor 5.0
NetTime Thingy
TIFNY
ComTry Music Downloader
WebStripper
Sweep
Calypso E-mail
Netbus Pro 2.10
LOL Chat
PicPluck
Access Diver III
NetNak
Midnight Oil Solitaire
File Mag-Net
Alive and Kicking
BinaryVortex
CuteFTP/Tripod
InnovaClub
LapLink FTP
MP3 Grouppie
Iban Technologies IP Tools 3.1
NewsBin
Planet.MP3Find
3D-FTP
EasySeeker
Crystal FTP
MP3 Album Finder
FTPEditor
Free Spades
Capture Express 2000
DigiCams - The WebCam Viewer
3rd
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hi,
ich habe die Dateien amcompat.tlb und Amcis.dll. Da ich jedoch nicht sogut englisch kann weiß ich nicht
ob ich mir darüber Gedanken machen muß.
Kann mir jemand helfen (vielleicht unser anonymer Schreiber selbst)?
((Anonym))
Die amcis.dll modifiziert deine Registry (Windowsregistrierungs-Datei) . Ichn weiß nicht was, aber das is nicht so gut für DICH.
Die amcsi.dlllöscht die oleaut32.dll aus dem Speicher und macht seine eigene Sachen.
Die andere Zeichnet die Multimedia (Musik, Videos, Bilder), sogar mit Beschreibung, in den html-Seiten auf und schickt sie raus.
Im großen und ganzen gehts darum, das diese Programme eineige Dateien enthalten (wie du schon weißt). Diese schicken 4 SeitenIinfos über dein treiben im Netz raus.
Stichwort "Big Brother"
Bei den restlichen Dateien werden IP, Downloads, deine Software die du installiert hast, welche Banner du angeklickt hast u.s.w)
((Anonym))
Hi!
Ich hab zwar die amcis.dll aber die oleaut32.dll ist noch immer da. Ich glaub das ist hier nur lauter Spekulation. Hört sich irgendwie nicht hieb und nagelfest an.
Hoffe auf mehr INFOS
((Anonym))
Da leck mich doch einer fett! Ich habe alles mal durchgecheckt und mir die Files im Hex-Editor angeschaut. Besonders eine der .EXE Dateien hat einen SEHR verdächtigen Text, wo unter anderem auf Englisch steht: "Wenn du das liest, bist du wahrscheinlich gut." Einige andere Dateien wiederum scheinen nicht dazu zu gehören, vor allem amstream.dll. Das erkennt man an den Dateiinformationen, z.B. haben die meisten Files eine Versionsnummer von 1.0.1.0 oder 2.0.0.0 und halten sich sonst bedeckt, amstream.dll ist aber von Microsoft, Version 5.xxx.xxx bla bla. Die Dateien sind tatsächlich an den Explorer und Internet Explorer gebunden und lassen sich nicht alle ohne weiteres löschen ("Datei ist in Verwendung"). Das muss man im DOS-Modus machen. Ich habe alle Dateien bis auf amstream.dll gelöscht und danach in der Registry alle Aureate-keys sowie alle CLSID's der amcis.dll sowie amcis2.dll Dateien. Auf der Aureate-Homepage wird natürlich alles bestritten, aber das ist wohl so üblich. Ich werde mal weiter nachforschen.
(CiTay)
Super das du weiter forschen willst, mach weiter so.
((Anonym))
Also :
ich hab mir das mal angeguckt und muß feststellen das bei mir auch der Trojaner (Falls es einer ist) vorhanden ist -->Wenn ich die dlls allerdings lösche läuft bei mir zumindest Go!zilla nicht mehr ...Da ja Get Right auch betroffen scheint ...Gibts noch nen anderen DL Manager ? ...Ich hab die Geschichte übrigens mal zu Eisbär ins Guestbook geschrieben -->mal gucken was der dazu meint ...(http://www1.inetmail.de/eisbaer/)
greets SURFy
p.s.:Wenn ich die dlls gelöscht habe und danach Go!zilla wieder installiere sind sie übrigens wieder vorhanden ...
(SURFy)
Das mit Go!zilla hat mein Kumpel auch festgestellt. Aber die 3.3 Version soll anscheind nichts machen, wissen es aber nicht genau. Einen anderen Manager haben wir leider noch nicht gefunden.
((Anonym))
Ich habe die letzten 2 Stunden damit verbracht mir die Sache mal genau anzugucken ...Folgendes habe ich festgestellt (Das ist aber alles nicht 100% ->nur meine Meinung):
Go!zilla 3.3 ist (Und da bin ich ziemlich sicher) falls es ein Trojaner ist -->genauso infiziert wie die Version 3.5 -->Es treibt den gleichen Mist in der Registry,schreibt die gleichen Dateien in c:/windows usw...
Folgende Dateien gehören meiner Meinung nach entweder nicht zum Trojaner oder wurden von ihm modifiziert :amcompat.tlb,amstream.dll,advpack.dll .
Die Dateien sind durchaus im Windows zum löschen : Man kopiert die Dateinamen in einen Editor (Oder schreibt sie auf) bootet neu -->und öffnet weder Explorer noch internet Explorer -->dann kann man die Dateien ohne weiteres über SUCHEN löschen ...
Nur : Löscht man in der Registry komplett alles was mit den Dateien (auch wenn man die 3 oben ausklammert)und Aureate zu tun hat läuft Windows nicht mehr fehlerfrei (Schaltflächen verschwinden usw.)...advert.dll kann man ohne weiteres löschen -->nur wird das alleine nicht viel bringen ...ich bin heute nicht da (Auf der Cebit) aber bleibe am Ball...Und ich denke Eisbär (Der ein Spezialist für die Materie ist) wird uns weiterhelfen können -->Bis dahin werde ich alles so lassen wie es ist (Inclusive Go!zilla) -->weil ich nicht glaube das der Trojaner durch meine Firewall kommt...(Oder ich hoffe es ;-))
greets SURFy
(SURFy)
Dieser Trojaner sendet 4 Seiten an Infos raus und ich denke der kommt durch deine Firewall und außerdem will ja keiner bei dir rein, sondern eben bloß deine Infos
((Anonym))
nein, durch die Firewall kommt es keineswegs ohne weiteres, jeder Kontakt wird geloggt und ist genehmigungspflichtig und es gibt keine Hinweise dass Aureate einen Weg gefunden hat dies zu umgehen, Atguard informiert ueber die Versuche (auch Conseal), aber mir wird uebel beim Gedanken was fuer ein Loch dadurch in die Firewall geschlagen werden koennte, weil jeder x-beliebige Ad-Server mit bugverseuchter Software eine Verbindung etablieren kann und die IP Adresse (und mehr) kennt.
im uebrigen werden weder Blackice Defender noch Zone Alarm diese Versuche sehen (der beruehmte fehlende innen-nach-aussen Effekt von Detection Software) und fuer jeden Benutzer ohne Firewall ist der Versuch nicht wahrnehmbar!
seeya_Carrie
(Carrie)
Da war ich wohl fehl informiert, danke!
((Anonym))
nein, es ist tatsaechlich so dass nicht jede vermeintliche Firewall das Feature dies wahrzunehmen hat, einige die von der Sicherheit ihrer Detection Software ueberzeugt waren, wurden ziemlich uebel ueberrascht, weil sie nicht wussten dass es da einen Unterschied gibt, man darf dem eigenen Betriebssystem und Programmen eben nicht vertrauensvoll gegenueberstehen ;)ausser es ist Linux...bye_Carrie
(Carrie)
Okay. Also wenn ich das jetzt richtig mitbekommen habe, hat so gut wie jeder (auch ich) diese *.dll auf der Platte. WAS KANN MAN NUN TUN?
AtGuard, löschen, oder ist alles nur ein Irtum?
UND VON WO KOMMT DAS ZEUG UND WOHIN WERDEN DIE DATEN GESCHICKT!
Außerdem, wenn das beweißbar ist, ginge es demjenigen schlecht wenn das rauskommt, da oft nur ein e-mail an bestimmte Adressen reicht um solch einen Spuk das ENDE zu bereiten.
Kann man diese DAtein nicht an Norton schicken?! damit die ein Gegenmittel entwickeln.
sers
(Housemaster)
Du mußt erst mal diese Datein löschen.
Es werden 4 Seiten an Infos an Aureate geschickt, die viele viele Infos über dich enthalten.
Aureate streitet alles ab, wie typisch.
Wenn du eine email hast, der da mehr Mittel hätte, dann stelle sie hier rein
((Anonym))
Hi,
könntest Du bitte mal posten, welche Informationen alles nach außen geschickt werden sollen ?
Mit welchem Programm hast Du diese vielen Informationen mitgeschnitten, dann probiere ich es auch mal ?
Gruß
Markus
(Markus (Anonym))
Wenn diese Info *wirklich* stimmt --- dann moechte ich folgende dinge wissen:
1. wie werden wir dieses Ding wieder los?
2. wie koennen wir vermeiden, uns das ding einzufangen?
3. wer ist eigentlich Aureate und was machen die?
4, wer klopft denen mal so richtig auf die finger??!!
(Neanderix)
Also:
1. Soweit ich weiß, mußt du nur die Dateien löchen und einen Order (ich glaube amc oder so ähnlich)
2. Einfach die aufgeführten Programme nicht installieren
3. Was Aureate machen, kann ich Dir auch nicht sagen.
4. Wir werden sehen was da noch so kommt
((Anonym))
Habe ein Programm was alles wieder in Ordnung bringen soll. Bitte unter http://zor.webprovider.com/antispy.zip downloaden!
Danke an davidovv (Eisbär's trojaner-info.de)
Wenn jemand noch mehr infos haben will,dann bitte
hier hin gehen http://www.activi.de/forum/Forum6/HTML/000173.html
((Anonym))
mit dem empfohlenden antispy.zip waere ich vorsichtig, es wurde zwar als Remover genannt, aber ist aus nicht sehr vertrauenswuerdiger Quelle (damit meine ich nicht trojan-info, sondern das Ursprungsposting in einer NG der dieser Link entnommen ist), in einigen Tagen wird es einen Cleaner von grc.com geben, bitte warten, ebenfalls wird dort eine Aureate Infosite entstehen unter:
http://grc.com/aureate.htm
betroffene Programme:
http://www.aureate.com/advertisers/network_members.html
damit die Shareware noch nutzbar ist, hier ein Link fuer weitere Infos (vorsicht, noch nicht getestet):
http://members.xoom.com/advertdll/
(Carrie)
Hi!
Zum Thema Aureate: Ratet mal, wer den beliebten RealPlayer vertreibt. Ganz neu ist die Sache mit den versteckten Daten, die der Player verschickt, ja nun auch nicht: Unter anderem die c't hat vor ein paar Wochen darüber berichtet. Das Ausmaß des Ganzen, so, wie es hier dargestellt wird, war damals aber noch nicht absehbar. Wir sind also besser mal wachsam.
(xzorn (Anonym))
Besorgnis ist angebracht, fest steht das tatsaechlich Verbindungen zu Aureate Servern durch advert.dll verursacht werden, iniziiert von der Executable des jeweiligen Programms, allerdings meist von einem dynamischen lokalen port zu port 1975 eines Aureate Servers (nicht unbedingt mit xxx.aureate.com bezeichnet), beim blocken durch eine Firewall werden zudem weitere Connects zu mehreren Aureate Server/Domains hintereinander versucht, z.B. zu aim1.adsoftware.com, aim2.adsoftware.com, usw.,
wird es zugelasssen werden knapp 4000 bytes Daten dorthin geschickt, die angeblich nur Informationen enthalten wo ein WerbeBanner von dort hin gesendet werden soll (...und welcher zum User passt...wofuer sie nur "legale" Informationen auswerten...), die verschickten Daten beinhalten somit die IP Adresse und Cookieinhalte, allerdings auch bislang unidentifizierte Binaerdateien (!), ob diese besagte persoenliche Daten beinhalten ist (leider sehr nachvollziehbare) Spekulation,
knapp 4000 bytes komen zurueck, dann wird die Verbindung zum einen Server getrennt und eine weitere zu z.B. einem anderen Aureate Server auf port 80 (http) gemacht der die rund 1000 bytes Cache Advertisment sendet, sprich Banner.
Die Versuche enden bei Umbenennung von advert.dll
ein SEHR eindeutiges Aureate Versprechen von deren Website an Kunden: "Payment schedules will be tailored to each advertiser's needs and target audience." und "The Aureate Network brings an enormous amount of demographic targeting capability to advertisers."
definitiv wird dazu eine eindeutige User ID vergeben,
und fest steht dass Aureate auch Kreditkarten Bestellungen abwickelt und somit die echte Identitaet dieser ID zuordnen und Online Aktivitaeten sammeln koennte ---wer mit dieser offenen Absicht laesst sich das entgehen.
ausserdem bleibt Aureate auch nach Uninstall der Shareware erhalten, man muss Aureate gesondert entfernen -klingt nach einem Trojaner, benimmt sich wie ein Trojaner, ist ein Advertiser ---wo ist der Unterschied?
----->
(Carrie)
das Problem ist aber nicht nur bei Aureate sondern auch auf Seiten der Softwarehersteller die Aureate als Sponsor einbauen, da sie die Anzahl uebertragender Banner bezahlt bekommen, so wird man beim Benutzen der Software konstant beobachtet, sogar die Laenge die man einen Banner ansieht ...genaugenommen hat man dem sogar in der Lizenz ohne es zu wissen zugestimmt. ---diesen Umstand finde ich schon schlimm genug.
Aureate Site (bald online mit Remover): http://grc.com/aureate.htm
die Debatte wurde/wird auch in news:comp.security.firewalls diskutiert, u.a. mit 180 replys in einem thread (...) bitte mal reinsehen
Ursprung der Warnung:
http://federalcourts.com/federalcourt/News/lostincyberspace_feb242000.html
Statement Aureate:
http://www.aureate.com/privacy/falserumors.html
hier eine verteidigende Position: http://www.kumite.com/myths/myths/myth036.htm
Aureate Firmenpolitik anschaulich: http://www.aureate.com/devs-n-pubs/faq.html
(Carrie)
Sehe ich das jetzt richtig, wenn ich die DLL in von advert.dll in adver.dll umbenenne, hab ich denen von Aureate ein Schnäppchen geschlagen oder täusch ich mich da?
DANKE
(Gerald (Anonym))
Umbenennung von advert.dll sollte funktionieren, dann koennte aber die Shareware evtl. streiken ---folgendes ist daher eine Moeglichkeit Aureate anders zu sabotieren -Erklaerung unter http://members.xoom.com/advertdll/
kurz uebersetzt: alle Programme schliessen, REGEDIT benutzen und folgendes aus der Registry entfernen: HKEY_CURRENT_USER\SOFTWARE\Aureate und in der Windows Directory das versteckte Verzeichnis namens amc loeschen das die Banner enthaelt, Kommunikation mit den Advertisement Servern ausser Kraft setzen indem ueber Notepad folgende Zeilen im hosts. File der Windows Directory eingetragen werden (wenn es noch nicht existiert, hosts.sam zu hosts. kopieren oder einfach ein neues erstellen mit diesen Zeilen) :
127.0.0.1 aim1.adsoftware.com
127.0.0.1 aim2.adsoftware.com
127.0.0.1 aim3.adsoftware.com
127.0.0.1 aim4.adsoftware.com
127.0.0.1 aim5.adsoftware.com
127.0.0.1 www.adsoftware.com
Wenn man das Programm mit advert.dll startest solltest nun das Standartdisplay zu sehen sein, wenn es um Informationen bittet = canceln ---!!!! in ein-zwei Tagen wird auf http://grc.com/aureate.htm ein Remover veroeffentlicht werden
bye_Carrie
(Carrie)
Hi alle miteinand,
habe gestern die Dll's umbenannt und die Reg.
gesäubert. Danach alles nochmal gecheckt,
scheint OK zu sein.?! Oder nicht??
Wer weiss gegenteiliges?
Gruss
Reini
((Anonym))
Und ich hab die dlls gelöscht und die Verzeichnisse (AMC) leer gelassen, dafür schreibgeschützt gemacht. Was muss ich denn noch in der Registry machen?
Daddel
(Daddeldu)
Kennt jemand einen vernünftigen Downloadmanager, der nicht betroffen ist?
(Derry)
Also Leute, wegen dem D/L Manager.
Ich benutze Getright 4.11. ABER: Ich habe weder diesen Ordner, noch diesen Schlüssel in der Registry. Ich erkläre es mir so: Da ich ab und an mal Win neu installiere, habe ich mir diesmal nicht erst die Mühe gemacht Getright neu zu installieren. Ich habe einfach die Datei die in dem Order ist wo ich Getright mal hininstalliert hatte ausgeführt. Hab zwar jetzt keinen Eintrag in der Startleiste mehr, aber eine Verknüpfung auf dem Desktop tuts auch. Übrigens: Ich habe zwei Partitionen von denen c: nur für Windows ist. Ich habe vor dem Installieren von Win c: formatiert! Getright war auf d: installiert.
Also ich denke ich habe keine Probs.
cu
(Mr.Athlon (Anonym))
Nach all den Hühnern nun ne Ente? Schaut mal bei heise.de rein. Ist das alles nur Paranoia? 29/02/00
((Anonym))
Der Mist ist von Getright. Ich habe die AMCIS.dll einfach umbenannt, und schon waren die Werbebanner weg.
Ist mir mit ner registrierten Version von Getright passiert, das trotzdem Werbung gelaufen ist. Das hat mich stutzig gemacht.
m.f.G.
(schmitzesa)
Unter www.heisse.de gibts noch einige andere Info's.
((Anonym))
Vielleicht ist alles gar nicht so wild:
http://www.heise.de/newsticker/data/nl-29.02.00-000/
((Anonym))
Welche Firewall ist zu empfehlen. Benutze zur Zeit Zone Alarm u. eSafe. Was konnen diese beiden Programme? Wie sicher bin ich mit Linux?
(marhab)
... und wieder eine unheimliche Verschwörung :
Immer noch diese Mär "Aureate spioniert User über bestimmte
Programme" aus. Wer das halbwegs gescheit überprüfen kann, wird
feststellen, das dies barer Unsinn ist. Einfach mal auf der CT Seite die
News vom 29.02. ansehen.
Das Software mitunter die Festplatte mit Dateien vollmüllt, die
einem verdächtig vorkommen, führen die Großen wie Micr$sof$
ja vor.
...und bei weiter vorhandener Paranoia einfach Firewall, wie z.B.
ATGuard (gibt es nicht mehr - ich weiss : NIS) oder Conseal private
einsetzen.
Gruss
Ainur
(Ainur)