Spyware.

Dieses Thema im Forum "Sicherheit" wurde erstellt von sebisch, 22. August 2005.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    Hallo!
    Ich habe wieder einmal (wie so oft) ein Problem. Diesmal geht es um Spyware. Gleich einmal am Anfang: ich habe WinXP Home mit SP1 (ich weiß..., hab mir eh schon SP2 bestellt..)
    Als erstes muss ich zu meiner Schande gestehen, dass ich ohne ausreichenden Schutz auf einer Serien-Nummer Suchmaschien war. Doert habe ich einen Link angeklick. Eine Site erschien, danach ein Pop-Up und dann hat sich der i-explorer automatisch geschlossen. Danach erschien ein Warn- Symbol auf der Leiste neben der Uhr und schrieb, dass mein Computer mit Spyware infiziert worden ist. Ich habe meinen PC ofort resetet und beim nächsten start erschien das Warnsymbol wieder diesmal mit folgendem Text:
    "<Warndreieck> Your Computer is infected!

    Windows has detected spyware infection!

    It is recommend to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.

    Click here to protect your computer from Spyware."

    Ich hatte zu dem Zeitpunkt keine Verbindung zum Netz. Zuerst habe ich bversucht den Task- Manager zu öffnen, doch da erschien nur die Meldung: "Der Task- Manager wurde durch den Administrator deaktiviert"
    Ich habe danach meinen AV- Scanner (ewido) durchlaufen lassen, der hat ungefähr 50 Dateien gefunden die mit folgendem zeug infiziert waren:
    Spyware.ISTBar
    Dialer.Generic
    Not-A-Virus.Hoax.Renos.I
    TrojanDownloader.Small.aux
    TrojanDownloader.Small.atl
    TrojanDownloader.Small.bho
    Trojan.LowZones.y
    TrojanDropper.Small.acg
    TrojanDownloader.Agent.li
    Spyware.Cokie.Ivwbox
    Spyware.Cokie.Doubleclick
    Spyware.Cokie.Adition
    Spyware.Cokie.Advertising
    Spyware.Cokie.Valuclick
    Spyware.Cokie.Adtech
    Spyware.Cokie.Falkag
    Spyware.Cokie.Tradedoubler

    Mir sagt das alles nicht viel, aber es wurde entfernt und ich habe danach den PC neu gestartet. Das Symbol war weg, der Task- Manager ließ sich immer noch nicht öffnen. Also hab ich den PC im Abgesicherten Modus als Admin gestartet, aber dort ging er auch nicht.
    Ich habe dann meinen W-LAN adapter aktiviert (internet läuft darüber), dann erschien das selbe Symbol neben der Uhrzeit wieder und mein PC schickte sofort Daten ans Netz und empfing auch welche. Ich habe die Verbindung sofort getrennt und ewido noch mal durchlaufen lassen. Davon habe ich jetzt das ganze Protokoll:

    Report 2.Scan:

    ---------------------------------------------------------
    ewido security suite - Scan Report
    ---------------------------------------------------------

    + Erstellt am: 11:09:46, 22.08.2005
    + Report-Checksumme: 55AE85CD

    + Scanergebnis:

    [1276] C:\WINDOWS\System32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
    [584] C:\WINDOWS\System32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Gesäubert mit Backup
    [1716] C:\WINDOWS\System32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Fehler beim Säubern
    [1528] C:\WINDOWS\System32\vxgamet1.exe -> Trojan.LowZones.y : Gesäubert mit Backup
    C:\WINDOWS\system32\vxh8jkdq1.exe -> TrojanDownloader.Small.bho : Gesäubert mit Backup
    C:\WINDOWS\system32\vxh8jkdq8.exe -> TrojanDownloader.Small.bho : Gesäubert mit Backup
    C:\WINDOWS\system32\vxh8jkdq2.exe -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
    C:\WINDOWS\system32\vxh8jkdq6.exe -> TrojanDownloader.Small.aux : Gesäubert mit Backup
    C:\WINDOWS\system32\vxh8jkdq7.exe -> TrojanDownloader.Small.atl : Gesäubert mit Backup
    C:\WINDOWS\system32\vxgamet1.exe -> Trojan.LowZones.y : Gesäubert mit Backup
    C:\WINDOWS\system32\vxgame1.exe -> TrojanDropper.Small.acg : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\1.qtdfmp -> TrojanDownloader.Small.bho : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\2.qtdfmp -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\6.qtdfmp -> TrojanDownloader.Small.aux : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\7.qtdfmp -> TrojanDownloader.Small.atl : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\vxt1.game -> Trojan.LowZones.y : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\vx1.game -> TrojanDropper.Small.acg : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031048.exe -> Not-A-Virus.Hoax.Renos.l : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031049.exe -> TrojanDownloader.Small.atl : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031050.exe -> TrojanDownloader.Small.bho : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031051.exe -> Trojan.LowZones.y : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031052.exe -> TrojanDropper.Small.acg : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031053.exe -> Dialer.Generic : Gesäubert mit Backup
    C:\System Volume Information\_restore{B783E395-4DE8-4CFF-B3FB-5FFD772AE8A4}\RP34\A0031056.exe -> TrojanDownloader.Small.aux : Gesäubert mit Backup


