Beiträge von Docc

Zitat von Preussenmatt

Mach ich, aba noch eine Frage: was kann der böse Trojaner denn anrichten???

Noch ist gar nicht gesagt, ob es sich ausschließlich um einen einzelnen Trojaner handelt. Das können durchaus auch verschiedene Schädlinge sein. Darum kann zum Schadpotenzial nichts Genaues gesagt werden. Es ist aber so ziemlich alles möglich.

Das reicht vom Abfangen von Bankdaten beim Online Banking, über das Abräumen von Bankkonten, bis hin zum Missbrauch deiner persönlichen Shopping Accounts in Online Shops wie z. B. ebay oder Amazone. Prinzipiell hat ein Schädling Zugriff auf alle Daten, die auf dem betroffenen System abgelegt sind.

Aus diesem Grund versuche auch, dir etwas Druck unter dem Hintern zu machen. Denn je länger der Schädling auf dem System ungehindert arbeiten kann, desto größer ist die Gefahr von unangenehmen Folgen.

P.S.
Wenn das System neu installiert wird, was hier zwingend erforderlich ist, bleiben deine persönlichen Dateien (Texte, Fotos, Musik, E-Mails) erhalten. Du musst also nicht fürchten, nach der Neuinstallation alles quitt zu sein.

Bei der Neuinstallation und der Datenrettung / Datensicherung würden wird dir natürlich helfen.

Zitat von Preussenmatt

Kann ich nicht im Profil von TB den Trojaner löschen?

Ich habe alles (auch das Wie und Warum) bereits mehrfach erklärt.

Lies bitte, und melde dich dann noch einmal.

Zitat von Preussenmatt

Habe den Anhang gespeichert, da er mir suspekt vorkam.

Ausnahmslos jede E-Mail, die man nicht konkret einem persönlich bekannten Absender zuordnen kann, muss konsequent ungeöffnet gelöscht werden. - Das ist dein Job. Und diesen Job kann dir keine Security Software abnehmen.

Ob es sich bei dieser Payload um den Primärschädling handelt, lässt sich aus der Ferne nicht sagen. Das wäre jedoch mit dem oben von mir erwähnten OTL-Log möglich.

Zitat von Preussenmatt

Habe gerade 2 Scans gemacht, mit Gdata, ich schick sofort die Ergebnisse. Bis gleich.

Bitte lies noch einmal, was ich weiter oben ausführlich erklärt habe. Es macht keinerlei Sinn, weitere Scans auf dem kompromittierten System auszuführen. Der Zug ist abgefahren.

Vielleicht liest du mal ganz in Ruhe, was ich bisher gepostet habe. Ich habe dir auch einige Fragen gestellt, aber darauf kam deinerseits kein Feedback.

@ Preussenmatt

Objekt: (message 1)=>[Subject: INFO: Brig. Gen. David Swisa][Date: Fri, 1 Jun 2012 05:44:33 +0300]=>(MIME part)=>IDF INFO.rar=>IDF INFO‮cod.SCR

Ich nehme mal an, dass du nichts mit "Brigade General David Swisa" am Hut hast!? - Diese E-Mail vom 1. Juni 2012 war verseucht. Gefunden wurde folgendes: Exploit.RTL-RAR.Gen

Frühere Analysen dieses Schädlings haben folgendes zu Tage gefördert:

http://r.virscan.org/80fbf4654cd02c5f67d0aebe3cb71b4d
https://www.virustotal.com/file/b37f47e6c…3733a/analysis/

Wie gedenkst du nun mit dieser Situation umzugehen?

@ Preussenmatt

Ich sehe gerade, dass du Online Banking betreibst. Darauf musst du derzeit (bis zur Neuinstallation des OS) konsequent verzichten. Auch alle übrigen Transaktionen wie Online Shopping sind derzeit über deinen Rechner tabu!! Ebenso solltest du derzeit keine passwortgeschützten Zugänge zu Social Networks wie z.B. Facebook o.ä. nutzen.

Sicherheitshalber solltest du jetzt unverzüglich alle Kenn- und Passwörter ändern. Dies darf jedoch nicht über diesen Rechner gemacht werden. Das muss über ein sauberes System erfolgen.

Hallo Preussenmatt,

die Frage ist jetzt nicht, ob die Seitenumleitung derzeit beseitigt ist. Viel wichtiger wäre es gewesen, nach dem Full Scan mit mbam nichts zu löschen. Diese Option bietet mbam zwar (du hast sie genutzt), aber de facto lässt sich schädlicher Code auf diese Weise nicht zuverlässig entfernen. - Wie du ja selbst bemerkt hast, kommt der Schädling immer wieder.

Zitat von Preussenmatt

wenn ich auf irgendeiner Seite bin und einen Link anklicke, erscheint erstmal folgender Popup:
h**p://http://www.private-krankenkasse-checken.de

Das ist kein Popup. Das ist eine veritable Internetseite, die selbst jedoch kein schädliches Potenzial hat. Was aber dahinter steckt, ist ein Redirecting (also eine Umleitung). Team Internet mit Sitz in München stellt diesen Optimierungsservice seinen Kunden zur Verfügung und führt ihn über ParkingCrew aus. Wenn aber der Kunde diesen Service mit unsauberen Methoden modifiziert, kann der Kunde Links beliebig auf seine Site umleiten. Genau das geschieht derzeit auf deinem Rechner.

Zitat von Preussenmatt

Ich ahne, worauf es hinausführt: ABP runnerschmeissen und wieder installieren???

ABP ist daran völlig unschuldig.

Zitat von Preussenmatt

Virenmeldung hatte ich auch vor ca. 3 Tagen, habs aber mit GData Total Protection andstandslos in die Quarantäne getan und gelöscht.

Bitte suche in G-Data die entsprechende Reportmeldung raus (die aktuellste genügt), und poste sie hier.

Zitat von 2002Andreas

Es ist zwar nur ein Quickscan statt Vollscan, aber auch der hat schon etwas gefunden. Ob das etwas mit deinem Problem zu tun hat kann ich dir leider nicht sagen.

Ja, das hat es. - Ich glaube aber nicht, dass diese Browsermanipulation der einzige Schädling ist.

Zitat von Preussenmatt

Andreas, würdest Du mir bitte den genauen PFad mitteilen? Vom Log in MBA.
Versteckte Ordner werden alle angezeigt. Brauch halt nur noch den Pfad.

Den Pfad benötigst du nicht. Auf der GUI von mbam klickst du auf den Reiter Logdateien. Darauf werden dir alle Logs angezeigt, soweit diese nicht explizit von dir zur Löschung ausgewählt wurden.

Anschließend klickst du bitte auf den Reiter Quarantäne, und schaust, ob dort Meldungen/Dateien abgelegt sind. Diese bitte abtippen oder per Screenshot dokumentieren und hier posten.

Zitat von Preussenmatt

Ich glaub, er is weg.
[...]
Erfolgreich gelöscht und in Quarantäne gestellt. Dann die Quarantäne noch durch den G Data Shredder jagen und: gut isses!!!

So einfach ist es nicht. - Du hast lediglich den Honey Pot erwischt. Du kannst also nicht erwarten, dass der Zauber damit beendet ist.

Zitat von Bernd.

"startsear.ch" hat Trojaner-Verhalten

Das sehe ich sehr ähnlich.

Zitat von Preussenmatt

kein Krampf! Mit dem Tool von Andreas ist der Trojaner weg, siehe die Auflistung:
Alles weg!!!

Du siehst derzeit lediglich, was du sehen sollst. Nämlich ein augenscheinlich sauberes System. Immerhin wurden die Scans auf einem kompromittierten System ausgeführt. Also musst du zwingend davon ausgehen, dass auch alle Scannergebnisse, die unter aktivem Windows-OS ausgeführt wurden, manipuliert sind.

Aussagekräftiger und zuverlässiger wäre jetzt nur ein Scan, der z. B. über ein Linux-Derivat (Live System) unter Ausschluss von Windows ausgeführt wird. Damit wäre sichergestellt, dass dieser Windows-Schädling im Linuxbetrieb inaktiv bleibt.

Zitat von Preussenmatt

Versteh ich das richtig: wenn ich auf die Seite http://www.trojaner-board.de/105277-startsear-ch-entfernen.html gehe, dann fange ich mir einen Trojaner ein???

Wer sagt das? - Nicht das ich viel Vertrauen in diese Seite hätte. Aber die Chance, dir etwas einzufangen, ist bei der Kreissparkasse auch nicht geringer als auf einer Schmuddelseite.

Zitat von Preussenmatt

weil ja GData "nur" 99,7% Erkennung hat!

Damit bist du einem weit verbreiteten und zudem gefährlichen Irrtum aufgesessen. Die Erkennungsrate von 99,7 Prozent bezieht sich auf bekannten Schadcode. Auf sonst nichts. Täglich gelangen jedoch im Schnitt 50.000 neue Schädlinge mit neuem/unbekannten Code ins Internet. in etwa 10 Tagen sind das roundabout eine halbe Million, also etwa genau so viele, wie maximal in den Erkennungsdatenbanken der gängigen Virenscanner als Samples für die Erkennung zur Verfügung stehen. Noch schlechter sieht es aus, wenn der Scanner auf eine heuristische Erkennung verzichtet, oder auch wenn die Verhaltenserkennung unausgegoren ist.

Die Erkennungsrate von 99,7 Prozent ist also nur ein theoretischer Wert, und darf nicht mit einer absoluten Zahl verwechselt werden. Mal ganz davon abgesehen, dass es für GData und jeden anderen Hersteller von Security Software aufgrund des zeitlichen Aufwands völlig unmöglich ist, tagtäglich 50.000 neue Schädlinge zu analysieren und in ihre Virendatenbanken aufzunehmen.

btw:

Wie weiter oben von mir beschrieben, macht es jetzt keinen Sinn, weitere Scans mit GData oder mbam zu machen, da alle Löschversuche ins Leere laufen würden.

Man könnte allenfalls den Status quo analysieren, um zu wissen mit welchem Schädling man es zu tun hat. Daraus könnte man den Infektionsweg ableiten, was wiederum wichtig ist, um eine erneute Infektion erfolgreich verhindern zu können.

Das ändert aber nichts daran, dass das System kompromittiert ist, und neu aufgesetzt werden muss.

Wenn du magst, kannst du zu Analysezwecken ein OTL-Log posten (bitte ohne die extras.txt).

gruß,
docc

Zitat von samson11

Ich möchte nur ein klein wenig Hilfe haben weiter eine Erweiterungssuche für den Firefox damit ich ein paar Webseiten in denen ich such Anfragen gestellt habe überwachen kann anderen bekommen habe oder nicht

Für Foren oder Webseiten etc. benötigst du keine Erweiterung, wenn du über Antworten informiert werden willst. Du musst lediglich in dem jeweiligen Account einstellen, dass du über neue Antworten per E-Mail informiert werden möchtest. Sobald dann eine Antwort auf eine deiner Suchanfragen geschrieben wurde, bekommst du automatisch eine E-Mail-Benachrichtigung. Dazu ist keinerlei Erweiterung oder Zusatzsoftware erforderlich.

@ samson11

Zitat von samson11

Die Admins und Moderatoren schauen scheinbar auch nur zu wie sie hier ein paar wenige Leute beleidigen und kränken lassen müssen unterbinden diese Beleidigungen nicht

Wie ich dir bereits per PN mitgeteilt habe: Das sind Reaktionen auf Dein persönliches Verhalten.

Mit anderen Worten: Du kannst nicht mehr erwarten, als du selbst bereit bist, zu geben!

Fasse dich bitte an die eigene Nase. Wie man in den Wald hineinruft, so schallt es heraus! Mit deinen Unterstellungen kommst du sonst auf keinen grünen Zweig.

Vielen Dank für deine Kooperationsbereitschaft.

gruß,
docc

@ andreassch86

Doppelpost entfernt.

docc

Hallo samson11,

es ist sicherlich kein Unwille, der dir hier begegnet. Im Forum Camp Firefox ist jeder herzlich willkommen. Ungeachtet, ob behindert oder nicht. Wir helfen dir gerne, soweit es unsere Möglichkeiten erlauben.

Und wie ich die Jungs und Mädels hier kenne, werden wir sicher eine schnelle Lösung für dein Problem finden.

gruß,
docc

Danke für die Steilvorlage.

Wenn Raggazi das hier lesen sollte: Neue, engagierte Community-Mitglieder sind natürlich immer herzlich willkommen.

gn,
docc

Hallo EmmiTru,

in ein paar Tagen ist ohnehin Sense mit der Kombi Firefox/W2K:
http://www.mozilla.org/en-US/firefox/…m-requirements/
http://www.mozilla.org/en-US/firefox/…m-requirements/
http://support.mozilla.org/de/kb/firefox-…n&r=0&e=es&as=s

Poste bitte ein HijackThis-Logfile. - Bitte nichts fixen oder löschen!!

Eventuell erschließt sich dann, was den Speicherhunger verursacht.

gruß,
docc

Hallo Raggazi,

bitte keine weiteren Uralt-Threads hervorkramen. - Vielen Dank für Dein Verständnis.

gruß,
docc

@ GammaGate

Die Werbelinks in Deiner Signatur wurden entfernt. Verzichte bitte künftig auf diese Signatur.

Zitat

Auszug aus den Forenregeln:

Wie jede Gemeinschaft braucht auch dieses Forum einige Regeln, um gut funktionieren zu können.

Dazu gehört auch, dass folgendes nicht erlaubt ist und Sanktionen nach sich ziehen wird:

[...]

[C] Werbung resp. Eigenwerbung oder Werbelinks in Beiträgen, im Profil oder der Signatur
Ausnahme: Im Kontext des Themas ist das Nennen / Verlinken der betreffenden Seite erlaubt, auch wenn es sich um eine kommerzielle Seite handelt.

[...]

Alles anzeigen

Vielen Dank für Dein Verständnis.

gruß,
docc

Ich frage mich gerade, warum du das gelöschte Profil nicht wieder hergestellt hast?

Hallo Headhunter66,

ohne Backup, Image oder Kopie sieht es schlecht aus.

Du hast aber gute Chancen, wenn du eine Wiederstellung mit Recuva anstößt. Wichtig ist allerdings, dass vorher nicht auf die Platte geschrieben wird. Sonst läufst du Gefahr, dass die Daten überschrieben werden. Darum bitte die "portable" Version von Recuva nutzen, und via Datenstick einsetzen: http://www.piriform.com/recuva/builds

gruß,
docc

Wenn vom System oder der Software ein konkreter Fehlercode ausgeworfen wird, mag das stimmen.

Viele User sind jedoch überfordert, wenn sie einen Fehler oder eine Fehlfunktion beschreiben sollen. Sie können die Symptome oft nicht interpretieren, um dann eine schlüssige Suchanfrage formulieren zu können.

Oft sind die Begrifflichkeiten den Usern aber auch schlichtweg unbekannt. Und folglich wissen sie nicht, wonach sie suchen sollen, weil sie keine brauchbaren Suchparameter generieren können. Wenn man mal z. B. die beiden Browser Firefox und Internet Explorer gegenüberstellt, muss man beim Fx z. B. nach Lesezeichen suchen, beim IE jedoch nach Favoriten.

Zitat von karlmarichal

Dann schließ doch den tread ist mir allmählich hier alles scheiß egal

Thread auf Wunsch des TO geschlossen.

docc

Zitat von alfablot

als ob ich schon nicht Pech genug habe, ist auch mein 300€ teurer KAWASAKI Rasenmäher kaputt gegangen, Garantie letztes Jahr abgelaufen

Am Ende ist alles ein Haufen.

Habe hier seit fast zehn Jahren einen Hako. Wurde mir von einem GaLa-Mann empfohlen. Ist in der Anschaffung zwar etwas teurer. Dafür läuft das Ding immer.

@ karlmarichal

Zitat von karlmarichal

ebay sidebar und Forecastfox funktionieren nicht mit Nightly 15

Manche Sprüche hauen mich wirklich vom Schlitten.

Was erwartest du von Betas oder Alphas? Etwa, dass deine Testversionen in einer Produktivumgebung ohne Probleme genutzt werden können?

Curiosity killed the cat.

Spätestens beim Crash mit Datenverlust und komplettem Christbaum stellt man fest, dass Beta- und erst recht nicht Alpha-Software für den Produktiveinsatz geeignet ist. Mal ganz davon abgesehen, dass das auch nicht ihr Zweck ist. Du betreibst deine Testversionen in einer Produktivumgebung. Insofern halte ich diesen Thread für komplett überflüssig.