Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Security Warning

Logger1 / 8 Antworten / Baumansicht Nickles

Hallo
habe wieder das gelbe Dreieck mit Ausrufezeichen ( in der unteren Statuszeile ) und anschließende
Popups bezüglich Download von Spywareprogramme , der übliche Quatsch .
Wie kann man das wegbekommen .
Wenn ich früher zufällig mal die Adresse in der Registrierung durch Spyboot bekam , brauchte ich nur die Indizes mit sinnlosen Buchstaben zu überschreiben , und das Problem war gelöst .
Hat einer eine Idee ?
Danke im Voraus .
Logger1

bei Antwort benachrichtigen
shrek3 Logger1 „Security Warning“
Optionen

Hallo logger1,

welche Spyware-Programme will man dir per Popups unterjubeln?

Gibt es seit dem Auftauchen dieser Popups seltsame Verhaltensweisen am PC - z.B. kurzzeitige Veränderung des Mauszeigers, Veränderung des Desktop-Hintergrundbildes?
Oder kannst du z.B. nicht mehr den Task-Manager öffnen über Strg + Alt + Entf?

Hast du vor erstmaligem Auftauchen ein Programm installiert? Wie heißt dieses Programm?

Lade dir hijackthis herunter, führe das Programm aus und poste den kompletten Inhalt des Logfiles in dein nächstes Posting.
Download hier: http://www.hijackthis.de/de

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Logger1 shrek3 „Hallo logger1, welche Spyware-Programme will man dir per Popups unterjubeln?...“
Optionen

hallo shrek3 ,
habe mal kurz in "hijackthis " reingeschaut . Da ich nicht wußte , wie das mit dem
logfile funktioniert ( sprich > wo holt man den her hab ich mal eine Systemwiederherstellung probiert . Die teste ich , in dem ich mal die zukünftigen Popups / Statusswarnschilder ansehe .
Zum Spywareprogramm > eins heißt IE Antyspyware .
Jetzt habe ich gerade folgendes
a) Warnschild Dreieck /Ausrufezeichen /
b) Nachricht im Popup ( zeigt aus Warnschild )
Security Alert : Spyware found
Your computer is infectedwith the last version of PSW.x-Vir trojan > usw/usw
Click this baloon to remove PSW.x-Vir spyware
( Diese Leute nerven nur , um Anti Spyware Programme zu verkaufen )
--------------------------------------------------------------------------------------------------------------

Mauszeiger / Deskop / Task manager okay ... keine Veränderung

Welches Programm ich zufällig installiert habe , weiß ich nicht mehr .
Müßte so ein Videoabrufprogramm sein . Einmal zuvieldraufgedrückt und schon kamen mehrer Antispywareprogramme ( 2 hab ich aus der Softwareliste entfernt )
---------------------------------------------------------------------------------------------------------

Wahrscheinlich muß du mir doch erklären , was sich hinter dem Begriff
"Logfile runterladen " verbirgt .

Also ,auf der Seite , auf der man das Logfile aufspielen kann war ich schon .

Jetzt wärs nett , mit ein paar Sätze das " Logfile abrufen" zu definieren .

Hat aber Zeit . Ich hab schon viele Viren , etc. gehabt .

Vielen Dank für die Vorabinfos .

MFG
logger1


bei Antwort benachrichtigen
shrek3 Logger1 „hallo shrek3 , habe mal kurz in hijackthis reingeschaut . Da ich nicht wußte ,...“
Optionen
Einmal zuvieldraufgedrückt und schon kamen mehrer Antispywareprogramme ( 2 hab ich aus der Softwareliste entfernt )

Dann ist es zu spät.
Ich hatte mir mal den "Spass" gegönnt, ein solches Programm von einem Kunden-PC zu "säubern" (hatte gerade genug Zeit und sowieso nicht vor, dem Kunden den PC im "gesäuberten" Zustand zurückzugeben).

Es ging um das "Programm" namens Spysheriff.
Brauchte dafür 8 Stunden und hätte anschließend noch mindestens eine Woche lang den PC genauestens beobachten und immer wieder checken müssen, um einigermaßen sicher zu sein, dass von diesem üblen Programm wirklich nichts zurück geblieben ist.

Ich kann dir nur sagen - es lohnt die Mühe nicht.

Zu Hijack:
Gehe nochmal auf die Seite http://www.hijackthis.de/de und klicke ganz rechts oben auf "Direktdownload".
Speicher das Programm z.B. auf dem Desktop ab und installiere es.
Führe es dann aus und wähle "Do a system scan and save a logfile".

