ComputerBase Menü
Aktuelles

Malware? Wurm?

E

eddieVH

Cadet 1st Year
Registriert
Juli 2009
Beiträge
11
Hallo,

leider muss ich direkt in meinem ersten Post bei CB einen "Hilfe"-Thread starten :)
Also seit ich mich mit Computern und Internet beschäftige (mittlerweile über 12 Jahre) stand bei mir das Thema Sicherheit immer ganz oben auf der Agenda und ich hatte während der ganzen berühmten Würmer- Trojaner- und Virenattacken der letzten Jahre NIE Probleme (ich war sogar derjenige der im Bekanntenkreis die Rechner immer "sicher machen sollte") ...
Nun hat es mich anscheinend auch erwischt ...

In der letzten Zeit habe ich zwei sehr auffällige Verhaltensweisen meines Rechners bemerkt und auch mal via Screenshots dokumentiert (ich glaube das macht vieles einfacher).

Zum einen ist es in letzter Zeit so, dass ich desöfteren wenn ich etwas bei Google suche und dann auf irgendein Suchergebnis aus der natural-search klicke werde ich auf "komische" Seiten redirected ... Beispiele:



Hier war die Suchanfrage z.B. "Black Pub Hilden" (ist ne Kneipe *g*) und ich komme auf solche komischen Seiten wenn ich einen Link von der natural-search anklicke (es ist egal wonach ich suche, es kommt bei fast jeder Thematik vor):





Desweiteren versuchen Programme (egal ob irgendwelche dubiose Anwendungen oder auch bekannte Programme wie Excel oder Photoshop) in letzter Zeit desöfteren mit irgendwelchen IPs zu connecten ... die IP ist immer anders, aber der Befehl ist immer gleich "ICMP Type 11 (Time exceeded for Datagram)":





Meine Sicherheitsmaßnahmen sind: PeerGuardian, Sygate FW, XP Antispy, AntiVir, Spybot und Adware.

Betriebssystem: Windows XP SP3, Firefox 3.0


Ich hoffe jemand hat da nen guten Tipp für mich ... für weitere Infos über System etc einfah fragen ;)


Grüße

Eddie
 
Und Spybot hast du schon mal ausgeführt? Irgendwelche verdächtigen Programme im Taskmanager oder im Start (msconfig)?

Bis auf das Datensenden sieht es für mich eher nach lustiger Adware aus, die eigentlich weniger aggressiv ist und mit den üblichen Mitteln entfernbar sein sollte. Ggf. mal alles im Abgesicherten Modus scannen.

Tipp: Beim Installieren immer benutzerdefinierte Installation machen und eh nicht jeden Scheiß installieren. Vor allem nichts von Nicht-Hersteller-Seiten laden (mal Computerbase, Chip etc. abgesehen).
 
Ok im abgesicherten Modus scannen habe ich noch nicht gemacht ... im normalen Modus lief SpyBot mehrmals durch und gab keine Medlungen aus (habe natürlich danach immer immunisiert).

Von den Tasks kann ich gerne heute Abend mal nen Screenshot reinstellen ... seit Windows 98/ME fällt es mir immer schwerer zu identifizieren welche Tasks genau vom System sind und welche es mit einem ähnlichen Namen einfach nur vorgaukeln ;)

Tipp: Beim Installieren immer benutzerdefinierte Installation machen und eh nicht jeden Scheiß installieren. Vor allem nichts von Nicht-Hersteller-Seiten laden (mal Computerbase, Chip etc. abgesehen).
Zum Vergrößern anklicken....

Das ist mir schon klar, aber danke ;)
Ergänzung ()

Keiner 'ne weitere Idee oder hat diese Form der Adware schon mal gesehen / bereinigt ?
Ergänzung ()

So AdWare und SpyBot sind im abgesichertem Modus durchgelaufen ...

Hier noch ein Screenshot vom Taskmanager (direkt nach Reboot):



Irgendwas auffälliges dabei?
 
Meine Sicherheitsmaßnahmen sind: PeerGuardian, Sygate FW, XP Antispy, AntiVir, Spybot und Adware.
Zum Vergrößern anklicken....

Jetzt was du falsch machst:

PeerGuardian: So lange du kein P2P nutzt ist PeerGuardian relativ sinnlos.
Es werden oft komplette Ranges geblockt. Einige seriöse Seiten die ich öfters besuche, fielen PeerGuardian zum Opfer. Kein Drama, aber ohne P2P sinnlos.

Sygate FW: Die Sygate Personal Firewall wird schon jahrelang nicht mehr weiterentwickelt.
Schädlinge können diese ohne weiteres umgehen - Schutz ist nicht nur unerwartet, sondern garantiert verflossen.

XP Antispy: Dieses "Tool" hat seinen Ruf in keinster Weise verdient. XP-Antispy macht mit zahlreichen "Möchtegern-Tweaks" jeden Rechner langsamer und ist teilweise sogar gefährlich.

Es gab mal eine relativ informative Seite die alle Funktionen dieses Tools aufgelistet und jedes "Tuningvorhaben" erklärt hat. Ergebnis: 1, 2 Funktionen lassen sich gebrauchen, der Rest ist nutzlos bis gefährlich.

Spybot S&D: In der Vergangenheit hat Herr Kolla das Tool immer mehr in Richtung Anti-Maleware Programm geführt. Es ersetzt jedoch keinesfalls ein Antivirenprogramm. Schaden kann es eher nicht. Bis auf einige riskannte Fehlalarme.

Adware: Darauf kannst du getrost verzichten wenn du SpyBot S&D benutzt.

Deaktiviere auch den Teatimer - er ist seit mehreren Versionen total verbuggt und erzeugt immer noch Memleaks.

Zudem sehe ich in deinem Post keinerlei Hinweis zu einer aktiven Sicherheitslösung inform eines Antivirenprogrammes.

Für weitere Empfehlungen benötige ich ein HiJackThis Logfile von dir.
Jedoch sieht dein Problem nicht so schwer ist. Warscheinlich ist es nur ein BHO Objekt einer nervigen Spyware. Im schlimmsten Fall allerdings eine Backdoor. Dann heißt es für dich - Formatieren.

mfg,
Markus
 
Ich danke dir erstmal für die ausführliche Antwort!

Zudem sehe ich in deinem Post keinerlei Hinweis zu einer aktiven Sicherheitslösung inform eines Antivirenprogrammes.
Zum Vergrößern anklicken....
Wie ich geschrieben habe benutze ich aktiv AntiVir :)

Das mit Sygate war mir garnicht bekannt - gut zu wissen! :)

Also ich sollte deiner Meinung nach am besten die Festplatte formatieren, AdWare, bzw. SpyBot (und AntiVir) drauf machen und von Anti-Spy z.B. die Finger lassen, richtig?

Hast du ein paar (Freeware oder verdammt günstige) Alternativen für eine Firewall und vielleicht zusätzlichen Schutz?
 
Hallo,

Ich würde dir mal raten ComboFix drüber laufen zu lassen, scheint wirklich nur eine nervige Spyware zu sein.HIER -> http://virus-protect.org/artikel/tools/combofix.html.
Es wird auch ein Wiederherstellungspunkt erstellt zur sicherheit (aber bitte das Tool im Abgesicherten Modus laufen lassen)

Ich nutze als Sicherheitspaket "Comodo Internet Security", es ist Freeware und ich war damit bis jetzt sehr gut bedient (Firewall und AntiVir enthalten), wird auch mehrmals am Tag auf Viren Update geprüft.
Einzigst die "Defense" Einstellung solltest du evtl ausschalten, da sonst immer hinweise kommen wenn eine Software was in die Registrierung oder in den Arbeitsspeicher schreiben will.

Habe dir noch einen Screenshot angehängt wie man Defense deaktiviert (dauerhaft)
du kannst es natürlich gerne testen ob es dir zusagt :D:D
 
Zuletzt bearbeitet:
Eine Softwarefirewall brauchst du eigentlich nicht.
Gebrauchen kann man diese nur für "gewollte Anwedungsregeln".

Wenn diverse Anwendungen ohne deine Zustimmung ins Netz wollen, schaffen sie das meistens auch über modulare Verbindungen durch Windows-Interne Files - es gibt hierbei keine Regelung für Programmierer - ob das Programm eine gewollte Verbindung für Softwarefirewalls ersichtlich gestallten muss.

Avira und SpybotS&D reicht vollkommen.
Wenn du dazu noch dein System Up2Date hälst (aktuellstes SP!), kann nicht mehr viel schief gehn.

mfg,
Markus
 
Klar schaffen die Anwendungen das, aber wenn man bischen mehr kontrolle/übersicht haben will und auch mal Software verbieten will ins Netz zu gehen die von der Firewall "erkannt" wird (wovon es sehr viel gibt^^,evtl auch etwas was man nicht wirklich erworben hat *hust* ;) ), ist so eine Firewall ganz was nettes (besonders wenn man da ganz komfortabel die aktiven verbindungen sehen kann)

@eddieVH
Bevor ich es vergess, stell die Firewall bitte auf "Eigene Richtlinien" sonst wird "Vertrauenswürdige" Software ohne nachzufragen zugelassen.
Hier noch ein Downloadlink fals du doch eine Firewall/Antivir willst
http://personalfirewall.comodo.com/download_firewall.html

//EDIT
@mumpel
Dann bin ich wohl einer davon der nicht nur auf "zulassen" klickt :D, eine Software Firewall bedienen kann und sie auch noch nutzt :D
Spybot is natürlich auch vorhanden ohne Tea-Timer und ne Router-FW auch (was die SW-FW eigentlich überflüssig macht aber wie gesagt, ich hab einfach gerne bischen mehr kontrolle)
 
Zuletzt bearbeitet:
Ach ja: Zu deinen Sicherheitsmaßnahmen ...
So lange du keine explizite Ahnung von Ports, Diensten, HTTP, UDP, ICMP, Ethernet, Token Bus, Token Ring, FDDI usw. hast, bringt eine Software-Firewall gar nichts. Denn die muss man einrichten und nicht bei jedem Pups und "Uäh... in Spiel XY funktioniert das nicht" auf "Zulassen" klicken. Man muss wissen, was man da tut. Und das wissen die wenigsten. Außerdem ist jede Software-Firewall im Zweifelsfall umgehbar. Und wer meint, irgendwelche gecrackten Programme davon abhalten zu können, nach Hause zu telefonieren, der sollte mal gucken, was er da eigentlich blockt. Zu 99% blockt man nur das Update, welches man auch in den Preferences ausstellen hätte können. Die Programme, die ihre Registrierung über's Internet checken verlangen früher oder später eh eine Verbindung und verhindern so den Start - oder schlaucheln sich über andere Wege durch die Firewall. Schon mal daran gedacht, dass wenn Skype es durch jede Software-Firewall schafft, dass das andere Programme erst recht können? Wer also eine Hardware-Firewall im Router hat, braucht keine Software-Firewall, die er nicht bedienen kann. Und alle, die eine Software-Firewall bedienen können, nutzen keine mehr. :)

Im Übrigen gilt auch: Viel hilft nicht viel. Lass nie mehrere ähnliche Sicherheitslösungen zusammenlaufen. Abwechselnd ja. Letztlich brauchst du einen guten Virenscanner mit guter Heuristik, eine ordentliche Router-Firewall und Spybot (ohne Tea-Timer).

Und XP Antispy ist kein Sicherheitstool, sondern stellt nur bestimmte Standardfunktionen von Windows um. Das bringt keine Sicherheit. Daher sollte man schon wissen, was man da macht. Vieles ist absolut paranoid und dann auch, wie gesagt, gefährlich.


Aber ich warte ja noch auf deinen Autostart, Dienste und deine Einschätzung zum Taskplaner. Und dann im Abgesicherten Modus die Scans von AV und Spybot.
 
Zuletzt bearbeitet:
dass wenn Skype es durch jede Software-Firewall schafft
Zum Vergrößern anklicken....

Naja auch wenn ich mit der Sygate FW jetzt irgendwie jahrelang hinterm Mond gelebt habe, haben IM'er alá Skype, ICQ etc bei mir immer seeeeehr beschnittenen Zugriff erhalten (u.a. weil die FW immer gemeckert hat und ich den einzelnen Applikationen dann eigene Regeln mit Port-Bereich-Freigaben etc gegeben habe).

Öhm ... also der Screenshot vom Taskmanager ist von gestern Abend, heißt direkt nach dem ersten Reboot nachdem SpyBot im abgesichertem Modul gelaufen ist.
Im Gegensatz zum SpyBot Durchlauf im normalen Modus hat im abgesicherten Modus 6 Einträge gefunden (1x Trojaner 5 undefinierte, gefährdete Einträge) ... habe die natürlich dann entfernt und dann immunisiert.

Da ich gestern nicht lange an dem Rechner saß kann ich noch nicht sagen, ob es was geholfen hat ... ich werde die nächsten Tage mal ein besonderes Auge draufhaben und dann berichten.

Ich benutze keinen Router, deswegen greife ich generell auf eine Software-FW zurück ... ich habe nichts zu verbergen o.ä., nur ich habe gerne immer die meistmögliche Kontrolle über das was ich tue ... sowohl im realen Leben, als auch am Rechner ;)

Wenn ich heute Abend @home bin werde ich die Comodo mal mit den Tipps von euch installieren und konfigurieren.
 
@eddieVH
Vergess aber nich "ComboFix" mal über deinen rechner laufen zu lassen.
Und wie gesagt eine HijackThis-Log Datei wär auch ganz hilfreich (evtl vor und nachdem ComboFix gelaufen ist)

MfG
 
Und das HiJackThis Logfile hätte ich auch noch gerne.

mfg,
Markus
 
markus1234 schrieb:
XP Antispy: Dieses "Tool" hat seinen Ruf in keinster Weise verdient. XP-Antispy macht mit zahlreichen "Möchtegern-Tweaks" jeden Rechner langsamer und ist teilweise sogar gefährlich.
Zum Vergrößern anklicken....

Hört sich für mich nach "Hören-Sagen" an... XP-Antispy macht sicherlich nicht deinen Rechner langsamer ^^^ und gefährlich ist es ebenfalls nicht. Man muss halt erkennen, dass jede Einstellung zu aktivieren, nicht sinnvoll ist.

XP-Antispy ist halt ein Tool für bequemes Manipulieren der Registry... als auch um das nervige Verhalten von MS-Programmen zu unterbinden (s. Fehlerberichte, etc.)
 
Zuletzt bearbeitet:
XP-Antispy ist halt ein Tool für bequemes Manipulieren der Registry... als auch um das nervige Verhalten von MS-Programmen zu unterbinden (s. Fehlerberichte, etc.)
Zum Vergrößern anklicken....

Jepp, genau deswegen nutz ich es ... nach dem 10. "Problembericht an Microsoft senden" krieg ich immer leicht einen BLutdruck von 220 ;)

Jo LOG-File gibts heute Abend irgendwann :)
 
Zufällig ist das Deaktivieren von Fehlerberichten eine der 2, 3 nützlichen Funktionen dieses Tools.
Der Rest ist nutzlos und gefährlich.

Ich suche euch jetzt eine Seite mit der kompletten Erläuterung dieser fragwürdigen Einstellungen heraus ...
Ich bitte euch diesen Artikel ausführlich durchzulesen.

http://www.derfisch.de/warum-ich-xp-antispy-nicht-mag.html

Kein Thema, 2, 3 Funktionen sind sinvoll. Der Rest geht aber bereits in die Richtung "Selbsterstörung" und "Sinnlosigkeit".

mfg,
Markus
 
eddieVH:
Skype ist nicht gleich ICQ! Skype kann sich sehr effektiv durch Firewalls durchschlängeln. Deshalb ist es auch nicht so gerne in Firmen gesehen. Die Skype-Entwickler sehen das aber als Komfort-Funktion, dass der unbedarfte User nichts einstellen braucht. Wenn das aber Skype schafft, dann schafft das Schadsoftware erst recht. Und das macht sie auch. Grundsätzlich muss man die Ports dieser Programme aber einfach nur in der FW freigeben, dann meldet sich auch die FW nicht mehr.

Dass du deinen Screenshot hier gepostet hast, ist zwar sehr schön, aber das musst du wissen, was das für Programme sind, die bei dir laufen. Hast du mal den Autostart überprüft, was da läuft? Ich würde erstmal den Systemstart bereinigen und dann gucken, was noch läuft. Da kannst du also noch was nachliefern. Genauso wie das oft verlangte HiJackThis Log.

Ansonsten guck einfach mal, ob dein System nach Spybot sauber läuft. Vielleicht war's das schon.
 
Genauso wie das oft verlangte HiJackThis Log.
Zum Vergrößern anklicken....

Eben, auf dieses warte ich immer noch.
Und ich frage nun das letzte mal danach.

mfg,
Markus
 
Sorry Markus ich war gestern erst um 23.30 Uhr @home - Wird heute nachgereicht, versprochen ;)
Ergänzung ()

So ... ich fand es gerade seeeeehr beängstigend, dass ich bei den ersten 5 Hits aus der Google natural search (u.a. die offizielle Page!) zum Thema "HiJack This" ich direkt auf diese von mir dokumentieren Seiten weitergeleitet wurde ... Zufall? :)

Naja LOG File hängt an ... hab jetzt noch nix gemacht (warte ja auf euer Urteil) oder gefixed.
 

Anhänge

Also ich hab es nur mal schnell überflogen, aber

O2 - BHO: CDNSCacheObj Object - {376892AE-1825-4E5F-9F85-23F9640051CC} - C:\WINXP\XviDplg.dll

Is nen Trojaner und sollte auf jedenfall mal gefixed werden, siehe auch hier --> KLICK MICH

Fix das mal, starte den Rechner neu, lass Hijack nochmal laufen (ob der eintrag wieder da ist) und gegebenenfalls mal ComboFix laufen lassen, fals es nicht besser ist,wenn ich daheim bin schau ich mir die Log mal genauer an

MfG
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Malware: Fake Website download -> Runtergeladen -> ausgeführt, was jetzt?
2
Antworten
23
Aufrufe
2.576
purzelbär
purzelbär
h00bi
Malware Warnung in FF und Chrome für x2go Client
Antworten
9
Aufrufe
914
h00bi
h00bi
L
Sind iPhones wirklich so sicher was Malware angeht?
2 3
Antworten
40
Aufrufe
2.597
bondki
B
M
Virus/Malware finden mit Windows Defender und Frage zum NAS
Antworten
18
Aufrufe
1.666
Myki
M
A
Total AV erkennt Website mit Malware
2
Antworten
27
Aufrufe
5.245
andy_m4
andy_m4
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz