[HaBo]

TheBlackPharao · 18.11.08, 23:19

Seit ca. einer Woche führen mehrere Links auf eine Seite namens Antivirus 2009 ( h**p://antivirus-premium-scan.com./2009/1/de/_freescan.php?nu=880147) ....(nicht unbedingt klicken...). Ist das eine neue Art zu werben oder sind diese Seiten gehackt worden? (Ich will keine Antwort, ich stelle das einfach mal so in den Raum...).
Zuletzt fiels mir bei der Seite des Wise Registry Cleaners auf ww w.wisecleaner.com).

MfG,
TBP

---edit lightsaver---
Ich habe die Links mal soweit bearbeitet, dass diese nicht mehr anklickbar sind. Die erste Seite blockiert mein FF direkt schon und auch die zweite müssen wir nicht unbedingt noch unterstützen mit einer direkten Verlinkung.
---/edit lightsaver---

SUID:root · 19.11.08, 00:00

Ist ein bisschen schwer das zu beantworten, da ich die Links nicht kenne. Denke aber mal, dass das Werbung ist. Letztlich kann man doch im Netz für fast alles Werbung schalten.
Süss finde ich ja "Malware Drohnung" auf dieser Seite.

Anzeige

- Anzeige -

xrayn · 19.11.08, 00:27

Das ist keine Werbung, sondern eine Methode Leute zu ueberreden freiwillig Spyware auf ihrem Pc zu installieren, aka social engineering. Es handelt sich bei "AntiVirus2009" wie auch bei "AntiVirus2008" um Spyware.

Cyberm@ster · 19.11.08, 01:45

Ich kann xrayn nur zustimmen. So ein gefaketer Virenscan kann unerfahrene Anwender irreführen und dazu verleiten das ActiveX-Applet und andere Applikationen zu installieren die wiederum mit grosser Wahrscheinlichkeit Malware enthalten.

TheBlackPharao · 19.11.08, 08:11

Dass diese Software Malware ist, war mir klar. Ich wollte das Thema einfach einmal ansprechen, und auf diese nette Seite hinweisen, weil sie mich gestern einfach genervt hat.
Naja, auf dass uns das IEMonster nicht verschlingen möge (kenner der Seite wissen worums geht

),

EDIT: Die Seite vom Wise Cleaner geht wieder...

TBP

Student · 30.12.08, 20:48

Habe das gleiche Problem, dass diese Seite ständig geöffnet wird, ob ich den explorer offen habe oder nicht.
Zusätlich kamen dann noch mehrere andere Internetseiten dazu, so dass das arbeiten am PC unmöglich wurde. Habe avast rüberlaufen lassen, der mir fast den ganzen PC in den Container gesteckt hätte.

Kurzerhand: Wiederaufgesetzt, war eh wieder mal zeit!

Nur das Probelm besteht weiterhin.
Hab jetzt Opera als Explorer und ZoneAlarm installiert, was zumindet die Seiten blockiert. Sollte aber keine Dauerlösung sein, da ich nicht viel von solchen Programmen halte.

Weiterhin finde ich etw 3 rundl32.dll in meinem TaskManager, dass kann doch nicht normal sein.

Bitte um Hilfe Danke.

**lightsaver** · 30.12.08, 22:47

@ Student:

Poste mal ein Hijackthis-Log im entsprechenden Sammelthread mit einer kurzen Beschreibung des Sachverhaltes (nicht jeder dort wird nämlich diesen Thread hier kennen). Eine rundl32.dll sollte im Taskmanager auf jeden Fall nicht auftauchen, vielleicht hast dich aber auch nur vertippt.

Möglicherweise hast du dein System aber gleich wieder infiziert. Was hast du denn alles wieder installiert oder angeklickt? Könnte da vielleicht was dabei gewesen sein?

Student · 31.12.08, 02:33

OK hab mal ein Hijackthis in den Sammelthread gestellt.

Hab auch gleich das Logfile ausgewertet und mehrere Dateien, die als schädlich eingestuft werden, erhalten.
Darauf den avast 4.0 heruntergeladen, doch den scheiterte schon beim ersten Trojaner der er mir meldet: winvsnet.tmp, da er ihn nich löschen oder verschieben kann.
Grund: Datei wird von anderen Anwendungen benötigt

Das mit der rundll32.dll ist kein Tippfehler, die steht bei mir dreimal im Taskmanager und lässt sich nicht beenden.

Was ich alles installiert habe:
Naja aufgesetzt halt:
Betriebssystem XP
Treiber von CD
Netgear Wireless USB stick
SP2
NET Framwork 2.0
Opera
update win mediaplayer 11
adobe 9
Drucker von CD
Spiel Oblivion
Patch von offizieller Seite

Hab noch Musik von meiner externen HD auf den neu aufgesetzten PC gelade.
Habe aber noch nie etwas von Viren in mp3 format gehört. Oder kann es schon zu übertragungen durch anschliessen der HD kommen.

Kann ich die Dateien die mir die Logfileauswertung des HijackThis als gefährlich einstuft manuell löschen oder wie soll ich vorgehen?

**lightsaver** · 31.12.08, 14:10

Also zu dem Log hab ich dir im Sammelthread schon geschrieben, dass du dein System dringend neu installieren solltest.
Die Software sieht ja erstmal nicht auffällig aus. Wie gesagt, nutze nur CDs zum installieren oder lade die Sachen neu runter, wo es möglich ist (natürlich erst nach der Neuinstallation oder auf einem sauberen Rechner).

Zu deiner Frage mit den mp3s:
Es gibt natürlich die Variante, dass du die Dateiendungen ausblenden lässt und so nur denkst, es wäre ein mp3. Eine weitere Möglichkeit wäre noch ein manipuliertes mp3, was dann eine Sicherheitslücke in deiner Abspielsoftware ausnutzen könnte. Das Zweite halte ich jedoch eher für unwahrscheinlich. Trotzdem müsstest du rausfinden, wie du dein System gleich wieder infizieren konntest.
Dafür gebe ich dir noch den Rat, mal direkt nach der Neuinstallation dein ganzes System (also eigentlich nur alle Festplatten außer c, da du diese ja formatiert hast) mit einem Antivirenprogramm und aktuellen Signaturen zu scannen.

xrayn · 31.12.08, 14:11

Also du haste 2 Moeglichkeiten, entweder du versuchst es mit einem besserem AV wie Kaspersky oder Sophos (die haben mehr Power

) oder machst es per Hand, dafuer nimmste am besten sowas wie Rootkitunhooker (http://www.rootkit.com/vault/DiabloN....8.342.554.rar) oder IceSword.

**lightsaver** · 31.12.08, 14:13

Zitat:

Original von xrayn
Also du haste 2 Moeglichkeiten, entweder du versuchst es mit einem besserem AV wie Kaspersky oder Sophos (die haben mehr Power

) oder machst es per Hand, dafuer nimmste am besten sowas wie Rootkitunhooker (http://www.rootkit.com/vault/DiabloN....8.342.554.rar) oder IceSword.

Du kannst ein infiziertes System niemals sicher nachträglich bereinigen

xrayn · 31.12.08, 14:36

Doch, heutzutage in den meisten Faellen schon. Denn heutzutage veraendert die Malware nur noch in sehr seltenen Faellen Systemdateien oder Dateien im Allgemeinen. Frueher... wo noch alles besser war

Da haben sich Malwareautoren noch Muehe gegeben und PE-infector geschrieben. Aber heute.. naja da geht es meist nach dem Schema F: Man braucht 3 Zutaten:
1. eine Exe, um DLL zu laden oder um die eigentliche "Schadroutine" auszufuehren
2. eine DLL, die dann in einen Prozess injected wird und zb dafuer sorgt, dass die Exe permanent laeuft oder irgendwelche billigen r3 Hooks anzubringen o.ae.
3. einen Registryeintrag um den Startup zu gewaehrleisten.

Entfernt man alle drei Komponenten ist man die Malware los. Natuerlich sollte man das System die naechsten paar Tage genau im Auge behalten und vllt einmal taeglich ein Scan durchlaufen lassen. Tut sich aber nichts, ist davon auszugehen, dass der PC clean ist. Und wenn AntiVirus2009 mal analysiert, stellt man fest, dass dort genau das Schema angewendet wurde.

**lightsaver** · 31.12.08, 14:45

Es mag sein, dass es oft klappt, da stimme ich dir auch zu, aber du kannst es ebend nicht garantieren. Weißt du, was der Schädling noch so alles nachgeladen hat? Wurde dann noch ein Rootkit installiert, kann es schon sehr schwierig sein, überhaupt noch etwas schädliches zu entdecken.
Da hier nun zu mindestens einem Eintrag schon der Hinweis kam, dass es selbst für erfahrene Leute schwierig ist, die zusätzlich installierte Backdoor zu entfernen, würde ich also nicht auf solch einen einfachen Fall wie den von dir konstruierten tippen.

Beispiele gab es dazu übrigens in letzter Zeit auch wieder einige, auch wenn es da die Onlinebanking-Trojaner betroffen hat. Da gab es so einige Benutzer, die den Trojaner scheinbar mit Antivirenprogrammen gelöscht haben, und dann dennoch noch versteckte Schädlinge auf dem Rechner hatten, womit die dann sehr viel ärger hatten.

