Problem mit Popup-Fenster

Sue Sakamoto · 7. April 2012

Sooo... ich hab mal ein merkwürdiges Problemchen.

Seit kurzer Zeit kommt bei mir merkwürdigerweise ziemlich Random ein Popup-Fenster, das eine für mich unbekannte Seite öffnet (i-was mit maxexp), die aber guterweise von Web of Thrust blockiert wird.
Ok... sie kommt nur mind. 1mal am Tag, aber ich finds trotzdem seriös. Dieses Popup taucht bei mir auf jeder seite dann auf völlig zufällig, wenn ich dann auf nen Link klicke.

Mit Kaspersky Internet Security 2012 fand er bei den Scans keine Viren etc.

Auffälliger war mir aber der HijackThis-Scan. Da waren viele dateien aus dem system32-Ordner dabei, wo am ende in Klammern das wort "file missing" steht

HijackThis-Logfile

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 00:24:50, on 07.04.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Users\ACER\AppData\Local\Akamai\netsession_win.exe
C:\Users\ACER\AppData\Local\Akamai\netsession_win.exe
C:\Program Files (x86)\HP\HP Software Update\hpwuschd2.exe
C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
C:\Program Files (x86)\Northstar\SmartCopy\SmartCopy.exe
C:\Program Files (x86)\Northstar\SmartLauncher\SmartLauncher.exe
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\ACER\Desktop\HiJackThis204.exe
C:\Windows\SysWOW64\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.a…210cn06974c54ul5yh4i1wl87
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.a…210cn06974c54ul5yh4i1wl87
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.a…210cn06974c54ul5yh4i1wl87
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.plusnetwork.com/?sp=ctbar&q={searchTerms}&dp=MessengerPlus
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [PlusService] C:\Program Files (x86)\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [Pando Media Booster] C:\Program Files (x86)\Pando Networks\Media Booster\PMB.exe
O4 - HKCU\..\Run: [Akamai NetSession Interface] "C:\Users\ACER\AppData\Local\Akamai\netsession_win.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Global Startup: AML Device Install.lnk = C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe
O4 - Global Startup: SmartCopy.lnk = C:\Program Files (x86)\Northstar\SmartCopy\SmartCopy.exe
O4 - Global Startup: SmartLauncher.lnk = C:\Program Files (x86)\Northstar\SmartLauncher\SmartLauncher.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\ACER\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: SiSoftware Deployment Agent Service (SandraAgentSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP2\RpcAgentSrv.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: TurboBoost - Intel(R) Corporation - C:\Program Files\Intel\TurboBoost\TurboBoost.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 11620 bytes

Jetzt will ich gern wissen, ob man mir ne unbekannte Maleware/Wurm/Virus auf meinen PC eingeschleust hat.

Anazasi · 7. April 2012

Mehrere Dinge:

Das Tool scannt nur sehr oberflächlich. Eines der typischen Sicherheitsprodukte bei denen mehr für Werbung drauf geht anstatt in echte Entwicklung.
Das Log-File ist überflüssig weil sagt gar nix aus. Typisch HiJackThis halt.
Du posaunst mit solchen Log-Files mehr über deinen Rechner und deine verwendete Software (und damit Angriffsmöglichkeiten) hinaus wie dir damit geholfen werden kann.
Wenn es eine unbekannte Software ist, was erwartest du nun für eine Antwort? Klar kann es sein da es immer nur ein Katz und Maus Spielchen mit Herstellern von Malware und den Firmen welche Geld damit verdienen anderen
Leuten einzureden das ihre Software das beheben kann was Brain nicht schaft.
Ob dir etwas eingeschleust wurde unterstellt das jemand Drittes dieses in voller Absicht tat. In der Regel entstehen Infektionen jedoch aufgrund nicht aktueller Systemkomponenten und unzureichender Nutzung von Brain.
Jedes Sicherheitstool ist nur so effektiv wie der Nutzer welcher die Meldungen auch interpretieren kann.

Zu den file Missing Meldungen: Typisches 64bit Thema. Kein Fehler im eigentlichem Sinne, works as designt halt. In der Regel nix schlimmes, HJT kann die Files halt nur nicht einsehen, also nicht scannen und meldet das. Findet sich auch unter http://www.hijackthis-forum.de…files-vorhanden-sind.html

Sue Sakamoto · 7. April 2012

Zitat von Anazasi

Mehrere Dinge:

Das Tool scannt nur sehr oberflächlich. Eines der typischen Sicherheitsprodukte bei denen mehr für Werbung drauf geht anstatt in echte Entwicklung.

Das Log-File ist überflüssig weil sagt gar nix aus. Typisch HiJackThis halt. Das weiß ich auch. Ich benutz das auch nur, falls ich keine Zeit hab Kaspersky durchscannen zu lassen.

Du posaunst mit solchen Log-Files mehr über deinen Rechner und deine verwendete Software (und damit Angriffsmöglichkeiten) hinaus wie dir damit geholfen werden kann. Siehe oben

Leuten einzureden das ihre Software das beheben kann was Brain nicht schaft. Damit wirst du eh nur ausgelacht...

Ob dir etwas eingeschleust wurde unterstellt das jemand Drittes dieses in voller Absicht tat. In der Regel entstehen Infektionen jedoch aufgrund nicht aktueller Systemkomponenten und unzureichender Nutzung von Brain. Bei mir sind die Komponenten alle auf neuestem Stand.

Jedes Sicherheitstool ist nur so effektiv wie der Nutzer welcher die Meldungen auch interpretieren kann. Willst du mir sagen, dass ich "saudumm" bin?

Andernseits muss ich dazu noch sagen, wie verblüffend es ist, dass es immer Leute gibt, die immer nur was zu meckern haben. Vor allen bei meinen Posts.
Nächstesmal mach ich alles allein -.-

Anazasi · 7. April 2012

Schalt mal etwas runter Sue, meine Anmerkungen sind in keinster Weise als Angriff gedacht. Auch war es nicht als Meckern gedacht sondern sind grundsätzliche Hinweise welche bei jeder potentiellen Infektion beachte werden müsssen und mitnichten kann ich diene spezielle Situation beurteilen, dafür kenne ich weder deinen Rechner ausführlich noch dich.
Du hast sicherlich den letzten Abschnitt gelesen in dem ich dir direkt auf deine file missing Meldungen aus deinem Log geantwortet habe. In dem verlinkten Thread steht auch nochmal was die Meldungen bedeutet und das sie keine Gefahr bedeuten.

Exitus · 7. April 2012

wär halt wissenswert wass er/sie für ein Browser nützt!

Beim FF kann man mit adBlockPlus PopupBlocker, NoScript, BetterPrivacy sowie dem für IE und FF erhältlichen WebSecurityGuard sein system recht gut schützen!

Das popup-dingens könnte ein cookie sein, welches nicht richtig entfernt werden konnte (meistens tragen sich diese nervigen teile in dein Dokumente+Einstellungen/(deinname/admin/allUsers) ein in so einem falle einfach mal nach verdächtigen .txt files suchen und nen speziellen Cookie-Scan laufen lassen! ;)

Anazasi · 7. April 2012

Brauchen wir an sich nicht wirklich, Kaspersky liefert die Antwort schon selbst. Muss nur gelesen werden. Firefox ist auf dem Rechner drauf.

Ich tippe aber, wie üblich bei dem fla15.maxexp.com, auf ein Browserplugin Namens BrowserCompanion. Wird auch gerne per Messenger verteilt, wie zB. MessengerPlus! welcher ja auf dem Acer-Rechner zum Einsatz kommt.

Sue Sakamoto · 7. April 2012

Zitat von Anazasi

Ich tippe aber, wie üblich bei dem fla15.maxexp.com, auf ein Browserplugin Namens BrowserCompanion. Wird auch gerne per Messenger verteilt, wie zB. MessengerPlus! welcher ja auf dem Acer-Rechner zum Einsatz kommt.

LOL genau das wo ich dieses BrowserCompanion bei Hijack gelesen habe, dachte ist mir schon "so ne Unbekanntes Programm aufn Rechner?". Hab das Programm dann sofort vom Rechner gelöscht. Erst gestern noch bemerkt, dasses noch im FireFox-AddOn drinne war und habs ganz entfernt xD

Falls es dann war, kanns geclosed werden.

Anazasi · 7. April 2012

Wenn es für dich ausreicht einfach nur den Schlüssel wegzuwerfen aber die Tür offen zu lassen war es das. Doch bedenke, das Tool ist lediglich ein Türöffner für andere Softwarekomponenten.

Persönlich würde ich mal stark ich mich gehen was ich in der letzten Zeit so alles willenlos bestätigt habe. BrowserCompanion kann nicht unbemerkt auf aktuell gehaltenen Systemen installiert werden, es ist immer eine Bestätigung bei Win7 notwendig. Es wird mit einer anderen Software installiert worden sein.

Nebenbei: Was es erfolgreich auf deinen Rechner geschafft hat, hat sein Ziel erreicht.

Exitus · 7. April 2012

Zitat von Anazasi

Persönlich würde ich mal stark ich mich gehen was ich in der letzten Zeit so alles willenlos bestätigt habe. BrowserCompanion kann nicht unbemerkt auf aktuell gehaltenen Systemen installiert werden, es ist immer eine Bestätigung bei Win7 notwendig. Es wird mit einer anderen Software installiert worden sein.

Tja, leider wird in letzter Zeit immer mehr mit dieser "Schmutzigen" Methode gearbeitet, als bestes beispiel wären hier die Updates zu Adobe-Flash bzw. Java zu nennen: Immer wenn man die macht will sich Google Chrome, die Google Search Bar oder ein anderes nutzloses Programm installieren!
Das Problem hierbei ist: viele User klicken einfach gedankenlos und nichts böses ahnend immer brav auf JA, somit wird dann dieser Mist neben dem eigentlich gewünschten Produkt mitinstalliert, besonders fies ist es ja wenn nicht mal ein hinweis kommt, sondern man die dinge im Benutzerdefinierten Installationsmodus abwählen muss!

Mal ne frage an anazasi: wieso sollte da ein Tor offen stehn, wenn das ding aus den adons des FF gelöscht ist sollte eigentlich ruhe sein, er kann aber zur sicherheit ja noch mit dem CCleaner die registry aufräumen (sofern er es nicht manuell machen will) und die verdächtigen einträge löschen, desweiteren wäre über ein beschränktes Konto nachzudenken, wo nicht einfach alles und jeder Mist installiert werden kann - im gegensatz zum Admin-Konto bzw. Admin-Rechte-Konto, wo alles installiert werden kann!-
Alternativ könnte er auch bei einer guten und zuverlässigen Viren&Co. Schutzsoftware einen speziellen Installationsschutz auswählen der einen sofort nervt wenn etwas installiert werden soll - so wird man gleich informiert bevor es zu spät ist! :)

Anazasi · 8. April 2012

Ganz einfach Alucard. Das Ziel des Plugins, auf den Rechner zu gelangen, wurde erreicht. Der nächste Schritt ist dann über präparierte Webseiten weitere Software zu laden. Das geschieht bei BrowserCompanion oft über die bereits oben genannte Adresse. Allerdings nicht immer. Web of Trust bietet keinen Rundumschutz und kann sämtlichen Bedrohungen prinzipbedingt nur hinterher sein und nicht präventiv funktionieren. Je nach Version des Plugins wurden auch andere, potentiell noch nicht von WoT abgedeckte Seiten, angesteuert. Wissen wir nicht da wir keine Aussage haben welche Version des PlugIns lief. Wir wissen auch nicht wie lange es bereits aktiv war. Weiterhin wird über InstantMessenger und P2P versucht Kontakt mit Gegenstellen aufzunehmen und sich gleichzeitig zu verbreiten.

Wir wissen das das PlugIn es geschafft hat installiert zu werden. Es wurde nicht gleich von Kaspersky abgelehnt. Warum auch, die Installation wurde ja vom Benutzer auch genehmigt und erfahrungsgemäß laufen die Browser bei den Benutzern mit vielen Rechten. Man will den Browser ja auch nutzen und nicht immer irgendwelche hässilchen Meldungen der Firewall, des Virenscanners etc haben. (Im Sinne von "Firefox will auf golem.de zugreifen... eine Verbindung zu IP n.n.n.n. aufbauen...).
Wir wissen weiterhin das auf dem Rechner mindestens zwei Messenger im Einsatz sind. Womit die Möglichkeiten der Kontaktaufnahme, über InstantMessenger, bereitgestellt wurden.
Wir wissen auch das ein Acer-Notebook betroffen ist. Acer hat über mehrere Jahre hinweg eine nicht sichere ActiveX-Komponente ausgeliefert welche die Ausführung beliebigen Codes ermöglichte. Diese Komponente muss hier im aktuellen Fall nicht vorhanden gewesen sein. Können wir nur vermuten da das genaue Notebook Modell nicht bekannt ist. Da die Verteilung allerdings über mehrere Jahre ging ist die Wahrscheinlichkeit sehr hoch. Kann aber nur ein Modell mit ATI-Karte sein. Und JMB36X Chipsatz.
Wir wissen auch das zusätzlich zu Messengern mindestens eine dem MessengerPlus verbundene BrowserToolbar installiert ist. Echt klasse wenn hier ein direktes durchgreifen von Browser zur Verbreitungsmethode Messenger durch den Nutzer gewährt wird.
Ebenfalls wissen das das mindestens ein P2P-Client auf dem Rechner im Einsatz ist. Womit die zweite Kommunikationsart für das PlugIn ebenfalls gegeben war.

Auch befindet sich sich dem Rechner Software welche, in Kombination, in der Regel nur genutzt wird um Filme illegal zu rippen, zu laden, zu konvertieren. Muss hier nicht sein, kann ich ja gar nicht beurteilen da ich weder Rechner noch Nutzer kenne. Aufgrund es Gesamtbildes würde es mich jedoch nicht verwundern.

Wir haben insgesamt einen typischen Rechner welcher zum Spielen, Rippen von Musik aus Youtube, Videobearbeitungen, etc. genutzt wird. Der typische Rechner eines männlichen Wesens, Anfang 20, in der westlichen Welt lebend. Nicht das was ein Garant für Sicherheit ist. Zugegeben, eine Verallgemeinerung und möglicherweise nicht zutreffend da ich den Nutzer ja nicht kenne. Das die Frage allerdings hier im BB gestellt wurde (präziser: das sie überhaupt gestellt wurde) und dazu das volle HiJackThis-Log angehängt wurde erzeugt bei mir jedoch den Eindruck das es im Bezug Computersicherheit an Sensibilität fehlt.

Es geht mittlerweile keine Gefahr mehr durch das PlugIn aus, in der Tat. Es ist allerdings nicht auszuschliessen das der Schaden bereits angerichtet wurde. Solange das nicht ernsthaft geprüft wurde kann keine Verlässliche Aussage zur Sicherheit des Rechners gegeben werden. Wir wissen auch das HiJackThis nur genutzt wurde da "keine Zeit hab Kaspersky durchscannen zu lassen". Solches Verhalten ist schlicht fahrlässig wenn man eh schon das Gefühl hat das mit dem Rechner was nicht stimmt. Ich vermute daher einfach mal das noch andere Fahrlässigkeiten begangen wurden. Kann ich nicht wissen, vermute ich nun aber einfach mal aufgrund des Gesamtbildes.
Der CCleaner wird ebenfalls an Hürden stoßen welche jede Software bei 64bit hat und wir ja auch vorher bereits bei den file missing Meldungen von HiJackThis gesehen haben: Potentiell darf sie gewisse Ressourcen gar nicht einsehen. Keine Einsicht bedeutet keinen Scan und keine "Fehler"behebung. Im Großteil der Fälle nicht schlimm da eben Prinzipbedingt.

Im Grunde läuft alles darauf hinaus das ganze pessimistisch zu sehen und davon auszugehen das der mögliche Schaden angerichtet wurde oder mit "wird schon gut gehen, mir ist ja sonst nie was passiert" bzw. "so schlimm wird es schon nicht sein" gesehen wird. Der letzte Fall ist aber normal und auch ok. Beim ersten Mal setzt nie ein Lerneffekt ein und garantiert somit neue Beratungsaufträge.

Exitus · 8. April 2012

wow....respekt, sagmal was machst du so, dass du soviel darüber weisst und ihn auch recht gut analysiert hast?

BTT:
Wenn er ganz sicher gehen will, sollte er sich einfach alle up-to date treiber für sein system holen auf externe HD oder eine CD/DVD ziehen, das system plat machen und alles neu drauf mit höchster sicherheitsstufe aktiv im Kaspersky und vlt. mit eingeschränkten Rechten surfen, so dass halt nichts auf der Kiste landen kann --> da keine admin Rechte! ;)

Anazasi · 8. April 2012

Du hast dazu eine PN.

Benutzer online in diesem Thema