Antivirus 2009

T

TheBlackPharao

0
Seit ca. einer Woche führen mehrere Links auf eine Seite namens Antivirus 2009 ( h**p://antivirus-premium-scan.com./2009/1/de/_freescan.php?nu=880147) ....(nicht unbedingt klicken...). Ist das eine neue Art zu werben oder sind diese Seiten gehackt worden? (Ich will keine Antwort, ich stelle das einfach mal so in den Raum...).
Zuletzt fiels mir bei der Seite des Wise Registry Cleaners auf ww w.wisecleaner.com).

MfG,
TBP


---edit lightsaver---
Ich habe die Links mal soweit bearbeitet, dass diese nicht mehr anklickbar sind. Die erste Seite blockiert mein FF direkt schon und auch die zweite müssen wir nicht unbedingt noch unterstützen mit einer direkten Verlinkung.
---/edit lightsaver---
 
Ist ein bisschen schwer das zu beantworten, da ich die Links nicht kenne. Denke aber mal, dass das Werbung ist. Letztlich kann man doch im Netz für fast alles Werbung schalten.
Süss finde ich ja "Malware Drohnung" auf dieser Seite. :)
 
Das ist keine Werbung, sondern eine Methode Leute zu ueberreden freiwillig Spyware auf ihrem Pc zu installieren, aka social engineering. Es handelt sich bei "AntiVirus2009" wie auch bei "AntiVirus2008" um Spyware.
 
Ich kann xrayn nur zustimmen. So ein gefaketer Virenscan kann unerfahrene Anwender irreführen und dazu verleiten das ActiveX-Applet und andere Applikationen zu installieren die wiederum mit grosser Wahrscheinlichkeit Malware enthalten.
 
Dass diese Software Malware ist, war mir klar. Ich wollte das Thema einfach einmal ansprechen, und auf diese nette Seite hinweisen, weil sie mich gestern einfach genervt hat.
Naja, auf dass uns das IEMonster nicht verschlingen möge (kenner der Seite wissen worums geht=)),

EDIT: Die Seite vom Wise Cleaner geht wieder...

TBP
 
Habe das gleiche Problem, dass diese Seite ständig geöffnet wird, ob ich den explorer offen habe oder nicht.
Zusätlich kamen dann noch mehrere andere Internetseiten dazu, so dass das arbeiten am PC unmöglich wurde. Habe avast rüberlaufen lassen, der mir fast den ganzen PC in den Container gesteckt hätte.

Kurzerhand: Wiederaufgesetzt, war eh wieder mal zeit!

Nur das Probelm besteht weiterhin.
Hab jetzt Opera als Explorer und ZoneAlarm installiert, was zumindet die Seiten blockiert. Sollte aber keine Dauerlösung sein, da ich nicht viel von solchen Programmen halte.

Weiterhin finde ich etw 3 rundl32.dll in meinem TaskManager, dass kann doch nicht normal sein.

Bitte um Hilfe Danke.
 
@ Student:

Poste mal ein Hijackthis-Log im entsprechenden Sammelthread mit einer kurzen Beschreibung des Sachverhaltes (nicht jeder dort wird nämlich diesen Thread hier kennen). Eine rundl32.dll sollte im Taskmanager auf jeden Fall nicht auftauchen, vielleicht hast dich aber auch nur vertippt.

Möglicherweise hast du dein System aber gleich wieder infiziert. Was hast du denn alles wieder installiert oder angeklickt? Könnte da vielleicht was dabei gewesen sein?
 
OK hab mal ein Hijackthis in den Sammelthread gestellt.

Hab auch gleich das Logfile ausgewertet und mehrere Dateien, die als schädlich eingestuft werden, erhalten.
Darauf den avast 4.0 heruntergeladen, doch den scheiterte schon beim ersten Trojaner der er mir meldet: winvsnet.tmp, da er ihn nich löschen oder verschieben kann.
Grund: Datei wird von anderen Anwendungen benötigt

Das mit der rundll32.dll ist kein Tippfehler, die steht bei mir dreimal im Taskmanager und lässt sich nicht beenden.

