Beiträge von spiess

hey super danke brummelchen.

ja ich gehe sonst immer mit linux-livecd ran um die wichtigen daten zu retten, dann mit knoppizilin nochmal prüfen und händisch alles durchsehen. meistens rette ich nur briefe, dokumente und sowas(diese kopiere ich nur inhaltlich). sonstige dateien lass ich mit draufgehen bei der formatierung.
und natürlich nehm ich sowas ernst.

ich wiederhole: windows wird neu draufgesetzt. ich bevorzuge das system temporär für einen kurzen zeitraum zu stabilisieren um eben wichtiges zu sichern und mir ein bild von der schadsoftware zu machen. dieses ist für mich wichtig um zukünftig sicherer zu handeln bzw dem betroffenem einige hinweise zu geben wie er sich verhalten soll und was er nicht mehr machen sollte. und ich wiederhole ich formatiere zu gerne denn nur so bekommt man das system wieder sauber. jeder wie er denkt und mag. ich will meinen feind kennenlernen g*

Cosmo
bin auch deiner meinung mit dem sicherheitskonzept. ja a bisserl weit hergeholt. ich könnte noch ein paar nummern weitergehen aber das wäre zu viel.
darum gehts hier nicht.

wollte nur zum thema zurückkehren, eine grobe zusammenfassung im bezug auf banking und firefox machen und andere mitleser/betroffene auf das risiko aufmerksam machen.

durch den Bericht und fortführung dieses themas erhoffe ich mir und anderen neue erkenntnisse zu gewinnen.

ach ja zum Thema: Banking Firefox und IE ...

nach meinem rückschluß blockieren diese trojaner den Firefox um den user zu zwingen auf den IE auszuweichen.
da es sich auch um Bankingseiten handelt denke ich sie wollen so die bankdate im IE ausspähen (wieso geht das im FF nicht?)
ist da der Firefox zu sicher dafür? kann mich auch irren -> möglichkeit wäre es.

!!!!Wichtiger Hinweis: bei auftauchen solcher Probleme bitte auf keinen Fall weiter Online-Banking betreiben!!!!!!!

bitte den Ratschlägen von bordraider und co befolgen und das System neu aufsetzen!!!
virenbeseitigung nur durchfürhren wenn ihr daten retten wollt. aber vorsicht! nicht die infizierten daten ins neue system einschleußen!

hi take it easy

wollte nur berichten. die fehlermeldung war vor dem säubern. mir ist klar das dieser pc nicht sauber ist und ich wiederhole der wird neu aufgesetzt.
wenn wir nur lesen und nicht berichten kann es wohl keinem anderem weterhelfen....

OT: wie gesagt ich teste vista weil beim lappi dabei war. da hat sich einiges getan was die rechteverwaltung angeht.
deswegen auch die hohen lizensgelder an novell. das "brave" xp steckt ja weiterhin in vista. vista is nur ein "Theme" über xp mit ein paar extras.

moing,

habt alle recht. Nein es ist nicht mein PC. Nein der zustand ist nicht das was ich mir vorstelle aber so haben wir die schwachstellen erkannt.
meine vorgehensweise hat eher mit PDCA zu tun.
PS: persönlich bevorzuge ich linux und teste gerade vista auf meinem laptop.

witzig is nur das wir wohl auf den befall nicht aufmerksam geworden wären wenn nicht der Uralte Adobe Reader 4.0 das system ab und an lahm gelegt hätte und wir nicht ein neues Emailkonto anlegen wollten. ich hielt immer sehr viel vom FF und auch jetzt. denn der FF hat nichts falsch gemacht sondern aufgezeigt das es ein Problem gibt. ich kann leider nicht beurteilen oder reproduzieren ob das mit dem IE auch so gewesen wäre. guter rat is teuer aber eine nummer sicherer muss ich jetzt bei denen gehen. wie ich oben geschrieben habe werde ich das mit dem sohn und rechner extra durchziehen. ich weiß nicht ob es "prOn"-Seiten waren, dubiose namen allerdings.

ach ja. als ich grad beim bereinigen war ging der Firefox nicht mehr auf. kam eine Fake-meldung mit: ..entschuldigung Firefox hat einen Fehler verursacht und dies muss gemeldet werden. Bitte senden sie diese Meldung... darauf hab ich die ff.exe umbenannt und es ging. denk für alle die ähnliche probleme haben oder haben werden hier ein wink.

