Evtl. Virenbefall bei Surfen mit Opera

[nichtgamer]

Grüßt euch,

gleich vorweg: firefox ist mein eigentlicher browser. damit war ich in "einem sehr bekanntem sozialen netzwerk" eingeloggt. währendessen surfe ich aber auch gern und da ich nicht möchte dass jegliches surfverhalten an oben genannten anbieter geschickt wird, läut das surfen in einem zweiten browser ab - nämlich opera.

nun ergab sich aber etwas sehr merkwürdiges, weshalb ich befürchte, mir einen virus/trojaner/anderes zeugs eingefangen zu haben.

ich rief die seite pcgameshardware.de auf - an sich nix schlimmes, aber in genau dem moment öffnete sich eine messagebox die im anhang einzusehen ist.
opera hatte keinen werbeblocker
gdata lief im hintergrund und das os ist winXP
im taskmanager war eine .exe mit einem sehr langem namen aus zahlen und diese auch als benutzer ausgeführt
im tmp ordner war genau diese exe - virenprüfung erbrachte nichts - auch ein scan der system und speicherprogramme erbrachte keine ergebnisse

Eigene vermutung:
- die pcgameshardware.de ist sauber, aber einer infizierten werbeeinblendung gelang es über ein plugin von opera in den temp ordner eine exe zu plazieren und zu starten
- das vermeintlich bösartige programm hat aber das system noch nicht infiziert, sondern benötigt eine interaktion des benutzers, deshalb die messagebox - anders könnt ich mir sowas auffälliges nicht erklären
- hab nicht auf ok geklickt und auch nicht auf das X sondern hab über den taskmanager beendet

googlesuche erbrachte, dass auch andere inet nutzer sowas hatten, teilweise auch unter der aufgerufenen seite - aber obs jetzt ein virus, etc. ist konnt ich nicht definitiv herausfinden

frage: virus - ja - nein

was ich getan hab: mit ccleaner in firefox gespeicherte passwörter gelöscht
kurzer virenscan - ohne ergebnis
ubuntu image gebrannt um "sicher" ins internet zu können

Masterfrage aus interesse: kann ein unter einem evtl. infiziertem system gebranntes ubuntu image auch infiziert sein?

 

[Freak-X]

gleich vorweg: firefox ist mein eigentlicher browser. damit war ich in "einem sehr bekanntem sozialen netzwerk" eingeloggt. währendessen surfe ich aber auch gern und da ich nicht möchte dass jegliches surfverhalten an oben genannten anbieter geschickt wird, läut das surfen in einem zweiten browser ab - nämlich opera.

Sinnlos

im taskmanager war eine .exe mit einem sehr langem namen aus zahlen und diese auch als benutzer ausgeführt im tmp ordner war genau diese exe

Screenshot wäre gut...

Benutzt du Delphi? (DpRn)

Ich würde mal mit einer aktuellen Live-CD (Oder am besten die Aktuelle Desinfec't der C't) den PC scannen.

 

[Kein Plan]

Solcher Müll landet bei mir normalerweise im Operas Cache Ordner (wo Avira dann aktiv wird) und nicht in Temp.
Hast du noch die Datei? Schicke die doch hierhin: www.virustotal.com


@Freak-X: es ist gar nicht so sinnlos. Aber da ist was dran, ein VM ist noch effektiver ... Zumindest wenn FB die MAC Adresse der Netzwerkkarte nicht trackt

 

[nichtgamer]

Sinnlos

weil...ip oder so ähnlich...ka, kenn mich nicht aus ;-)

Benutzt du Delphi? (DpRn)

da ich nicht weiß was das ist, schätze nein (aber was ist es denn?)

Screenshot wäre gut...

hab ich leider nicht

 

[Freak-X]

@Freak-X: es ist gar nicht so sinnlos. Aber da ist was dran, ein VM ist noch effektiver ... Zumindest wenn FB die MAC Adresse der Netzwerkkarte nicht trackt

Cookies landen auch mit Opera auf dem PC und Facebook speichert auch auf den eigenen Servern genug; ganz unabhängig vom PC.

Delphi ist eine Programmiersprache; aber das ist es wohl nicht...

Wie gesagt; lass dein System mal von einem Scanner auf einer Live-CD scannen...

 

[nichtgamer]

Solcher Müll landet bei mir normalerweise im Operas Cache Ordner (wo Avira dann aktiv wird) und nicht in Temp.
Hast du noch die Datei? Schicke die doch hierhin: www.virustotal.com

hab die datei vor dem netzsteckerziehen in einen zip ordner gepackt

 

[CORE]

Mal Hitman und Malwarebytes laufen lassen.
http://www.chip.de/downloads/Hitman-Pro_21842475.html
http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

Und warum surfst du mit Admin Rechten im Netz ?

 

[Freak-X]

hab die datei vor dem netzsteckerziehen in einen zip ordner gepackt

Schicke diese Datei doch mal bitte via PN an mich. Bitte NICHT öffentlich im Forum!

Und warum surfst du mit Admin Rechten im Netz ?

95% der Benutzer wissen es einfach nicht besser

 

[nichtgamer]

Und warum surfst du mit Admin Rechten im Netz ?
95% der Benutzer wissen es einfach nicht besser

mein erster (möglicher) virus seit ende 2003, admin rechte waren nie ein problem

 

[JohnWayne78]

oder einfach mal sandboxie runterladen und in einer sandbox surfen oder Avast free antivir bieter auch sandbox

 

[Kein Plan]

Du kannst auch den Zip Ordner raufladen.

Cookies von Opera sind aber nicht die gleichen wie von Firefox. Aus Sicht der Website sollten es also 2 vershiedene User sein. (Vorausgesetzt der User hat vorher alle Cookies gelöscht und/oder war nicht mit Opera auf FB angemeldet)
Klar die IP ist die gleiche aber viele Leute können an einem Router sitzen (Inet-Cafe, ganze Gebäude, Unis etc) und daher kann FB eig. nicht über die IP alleine einen PC zurückverfolgen. Flashcookies sind wieder was anderes aber soweit ich weiß hat FB nichts mit Flash am Hut.
Soll natürlich nicht heißen, dass FB dich nicht doch irgendwie verfolgt aber über normale Cookies sollte es nicht gehen wenn man 2 Browser benutzt.

 

[Freak-X]

Cookies von Opera sind aber nicht die gleichen wie von Firefox.

Das sage ich auch nicht. Das tut aber in Sachen Sicherheit nicht sooo viel zur Sache. Cookies sind Cookies; egal, welcher Browser.

Aber wie gesagt: Der Sammelwahn von Google, Facebook, Amazon etc. wird sowieso auf den eigenen Servern gespeichert. Cookies sind da nur eine kleine Hilfe...

 

[nichtgamer]

hmm, finde die zip nicht mehr, was sehr sehr komisch ist, weil sie im gleichen ordner gespeichert war wie der screenshot im anhang

 

[CORE]

mein erster (möglicher) virus seit ende 2003, admin rechte waren nie ein problem

Ist jetzt auch nebensächlich geworden, was sagen den Hitman und Malwarebytes ?

 

[nichtgamer]

zum namen der exe: http://extreme.pcgameshardware.de/t...-frfycs-exe-0-8413002255531274-exe-wtf-2.html
so ähnlich wie hier, fing aber mit 0.2xxxxxxxxxxxxxxx.exe (die x sollen die anderen zahlen nur andeuten und nicht die genaue anzahl von stellen wiedergeben)

Ergänzung (15. April 2012)

was sagen den Hitman und Malwarebytes ?

download läuft noch - sehr sehr langsame inet verbindung

 

[Freak-X]

hmm, finde die zip nicht mehr, was sehr sehr komisch ist, weil sie im gleichen ordner gespeichert war wie der screenshot im anhang

Bist du sicher, dass das Weinglas neben dir wirklich nur einmal nachgefüllt wurde?

Mal im Ernst; mach doch einfach mal mit 2 verschiedenen Scannern nacheinander einen Live-Scan.
Oder einfach die aktuelle Desinfec't; die hat mehrere Engines.
Das bringt dir mehr, als hier ewig rum zu drucksen... ^

Ein Scann im laufenden Betrieb macht wenig Sinn - Sicher ist sowas nicht. Ein bereits infiziertes System sollte man niemals online scannen - Immer nur mit einer Boot-CD oder in einem sauberen Rechner.

 

[nichtgamer]

Mal im Ernst; mach doch einfach mal mit 2 verschiedenen Scannern nacheinander einen Live-Scan.
Oder einfach die aktuelle Desinfec't; die hat mehrere Engines.
Das bringt dir mehr, als hier ewig rum zu drucksen... ^

da müsst ich erst in den laden und mir die neue c't kaufen und samstag um halb 12 könnte das etwas schwierig werden

Ein Scann im laufenden Betrieb macht wenig Sinn - Sicher ist sowas nicht. Ein bereits infiziertes System sollte man niemals online scannen - Immer nur mit einer Boot-CD oder in einem sauberen Rechner.

ich such mir einen anderen bootCD scanner - das problem ist nur meine sehr langsame inet leitung
ach ja: ich korrigiere den link zu einem ähnlichen fall: http://extreme.pcgameshardware.de/t...tb-frfycs-exe-0-8413002255531274-exe-wtf.html

Ergänzung (15. April 2012)

ist dieser "de-cleaner" zu empfehlen? wenn ja, welchen soll ich nehmen: avira, kaspersky, norton - alle kann ich aufgrund meiner inetleitung im moment nicht ausprobieren

 

[RuckiZucki]

Ich empfehle eigentlich immer den zusätzlichen Schutz mit Security Tools. Die Virenscanner selbst sind zwar nicht nutzlos aber oft überfordert wenn der Virus individuelle Sicherheitslücken des Antivirusprogramms oder der Firewall ausnützt um diese zu kompromittieren oder zu beenden.

Vor allem Hips sind sehr gut. Hier gibts ein paar Infos über zusätzliche Schutzprogramme, da sind schon sehr sinnvolle Maßnahmen dabei. Mir reicht Hips und abgeschaltetes Javascript aber man kann da noch deutlich weiter gehen ^^

 

[nichtgamer]

also ich hab jetzt (nach einigen stunden^^) alle passwörter geändert, welche vorher in firefox gespeichert waren.
morgen lass ich ein paar tools drüberlaufen und schau was raus kommt

danke soweit - ich meld mich mit den ergebnissen