Was ich alles installiert habe:
Naja aufgesetzt halt:
Betriebssystem XP
Treiber von CD
Netgear Wireless USB stick
SP2
NET Framwork 2.0
Opera
update win mediaplayer 11
adobe 9
Drucker von CD
Spiel Oblivion
Patch von offizieller Seite

Hab noch Musik von meiner externen HD auf den neu aufgesetzten PC gelade.
Habe aber noch nie etwas von Viren in mp3 format gehört. Oder kann es schon zu übertragungen durch anschliessen der HD kommen.

Kann ich die Dateien die mir die Logfileauswertung des HijackThis als gefährlich einstuft manuell löschen oder wie soll ich vorgehen?
 
Also zu dem Log hab ich dir im Sammelthread schon geschrieben, dass du dein System dringend neu installieren solltest.
Die Software sieht ja erstmal nicht auffällig aus. Wie gesagt, nutze nur CDs zum installieren oder lade die Sachen neu runter, wo es möglich ist (natürlich erst nach der Neuinstallation oder auf einem sauberen Rechner).

Zu deiner Frage mit den mp3s:
Es gibt natürlich die Variante, dass du die Dateiendungen ausblenden lässt und so nur denkst, es wäre ein mp3. Eine weitere Möglichkeit wäre noch ein manipuliertes mp3, was dann eine Sicherheitslücke in deiner Abspielsoftware ausnutzen könnte. Das Zweite halte ich jedoch eher für unwahrscheinlich. Trotzdem müsstest du rausfinden, wie du dein System gleich wieder infizieren konntest.
Dafür gebe ich dir noch den Rat, mal direkt nach der Neuinstallation dein ganzes System (also eigentlich nur alle Festplatten außer c, da du diese ja formatiert hast) mit einem Antivirenprogramm und aktuellen Signaturen zu scannen.
 
Doch, heutzutage in den meisten Faellen schon. Denn heutzutage veraendert die Malware nur noch in sehr seltenen Faellen Systemdateien oder Dateien im Allgemeinen. Frueher... wo noch alles besser war ;) Da haben sich Malwareautoren noch Muehe gegeben und PE-infector geschrieben. Aber heute.. naja da geht es meist nach dem Schema F: Man braucht 3 Zutaten:
1. eine Exe, um DLL zu laden oder um die eigentliche "Schadroutine" auszufuehren
2. eine DLL, die dann in einen Prozess injected wird und zb dafuer sorgt, dass die Exe permanent laeuft oder irgendwelche billigen r3 Hooks anzubringen o.ae.
3. einen Registryeintrag um den Startup zu gewaehrleisten.

Entfernt man alle drei Komponenten ist man die Malware los. Natuerlich sollte man das System die naechsten paar Tage genau im Auge behalten und vllt einmal taeglich ein Scan durchlaufen lassen. Tut sich aber nichts, ist davon auszugehen, dass der PC clean ist. Und wenn AntiVirus2009 mal analysiert, stellt man fest, dass dort genau das Schema angewendet wurde.
 
Es mag sein, dass es oft klappt, da stimme ich dir auch zu, aber du kannst es ebend nicht garantieren. Weißt du, was der Schädling noch so alles nachgeladen hat? Wurde dann noch ein Rootkit installiert, kann es schon sehr schwierig sein, überhaupt noch etwas schädliches zu entdecken.
Da hier nun zu mindestens einem Eintrag schon der Hinweis kam, dass es selbst für erfahrene Leute schwierig ist, die zusätzlich installierte Backdoor zu entfernen, würde ich also nicht auf solch einen einfachen Fall wie den von dir konstruierten tippen.

Beispiele gab es dazu übrigens in letzter Zeit auch wieder einige, auch wenn es da die Onlinebanking-Trojaner betroffen hat. Da gab es so einige Benutzer, die den Trojaner scheinbar mit Antivirenprogrammen gelöscht haben, und dann dennoch noch versteckte Schädlinge auf dem Rechner hatten, womit die dann sehr viel ärger hatten.

Wie gesagt, es kann niemals garantiert werden, dass die Bereinigung erfolgreich war, und wenn es schon Hinweise gibt, dass der hier angetroffene Schädling es einem schwierig macht, wäre alles andere als eine Neuinstallation absolut fahrlässig
 
Ok, ich kann nicht einschaetzen, was die als schwer entfernbare Malware klassifizieren. Und nauterlich gilt das, was ich geschrieben hatte, auch nur fuer denjenigen, der sich mit dem Themengebiert gut auskennt. Dem 0815-Anwender ist es natuerlich nicht moeglich Malware einfach zu entfernen, aber jemanden der ueber Wissen ueber das Betriebsystem verfuegt, auf dem "aktuellen" Stand der Malwaretechniken ist und ein klein wenig was von RE, sollte keine Probleme bei der Entfernung haben ;)
 
Ok da ich 0815 Anwender bin und keinen Plan von Viren habe, hab ich den PC erneut aufgesetzt (war eh noch nicht all zu viel installiert).

Fazit: Virus weg (juhe)

prunnet.exe war dafür verantwortlich, dass sich mein IE immer wieder erneut öffnete. Hab den mal mit einem Hex Editor angeschaut und genau das schema das xrayn beschreibt gefunden.
Der Programmierer muss sich wirklich mühe gegeben haben, da er sogar ein Mittelfinger ind den Quellcode gezeichnet hat.

Das mit den 3 laufenden rundl32.dll kann ich mir nicht erklären, vermutlich noch einen weiteren Virus.

Was mich wunder nimmt ist, wo der Virus herkam?
Kann er durch reines anschliessen eines Wechselträgers übertragen werden?
Wenn ja dann sollte ich mal meine extern HD auf Viren checken.
Weiss einer zufälligerweise, wie man da am sichersten vorgeht?

Danke für die Hilfe
 
prunnet.exe war dafür verantwortlich, dass sich mein IE immer wieder erneut öffnete. Hab den mal mit einem Hex Editor angeschaut und genau das schema das xrayn beschreibt gefunden.
Zum Vergrößern anklicken....
*rofl* Hoffentlich glaubts du das selbst nicht.



Kann er durch reines anschliessen eines Wechselträgers übertragen werden?
Wenn ja dann sollte ich mal meine extern HD auf Viren checken.
Zum Vergrößern anklicken....
Auf deinem Wechseldatenträger kann es natürlich Viren enthalten.
Weiss einer zufälligerweise, wie man da am sichersten vorgeht?
Zum Vergrößern anklicken....
Um ein unbenutztes Dateisystem zu prüfen: Möglichst viele, aktuelle Scanner drüberlaufen lassen.

SO ein Tipp zum Schluss: Bild vertrauen auf AVs würde ich nicht. ;)
 
Es kann auch nicht schaden, das System von einem Live-Betriebssystem aus zu überprüfen. Knoppicillin (immer mal wieder als Beilage in der ct) eignet sich hierfür zum Beispiel ganz gut. Mit UBCD sollte sich auch ein Windows-Livesystem für diesen Zweck bauen lassen. Das Live-System hätte den Vorteil, dass du dir nicht dein System gleich wieder verseuchen kannst, nur weil du etwas anschließt.
Was deine Frage angeht:
bei einfachen Festplatten gibt es zumindest mal nicht sowas wie die autorun.inf. bei USB-Sticks sieht das schon wieder anders aus. Bei einem U3-USB-Stick kannst du nämlich wieder eine autorun.inf verwenden und so dann halt direkt beim Anschließen das System bereits wieder infizieren.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben