Ganz einfach Alucard. Das Ziel des Plugins, auf den Rechner zu gelangen, wurde erreicht. Der nächste Schritt ist dann über präparierte Webseiten weitere Software zu laden. Das geschieht bei BrowserCompanion oft über die bereits oben genannte Adresse. Allerdings nicht immer. Web of Trust bietet keinen Rundumschutz und kann sämtlichen Bedrohungen prinzipbedingt nur hinterher sein und nicht präventiv funktionieren. Je nach Version des Plugins wurden auch andere, potentiell noch nicht von WoT abgedeckte Seiten, angesteuert. Wissen wir nicht da wir keine Aussage haben welche Version des PlugIns lief. Wir wissen auch nicht wie lange es bereits aktiv war. Weiterhin wird über InstantMessenger und P2P versucht Kontakt mit Gegenstellen aufzunehmen und sich gleichzeitig zu verbreiten.
Wir wissen das das PlugIn es geschafft hat installiert zu werden. Es wurde nicht gleich von Kaspersky abgelehnt. Warum auch, die Installation wurde ja vom Benutzer auch genehmigt und erfahrungsgemäß laufen die Browser bei den Benutzern mit vielen Rechten. Man will den Browser ja auch nutzen und nicht immer irgendwelche hässilchen Meldungen der Firewall, des Virenscanners etc haben. (Im Sinne von "Firefox will auf golem.de zugreifen... eine Verbindung zu IP n.n.n.n. aufbauen...).
Wir wissen weiterhin das auf dem Rechner mindestens zwei Messenger im Einsatz sind. Womit die Möglichkeiten der Kontaktaufnahme, über InstantMessenger, bereitgestellt wurden.
Wir wissen auch das ein Acer-Notebook betroffen ist. Acer hat über mehrere Jahre hinweg eine nicht sichere ActiveX-Komponente ausgeliefert welche die Ausführung beliebigen Codes ermöglichte. Diese Komponente muss hier im aktuellen Fall nicht vorhanden gewesen sein. Können wir nur vermuten da das genaue Notebook Modell nicht bekannt ist. Da die Verteilung allerdings über mehrere Jahre ging ist die Wahrscheinlichkeit sehr hoch. Kann aber nur ein Modell mit ATI-Karte sein. Und JMB36X Chipsatz.
Wir wissen auch das zusätzlich zu Messengern mindestens eine dem MessengerPlus verbundene BrowserToolbar installiert ist. Echt klasse wenn hier ein direktes durchgreifen von Browser zur Verbreitungsmethode Messenger durch den Nutzer gewährt wird.
Ebenfalls wissen das das mindestens ein P2P-Client auf dem Rechner im Einsatz ist. Womit die zweite Kommunikationsart für das PlugIn ebenfalls gegeben war.
Auch befindet sich sich dem Rechner Software welche, in Kombination, in der Regel nur genutzt wird um Filme illegal zu rippen, zu laden, zu konvertieren. Muss hier nicht sein, kann ich ja gar nicht beurteilen da ich weder Rechner noch Nutzer kenne. Aufgrund es Gesamtbildes würde es mich jedoch nicht verwundern.
Wir haben insgesamt einen typischen Rechner welcher zum Spielen, Rippen von Musik aus Youtube, Videobearbeitungen, etc. genutzt wird. Der typische Rechner eines männlichen Wesens, Anfang 20, in der westlichen Welt lebend. Nicht das was ein Garant für Sicherheit ist. Zugegeben, eine Verallgemeinerung und möglicherweise nicht zutreffend da ich den Nutzer ja nicht kenne. Das die Frage allerdings hier im BB gestellt wurde (präziser: das sie überhaupt gestellt wurde) und dazu das volle HiJackThis-Log angehängt wurde erzeugt bei mir jedoch den Eindruck das es im Bezug Computersicherheit an Sensibilität fehlt.
Es geht mittlerweile keine Gefahr mehr durch das PlugIn aus, in der Tat. Es ist allerdings nicht auszuschliessen das der Schaden bereits angerichtet wurde. Solange das nicht ernsthaft geprüft wurde kann keine Verlässliche Aussage zur Sicherheit des Rechners gegeben werden. Wir wissen auch das HiJackThis nur genutzt wurde da "keine Zeit hab Kaspersky durchscannen zu lassen". Solches Verhalten ist schlicht fahrlässig wenn man eh schon das Gefühl hat das mit dem Rechner was nicht stimmt. Ich vermute daher einfach mal das noch andere Fahrlässigkeiten begangen wurden. Kann ich nicht wissen, vermute ich nun aber einfach mal aufgrund des Gesamtbildes.
Der CCleaner wird ebenfalls an Hürden stoßen welche jede Software bei 64bit hat und wir ja auch vorher bereits bei den file missing Meldungen von HiJackThis gesehen haben: Potentiell darf sie gewisse Ressourcen gar nicht einsehen. Keine Einsicht bedeutet keinen Scan und keine "Fehler"behebung. Im Großteil der Fälle nicht schlimm da eben Prinzipbedingt.
Im Grunde läuft alles darauf hinaus das ganze pessimistisch zu sehen und davon auszugehen das der mögliche Schaden angerichtet wurde oder mit "wird schon gut gehen, mir ist ja sonst nie was passiert" bzw. "so schlimm wird es schon nicht sein" gesehen wird. Der letzte Fall ist aber normal und auch ok. Beim ersten Mal setzt nie ein Lerneffekt ein und garantiert somit neue Beratungsaufträge.