Endlessgame.tk ?

Hey leute,

ich schreibe diesen Beitrag um euch von meinem unheimlichsten Erlebnis zu erzählen. Weil ein Freund auf Facebook einen link gepostet hat hab ich draufgeklickt unachtsam und kam auf die Seite endlessgame.tk. Hier öffnete sich ein Jave applet fenster wo ich etwas bestätigen sollte, was ich glaub ich getan hab-.-.
Naja aufjedenfall bekam ich dann ein komisches fenster mit Windows Live logo wo ich irgendein passwort eingeben sollte(C:\\windows\system32\install\ms.exe. Die datei existierte aber nich also hab adaware diese malware oder was auch immer das war entfernen lassen. Nun wurde es aber erst richtig unheimlich. ich habe einen Reboot gemacht und mich wieder bei MSN angemeldet und bekam die Meldung, dass noch jemand eingeloggt sei "TIMSKI-PC" oder so ähnlich. Dann ist einer meiner Freunde, welcher auch auf der Seite war aus seinem MSN rausgeflogen und ich habe plötzlich mit jemandem kommuniziert, der alles sehen konnte was ich mache!!
Er meinet er sei ein guter Samariter und will nur die Leute aufwecken wie unachtsam sie sind im Internet. Aufjedenfall hat er gesagt ich solle nochmal auf diese Seite gehen und das Applet bestätigen und dann würde da so ein clean button kommen, welcher bei mir nicht kam. Trotzdem meinte er er würde meinen Bildschirm nun nicht mehr sehen.
Hat jemand schon mal so etwas unheimliches erlebt???
Wenn jemand erfahrung mit diesm Typen hat bitte ich um infos
Netter Kerl. Österreicher:p aber trotzdem traue ich dem Kerl nicht und bin nun am überlegen ob ich formatieren soll, was wahrscheinlich sinnvol wäre....

Auf anfrage Poste ich gerne den Chatinhalt mit dem Virus...

Mfg
Vossi91

 

Die URL-Endung tk steht für einen Inselstaat mit knapp 1500 Einwohnern und wird gerne von Spammern und Betrügern benutzt und anderen zwielichtige Gestalten. Man kann die Endung getrost im Spamfilter sperren.

http://en.wikipedia.org/wiki/.tk

 

ein rat mit recht guten erkennungsraten:
http://www.virustotal.com/de/analis...cbaf65b94e43334bf3539dc62f8c79ba22-1275513341
dass von einem solchen ein professioneller angreifer gebrauch macht, wäre ungewöhnlich, aber was sich mit einem tool dieser gattung anstellen lässt, ist enorm, daher:
neumachen und dazulernen.

 

Gibt es möglichkeiten diese Tools bzw. Programme zu enttarenen? Zum Beispiel über TCP-View, da ja diese Programme ständig mit dem Internet verbunden sein müssen.
Ich bin eigentlich ziemlich versiert was Computer angeht aber es war kein neuer Prozess festzustellen oder ähnliches
Was mich noch Interessiert ist, die Sache ob es realistisch ist, dass sich dieser Trojaner durch das klicken dieser Applet Bestätigung deaktiviert hat.
Dass ich meinen PC neumachen muss is mir klar aber mich interessiert vorallem auch wie der angreifer das geschafft hat ohne das ich auch nur die leiseste ahnung hatte.
Achso und vielleicht könnte ja ein admin mal anregen eine generelle Warnung rauszugeben zu dieser Seite.

EDIT:
Ich werd mal Hijack This draus loslassen vielleicht bringts ja was

 

Wenn der Angreifer dich dazu bringt, etwas auszuführen, hat er schon fast gewonnen. Ein AV-Programm kann dann noch warnen, aber wenn man sich auch davon nicht abbringen lässt, ist Hopfen und Malz verloren.
Die Verbreitung von Malware über ICQ ist aber oft schneller als die Signatur, die den Schädling erkennt. Man müsste praktisch beim Gegenüber, den man persönlich kennt, telefonisch anfragen, ob der Inhalt vertrauenswürdig ist.
Das geht aber kaum, also muss man sich zurück halten oder das System so absichern, dass man es jederzeit komplett wiederherstellen kann, über das täglich, angefertigte Sicherungsimage zum Beispiel..
Virtuelle Maschinen und Sandboxverfahren wäre auch eine Möglichkeit, um zu verhindern, dass Malware bis zum installierten System durch kommt.

 

Das is ja das Problem. Mein Antivir hat nichts angezeigt!
Aber ist das möglich das dieses Remote ding einfach wieder deaktiviert bzw. deinstalliert wurde durch dieses anklicken des Java Applets?
Weil ich hab mal Hijack This gecheckt und auch Spybot Search and destroy. Einige Trojaner waren drauf... Bin grad dabei das zu entfernen.

 

Davon würde ich mal nicht aus gehen. Oder es wurde deaktiviert, gleichzeitig aber ein anderer Schädling herunter geladen und ausgeführt.

 

Hab ich mir fast gedacht scheiße...
Mich hat das total irritiert das der Typ einfach nur meinen Monitor überwacht hat aber sonst nix und er meinte er würde zu den "Guten" gehören

Komisch is aber auch das meine Freundin auch draufgeklickt hat und das ding angeblich auch hat bzw. hatte aber ich finde weder in Hijack This noch in Search and destroy . Müsste ich in TCP-View nicht eigentlich was feststellen können?


*** Bitte in Zukunft einen Post nutzen und ggf. den -Button verwenden *** neo

 

Wenn du eine Verbindungsübersicht von vorher zum Vergleich abgespeichert hast, wäre das äußerst hilfreich.

 

Hab ich natürlich nich Gibt es bestimmte Ports welche diese Programme bzw. Schädlinge nutzen?

 

Tja wenn man diese Seite unter Linux öffnet, passiert nichts. Ein Blick in den Quelltext verrät, dass diese Seite auf "timskii_bplaced_de/installer.exe" weiterleitet. Du hast also etwas ohne dein Wissen heruntergeladen und wahrscheinlich installiert/gestartet.

Edit: Habe das gerade bei bplaced.net gemeldet.

 

Es gibt Portlisten mit Ports, die von Trojanern benutzt werden, aber grundsätzlich kann jeder Port genutzt werden, auch welche, die bereits genutzt werden, wie 80 (Browser) oder 25 (Mail).

 

Oh man verdammt. Danke fürs melde ein hoch auf Linux

hey leute ich denke ich habs jetz endlich. Also Spybot hat bei mir Win32.Spynet.a gefunden. Ich hab die registry komplett gesäubert und hab den namen mal gegoogelt. Es würde zu den Symptomen passen


*** hier auch *** neo

 

Wenn du da nicht neu aufsetzt, gehst du ein hohes Risiko ein.
http://www.threatexpert.com/report.aspx?md5=0261bb0f9de48247cf6683ae28a85098

 

Ich werde ihn auch neu aufsetzen am wochenende aber wenigstens hab ich die Ursache gefunden

hilft eigentlich ne systemwiederherstellung?


*** und hier *** neo

 

Wenn ja, würde dir a) dazu geraten werden b) dieses Unterforum leer

 

Nein. Man soll sie sogar deaktivieren, damit sich darüber keine Schädlinge verstecken und wieder aktivieren können.
http://hoax-info.tubit.tu-berlin.de/virus/sysres.shtml

 

Das war mir echt neu.

Ich hab das meiste entfernt aber einen Schlüssel krieg ich nich weg verdammt. Na toll schon wieder formatieren -.-

Gibt es Programme mit denen ich sowas verhindern kann also dass sich so ne datei einfach installiert?

 

http://brain.yubb.de/

 

Wohoo die Comedians sind auch alle anwesend