Hijack überprüft nun typische Pfade in der Registry, an denen Programme schon vom PC-Start weg mitgestartet werden können.
Am Ende dieses Vorgangs erscheint eine Textdatei, in der die Ergebnisse aufgelistet werden.
Diesen Text kopierst du entweder auf der Webseite von Hijack und wertest ihn per Klick auf die (kleine) Schaltfläche "Auswerten" aus oder du kopierst ihn in dein nächstes Posting.

Gruß
Shrek3
Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Logger1 shrek3 „ Dann ist es zu spät. Ich hatte mir mal den Spass gegönnt, ein solches...“
Optionen

Hallo shrek3 ,
soweit bin ich jetzt .( In einer anderen Liste , die ich gesehen habe , kann man die Programme löschen per anclicken und rauswerfen )
In dieser Logfile Liste hab ich schon ein paar Programme gesehen , die ich negativ einschätze . aber ich warte mal dein Statement ab .

Logfile of HijackThis v1.99.1
Scan saved at 16:17:07, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Video Add-on\icthis.exe
C:\Programme\Video Add-on\isfmntr.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\Video Add-on\icmntr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Video Add-on\isfmm.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: (no name) - {DD124C16-8E8E-F85C-DEA8-D22896573BED} - C:\WINDOWS\system32\kby.dll (file missing)
R3 - URLSearchHook: (no name) - {85174E13-8F8F-AC5E-DEA8-D228965761BC} - C:\WINDOWS\system32\rlveyz.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {85174E13-8F8F-AC5E-DEA8-D228965761BC} - C:\WINDOWS\system32\rlveyz.dll
O2 - BHO: (no name) - {d869742a-e5d2-4624-96c7-aae26170665e} - C:\Programme\SoftCodec\isaddon.dll (file missing)
O2 - BHO: (no name) - {DD124C16-8E8E-F85C-DEA8-D22896573BED} - C:\WINDOWS\system32\kby.dll (file missing)
O2 - BHO: (no name) - {E8249E69-A809-4544-832F-64EB65747A92} - C:\Programme\Video Add-on\isfmdl.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Programme\Helper\webfindsite.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [AdwareAlert] C:\Programme\AdwareAlert\AdwareAlert.Exe -boot
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [MPlay64] c:\programme\gemeinsame dateien\system\dfb60b16.exe /noerrorinfo
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Hot_Tarts_de] C:\Program Files\hbt\Dialers\Hot_Tarts_de\Hot_Tarts_de.exe /dontdial
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [DSplayer_WhenUSave_Installer] C:\Programme\DSplayer_WhenUSave_Installer\DSplayer_WhenUSave_Installer.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [Sold] "C:\WINDOWS\system32\PPPATC~1\userinit.exe" -vt yazb
O4 - HKCU\..\Run: [Woqwnl] C:\Programme\F?nts\j?vaw.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.topsoftwarefeed.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.topsoftwarefeed.com/redirect.php (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{471511C9-A099-4715-B4E9-37E6633233E5}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{55CB18E1-289B-4C31-8E43-CD2F01599ABF}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{68FA275A-9189-4D79-A80F-DF04E4601A74}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8B1A0CA-FC12-460C-8529-F8468F5C3535}: NameServer = 85.255.115.61,85.255.112.97
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.61 85.255.112.97
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: contrabandists - {dfa61db1-388e-4c87-8d56-540fa229bcb4} - C:\WINDOWS\system32\dpfwu.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

Schon merkwürdig > video-add programme / IE Anti Spyware /Hot_Tarts/ Adware Alert / > kommen mir alle sehr verdächtig vor .
Mfg
logger1

bei Antwort benachrichtigen
shrek3 Logger1 „Hallo shrek3 , soweit bin ich jetzt . In einer anderen Liste , die ich gesehen...“
Optionen

Mein lieber Schwan, bei dir wimmelt es nur so von gefährlich eingeschätzten Einträgen.
Sieht fast so aus, als wenn dein PC fest in der Hand eines Servers in der Ukraine ist (irgendwo müssen die Halunken ja schließlich wissen, wohin sie die Popups versenden können)...
War damals auch beim verseuchten Kunden-PC der Fall (Spysheriff).

Hast du selber mal den Text zur Auswertung auf der Hijack-Seite eingegeben?

Da Hijackthis kein Virenscanner ist, sondern lediglich bestimmte Bereiche der Registry auf verdächtige Einträge untersucht, befinden sich die wahren Übeltäter als Rootkits unsichtbar auf der Festplatte.

