[HaBo]

enkore · 18.11.10, 17:13

Hi,
habe hier auf einem Laptop Opera 10 installiert und auch wohl irgendeinen Wurm drauf. Dieser Wurm leitet einen manchmal von der Google Ergebnisseite beim Klick auf ein Ergebnis woanders hin um. Soweit nichts besonderes. Aber: Die Zielseiten sind teilweise Werbeseiten von:

Telekom
Amazon
Ebay
Hypo Vereinsbank
Volksbank
Yahoo!
MSN/Microsoft

Und einigen (!) anderen - auch fremdsprachigen - Seiten.
Ich habe mich da mehrere male vergewissert, es SIND wirklich die Seiten von diesen Firmen.

Zumindest bei Amazon und der Volksbank kann ich mir irgendwie überhaupt nicht vorstellen, dass die mit einem Wurmhersteller zusammenarbeiten würden. Es ist definitiv kein Plugin/Toolbar oder sowas, sondern ein Wurm/Virus. Avira hat da nämlich einmal was in einem Opera-Modul (opera.dll) gemeldet, darauf war Avira... irgendwie weg

Hm tja komische Geschichte irgendwie. Das ganze tritt auch nicht nur bei Opera sondern auch bei Firefox 3 und IE8 auf. Spybot S&D findet nichts bzw. stürzt auf mysteriöse Art und weise ab (und die Binary ist weg :o) - na warum wohl?

Tja jetzt bin ich erstmal mit meinem Latein am Ende. Avira und ein paar andere AVs von einer CD (heise c't Security Special CD) finden auch nichts oder stürzen auch ab - obwohl von CD gestartet...

Enterprize1 · 18.11.10, 17:27

Genau dasselbe Problem hatte ich gestern auch.
Bei mir war ein Proxy bei Opera eingetragen. Wenn man diesen Eintrag entfernt funktioniert alleswiedee bestens, aber seitdem meldet sich mein AntiVir alle 5 Minuten, sodass ich das Tool grade mal scannen lasse.
--
Enterprize1

Edit:
(ins falsche editiert)
Der AntiVir Code für das Ding ist TR/Crypt.ZPACK.Gen

Anzeige

- Anzeige -

enkore · 18.11.10, 17:38

Nein ein Proxy ist nicht eingetragen. Hosts-Datei ist auch clean (Livelinux). Gleiches Problem tritt btw. auch auf, wenn ich einen frischen Opera per Livelinux draufziehe und dann wieder unter WinXP starte.

Enterprize1 · 18.11.10, 18:02

Hmm es könnte auch sein, das der Proxy von meinem Hotspot Shield eingetragen wurde. Ich hb grade nochmal ein wenig mit Opera gesurft und festgestellt, das er mich immernoch manchmal weiterleitet, (auffalend oft zu ebay.com/iPhone). Ich bin mir reltaiv sicher, dass die Infektion von meinem Computer durch Java ermöglicht wurde, denn gestern startete plötzlich wähend dem surfen Java, ohne das ein Applet auf der Seite erkennbar war. Seitdem kommt wie schon erwähnt alle 5 Minuten die Meldung von AntiVir, dass im temp Verzeichniss eine dll-Datei mit random Dateinamen gefunden wurde (wenn ich das richtig deute ist das aber nur ein generischer Fund aufgrund eines merkwürdigen Pack-Programmes). Der Dateiname ändert sich bei jeder Meldung.
(der Scan hat bis jetzt noch nichts gefunden)

--
Enterprize1

Edit:
(ins falsche editiert)
Der AntiVir Code für das Ding ist TR/Crypt.ZPACK.Gen

enkore · 18.11.10, 21:48

Dito für den Code. Bei mir ists allerdings meistens die opera.exe/dll, firefox.exe und mshtml.dll (oder so)... Hmm wollte eh bald Win7 installieren^^

Dresko · 19.11.10, 11:39

Falls es wirklich TR/Crypt.ZPACK.Gen ist, habt ihr eine Zeusbot-Variante.

Da diese Malware richtig eklig ist, würde ich euch beiden empfehlen den Rechner zu formatieren und neu aufzusetzen und danach alle Passwörter zu ändern.

Ansonsten könnt ihr ja auch mal die gängigen Removal-Tools für den Zeusbot ausprobieren. Allerdings wird diese Malware ständig weiterentwickelt und daher funktionieren nicht immer alle Removal-Tools.
Auf der sicheren Seite seid ihr wohl nur mit einer Neu-Installation.

