Hallo,
leider hat sich mein Vater auf seinem PC den Virus/Wurm/Trojaner/sonstige Malware "asecure.com" eingefangen und ich muß das schleunigst bereinigen.

Leider habe ich gestern nur unbrauchbare Anleitungen dazu gegoogled, vermutlich von den Virenerstellern selbst eingestellt um Verwirrung (ver-"Virung";)) zu stiften.

Vielleicht weiß ja von Euch jemand was hier wirklich weiter hilft...

Tom :?

Zwar unwahrscheinlich dass du es noch nicht gesehen oder probiert hast, aber für mich als Laien klingt das hier (http://www.dslreports.com/forum/r18968096-Spyware-I-have-something-nasty-i-need-help-with) überzeugend. Kann natürlich nicht beurteilen wie seriös die Quelle ist.

Ich würde es mal mit Spybot versuchen: http://www.spybot.info/de/index.html
Gruß

Läuft bei dir ein Prozess namens "SBSM.exe"? Das wäre dann folgendes: http://www.prevx.com/filenames/4035432483631064264-0/SBSM.EXE.html

Kann wohl nicht ohne weiteres gelöscht werden da die Datei in einem speziell geschützten Ordner liegt. Es sind zwar nicht alle Posts hier hilfreich aber wenn man den Depp der hier arme User verarscht ignoriert könnte eine brauchbare Anleitung bei rauskommen (http://forum.lowyat.net/topic/666156): Im abgesicherten Modus den Ordnernamen ändern und dann nach reboot zu löschen.

Hallo nochmal,
habe hier eben unabhängig vom Tip von Daydreaner das hier:
http://www.malwarebytes.org/rogueremover.php
gefunden und es scheint die Sache wohl bereinigt zu haben. :)

Ich werde mal die nächsten Tage (sehr) vorsichtig bleiben und mehrere online-Virenscanner bemühen, um zu sehen ob die Kiste wieder sauber ist.
Spybot scheint auch zu taugen, werde es mal testen.

Was kann ich eigentlich tun um solche Angriffe zuverlässig abzuwehren?
Im Moment ist avast (Virenscanner) und Zonealarm (Firewall) installiert (Windows-Firewallatrappe natürlich ausgeschaltet).

Ich wüßte auch ganz gerne, wie der Müll überhaupt auf den Rechner kam...

Wenn man googelt, stellt man fest, daß das wohl eine Webseite ist. Die dann beim Besuch ein Spionageprogramm ablegt.

Hallo nochmal,
.....

Ich wüßte auch ganz gerne, wie der Müll überhaupt auf den Rechner kam...

Windows, und der User ist Admin?

Wenn man googelt, stellt man fest, daß das wohl eine Webseite ist. Die dann beim Besuch ein Spionageprogramm ablegt.
Welche jetzt?

Die hier:
htt_furz://www.malwarebytes.org/rogueremover.php
(Link vorsichtshalber entschärft)

oder die:
htt_furz://www.asecure.com

Windows, und der User ist Admin?
2x JA

Das ist die größte Sicherheitslücke => ändern!

Irgendwo hatte ich auch gelesen, dass das über einen Video-Codec eingeschleust wird, bei sowas hilft dann natürlich nur brain.exe - also nur von Vertrauenswürdigen Seiten laden...

Das Programm stammt, wenn man Google richtig versteht, von der gleichnamigen Porno-Seite im Internet. Es ändert die Startseite des Browsers und kann Code laden, der zum Abspielen dieser Pornos nötig ist.

Ich würde alle laufenden Prozesse kontrollieren, dabei kann man alle MS (Microsoft!) Dienste ausblenden lassen. AdAware drüber laufen lassen, dann bekommt man wahrscheinlich einen Hinweis auf den Namen des Programmes. Das läßt sich in der Konsole löschen, man sollte aber auch den Registry-Eintrag löschen.

Das Programm stammt, wenn man Google richtig versteht, von der gleichnamigen Porno-Seite im Internet. Es ändert die Startseite des Browsers und kann Code laden, der zum Abspielen dieser Pornos nötig ist.
Ich glaube weniger daß diese oder eine ähnliche Seite besucht wurde...
Und einen Codec zu Installieren da sehe ich auch keine Veranlassung.

Du meinst jetzt Asecure.com oder welches Programm?

(drückt euch doch bitte so aus, daß man nicht ständig nachfragen muß, s.o. ...)


Ich würde alle laufenden Prozesse kontrollieren, dabei kann man alle MS (Microsoft!) Dienste ausblenden lassen. AdAware drüber laufen lassen, dann bekommt man wahrscheinlich einen Hinweis auf den Namen des Programmes. Das läßt sich in der Konsole löschen, man sollte aber auch den Registry-Eintrag löschen.
Dazu habe ich einfach zu wenig Ahnung... :?


Nachdem Rogue Remover erfolgreich bereinigt angezeigt hat.
habe ich noch dem SpyBot drüberlaufen lassen. Der hat noch einiges gefnden und bereinigt. Ich hoffe das reicht.

Oder hat jemand eine Idee, was man noch zum Testen verwenden kann?