Wie gesagt, es kann niemals garantiert werden, dass die Bereinigung erfolgreich war, und wenn es schon Hinweise gibt, dass der hier angetroffene Schädling es einem schwierig macht, wäre alles andere als eine Neuinstallation absolut fahrlässig

xrayn · 31.12.08, 15:31

Ok, ich kann nicht einschaetzen, was die als schwer entfernbare Malware klassifizieren. Und nauterlich gilt das, was ich geschrieben hatte, auch nur fuer denjenigen, der sich mit dem Themengebiert gut auskennt. Dem 0815-Anwender ist es natuerlich nicht moeglich Malware einfach zu entfernen, aber jemanden der ueber Wissen ueber das Betriebsystem verfuegt, auf dem "aktuellen" Stand der Malwaretechniken ist und ein klein wenig was von RE, sollte keine Probleme bei der Entfernung haben

Student · 01.01.09, 21:43

Ok da ich 0815 Anwender bin und keinen Plan von Viren habe, hab ich den PC erneut aufgesetzt (war eh noch nicht all zu viel installiert).

Fazit: Virus weg (juhe)

prunnet.exe war dafür verantwortlich, dass sich mein IE immer wieder erneut öffnete. Hab den mal mit einem Hex Editor angeschaut und genau das schema das xrayn beschreibt gefunden.
Der Programmierer muss sich wirklich mühe gegeben haben, da er sogar ein Mittelfinger ind den Quellcode gezeichnet hat.

Das mit den 3 laufenden rundl32.dll kann ich mir nicht erklären, vermutlich noch einen weiteren Virus.

Was mich wunder nimmt ist, wo der Virus herkam?
Kann er durch reines anschliessen eines Wechselträgers übertragen werden?
Wenn ja dann sollte ich mal meine extern HD auf Viren checken.
Weiss einer zufälligerweise, wie man da am sichersten vorgeht?

Danke für die Hilfe

Anzeige

- Anzeige -

18.11.08, 23:19	#1 (permalink)
TheBlackPharao Registriert seit: 17.11.08 Likes: 0	Antivirus 2009 Anzeige Seit ca. einer Woche führen mehrere Links auf eine Seite namens Antivirus 2009 ( h**p://antivirus-premium-scan.com./2009/1/de/_freescan.php?nu=880147) ....(nicht unbedingt klicken...). Ist das eine neue Art zu werben oder sind diese Seiten gehackt worden? (Ich will keine Antwort, ich stelle das einfach mal so in den Raum...). Zuletzt fiels mir bei der Seite des Wise Registry Cleaners auf ww w.wisecleaner.com). MfG, TBP ---edit lightsaver--- Ich habe die Links mal soweit bearbeitet, dass diese nicht mehr anklickbar sind. Die erste Seite blockiert mein FF direkt schon und auch die zweite müssen wir nicht unbedingt noch unterstützen mit einer direkten Verlinkung. ---/edit lightsaver---

19.11.08, 08:11	#5 (permalink)
TheBlackPharao Themenstarter Registriert seit: 17.11.08 Likes: 0	Dass diese Software Malware ist, war mir klar. Ich wollte das Thema einfach einmal ansprechen, und auf diese nette Seite hinweisen, weil sie mich gestern einfach genervt hat. Naja, auf dass uns das IEMonster nicht verschlingen möge (kenner der Seite wissen worums geht), EDIT: Die Seite vom Wise Cleaner geht wieder... TBP

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Summerbreeze 2009	Mortiis	HaBo Lounge	4	18.08.09 10:08
Bildungsstreik 2009	.doc	HaBo Lounge	54	20.06.09 12:25
Antivirus	FlAsHPRO	(In)security allgemein	10	31.05.05 20:48
antivirus programm	MATRIX3	Virenschutz · Tools & Aggressive Software	2	10.03.05 10:17
Antivirus Test	Mackz	Virenschutz · Tools & Aggressive Software	13	08.09.04 21:09

19.11.08, 00:00	#2 (permalink)
SUID:root Member of Honour Registriert seit: 04.09.04 Likes: 0	Ist ein bisschen schwer das zu beantworten, da ich die Links nicht kenne. Denke aber mal, dass das Werbung ist. Letztlich kann man doch im Netz für fast alles Werbung schalten. Süss finde ich ja "Malware Drohnung" auf dieser Seite.

19.11.08, 00:27	#3 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Das ist keine Werbung, sondern eine Methode Leute zu ueberreden freiwillig Spyware auf ihrem Pc zu installieren, aka social engineering. Es handelt sich bei "AntiVirus2009" wie auch bei "AntiVirus2008" um Spyware.

19.11.08, 01:45	#4 (permalink)
Cyberm@ster Senior Member Registriert seit: 27.06.04 Likes: 0	Ich kann xrayn nur zustimmen. So ein gefaketer Virenscan kann unerfahrene Anwender irreführen und dazu verleiten das ActiveX-Applet und andere Applikationen zu installieren die wiederum mit grosser Wahrscheinlichkeit Malware enthalten.

30.12.08, 20:48	#6 (permalink)
Student Registriert seit: 13.10.08 Likes: 0	Habe das gleiche Problem, dass diese Seite ständig geöffnet wird, ob ich den explorer offen habe oder nicht. Zusätlich kamen dann noch mehrere andere Internetseiten dazu, so dass das arbeiten am PC unmöglich wurde. Habe avast rüberlaufen lassen, der mir fast den ganzen PC in den Container gesteckt hätte. Kurzerhand: Wiederaufgesetzt, war eh wieder mal zeit! Nur das Probelm besteht weiterhin. Hab jetzt Opera als Explorer und ZoneAlarm installiert, was zumindet die Seiten blockiert. Sollte aber keine Dauerlösung sein, da ich nicht viel von solchen Programmen halte. Weiterhin finde ich etw 3 rundl32.dll in meinem TaskManager, dass kann doch nicht normal sein. Bitte um Hilfe Danke.

30.12.08, 22:47	#7 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	@ Student: Poste mal ein Hijackthis-Log im entsprechenden Sammelthread mit einer kurzen Beschreibung des Sachverhaltes (nicht jeder dort wird nämlich diesen Thread hier kennen). Eine rundl32.dll sollte im Taskmanager auf jeden Fall nicht auftauchen, vielleicht hast dich aber auch nur vertippt. Möglicherweise hast du dein System aber gleich wieder infiziert. Was hast du denn alles wieder installiert oder angeklickt? Könnte da vielleicht was dabei gewesen sein?

31.12.08, 02:33	#8 (permalink)
Student Registriert seit: 13.10.08 Likes: 0	OK hab mal ein Hijackthis in den Sammelthread gestellt. Hab auch gleich das Logfile ausgewertet und mehrere Dateien, die als schädlich eingestuft werden, erhalten. Darauf den avast 4.0 heruntergeladen, doch den scheiterte schon beim ersten Trojaner der er mir meldet: winvsnet.tmp, da er ihn nich löschen oder verschieben kann. Grund: Datei wird von anderen Anwendungen benötigt Das mit der rundll32.dll ist kein Tippfehler, die steht bei mir dreimal im Taskmanager und lässt sich nicht beenden. Was ich alles installiert habe: Naja aufgesetzt halt: Betriebssystem XP Treiber von CD Netgear Wireless USB stick SP2 NET Framwork 2.0 Opera update win mediaplayer 11 adobe 9 Drucker von CD Spiel Oblivion Patch von offizieller Seite Hab noch Musik von meiner externen HD auf den neu aufgesetzten PC gelade. Habe aber noch nie etwas von Viren in mp3 format gehört. Oder kann es schon zu übertragungen durch anschliessen der HD kommen. Kann ich die Dateien die mir die Logfileauswertung des HijackThis als gefährlich einstuft manuell löschen oder wie soll ich vorgehen?

31.12.08, 14:10	#9 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Also zu dem Log hab ich dir im Sammelthread schon geschrieben, dass du dein System dringend neu installieren solltest. Die Software sieht ja erstmal nicht auffällig aus. Wie gesagt, nutze nur CDs zum installieren oder lade die Sachen neu runter, wo es möglich ist (natürlich erst nach der Neuinstallation oder auf einem sauberen Rechner). Zu deiner Frage mit den mp3s: Es gibt natürlich die Variante, dass du die Dateiendungen ausblenden lässt und so nur denkst, es wäre ein mp3. Eine weitere Möglichkeit wäre noch ein manipuliertes mp3, was dann eine Sicherheitslücke in deiner Abspielsoftware ausnutzen könnte. Das Zweite halte ich jedoch eher für unwahrscheinlich. Trotzdem müsstest du rausfinden, wie du dein System gleich wieder infizieren konntest. Dafür gebe ich dir noch den Rat, mal direkt nach der Neuinstallation dein ganzes System (also eigentlich nur alle Festplatten außer c, da du diese ja formatiert hast) mit einem Antivirenprogramm und aktuellen Signaturen zu scannen.

31.12.08, 14:11	#10 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Also du haste 2 Moeglichkeiten, entweder du versuchst es mit einem besserem AV wie Kaspersky oder Sophos (die haben mehr Power ) oder machst es per Hand, dafuer nimmste am besten sowas wie Rootkitunhooker (http://www.rootkit.com/vault/DiabloN....8.342.554.rar) oder IceSword.

31.12.08, 14:36	#12 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Doch, heutzutage in den meisten Faellen schon. Denn heutzutage veraendert die Malware nur noch in sehr seltenen Faellen Systemdateien oder Dateien im Allgemeinen. Frueher... wo noch alles besser war Da haben sich Malwareautoren noch Muehe gegeben und PE-infector geschrieben. Aber heute.. naja da geht es meist nach dem Schema F: Man braucht 3 Zutaten: 1. eine Exe, um DLL zu laden oder um die eigentliche "Schadroutine" auszufuehren 2. eine DLL, die dann in einen Prozess injected wird und zb dafuer sorgt, dass die Exe permanent laeuft oder irgendwelche billigen r3 Hooks anzubringen o.ae. 3. einen Registryeintrag um den Startup zu gewaehrleisten. Entfernt man alle drei Komponenten ist man die Malware los. Natuerlich sollte man das System die naechsten paar Tage genau im Auge behalten und vllt einmal taeglich ein Scan durchlaufen lassen. Tut sich aber nichts, ist davon auszugehen, dass der PC clean ist. Und wenn AntiVirus2009 mal analysiert, stellt man fest, dass dort genau das Schema angewendet wurde.

31.12.08, 14:45	#13 (permalink)
lightsaver Moderator Registriert seit: 19.06.06 Likes: 52	Es mag sein, dass es oft klappt, da stimme ich dir auch zu, aber du kannst es ebend nicht garantieren. Weißt du, was der Schädling noch so alles nachgeladen hat? Wurde dann noch ein Rootkit installiert, kann es schon sehr schwierig sein, überhaupt noch etwas schädliches zu entdecken. Da hier nun zu mindestens einem Eintrag schon der Hinweis kam, dass es selbst für erfahrene Leute schwierig ist, die zusätzlich installierte Backdoor zu entfernen, würde ich also nicht auf solch einen einfachen Fall wie den von dir konstruierten tippen. Beispiele gab es dazu übrigens in letzter Zeit auch wieder einige, auch wenn es da die Onlinebanking-Trojaner betroffen hat. Da gab es so einige Benutzer, die den Trojaner scheinbar mit Antivirenprogrammen gelöscht haben, und dann dennoch noch versteckte Schädlinge auf dem Rechner hatten, womit die dann sehr viel ärger hatten. Wie gesagt, es kann niemals garantiert werden, dass die Bereinigung erfolgreich war, und wenn es schon Hinweise gibt, dass der hier angetroffene Schädling es einem schwierig macht, wäre alles andere als eine Neuinstallation absolut fahrlässig

31.12.08, 15:31	#14 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 246	Ok, ich kann nicht einschaetzen, was die als schwer entfernbare Malware klassifizieren. Und nauterlich gilt das, was ich geschrieben hatte, auch nur fuer denjenigen, der sich mit dem Themengebiert gut auskennt. Dem 0815-Anwender ist es natuerlich nicht moeglich Malware einfach zu entfernen, aber jemanden der ueber Wissen ueber das Betriebsystem verfuegt, auf dem "aktuellen" Stand der Malwaretechniken ist und ein klein wenig was von RE, sollte keine Probleme bei der Entfernung haben

01.01.09, 21:43	#15 (permalink)
Student Registriert seit: 13.10.08 Likes: 0	Ok da ich 0815 Anwender bin und keinen Plan von Viren habe, hab ich den PC erneut aufgesetzt (war eh noch nicht all zu viel installiert). Fazit: Virus weg (juhe) prunnet.exe war dafür verantwortlich, dass sich mein IE immer wieder erneut öffnete. Hab den mal mit einem Hex Editor angeschaut und genau das schema das xrayn beschreibt gefunden. Der Programmierer muss sich wirklich mühe gegeben haben, da er sogar ein Mittelfinger ind den Quellcode gezeichnet hat. Das mit den 3 laufenden rundl32.dll kann ich mir nicht erklären, vermutlich noch einen weiteren Virus. Was mich wunder nimmt ist, wo der Virus herkam? Kann er durch reines anschliessen eines Wechselträgers übertragen werden? Wenn ja dann sollte ich mal meine extern HD auf Viren checken. Weiss einer zufälligerweise, wie man da am sichersten vorgeht? Danke für die Hilfe

[HaBo]

Antivirus 2009