    ::Report Ende

    Vor allem das orange macht mir sorgen. Das Symbol ist wieder weg, der Task-Manager geht noch immer nicht, arbeiten (Word, etc.) kann ich aber darauf.
    Bis jetzt bin ich von dem PC aus nicht mehr ins internet gegangen, weil ich gerne wissen will ob diese Warnung wirklich von Microsoft stammt,und wenn nicht, wie ich die Spyware wieder entfernen (wenns geht ohne, dass ich meinen PC komplett formatieren muss) kann.

    Ich hoffe ihr könnt mir helfen.
    mfg,
    Sebastian
     
  2. Dragonmaster

    Dragonmaster Halbes Megabyte

    Registriert seit:
    30. August 2002
    Beiträge:
    548
    Du hast aber schon mal was von "AdAware" und "Spybot" gehört, oder? Die sollen da manchmal ganz nützlich sein... Und HijackThis natürlich nicht zu vergessen!

    Ich glaube nicht, dass die Meldung von MS kommt, sondern von dem Bösewicht selber.
     
  3. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    habe den starken Verdacht das du dir was aus der smitfraud Familie eingefangen hast, erstelle mal bitte ein HijackThis Log wie hier beschrieben und arbeite dich mal durch den vierten Beitrag hier durch, und poste dann auch die entsprechenden Logs.


    Grüße Jasager
     
  4. Tamburas

    Tamburas Guest

    So ist es. Schönen Gruß von "SpySheriff" und Kollegen.

    @ Jasager
    Imo sollte der TO erstmal die Anleitung von cronos abarbeiten und dann Hijackthis drüberlaufen lassen. Den Status quo haben wir ja schon im wesentlichen. Sehe nur die üblichen Downloader, den Lower und noch keine Backdoor. Vielleicht hat der TO nochmal Glück. Obwohl: So richtig gönnen würde ich es ihm nicht: Mit ungepatchtem System und ungesichertem IE auf dubiose Seiten surfen und dann: "Huch, der SpySheriff ist da."
     
  5. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    @Tamburas
    Ich weiß nicht ob du mich jetzt falsch verstanden hast, ich rate doch gar nicht zum neuaufsetzen, in dem 4. Beitrag wird doch nur automatisiert (smitrem) was in den ersten drei manuell vorgeschlagen wird.


    Grüße Jasager
     
  6. Tamburas

    Tamburas Guest

    Nein. Du hast mich falsch verstanden: Wir sind einer Meinung. :)
    Ich möchte nur vorschlagen, erst die Anleitung von cronos abzuarbeiten und dann den HJT-Log zu machen Halte ich einfach nur für effektiver.

    Der Rest meines Salmons sind die üblichen pädagogischen Betrachtungen unbegreiflichen Surfer-Verhaltens. ;)
     
  7. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    Ich habe jetzt einmal Ad-Aware installiert, upgedated und durchlaufen lassen, jetzt ist alles wieder normal *freu*! Ich bemerke auch keine seltsamen Internet Aktivitäten mehr.. Wenn ihr den HijackThis Log noch braucht, posted mir bitte.
    Danke für eure Hilfe,
    Sebastian
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    lass mal erst noch den Smitrem drüberlaufen(stimmt Taburas ist die bessere Reihenfolge) und dann erstelle das Hijackthis Log und poste den Link dazu hierher.+ das smitremlog.


    Grüße Wildone
     
  9. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    Hier der Link: http://www.hijackthis.de/logfiles/8c909dc564579dd64308f6671e53ae10.html

    Und SmitRem:

    smitRem log file
    version 2.3

    by noahdfear


    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

    Pre-run Files Present


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~

    ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


    Post-run Files Present


    ~~~ Program Files ~~~



    ~~~ Shortcuts ~~~



    ~~~ Favorites ~~~



    ~~~ system32 folder ~~~



    ~~~ Icons in System32 ~~~



    ~~~ Windows directory ~~~



    ~~~ Drive root ~~~



    ~~~ Wininet.dll ~~~

    CLEAN! :)

    Falls was nicht passt (was ich mal vermute), oder ihr noch etwas braucht, postet bitte!!
    Auf jeden Fall noch einmal Danke.
    mfg,
    Sebastian (Allias TO, oder nennt mich von mir aus auch DAU....)
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    erstmal würde ich nie jemanden DAU nennen, ausser er stellt sich total dumm an und ist unkooperativ, beides bei dir nicht der Fall.
    Zu deinem Log, beende mal diesen Prozess:
    C:\WINDOWS\System32\explorer6s4.exe
    und überprüfe die zugehörige Datei hier
    und poste dann das Ergebnis.


    Grüße Jasager
     
  11. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    Die Datei ist eindeutig Infiziert...
    Wie soll ich den Prozess beenden, einfach über den Task-Manager, oder geht das über HijackThis, ich hab nämlich absolut keine Ahnung wie das Programm funktioniert (Also was fixen ist, usw.)...
    Außerdem: Mein explorer macht jetzt ab und zu die Site **tp://asdbiz.biz auf, und will von dort etwas installieren (weiß nicht was, ich breche das immer sofort ab), das ist die Site die bei HiJack This auch als Vertrauenswürdige Site eingestuft habe. Das habe ich aber sicher niemals manuell getan, soll ich die Site jetzt "fixen"?
    Gruß,
    Sebastian
     
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    die Frage ist halt mit was ist sie infiziert, beende den Prozess im Taskmanager (ctrl+alt+entf dann rechtsklick drauf, dann "Prozess beenden", dann hochladen und prüfen und Ergebnis posten. Damit du nicht weiter belästigt wirst kannst du schon mal die O15 Einträge fixen(Haken davor und auf "fix checked" klicken) und falls unbekannt auch den:
    O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net

    Grüße Jasager
     
  13. Tamburas

    Tamburas Guest

    Nix da sauber, kleines Beispiel:
    Du hast in der "Trusted Zone" asdbiz.biz. Diese nette Seite leitet dich auf eine ****-Seite weiter, die bei aktiviertem ActiveX die Datei gdnDE2178.exe istallierte. (Vielleicht musstest du auch Klick machen, sehe ich hier auf die schnelle nicht). Ähnlich wirst du dir explorer6s4.exe eingefangen haben. Letztere dürfte ein Downloader für ****-Dialer sein.

    Doch das ist nicht alles:
    skoobidoo.com - Nimmst du wissentlich die Dienste der Firma Blazefind in Anspruch?

    Ebenso des Suchdienstes "Slotchbar"?

    Was ist "Windupdates"?

    edit
    Bitte nicht leichtfertig den Links im Log folgen.
     
  14. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    @Jasager
    Das Ergebniss:
    Datei: explorer6s4.exe
    Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme: FSG

    AntiVir Keine Viren gefunden
    ArcaVir Keine Viren gefunden
    Avast Keine Viren gefunden
    AVG Antivirus Keine Viren gefunden
    BitDefender Keine Viren gefunden
    ClamAV Trojan.Downloader.Small-691 gefunden
    Dr.Web Trojan.Click.649 gefunden
    F-Prot Antivirus unknown virus gefunden (mögliche Variante)
    Fortinet Keine Viren gefunden
    Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.biq gefunden
    NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
    Norman Virus Control Keine Viren gefunden
    UNA Keine Viren gefunden
    VBA32 Keine Viren gefunden

    @Tamburas:
    Kenne keine einzige der von dir genannten Anwendungen... Wie kann ich sie entfernen?

    Danke für eure schnellen Antworten,
    Sebastian
     
  15. Tamburas

    Tamburas Guest

    Das sind keine Anwendungen, sondern Webseiten, die sich nach der Infektion als "vertrauenswürdige Seiten" in deinem IE eingetragen haben. Damit das geht, wurde ein passender Trojaner gleich mitinstalliert (Lower). Vielleicht ist es sinnvoll, diese Seiten zu lesen:

    http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
    http://www.cidres-security.de/hijackthis.html

    Fixe folgende Einträge:

    O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe

    O4 - HKLM\..\RunServices: [Explorer64] C:\WINDOWS\System32\explorer6s4.exe

    O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
    (Das ist ein Downloader)

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 196.168.1.254

    Alles unter 014/015

    - Hoffe, nichts übersehen zu haben -

    Deaktiviere die Systemwiederherstellung. Wechsle in den abgesicherten Modus. Lösche

    C:\WINDOWS\System32\explorer6s4.exe

    Gehe zurück in den Normalbetrieb, aktiviere wieder die Systemwiederherstellung. Nächstes HJT-Log posten.

    edit:
    doch was übersehen, danke, Jasager
    C:\WINDOWS\System32\symcsvc.exe
    Auch im abgesicherten Modus löschen.
     
  16. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    gehe mal wieder in den abgesicherten Modus und fixe folgendes falls noch nicht geschehen:
    O4 - HKLM\..\Run: [Explorer32] C:\WINDOWS\System32\explorer6s4.exe
    O4 - HKLM\..\RunServices: [Explorer64] C:\WINDOWS\System32\explorer6s4.exe
    O4 - HKCU\..\Run: [aupd] C:\WINDOWS\System32\symcsvc.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.comtrade.net
    O15 - Trusted Zone: *.asdbiz.biz
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotchbar.com
    O15 - Trusted Zone: *.windupdates.com
    O15 - Trusted Zone: *.asdbiz.biz (HKLM)
    O15 - Trusted Zone: *.skoobidoo.com (HKLM)
    O15 - Trusted Zone: *.slotchbar.com (HKLM)
    O15 - Trusted Zone: *.windupdates.com (HKLM)
    O15 - Trusted IP range: 67.19.178.84

    Dann löschst du die Datei(en)
    C:\WINDOWS\System32\symcsvc.exe
    C:\WINDOWS\System32\explorer6s4.exe

    Dann läßt du noch mal Ewido durchlaufen, gehst danach wieder in den normalen Modus und postest wieder einen Link zu deinem neuen Log.

    @Tamburas
    Doppelt gemoppelt hält besser :D

    Grüße Jasager
     
  17. Tamburas

    Tamburas Guest

    > Doppelt gemoppelt hält besser

    Kannste wohl sagen, hatte was übersehen (ist bereits editiert). :D
    Aber beruhigend, dass wir ansonsten einer Meinung sind.

    Aber ich pfusche dir jetzt nicht mehr dazwischen, muss arbeiten.
     
  18. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    http://www.hijackthis.de/logfiles/f5d809321560e5c2256cb4a25c6e76fe.html
    Ich bin, wie von Jasager beschrieben, in den abgesicherten Modus gegangen habe mit HijackThis die entsprechenden ??? gefixst. Dann habe ich explorer6s4 gelöscht, aber eine Datei mit dem Namen symcsvc.exe habe ich leider nicht gefunden (auch nicht im gesamten Windows Verzeichniss...), kann es sein, dass es das nicht mehr gibt?
    Mit ewido habe ich dann den PC durchsucht, hier das Protokoll:
    ---------------------------------------------------------
    ewido security suite - Scan Report
    ---------------------------------------------------------

    + Erstellt am: 14:57:30, 23.08.2005
    + Report-Checksumme: 89A56F2C

    + Scanergebnis:

    C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
    C:\Dokumente und Einstellungen\Sebastian\Cookies\sebastian@advertising[1].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup


    ::Report Ende

    Hier das aktuelle HiJackThis Log: http://www.hijackthis.de/logfiles/f5d809321560e5c2256cb4a25c6e76fe.html

    Ich hoffe ich bin jetzt clean (wenn wir schon von fixen sprechen *gg*).
    Vielen Dank für eure Hilfe,
    Sebastian
     
  19. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ja du bist total on turkey, aber wir wollen ja auch alle das das fixen nicht wieder los gehen muss, deswegen ist es unabdingbar gewisse Resistenzen aufzubauen die nur in dem SP2 vorkommen. Diese verschreibe ich dir hiermit auf Rezept, einzulösen bei Microsoft.


    Grüße Jasager
     
  20. sebisch

    sebisch Byte

    Registriert seit:
    22. August 2004
    Beiträge:
    74
    Ja, Danke dir auf jeden Fall!
    Das "Rezept" von dir habe ich schon vor einer Woche eingelöst, ich muss also noch ca. 3 Wochen warten. Bis dort hin werde ich auf jeden Fall mit Firefox surfen, ist der wirklich um so viel sicherer?
    Auf jeden Fall: Danke euch allen :bet: :bet: :bet: :bet: :bet: !
    mfg,
    Sebastian
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen