Unsichtbarer Verdacht

Re(3): Unsichtbarer Verdacht

Norwegische Schmalzkatze — Wed, 20 May 2009 13:31:22 GMT

"unsichtbarer verdacht" klingt halt nach einem miesen deutschen verleihtitel

Re(3): Unsichtbarer Verdacht

Mike_DeWitt — Mon, 18 May 2009 08:15:36 GMT

So etwas hatte ich auch einmal, bei mir war es ein Rootkit Virus.

Versuch mal Blacklight von F-Secure, das hat mir das Ding entfernt, jedoch war der Rechner trotzdem unbrauchbar, zum Glück hatte ich ein 2 Tage altes Backup.

HTH Mike

Re(3): Unsichtbarer Verdacht

Mike_DeWitt — Mon, 18 May 2009 08:15:36 GMT

Re(2): Unsichtbarer Verdacht

Ramses — Sun, 17 May 2009 18:45:04 GMT

Gesundheit

Re: Unsichtbarer Verdacht

Norwegische Schmalzkatze — Sat, 16 May 2009 00:27:10 GMT

thumbs up für eine überschrift, die der deutsche verleihtitel eines amerikanischen b-films sein könnte! der kampf gegen computerviren: vielleicht d e r männlichkeitsbeweis der gegenwart!

Re: Unsichtbarer Verdacht

Paulas_Papa — Thu, 14 May 2009 11:04:55 GMT

Schau deine HOSTS datei an. Die sollte im Normalfall keine aktiven Einträge haben.

C:\WINDOWS\system32\drivers\etc\hosts

Bei mir auf XP sieht sie so aus (nur ein Eintrag für localhost):

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
127.0.0.1       localhost

Re(2): Unsichtbarer Verdacht

q.e.d. — Thu, 14 May 2009 07:43:25 GMT

Da sollte man von Zeit zu Zeit sowiesoaufräumen

jup!

Re: Unsichtbarer Verdacht

dasistmeinnick11+ — Thu, 14 May 2009 07:37:27 GMT

Neben den Tipps mit HiJackThis, Registry und S&D solltest noch den Taskmanager nach merkwürdigen Prozessesen untersuchen. Und zusätzlich die Startprozesse in der msconfig ansehen (Start - Run - msconfig) Da erkennst meistens zu welchem Produkt was gehört. Da sollte man von Zeit zu Zeit sowieso aufräumen

Re(5): Unsichtbarer Verdacht

hansi99 — Wed, 13 May 2009 21:50:28 GMT

Wahrscheinlich stimmt die Top-Level Domain nicht also sparkasse.??
Kannst mir auch eine PM schicken . Funktioniert Hijackthis auch nicht?
http://www.chip.de/downloads/HijackThis_13011934.html

Re(4): Unsichtbarer Verdacht

Ramses — Wed, 13 May 2009 21:34:43 GMT

Die angezeigte URL in der Adressleiste entspricht der Sparkasse. Lediglich an kleinen Fehlern im Inhalt und der suspekten Aufforderung die Tans einzugeben fällt das auf. ich mach bei Gelegenheit einen zensierten Screenshot.

mfg

Ramses

Re(3): Unsichtbarer Verdacht

hansi99 — Wed, 13 May 2009 21:20:53 GMT

Kannst du mir die Seite mal zukommen lassen?

Re(2): Unsichtbarer Verdacht

Ramses — Wed, 13 May 2009 21:17:36 GMT

Spybot hat einen Trojaner und ein paar Browser Hacking Tools entfernt. Seitdem gibt es keine Abstürze von Win Explorer und IE mehr.
Phishing Seite kommt nach wie vor.

mfg

Ramses

Re(2): Unsichtbarer Verdacht

Ramses — Wed, 13 May 2009 21:16:06 GMT

Weiters würde ich mal nach einem RemovalTool für deine FSecure Software
suchen, vielleicht kannst du es nachher wieder installieren.

Das war mein zweiter Schritt aber es lässt sich nicht mehr installieren.
Eine neue Install Datei wurde auch versucht. Ich glaube es muss doch platt gemacht werden. Die Phishing Seite kommt immer noch. Und die Zeit für alle empfohlenen Schritte war heute nicht.

mfg

Ramses

Re: Unsichtbarer Verdacht

hansi99 — Wed, 13 May 2009 21:04:19 GMT

Ich würde auch mal ein Hijackthislogfile und einen Scan mit A Squared durchführen. Eventuell entdecken diese noch etwas. Weiters würde ich mal nach einem RemovalTool für deine FSecure Software suchen, vielleicht kannst du es nachher wieder installieren.

Re: Unsichtbarer Verdacht

Fly — Wed, 13 May 2009 16:06:39 GMT

Kannst Du auf http://www.microsoft.com ?

Re: Unsichtbarer Verdacht

Glockman — Wed, 13 May 2009 13:32:26 GMT

Hi!

a) Die Maschine einmal im abgesicherten Modus hochfahren und scannen
b) Die Registry (sowohl HKCU als auch HKLM) auf auffällige Autostart-Einträge durchsuchen, jeweils im SOFTWARE\Microsoft\Windows\CurrentVersion\Run Schlüssel
c) Unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon die Einträge für "Shell", "UIHost" und "Userinit" mit einem funktionierenden System vergleichen bzw. sollten dort "Explorer.exe", "logonui.exe" und "C:\WINNT\system32\userinit.exe," (mit dem Beistrich) drinstehen
d) PATH-Variable auf Unstimmigkeiten prüfen; die ersten drei Einträge müssen "C:\WINNT\system32;C:\WINNT;C:\WINNT\System32\Wbem;" (in dieser Reihenfolge) sein. Benutzer PATH-Einträge löschen (findet man über Umgebungsvariablen -> Benutzervariablen)
e) via winmsd -> Softwareumgebung -> Laufende Prozesse und Task Manager herausfinden, ob da nicht doch was läuft, das nicht sollte

hth,

Re: Unsichtbarer Verdacht

Devil's Sidekick — Wed, 13 May 2009 12:13:29 GMT

und vor dem den ccleaner und dann den combofix http://virus-protect.org/artikel/tools/combofix.html

und danach installiere erst den spybot, mach ein update und lass ihn durchlaufen.

Re: Unsichtbarer Verdacht

User88398 — Wed, 13 May 2009 11:31:07 GMT

lass mal einen Spyware-Scanner wie Spybot-Search&Destroy drüberlaufen

Unsichtbarer Verdacht

Ramses — Wed, 13 May 2009 11:14:52 GMT

Hallo,

ich habe hier einen Win XP Pro SP3 Rechner vor mir, der den Anwender auf eine Phishing Webseite gelockt haben soll. Es erschien eine Seite mit der Aufforderung 10 Tans einzugeben. Dies ist natürlich nicht geschehen. (also die Tan Eingabe)
Der Virenscanner (F-Secure Internet Security 2008) hat im Eventlog nur einen entfernten Mailvirus gemeldet. Beim Start kommt die Dateiausführungsverhinderung und verhindert die Ausführung von MS Help Center Service und Userinit. Der IE bringt sporadisch nach dem Start eine Meldung dass er ungültig beendet wurde. Man kann ihn aber weiter verwenden und die Meldung nicht wegklicken. Diese verschwindet erst wenn man den IE dann mal geschlossen hat. F-Secure lässt sich weder Updaten, noch nach der Deinstallation neu installieren. Es meldet Interner Fehler beim Kopieren der Datei und das sowohl mit der aktuellen 2009er Datei alsauch mit der 2008er. Der Onlinescanner bei F-Secure lässt sich ebenfalls nicht initialisieren. Der sagt immer nur Browser neu starten und neu versuchen.

Wie komme ich nun dahinter ob und was noch im System sitzt?
Eine Neu-Installation sollte vermieden werden.

Bisher meinte ich immer F-Secure Internet Security sei sicher, gerade wenn der Anwender der davor sitzt eher der vorsichtige Typ im Inet ist.
(Wobei ich eh nicht nachvollziehen kann was der gemacht hat

mfg

Ramses

Unsichtbarer Verdacht

Ramses — Wed, 13 May 2009 11:14:52 GMT

Hallo,

ich habe hier einen Win XP Pro SP3 Rechner vor mir, der den Anwender auf eine Phishing Webseite gelockt haben soll. Es erschien eine Seite mit der Aufforderung 10 Tans einzugeben. Dies ist natürlich nicht geschehen.
Der Virenscanner (F-Secure Internet Security 2008) hat im Eventlog nur einen entfernten Mailvirus gemeldet. Beim Start kommt die Dateiausführungsverhinderung und verhindert die Ausführung von MS Help Center Service und Userinit. Der IE bringt sporadisch nach dem Start eine Meldung dass er ungültig beendet wurde. Man kann ihn aber weiter verwenden und die Meldung nicht wegklicken. Diese verschwindet erst wenn man den IE dann mal geschlossen hat. F-Secure lässt sich weder Updaten, noch nach der Deinstallation neu installieren. Es meldet Interner Fehler beim Kopieren der Datei und das sowohl mit der aktuellen 2009er Datei alsauch mit der 2008er. Der Onlinescanner bei F-Secure lässt sich ebenfalls nicht initialisieren. Der sagt immer nur Browser neu starten und neu versuchen.

Wie komme ich nun dahinter ob und was noch im System sitzt?
Eine Neu-Installation sollte vermieden werden.

Bisher meinte ich immer F-Secure Internet Security sei sicher, gerade wenn der Anwender der davor sitzt eher der vorsichtige Typ im Inet ist.
(Wobei ich eh nicht nachvollziehen kann was der gemacht hat

mfg

Ramses