Also erstmal halte ich von Zone-Alarm inzwischen gar nichts mehr. Die ständigen Meldungen und Warnungen gaukeln einem eine Sicherheit vor, die nicht wirklich da ist. Wirklich sicherer als die Windows eigene Firewall ist Zone Alarm auch nicht. Einzig der Umstand, dass Zone Alarm auch ausgehende Verbindungen blockt, ist eine nennenswerte Erweiterung gegenüber der internen. Allerdings ist es dann schon meist zu spät.
Als Firewall wirksamer ist in jedem Fall eine Hardware-Firewall, wie sie inzwischen in jedem halbwegs brauchbaren DSL-Router integriert ist.

Spybot Search & Destroy kann ich nur empfehlen, sowohl für die Prävention als auch für die Beseitigung von Bösewichten. Wenn man einen Bösewicht hat, den Spybot auf Anhieb nicht wegbekommt, nochmal im Abgesicherten Modus versuchen.
Spybot hilft natürlich auch nur, wenn man es regelmäßig aktualisiert und auch die Scanfunktion benutzt.

Zur weiteren Prävention kann man nur immer wieder drauf hinweisen, wie wichtig es ist, immer die aktuellen Sicherheitsupdates von Microsoft zu installieren. Außerdem ist es ratsam statt dem Internet Explorer den (jeweils aktuellsten) Firefox zu benutzen.
Sehr ratsam in dem Zusammenhang ist übrigens die Installation von AdBlock Plus (https://addons.mozilla.org/de/firefox/addon/1865), spart Nerven und Ladezeit.

Wenn man sich interessiert für was sonst noch so auf dem heimischen Rechner so rumläuft, dann empfehle ich mal einen Blick in das Windows Tool "msconfig" (über Start/Ausführen. Ist bei XP mit bei), da kann man sehen, was für Programme beim Systemstart mitgeladen werden. Wenn einem da was spanisch vorkommt, dann kann man's da temporär abschalten.
Wer sich den Umgang mit dem Registry Editor zutraut (Anfänger bitte Finger weg!) kann auch einen Blick unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run werfen. Da steht auch was beim Systemstart geladen wird.
Nicht vergessen übrigns sollte man auch den ganz ordinären Autostart Ordner im Startmenü.

Einzig der Umstand, dass Zone Alarm auch ausgehende Verbindungen blockt, ist eine nennenswerte Erweiterung gegenüber der internen.
Gerade das war für mich das entscheidende Argument.

Als Firewall wirksamer ist in jedem Fall eine Hardware-Firewall, wie sie inzwischen in jedem halbwegs brauchbaren DSL-Router integriert ist.
Nur Mist, daß der Router diesmal offenbar auch nicht geholfen hat.

Spybot Search & Destroy kann ich nur empfehlen....
Prima, da hab ich ja auch mal was richtig gemacht...

Außerdem ist es ratsam statt dem Internet Explorer den (jeweils aktuellsten) Firefox zu benutzen.
Sehr ratsam in dem Zusammenhang ist übrigens die Installation von AdBlock Plus (https://addons.mozilla.org/de/firefox/addon/1865), spart Nerven und Ladezeit.
OK, dann werde ich dem IE einmotten.

Wenn man sich interessiert für was sonst noch so auf dem heimischen Rechner so rumläuft, dann empfehle ich mal einen Blick in das Windows Tool "msconfig" (über Start/Ausführen. Ist bei XP mit bei), da kann man sehen, was für Programme beim Systemstart mitgeladen werden. Wenn einem da was spanisch vorkommt, dann kann man's da temporär abschalten.
Da schau ich schon manchmal rein.
Allerdings nerven mich immer die Einträge ohne Namen, die dann aber meistens trotzdem harmlos sind (wäre es so schwer für M$ gewesen, zwangsweise den Pfad anzuzeigen?).

Vielen Dank jedenfalls noch für Eure Hilfe. :top:

Tom

2x JA

Dann folgt die Strafe sofort: Cleaning a Compromised System (http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx):
(...) "The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications)."

Selbst MS scheint es eingesehen zu haben.

Gruesse, Torsten

(...) "The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications)."

Die Pfeifen machen es sich wie immer sehr leicht...:flop:

"Was, sie haben einen Schnupfen? Da hilft nur sofortiges erschießen!"

Die Pfeifen machen es sich wie immer sehr leicht...:flop:

"Was, sie haben einen Schnupfen? Da hilft nur sofortiges erschießen!"

Es ist nicht populaer und wuerde deren eigenes Malware Removal Tool als untauglich ausweisen, sowie die ganzen AV Scanner und Spywaretools auf dem Markt. Letztlich koennen sie dir auch nur sagen, ob eventuell ein Befall vorliegt. Jedoch koennen sie dein System nicht saeubern. Dazu muessten sie *JEDE* Veraenderung, die der schaedling anstellt, kennen/vorhersagen um sie dann auch zuverlaessig entfernen zu koennen. Nicht alle schaedlichen Veraenderungen sind auch reversibel - das solle man auch bedenken.
Daher ist dieses Dokument auch nicht sehr gut zugaenglich - ist aber die Wahrheit. Unter "rebuild" kann man aber auch das Einspielen des letzten keimfreien Backups verstehen. Ich habe selbst bei 2 Notebooks von jedem mehrere Saetze von Voll-/Inkremental-Backups. Die Erstellung ist heute mit externen USB2/eSATA Festplatten und TrueImage & Co. sowas von einfach geworden...! Und taegliches Arbeiten als Administrator ist richtig boese und fuehrt u.a. zu deinem jetzigen Problem. Als eingeschraenkter Benutzer waere nur dein Userprofil betroffen. So ist es das gesamte System.

Gruesse, Torsten.