grüße

guten abend,

hab nun mittels Malwarebytes sehr viele infektionen festellen müssen. diese bereinigen lassen und alles ist wieder in einem ordentlichem zustand.
traurige wahrheit ist das das avira antivir in diesem fall keine hilfe geleistet hat und auch nicht angeschlagen. auch wenn es ein falscher rückschluß seien sollte so denke ich wenns mit der kostenlosen version nicht anschlägt dann mit der bezahlten wohl auch nicht. eine vollversion zu holen stand(steht immer noch) auch im raum heute.

ich verstehe auch nicht wozu sein sohn den PC 1 Stockwerk tiefer braucht wenn er über seine Xbox spielen will. vor allem geht das über den Router, denn es besteht ja keine direkte verbindung vom PC zu Xbox. aber egal dem werd ich auch noch auf den grund gehen und vor allem diese verbindung nicht mehr zulassen. mit einem separatem Kabel wird der zweite pc angeschlossen.

hauptsächlich wird der PC zum surfen auf verschiedenen vereinsseiten und ebay genutzt. ein paar dubiosen seiten konnte ich im temp verzeichnis schon feststellen allerdings auch nur zur einer uhrzeit wo der besitzer nicht anwesend sein konnte

anbei häng ich noch die Log von Malwarebytes:

Zitat

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2650
Windows 5.1.2600 Service Pack 3

18.08.2009 20:18:23
mbam-log-2009-08-18 (20-18-15).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 91016
Laufzeit: 3 minute(s), 55 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\UACbajkaalpib.dll (Rogue.Agent) -> No action taken.
C:\WINDOWS\system32\SKYNETkjlvvjis.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\SKYNETxvkbpnpa.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\UACobfupvswui.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\UACuwcmawwyfq.dll (Trojan.Agent) -> No action taken.

Alles anzeigen

Moing,

beim letzten befall ja.

set gestern besteht dieses problem. bei der neuinstallation ist das system anständig konfiguriert worden.
das größte problem sitzt aber davor bzw ein stockwerk höher(sein sohn). es wird regelmäßig mit der xbox gespielt und sicherheitseinstellungen deaktiviert.
somit sind die pforten immer offen für trojaner und allen anderen kollegen. eine neuinstallation steht bevor aber ich möchte dem problem auf den grund gehen.
in der vergangenheit hatte ich mit dem conficker zu tun. das neuaufsetzen hat nicht lang geholfen sondern das preventive vorgehen.

Guten Morgen.

angelheart und ABMichael:

habe die Probleme mit FF bei einem Freund auch nur durch Zufall bekommen. Wollten bei gmx ein Konto anlegen
Hatten davor noch die Virensoftware gewechselt weil erneuter befall mit malware beseitigt werden sollte. unter anderem hat sich Adobe 4.0 aus irgendwelchen gründen installiert und fehlermeldungen/lahmlegungen produziert die meinen Freund dazu bewegten mich "wiedermal" zu holen.

wir haben von antivir auf avast gewechselt. dabei einige trojaner und malware gefunden und gelöscht/stillgelegt/vorrübergehend deaktiviert.
wir haben von anfang(neuinstallation vor ca 4 monaten) an systemwiederherstellung deaktiviert und alle programme nach dem deinstallieren mit ccleaner bereinigt.
alle autostarteinträge von anfang an beobachtet, laufende prozesse beobachtet. mit keiner einstellung haben wir den FF zum richtigen anzeigen der gmx-Seite bewegt. selbst neuistallation half nicht. ich verwende den FF 2.0.18 mit etwas tuning. der FF 3.5 hat nichts anderes angezeigt. der IE ging langsam aber er konnte richtig anzeigen. im taskmanager hab ich den FF "hochlaufen" sehen: überstieg den Leerlaufprozess und auch leerlaufen sehen: keine veränderung obwohl mehrere seiten angefordert worden sind. es hat den anschein dass die firefox exe von einem anderem programm reproduziert wird.

OT: solche probleme kenne ich von Linux nicht. vielleicht sollten wir beim Bill anklopfen und den mal bitten die OpenSource Programme nicht zu bojkotieren...

grüße