[Tom]

Zitat:

Zitat von helmut-online

Wenn man googelt, stellt man fest, daß das wohl eine Webseite ist. Die dann beim Besuch ein Spionageprogramm ablegt.

Welche jetzt?

Die hier:
htt_furz://www.malwarebytes.org/rogueremover.php
(Link vorsichtshalber entschärft)

oder die:
htt_furz://www.asecure.com

Zitat:

Zitat von Schnitte

Windows, und der User ist Admin?

2x JA

[Daydreamer]

Das ist die größte Sicherheitslücke => ändern!

Irgendwo hatte ich auch gelesen, dass das über einen Video-Codec eingeschleust wird, bei sowas hilft dann natürlich nur brain.exe - also nur von Vertrauenswürdigen Seiten laden...

[ansisys]

Das Programm stammt, wenn man Google richtig versteht, von der gleichnamigen Porno-Seite im Internet. Es ändert die Startseite des Browsers und kann Code laden, der zum Abspielen dieser Pornos nötig ist.

Ich würde alle laufenden Prozesse kontrollieren, dabei kann man alle MS (Microsoft!) Dienste ausblenden lassen. AdAware drüber laufen lassen, dann bekommt man wahrscheinlich einen Hinweis auf den Namen des Programmes. Das läßt sich in der Konsole löschen, man sollte aber auch den Registry-Eintrag löschen.

[Tom]

Zitat:

Zitat von ansisys

Das Programm stammt, wenn man Google richtig versteht, von der gleichnamigen Porno-Seite im Internet. Es ändert die Startseite des Browsers und kann Code laden, der zum Abspielen dieser Pornos nötig ist.

Ich glaube weniger daß diese oder eine ähnliche Seite besucht wurde...
Und einen Codec zu Installieren da sehe ich auch keine Veranlassung.

Du meinst jetzt Asecure.com oder welches Programm?

(drückt euch doch bitte so aus, daß man nicht ständig nachfragen muß, s.o. ...)

Zitat:

Zitat von ansisys

Ich würde alle laufenden Prozesse kontrollieren, dabei kann man alle MS (Microsoft!) Dienste ausblenden lassen. AdAware drüber laufen lassen, dann bekommt man wahrscheinlich einen Hinweis auf den Namen des Programmes. Das läßt sich in der Konsole löschen, man sollte aber auch den Registry-Eintrag löschen.

Dazu habe ich einfach zu wenig Ahnung...


Nachdem Rogue Remover erfolgreich bereinigt angezeigt hat.
habe ich noch dem SpyBot drüberlaufen lassen. Der hat noch einiges gefnden und bereinigt. Ich hoffe das reicht.

Oder hat jemand eine Idee, was man noch zum Testen verwenden kann?

[duncan.blues]

Also erstmal halte ich von Zone-Alarm inzwischen gar nichts mehr. Die ständigen Meldungen und Warnungen gaukeln einem eine Sicherheit vor, die nicht wirklich da ist. Wirklich sicherer als die Windows eigene Firewall ist Zone Alarm auch nicht. Einzig der Umstand, dass Zone Alarm auch ausgehende Verbindungen blockt, ist eine nennenswerte Erweiterung gegenüber der internen. Allerdings ist es dann schon meist zu spät.
Als Firewall wirksamer ist in jedem Fall eine Hardware-Firewall, wie sie inzwischen in jedem halbwegs brauchbaren DSL-Router integriert ist.

Spybot Search & Destroy kann ich nur empfehlen, sowohl für die Prävention als auch für die Beseitigung von Bösewichten. Wenn man einen Bösewicht hat, den Spybot auf Anhieb nicht wegbekommt, nochmal im Abgesicherten Modus versuchen.
Spybot hilft natürlich auch nur, wenn man es regelmäßig aktualisiert und auch die Scanfunktion benutzt.

Zur weiteren Prävention kann man nur immer wieder drauf hinweisen, wie wichtig es ist, immer die aktuellen Sicherheitsupdates von Microsoft zu installieren. Außerdem ist es ratsam statt dem Internet Explorer den (jeweils aktuellsten) Firefox zu benutzen.
Sehr ratsam in dem Zusammenhang ist übrigens die Installation von AdBlock Plus (https://addons.mozilla.org/de/firefox/addon/1865), spart Nerven und Ladezeit.

Wenn man sich interessiert für was sonst noch so auf dem heimischen Rechner so rumläuft, dann empfehle ich mal einen Blick in das Windows Tool "msconfig" (über Start/Ausführen. Ist bei XP mit bei), da kann man sehen, was für Programme beim Systemstart mitgeladen werden. Wenn einem da was spanisch vorkommt, dann kann man's da temporär abschalten.
Wer sich den Umgang mit dem Registry Editor zutraut (Anfänger bitte Finger weg!) kann auch einen Blick unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run werfen. Da steht auch was beim Systemstart geladen wird.
Nicht vergessen übrigns sollte man auch den ganz ordinären Autostart Ordner im Startmenü.

[Tom]

Zitat:

Zitat von duncan.blues

Einzig der Umstand, dass Zone Alarm auch ausgehende Verbindungen blockt, ist eine nennenswerte Erweiterung gegenüber der internen.

Gerade das war für mich das entscheidende Argument.

Zitat:

Zitat von duncan.blues

Als Firewall wirksamer ist in jedem Fall eine Hardware-Firewall, wie sie inzwischen in jedem halbwegs brauchbaren DSL-Router integriert ist.

Nur Mist, daß der Router diesmal offenbar auch nicht geholfen hat.

Zitat:

Zitat von duncan.blues

Spybot Search & Destroy kann ich nur empfehlen....

Prima, da hab ich ja auch mal was richtig gemacht...

Zitat:

Zitat von duncan.blues

Außerdem ist es ratsam statt dem Internet Explorer den (jeweils aktuellsten) Firefox zu benutzen.
Sehr ratsam in dem Zusammenhang ist übrigens die Installation von AdBlock Plus (https://addons.mozilla.org/de/firefox/addon/1865), spart Nerven und Ladezeit.

OK, dann werde ich dem IE einmotten.

Zitat:

Zitat von duncan.blues

Wenn man sich interessiert für was sonst noch so auf dem heimischen Rechner so rumläuft, dann empfehle ich mal einen Blick in das Windows Tool "msconfig" (über Start/Ausführen. Ist bei XP mit bei), da kann man sehen, was für Programme beim Systemstart mitgeladen werden. Wenn einem da was spanisch vorkommt, dann kann man's da temporär abschalten.

Da schau ich schon manchmal rein.
Allerdings nerven mich immer die Einträge ohne Namen, die dann aber meistens trotzdem harmlos sind (wäre es so schwer für M$ gewesen, zwangsweise den Pfad anzuzeigen?).

Vielen Dank jedenfalls noch für Eure Hilfe.

Tom

[meshua]

Zitat:

Zitat von Tom

2x JA

Dann folgt die Strafe sofort: Cleaning a Compromised System:
(...) "The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications)."

Selbst MS scheint es eingesehen zu haben.

Gruesse, Torsten

[Tom]

Zitat:

Zitat von meshua

(...) "The only way to clean a compromised system is to flatten and rebuild. That’s right. If you have a system that has been completely compromised, the only thing you can do is to flatten the system (reformat the system disk) and rebuild it from scratch (reinstall Windows and your applications)."

Die Pfeifen machen es sich wie immer sehr leicht...

"Was, sie haben einen Schnupfen? Da hilft nur sofortiges erschießen!"

[meshua]

Zitat:

Zitat von Tom

Die Pfeifen machen es sich wie immer sehr leicht...

"Was, sie haben einen Schnupfen? Da hilft nur sofortiges erschießen!"

Es ist nicht populaer und wuerde deren eigenes Malware Removal Tool als untauglich ausweisen, sowie die ganzen AV Scanner und Spywaretools auf dem Markt. Letztlich koennen sie dir auch nur sagen, ob eventuell ein Befall vorliegt. Jedoch koennen sie dein System nicht saeubern. Dazu muessten sie *JEDE* Veraenderung, die der schaedling anstellt, kennen/vorhersagen um sie dann auch zuverlaessig entfernen zu koennen. Nicht alle schaedlichen Veraenderungen sind auch reversibel - das solle man auch bedenken.
Daher ist dieses Dokument auch nicht sehr gut zugaenglich - ist aber die Wahrheit. Unter "rebuild" kann man aber auch das Einspielen des letzten keimfreien Backups verstehen. Ich habe selbst bei 2 Notebooks von jedem mehrere Saetze von Voll-/Inkremental-Backups. Die Erstellung ist heute mit externen USB2/eSATA Festplatten und TrueImage & Co. sowas von einfach geworden...! Und taegliches Arbeiten als Administrator ist richtig boese und fuehrt u.a. zu deinem jetzigen Problem. Als eingeschraenkter Benutzer waere nur dein Userprofil betroffen. So ist es das gesamte System.

Gruesse, Torsten.