enkore · 19.11.10, 14:43

Grade nochmal nachgeschaut es ist "nur" crypt.pack.gen

Anzeige

- Anzeige -

18.11.10, 17:13	#1 (permalink)
enkore Senior Member Registriert seit: 13.07.08 Likes: 85	Merkwürdiger Redirectwurm Anzeige Hi, habe hier auf einem Laptop Opera 10 installiert und auch wohl irgendeinen Wurm drauf. Dieser Wurm leitet einen manchmal von der Google Ergebnisseite beim Klick auf ein Ergebnis woanders hin um. Soweit nichts besonderes. Aber: Die Zielseiten sind teilweise Werbeseiten von: Telekom Amazon Ebay Hypo Vereinsbank Volksbank Yahoo! MSN/Microsoft Und einigen (!) anderen - auch fremdsprachigen - Seiten. Ich habe mich da mehrere male vergewissert, es SIND wirklich die Seiten von diesen Firmen. Zumindest bei Amazon und der Volksbank kann ich mir irgendwie überhaupt nicht vorstellen, dass die mit einem Wurmhersteller zusammenarbeiten würden. Es ist definitiv kein Plugin/Toolbar oder sowas, sondern ein Wurm/Virus. Avira hat da nämlich einmal was in einem Opera-Modul (opera.dll) gemeldet, darauf war Avira... irgendwie weg Hm tja komische Geschichte irgendwie. Das ganze tritt auch nicht nur bei Opera sondern auch bei Firefox 3 und IE8 auf. Spybot S&D findet nichts bzw. stürzt auf mysteriöse Art und weise ab (und die Binary ist weg :o) - na warum wohl? Tja jetzt bin ich erstmal mit meinem Latein am Ende. Avira und ein paar andere AVs von einer CD (heise c't Security Special CD) finden auch nichts oder stürzen auch ab - obwohl von CD gestartet... __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

18.11.10, 17:27	#2 (permalink)
Enterprize1 Registriert seit: 13.05.07 Likes: 0	Genau dasselbe Problem hatte ich gestern auch. Bei mir war ein Proxy bei Opera eingetragen. Wenn man diesen Eintrag entfernt funktioniert alleswiedee bestens, aber seitdem meldet sich mein AntiVir alle 5 Minuten, sodass ich das Tool grade mal scannen lasse. -- Enterprize1 Edit: (ins falsche editiert) Der AntiVir Code für das Ding ist TR/Crypt.ZPACK.Gen Geändert von Enterprize1 (18.11.10 um 18:05 Uhr)

18.11.10, 17:38	#3 (permalink)
enkore Senior Member Themenstarter Registriert seit: 13.07.08 Likes: 85	Nein ein Proxy ist nicht eingetragen. Hosts-Datei ist auch clean (Livelinux). Gleiches Problem tritt btw. auch auf, wenn ich einen frischen Opera per Livelinux draufziehe und dann wieder unter WinXP starte. __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

18.11.10, 18:02	#4 (permalink)
Enterprize1 Registriert seit: 13.05.07 Likes: 0	Hmm es könnte auch sein, das der Proxy von meinem Hotspot Shield eingetragen wurde. Ich hb grade nochmal ein wenig mit Opera gesurft und festgestellt, das er mich immernoch manchmal weiterleitet, (auffalend oft zu ebay.com/iPhone). Ich bin mir reltaiv sicher, dass die Infektion von meinem Computer durch Java ermöglicht wurde, denn gestern startete plötzlich wähend dem surfen Java, ohne das ein Applet auf der Seite erkennbar war. Seitdem kommt wie schon erwähnt alle 5 Minuten die Meldung von AntiVir, dass im temp Verzeichniss eine dll-Datei mit random Dateinamen gefunden wurde (wenn ich das richtig deute ist das aber nur ein generischer Fund aufgrund eines merkwürdigen Pack-Programmes). Der Dateiname ändert sich bei jeder Meldung. (der Scan hat bis jetzt noch nichts gefunden) -- Enterprize1 Edit: (ins falsche editiert) Der AntiVir Code für das Ding ist TR/Crypt.ZPACK.Gen Geändert von Enterprize1 (18.11.10 um 18:06 Uhr)

18.11.10, 21:48	#5 (permalink)
enkore Senior Member Themenstarter Registriert seit: 13.07.08 Likes: 85	Dito für den Code. Bei mir ists allerdings meistens die opera.exe/dll, firefox.exe und mshtml.dll (oder so)... Hmm wollte eh bald Win7 installieren^^ __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

19.11.10, 11:39	#6 (permalink)
Dresko Registriert seit: 30.01.10 Likes: 1	Falls es wirklich TR/Crypt.ZPACK.Gen ist, habt ihr eine Zeusbot-Variante. Da diese Malware richtig eklig ist, würde ich euch beiden empfehlen den Rechner zu formatieren und neu aufzusetzen und danach alle Passwörter zu ändern. Ansonsten könnt ihr ja auch mal die gängigen Removal-Tools für den Zeusbot ausprobieren. Allerdings wird diese Malware ständig weiterentwickelt und daher funktionieren nicht immer alle Removal-Tools. Auf der sicheren Seite seid ihr wohl nur mit einer Neu-Installation. __________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook -

19.11.10, 14:43	#7 (permalink)
enkore Senior Member Themenstarter Registriert seit: 13.07.08 Likes: 85	Grade nochmal nachgeschaut es ist "nur" crypt.pack.gen __________________ "It is the human race! The deterioration of the spirit of man. Man undermining himself, causing a self-willed, self-imposed, self-evident self-destruction." +++ BREAKING +++ Troll ertrinkt im Planschbecken +++

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

Merkwürdiger Redirectwurm