Dagegen hilft nur eines wirklich:

Wichtige Daten sichern, XP neu installieren.

Wie man sauber installiert, steht hier narrensicher beschrieben:
http://home.arcor.de/j120542/allgemein/Installation_von_WindowsXP.pdf

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
Logger1 shrek3 „Mein lieber Schwan, bei dir wimmelt es nur so von gefährlich eingeschätzten...“
Optionen

Hallo shrek3

kurios , aber wahr ... nichts mehr zu sehen von Alertschildern / Popups / etc.

1) habe alle gefährlicherscheinenden ( trust / IP Nummer / etc) gelöscht über
a) logfile
b) scan + fixieren
2) ! außer > Video -Add on [ Aktenordner auf Festplatte C ]
Bestandteil von Video-Add on
a) ts.ico >>> konnte ich löschen
b) ot.ico >>>> "
-----------------------------------------------------------
c) icun.exe >>> konnte ich nicht löschen > ZUgriff verweigert wegen Benutzung durch andere
d) isfun.exe >>> "
f) isfmn.exe >> "
g) icmntr.exe >> "
h) isfmdl.dll >> "
-------------------------------------------------------
i) isfmntr.exe >>> konnte ich löschen
j) isfmm.exe >>> "
---------------------------------------------------------
den Ordner Video-add on war nicht löschbar ... wegen Zugriff anderer .

Habe folgendes versucht ( hatte schon mal irgendwann die Indizes eines Trojaners überschrieben
-und zwar in der Registrierung , per Spybot& Destroy wurde der Ort angeben - und alles war in Ordnung )

habe die exe überschrieben , also statt exe = exf / exd , usw.

habe 2 von 4 exe Dateien nacheinander gesendet zu TEXTPAD ( kann Hexadezimalzahlen / ANS Charakters , etc. darstellen )
habe den dargestellten Inhalt gelöscht >>
Abfrage " Verändern oder nicht ? Ja X
Abfrage " Dies ist eine Zugriffverletzung , wollen sie trotzdem die Veränderung vornehmen ? ja X

Nichts passiert ! > habe beide TEXTPADs verkleinert auf Statusleiste .

Computer ausgeschaltet !
vorher kam die
Abfrage " Es steht noch eine Frage aus . Wollen sie die Veränderung vornehmen ? ja x
( Die unbeantwortete Frage hing ja noch in der Luft bezgl. Zugriffsverletzung )
nach anclicken von ja x > fuhr der Computer runter .

Hab den Computer wieder hochgefahren und siehe da , ich konnte plötzlich alle exe Dateien und den Ordner Video Add on > in den Papierkorb werfen .
( Analyse ohne Gewähr : wenn das Zusammenspiel von exe Dateien ( oder Trojaner /Viren ) etc. gestört wird durch Veränderung der kryptischen / hexadezimalen / binären Informationen , sind diese Störlinge unschädlich )
Das hijackthis ist für solche Vernichtungen eine sehr gute Vorbereitung .
Eine Bestätigung für dies Vorgehensweise wäre gut , denn viele Leute brauchen den Computer und keinen Stress .

MFG
logger1



bei Antwort benachrichtigen
Logger1 shrek3 „Mein lieber Schwan, bei dir wimmelt es nur so von gefährlich eingeschätzten...“
Optionen

Hallo ,
danke für die Infos und Hinweis auf hijackthis .
Habe mal alle logfiles eingegeben zur Auswertung ( sehr gute Infos mit guter Beschreibung )
Dank der Infos bin ich jetzt mal vorerst frei von den Popups und den lästigen Umschaltvorgängen und Beeiflussungen
beim Surfen , etc.
MFG
logger1
P.S Installationsanleitung für XP hab ich mir auch gespeichert .

bei Antwort benachrichtigen
shrek3 Logger1 „Hallo , danke für die Infos und Hinweis auf hijackthis . Habe mal alle logfiles...“
Optionen

Ich bin da sehr skeptisch.
Ukrainische Server sind nicht zu unterschätzen.

Vermute, dass da noch Rootkits im Spiel sind und aus dem Hintergrund heraus dafür sorgen werden, dass demnächst wieder Schädlinge ihr Unwesen treiben.

Die Fixes durch Hijack packen das Problem nämlich nur an der Oberfläche an.
Lass mal Blacklight danach suchen:
http://www.pcwelt.de/downloads/datenschutz/sicherheit/128506/

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen