Spyware "TinyBar" ?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Trotzkopf, 2. April 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hallo!

    Ich habe mit XP Clean 5,7 einen Spywaretest durchgeführt, wobei folgendes als Ergebnis angeführt wurde:
    "ctor.dll" und "TinyBar"

    Beides sagte mir nichts und habe deshalb ein bisschen gegoogelt. Ich weiß nun, dass ich auf keinen Fall "ctor.dll" nicht löschen darf.
    Ich habe jedoch keine brauchbaren Informationen über "TinyBar" gefunden mit Ausnahme, dass es eine Spyware ist und das man nur schwer wieder los wird.

    Kann mir jemand erklären, wobei es sich hier genau handelt?

    Danke und liebe Grüße,
    Trotzkopf
     
  2. ankeforever

    ankeforever Viertel Gigabyte

    Registriert seit:
    25. Juli 2004
    Beiträge:
    2.958
  3. tobiy

    tobiy Kbyte

    Registriert seit:
    4. April 2004
    Beiträge:
    370
    Falls dir die nicht gerade informativen Links nix bringen, würde ich dir empfehlen die Proggies Spybot sowie AdAware mit den aktuellen Updates über deinen rechner zu jagen. :D
     
  4. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hi Tobiy,

    danke für den Tipp. Habe ihn auch befolgt:

    Mit AdAware konnte nichts gefunden werden;
    mit Spybot habe ich den Eintrag "Weather Cast" gefunden, den ich immunisiert habe.
    Aber einen Hinweis auf TinyBar konnte ich leider nicht finden; ob er eventuell in Zusammenhang mit "Weather Cast" steht?

    Liebe Grüsse,
    Trotzkopf
     
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstelle mal in Hijackthis-Logfile, wie hier beschrieben:
    http://www.pcwelt.de/forum/thread134046.html
    und schicke den Link zur Auswertung hierher.
    Es wäre aber auch möglich das es sich um einen Fehlalarm handelt.


    Grüße Jasager
     
  6. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hallo Jasager,

    habe diese Logfile erstellt - hoffe, dass ich es richtig gemacht habe:

    Logfile of HijackThis v1.99.1
    Scan saved at 12:40:31, on 03.04.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Norton Internet Security\ISSVC.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    c:\programme\0190 warner\w0svc.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
    C:\WINDOWS\system32\pctspk.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

    Danke für Deine Hilfe im voraus!
    Liebe Grüsse
    Trotzkopf
     
  7. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    wie groß oder dick soll ich eigentlich Link noch schreiben, warum liest du nicht was im Link steht. Das ist auch nicht das gesamte Logfile sondern nur der erste Teil.


    Grüße Jasager
     
  8. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
    Moin Trotzkopf,

    zuerst meinen GLÜCKWUNSCH, dass AON wieder läuft!!!!! :) :spitze: :)


    Das ist "TinyBar" :o :
    http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453072550

    Im unteren Teil steht, wie Du die Malware von Hand wieder los wirst (Dateinamen, Registry-Einträge etc.):
    http://tinybar.antispytools.com/

    Warte aber bitte auf das Ergebnis von "HijackThis" (HT), vielleicht war es ja nur ein Fehlalarm!

    Werte Deine "Hijack This"-.log-Datei bitte unter folgender Adresse aus:
    http://www.hijackthis.de/

    Dazu entweder .log-Datei auf Festplatte suchen und hochladen oder aber im Editor öffnen, Inhalt komplett kopieren und in den großen weißen Kasten auf der HT-Seite einfügen, dann Knopf "Auswerten" drücken.

    - Speichere das Ergebnis mittels des Knopfs "Auswertung speichern" (bleibt für drei Tage erhalten)
    - poste dann hier bitte NUR den Link zu dem bei "Hijack This" gespeicherten Ergebnis, Du findest es mit dem Ergebnisfenster in der Adresszeile des Browsers

    So kann jeder sich anschauen, was da im Argen ist und Dir Tipps geben, es zu beheben.

    (Als Beispiel habe ich den von Dir geposteten unvollständigen Teil einmal durchlaufen lassen:
    http://www.hijackthis.de/logfiles/8632e690238828a78c975c61a2753ffe.html)

    -----
    Nachsatz:
    Wenn Du nun die Einträge fixen willst, musst Du auf Deinem Rechner noch einmal HT starten, neu scannen und in der Ergebnisliste nach "AON.Search" suchen (da steht R1 vorne dran), dann 1 Häkchen vor die R1-Zeile setzen und aufs Knöbbsche "Fix checked" drücken. Damit sollte der Eintrag entfernt sein.
    -----

    Alles Gute,
    Thor :wink:
     
  9. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hallo!

    @ Jasager
    Leider ist noch kein Meister vom Himmel gefallen! Habe leider etwas übersehen; aber wenn ich ein Profi wäre, dann bräuchte ich ja keine Hilfe :)

    @ Thor
    Danke für Deine Antwort - hat mir sehr weitergeholfen! ;)

    Hier ist nun der Link:

    http://www.hijackthis.de/logfiles/5439f473ac491fa03ee348c2cae2b274.html

    Danke für jede weitere Hilfe.

    Liebe Grüsse,
    Trotzkopf
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    verlangt ja auch keiner von dir das du ein Profi ist, beim nächsten mal einfach den Link sorgfältiger durchlesen. Da du jetzt nicht der erste warst der das nicht tut, wird der Ton halt recht schnell etwas barscher, naja...
    Aber jetzt zu deinem Log,
    C:\Dokumente und Einstellungen\IPC\Desktop\1_99_1.exe
    Falls die der Eintrag nicht bekannt ist, habe allerdings den Verdacht das es sich um Hijackthis selber handelt, überprüfe die Datei mal hier:
    http://virusscan.jotti.org/

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
    Diesen Eintrag solltest du fixen, d.h. einfach einen Haken davor machen und auf "fix checked" klicken.
    Ansonsten ist dein System sauber, falls der Eintrag bei XP Clean 5,7 immernoch auftauchen sollte, denke ich das es ein Fehlalarm ist.


    Grüße Jasager
     
  11. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hallo Jasager,

    habe den Eintrag nun gelöscht und nochmals XP Clean durchlaufen lassen; der Eintrag von TinyBar ist jedoch noch vorhanden.

    Liebe Grüsse,
    Trotzkopf
     
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    dann kann ich dir nur noch raten es mal mit fogenden Antispyprogrammen zu versuchen: Spybot, Adaware, Microsoft Anrispyware. Habe mal kurz nach der Tinybar gegooglet und habe da auch Threads gefunden die meinen das XP Clean 5.7 auch schon mal gerne einen Fehlalarm fabriziert.

    Grüße Jasager
     
  13. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
    @ Trotzkopf

    Moin nochmal,

    lies bitte die PN, die ich Dir geschickt habe. Die Dateien, nach denen Du fahnden solltest, findest Du hier:

    Gibt es diese Dateien auf Deiner Festplatte? Falls nicht, ist es vielleicht nur ein Fehlalarm (wenn Dateien negativ & Adaware+Spybot+HT negativ).

    Toi, Toi Toi,
    Thor ;)
     
  14. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hallo Jasager,
    Hallo Thor,


    @ Jasager
    Spybot und AdAware geben mir keine Einträge; scheint alles in Ordnung zu sein. Soll ich da tatsächlich noch Microsoft Antispyware laufen lassen?

    @ Thor
    Habe nun nach den genannten Dateien gesucht; händisch im Explorer unter Windows/System32 sowie auch mit dem Suchassistenten - versteckte Dateien und Ordner habe ich mir anzeigen lassen. Die Dateien gibt es nicht; kann absolut nichts finden.

    Ich hoffe nun wirklich, dass das alles nur ein Fehlalarm ist.

    Liebe Grüsse,
    Trotzkopf
     
  15. Thor Branke

    Thor Branke CD-R 80

    Registriert seit:
    8. Februar 2005
    Beiträge:
    9.482
    Moin,

    ich wünsche es Dir, solche Malware kann mächtig hartnäckig sein. Aber es hat wirklich den Anschein, dass es glimpflich ausgeht. Beim Browserstart bist Du doch bisher sicher nicht auf unerwünschte Seiten weitergeleitet worden oder hast plötzlich unerfreuliche Favoriten in der Liste?

    War eine Menge Aufwand, aber immerhin gibts jetzt einen HijackThis-Profi mehr! ;)

    Alles Gute,
    Thor :spitze:
     
  16. Trotzkopf

    Trotzkopf Byte

    Registriert seit:
    9. Februar 2005
    Beiträge:
    32
    Hallo Thor!

    Bis jetzt wurde ich noch nie weitergeleitet, habe auch keine unerfreulichen Favoriten in meiner Liste. Es sind mir bisher auch noch keine Ungereimtheiten aufgefallen; nichts Auffälliges.

    Danke nochmals für die Hilfe - auch an Jasager.

    Liebe Grüsse,
    Trotzkopf
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen