Ebates MoneyMaker

Internet Internet Sicherheit
#1

Guten Tag

Kann mir jemand eine schlüssige Anleitung geben, wie man den Trojaner Ebates MoneyMaker entfernt? Ich sitze vor einem XP Notebook, der mehr als 2 Jahre ungeschützt im Internet wahr. Neuinstallation ist nicht erwünscht.

Gemäss der neuesten Version von Ad Aware ist auf dem Notebook der Trojaner Ebates MoneyMaker. Wir haben das Ding bereits 6x gesäubert. Autostart Programme habe ich mit Autoruns geprüft und die Einträge gemäss diesem Artikel gesucht:

http://board.protecus.de/showtopic.php?threadid=11326
************
Versuche mal zusätzlich in der registry zu ändern. dort steht die NDrv.exe eingetragen unter:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Löschen oder einfach den Eintrag: C:\WINNT\system32\NDrv.exe ändern in z.B. E:\WINNT\system32\NDrv.exe

Dann wird die Datei einfach nicht mehr gefunden.
Helfen wird es vermutlich auch, die Dateien NDRV.EXE und NDRV.DLL
im Verzeichnis C:\WINNT\system32 zu löschen oder umzubenennen.
Was viel schlimmer ist, diese NDrv.* bewirkt bei mir ständig einen zugriff verschiedener Varianten von advertising.com auf die Spybot s&D hinweist.
Spybot erkennt und entfernt diese dateien aber nicht. Im gegenteil ist dort möglicherweise die ursache dafür zu finden. BHODemon 2.0 gibt die Datei seit neuem als malware mit quelle spybot s&d an. Früher war die datei grün mit + gekennzeichnet.
Mit RegAlyzer habe ich dann die Einträge gefunden.
Viele Grüße
Roland
************

Auf dem Notebook ist Norton Antivius mit aktuellen Patterns installiert. Neuinstallation ist nicht wünschenswert, da der Benutzer die Orginal CD der Applikationen (MS Works, etc.) nicht mehr hat.

viele Grüsse
Peter

#2

Hallo,

Kann mir jemand eine schlüssige Anleitung geben, wie man den
Trojaner Ebates MoneyMaker entfernt?

http://www.microsoft.com/technet/community/columns/s…

Neuinstallation ist nicht wünschenswert, da der
Benutzer die Orginal CD der Applikationen (MS Works, etc.)
nicht mehr hat.

Da mit dem Kauf des Programmes nicht primär ein Datenträger, wohl aber eine Lizenz erworben wird, steht IIRC der Hersteller in der Verpflichtung, Dir (ggfs gegen Porto- und Bearbeitungsgebühr) einen Ersatzdatenträher zur Verfügung zu stellen.

IANAL & HTH,

Sebastian

#3

Salü Sebastian

Die Website kannte ich noch nicht.
Derzeitig „übt“ mein Kollege mit der Kiste und ich füttere in nur mit infos.

Nachher werde ich dann selber schrauben. Und ich habe jeden Käfer erledigt :smile:)

schöne Ostern und viele Hasen
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#4

Hallo Peter

Hast du es schon mal mit HijackThis.de versucht? Vermutlich wirst du dann nicht mehr fertig und trotzdem nicht sicher sein, alle von der Malware ausgetauschten Systemdateien ersetzt zu haben.

Derzeitig „übt“ mein Kollege mit der Kiste und ich füttere in
nur mit infos.

Üben kann er in diesem Fall wohl nur noch im Sichern relevanter Dateien auf CD oder Disk. Zeige ihm, wo sie sich immer verstecken.

Nachher werde ich dann selber schrauben. Und ich habe jeden
Käfer erledigt :smile:)

Doch nicht wirklich? Das hätte ich nicht erwartet. Wie lange hat es gedauert, bis der Kunde bei dir wieder auftauchte? Falls ich das nächste mal mir so en Ding eingefangen habe, nehme ich nicht mehr meine BartPE mit dem DriveBackup drauf, sondern komme die paar km über die Grenze.

Kann mir jemand eine schlüssige Anleitung geben, wie man den
Trojaner Ebates MoneyMaker entfernt?

Allein 440 Seiten im deutschsprachigen Raum, reicht das: http://www.google.de/search?hl=de&q=Ebates+MoneyMake…

Neuinstallation ist nicht wünschenswert, da der
Benutzer die Orginal CD der Applikationen (MS Works, etc.)
nicht mehr hat.

Glaubst du ernstlich, er hat schon mal die Originale besessen? Wenn er darauf Wert legt, so soll er sich bei Vobis oder bei Amazon sowas kaufen.

Wenn du fertig bist, dann kannst du ihm ja noch kostenlos dieses Video mitgeben: http://archive.5nord.org/chaosseminar/200501-winsec/…

Da wird er sicher (und auch du bestimmt) seine Freude daran haben.
Ich trolle nicht gern, aber diesmal mußte ich. tzschuldigung

der hinterwäldler

#5

FYI

Käfer erledigt

  • abgesicherten Modus
    -ad aware
    -mit autoruns aus dem registry gelöscht
  • system32 verzeichnis alle dateien elite*.* gelöscht

grüsse
Peter

#6

Hallo Peter

Zwei Jahre mit allen unnötigen Diensten und den dazugehörenden geöffneten Ports im Internet zz…zz…zz…zz. Welchen zweifelhaften Wert dabei Symantec besitzt, dürfte dir nicht verborgen geblieben sein.

  • abgesicherten Modus
    -ad aware
    -mit autoruns aus dem registry gelöscht
  • system32 verzeichnis alle dateien elite*.* gelöscht

Und die Backdoors, welche in den vergangenen zwei Jahren installiert wurden, hast du die etwa auch schon alle gefunden? Hast du dabei auch alles beachtet, was Mr. MS hier geschrieben hat: http://www.microsoft.com/germany/sicherheit/guidance… Da brauchst du nicht einmal das Video aus meinem letzten Posting und bist du daraufhin nicht auch der Ansicht, das dies die bessere Endlösung wäre: http://www.microsoft.com/technet/community/columns/s…

Ist dir überhaupt bewusst, das Mal- und Adware-Deleter nur das finden können, was ihnen auf Grund der Signaturen auch bekannt ist?

Ich stelle dir eine Garantieurkunde aus:
Der Kunde wird, nach dem sich die Backdoors bei ihrem Dienstherren mit ihrer aktuellen IP wieder gemeldet haben, über kurz oder lang erneut über Befall klagen. Den Umfang kann ich nur abschätzen.

Wenn der Kunde eine Neuinstallation ablehnt, dann hättest du das Ding gar nicht erst annehmen dürfen. In diesem Fall kannst du dich nur noch mit diesem oder einem ählichen Satz auf der Rechnung zu retten versuchen:
Unerkannt gebliebene Mal- und Adware konnte nicht entfernt werden.

Versuche es doch wirklich mal mit http://www.HijackThis.de/. Falls das Tool auch nur einen einzigen Verweis findet, mit welchem weder es selbst noch du etwas anzufangen weiß, dann solltest du … siehe oben.

Ein schönes Osterfest wünscht
der hinterwäldler

#7

Salü

Du hast in den 2 Postings in diesem Thread mehrere Punkte angesprochen.

  1. Antiviren Software
    Der Punkte, dass Anti Viren & Trojanersoftware nur findet, was bekannt ist ist logisch. Logisch auch, dass diese Software hinterherhinkt.

  2. Backdoor
    Backdoors wird es geben. Dieses ist wie Du anmerkst, in diese langen Zeit wahrscheinlicher als auf anderen PC. Dazu kann ich Dir nur sagen, es es auf allen Betriebsstemen gewisse Eigenarten gibt, die in bestimmten Kreisen für ihre Zwecke genutzt wurden. Einfaches Beispiel ist die Fehlfunktion in der Grafiklibary. Sie existe schon fast 10 Jahre, bevor es offiziell bekannt wurde. Ich behaupte, dass es einige Leute gab, die das schon lange vorher wussten. Wiederum eine neuere Dimension sind die Rootkits.
    Dieses ist nur einer der vielen Aspekte, wenn es um Datenschutz und Datensicherheit geht.

Dieser Notebook ist in den Händen einer jungen Studentin, die daruaf lediglich ihre Semesterarbeit schreibt. D.h. sie wickelt Ihre Finanzgeschäfte nicht über dieses Notebook ab. Andere „heikle“ Daten (medizinische Informationen, etc.) sind ebenfalls nicht darauf.

Beunruhigend an diesem Trojaner war, dass wenn man den Eintrag aus der
Registry löschte dieser sogleich wieder erstellt wurde. Mit dem Prozessmonitor von SysInternals konnte ich jedoch keinen aktiven „unbekannten“ Prozess feststellen. Auch hat kein Prozess diese elite*.dll benutzt… Leider hatte ich keine Zeit mehr, für längere Analysen, sonst hätte ich mit Filemon die Aufrufe an Dateien aufgezeichnet.

Es ist doch auch etwas beunruhigend, dass das Produkt XP im Gegensatz zu allen anderen Windowsversionen vorher jeden Monat von Microsoft ausgetauscht, bzw. installiert erhält…

  1. Kontaktaufnahme mit IP
    das ist eines der denkbaren Szenarien. Eine andere das er eine eigene SMTP Logik hat und ein mail mit systeminfos verschickt.

  2. „retten“
    Ich sehe es eher wie ein Arzt. Ich diagnostiziere und schätze Problem sowie die Möglichkeiten des Vorgehens ein. Diese Schätzung verbunden mit dem Aufwand wird dem Kunden mitgeteilt. Der Rest ist in den AGB. Inklusive der Eigenverantwortung für seine Daten (Backup), falls das Betriebssytem durch die Enfernung zu sehr beschädigt würde.

  3. „alle Käfer entfernen“
    da sich die Aussage „alle Käfer entfernen“ nur anhand eines Antikäferprogrammes überprüfen lässt, lautet die vollstdändige Aussage auch entsprechend.
    „Bekannte“ Käfer kann man mit einem 2 PC und Internetzugang, orginalem Betriebssytem auf einem Datenträger, ggf bootable CD /DVD immer entfernen. Der kritische Punkt dabei ist, wie stark wird das Betriebssytem dadurch beschädigt. Bzw. wie aufwendig wird die Restauration?

Last but not least, danke für die Links und das Video.
viele Grüsse
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#8

Hallo Peter

Dieser Notebook ist in den Händen einer jungen Studentin, die
daruaf lediglich ihre Semesterarbeit schreibt.

Dann wäre wohl das OpenOffice die geeigenetste Software gewesen.

Beunruhigend an diesem Trojaner war, dass wenn man den Eintrag
aus der
Registry löschte dieser sogleich wieder erstellt wurde. Mit
dem Prozessmonitor von SysInternals konnte ich jedoch keinen
aktiven „unbekannten“ Prozess feststellen.

Genau das habe ich gemeint. Der Prozessexplorer kann nur aktive und keine verdeckten Prozesse erkennen. Um aber verdeckte, zum Zeitpunkt jedoch inaktive Prozesse zu erkennen, ist ein anderes Vorgehen notwendig. Nehme wirklich mal das Tool von http://www.hijackthis.de/ bzw. Download http://80.237.140.193/downloads/hijackthis_199.zip und lasse mal die Registry analysieren, danach von dort aus die Log-Datei einlesenen. Du erhältst ähnlich wie bei Online-Scannern nach einigen Sekunden (oder Minuten) die Auswertung.

Sie ist bei solchen Systemen meist niederschmetternd. Es werden im Großen und Ganzen drei Gruppen ausgegeben:

  1. Einträge, welche HiJackThis kennt und die normal, manchmal sogar wünschenswert sind.
  2. Einträge, welche HiJackThis kennt und sie als böse oder schädlich einordnet. Diese dürfen in der Registry gelöscht werden.
  3. Die kleinste Gruppe von Einträgen ist die, welche HiJackThis nicht kennt und bei denen du entscheiden musst, ob sie böse sind. Bei mir sind zum Beispiel Einträge von O&O DEFRAG 2000 vorhanden und brauche sie, sonst functs nicht bei mir.

Hast du in der Registry gelöscht, kannst du das erste mal mit einem Scanner losmachen. Aber bitte mit einem, der es wirklich auch kann. Symantec hat bei mir schon lange keinen Bonus mehr. Nach der ersten Such&Löschaktion des Scanners erscheinen dann oft wiederum Einträge in der Registry. Wenn das geschieht, kannst du jedes weitere Vorgehen vergessen und die Start-Partition löschen. Dann nämlich hat sich die Malware schon soweit eingegraben, das Scanner nicht mehr erkennen können , wo sich diese befindet. Meist wurden dann schon Systemdateien ausgetauscht. Manchmal zeigen die Scanner dann noch auf leere Verzeichnisse, in welchen sich diese Dateien mal befunden haben.

Es ist doch auch etwas beunruhigend, dass das Produkt XP im
Gegensatz zu allen anderen Windowsversionen vorher jeden Monat
von Microsoft ausgetauscht, bzw. installiert erhält…

Sei froh, das wenigsten ein BS von M$ noch nicht aufgegeben wurde.

  1. „retten“
    Ich sehe es eher wie ein Arzt. Ich diagnostiziere und schätze
    Problem sowie die Möglichkeiten des Vorgehens ein.

Also ich sehe das anders. In den meisten Fällen ist eine Medikamentation (obiges Vorgehen) nicht mehr möglich und ich sehe das eher mit den Augen eines Bestatters und als Nachlasverwalter.
Darum auch: Wichtige Daten sichern und danach plätten

„Bekannte“ Käfer kann man mit einem 2 PC und Internetzugang,
orginalem Betriebssytem auf einem Datenträger, ggf bootable CD
/DVD immer entfernen.

Ich nehme dazu immer eine BartPE, welche einen aktuellen Scanner drauf hat. Windowsfremde BootCD haben da manchmal Probleme beim Erkennen aber auch im Zugriff. Für den Zeitpunkt des Eintreffens dubioser Dateien, ist dies ein guter Tip: http://www.virustotal.com/flash/index_en.html Nur muss man dort vorher mal gewesen sein, um zu wissen wie es funktioniert.

Der kritische Punkt dabei ist, wie stark
wird das Betriebssytem dadurch beschädigt. Bzw. wie aufwendig
wird die Restauration?

Eben hier liegt der Hase im Pfeffer und was verstehst du unter bekannt. Bekannt ist, das moderne Malware (und dazu zählt dein Fund) sich installiert und dann sich selbst aufgibt. Sie ist dann sich schon lange gegen unauffällige und unbekannte Dateien getauscht. Oft wurden Systemdateien sogar ersetzt. Du kannst sie einfach nicht mehr finden, weil die Malware dann EINMALIG, komplex und auf das System zugeschnitten ist. Du findest nur noch die Spuren unbekannter Prozesse zu dubiosen Internet-Adressen in der Registry.

Wie Tauschen und Ersetzen geschieht, kannst du in dieser mehrteiligen Serie bei Heise nachlesen: http://www.heise.de/security/artikel/49687/0 . Aber wirklich bis zu Ende lesen. Wenn dort von gepatschten Systemen die Rede ist, ist ähnliches wie das Script von http://www.ntsvcfg.de/ etc. gemeint.
So viel wie das Video ist es nicht, denn dies ist eine Strafaufgabe für Unbelehrbare.

der hinterwäldler

#9

Salü

Dieser Notebook ist in den Händen einer jungen Studentin, die
daruaf lediglich ihre Semesterarbeit schreibt.

Dann wäre wohl das OpenOffice die geeigenetste Software
gewesen.

Argument pro OpenOffice im Bezug auf einen Trojanerbefall?
B.t.w das ganz andere Thema Makroviren in Officeprodukten ist schon seit Jahren nich mehr aktuell. Ausserdem - wie bereits gesagt - in keinster Weise Bestandteil meines Postings, welchen diesen Thread angestossen hat.

Beunruhigend an diesem Trojaner war, dass wenn man den Eintrag
aus der
Registry löschte dieser sogleich wieder erstellt wurde. Mit
dem Prozessmonitor von SysInternals konnte ich jedoch keinen
aktiven „unbekannten“ Prozess feststellen.

Genau das habe ich gemeint. Der Prozessexplorer kann nur
aktive und keine verdeckten Prozesse erkennen. Um aber
verdeckte, zum Zeitpunkt jedoch inaktive Prozesse zu erkennen,
ist ein anderes Vorgehen notwendig. Nehme wirklich mal das
Tool von http://www.hijackthis.de/ bzw. Download
http://80.237.140.193/downloads/hijackthis_199.zip und lasse
mal die Registry analysieren, danach von dort aus die
Log-Datei einlesenen. Du erhältst ähnlich wie bei
Online-Scannern nach einigen Sekunden (oder Minuten) die
Auswertung.

Deine Verehrung von Hijackthis ist OK. Es ist ein Programm für Endanwender mit einer sehr guten und breiten Unterstützung der Auswertung der LogDateien. Womit man als „Helfer“ z.B. über E-Mail schnell einen Überblick über die Dienste gewinnt.
Das Tool Autoruns von Sysinternals liegt übrigens in 2 Versionen vor. Einmal mit GUI und einmal für die Kommandoebene („Autorunsc.exe“)
http://www.sysinternals.com/ntw2k/freeware/autoruns…

Das die Entwickler dieser Applikation mehr KnowHow über Winodws Internas haben, als die Sys Internals Crew wage ich ganz salopp zu bezweifeln…
http://www.sysinternals.com/ntw2k/freeware/procexp.s…

Zweitens war ein Prozess von Ebates, aktiv da der Registry Eintrag in der Run Sektion automatisch wieder aktiviert, bzw. eingesetzt wurde. D.h. er war aktiv.

Auf dieser Website siehst Du das Hijackthis Log eines von (vermutlich) mit EBates befallenen Windows PC:
http://board.protecus.de/showtopic.php?threadid=13928
Sei so nett und benennen den oder die „Ebates“ Prozess(e). Und auch die überprüfbare Quelle, womit Du den fraglichen Prozess identifizierst.

Sie ist bei solchen Systemen meist niederschmetternd. Es
werden im Großen und Ganzen drei Gruppen ausgegeben:

  1. Einträge, welche HiJackThis kennt und die normal, manchmal
    sogar wünschenswert sind.
  2. Einträge, welche HiJackThis kennt und sie als böse oder
    schädlich einordnet. Diese dürfen in der Registry gelöscht
    werden.
  3. Die kleinste Gruppe von Einträgen ist die, welche
    HiJackThis nicht kennt und bei denen du entscheiden musst, ob
    sie böse sind. Bei mir sind zum Beispiel Einträge von O&O
    DEFRAG 2000 vorhanden und brauche sie, sonst functs nicht bei
    mir.

Dazu bin ich mittels eines Internetzuganges auch in der Lage. B.t.w. kenne ich i.d.R. gute 90% der Registry - Autostart Einträge.

Hast du in der Registry gelöscht, kannst du das erste mal mit
einem Scanner losmachen. Aber bitte mit einem, der es wirklich
auch kann. Symantec hat bei mir schon lange keinen Bonus mehr.

Du wiederholst Dich. Da ich dieser Aussage im letzten Posting nicht widersprochen habe, darfst Du davon ausgehen das ich tendenziell in die gleiche Richtung denke… Also bitte keine Wiederholungen.

Nach der ersten Such&Löschaktion des Scanners erscheinen dann
oft wiederum Einträge in der Registry. Wenn das geschieht,
kannst du jedes weitere Vorgehen vergessen und die
Start-Partition löschen. Dann nämlich hat sich die Malware
schon soweit eingegraben, das Scanner nicht mehr erkennen
können , wo sich diese befindet. Meist wurden dann schon
Systemdateien ausgetauscht. Manchmal zeigen die Scanner dann
noch auf leere Verzeichnisse, in welchen sich diese Dateien
mal befunden haben.

Du wirst einiges durcheinander und das Resultat Deines Horroreintopfes
enthält nicht eine einzige schlüssige und für Windows XP relevante Aussage. B.t.w es ging bei Deinem langen Monolog ursprünglich um ein Problem mit XP…

Es ist doch auch etwas beunruhigend, dass das Produkt XP im
Gegensatz zu allen anderen Windowsversionen vorher jeden Monat
von Microsoft ausgetauscht, bzw. installiert erhält…

Sei froh, das wenigsten ein BS von M$ noch nicht aufgegeben
wurde.

Entweder oder? Das sehe ich nicht. Das Windows im Produkt XP so anfällig und fehlerhaft wurde, dass es quasi nur an einem Tropf zu Mama Microsoft überlebt, finde ich unsympathisch.

  1. „retten“
    Ich sehe es eher wie ein Arzt. Ich diagnostiziere und schätze
    Problem sowie die Möglichkeiten des Vorgehens ein.

Also ich sehe das anders. In den meisten Fällen ist eine
Medikamentation (obiges Vorgehen) nicht mehr möglich und ich
sehe das eher mit den Augen eines Bestatters und als
Nachlasverwalter.
Darum auch: Wichtige Daten sichern und danach plätten

Ein jeder wie es ihm gefällt :wink:

„Bekannte“ Käfer kann man mit einem 2 PC und Internetzugang,
orginalem Betriebssytem auf einem Datenträger, ggf bootable CD
/DVD immer entfernen.

Ich nehme dazu immer eine BartPE, welche einen
aktuellen Scanner drauf hat. Windowsfremde BootCD haben
da manchmal Probleme beim Erkennen aber auch im Zugriff. Für
den Zeitpunkt des Eintreffens dubioser Dateien, ist dies ein
guter Tip: http://www.virustotal.com/flash/index_en.html Nur
muss man dort vorher mal gewesen sein, um zu wissen wie es
funktioniert.

Danke für den Link. Hoffentlich finde ich auch mal Zeit dafür.

Der kritische Punkt dabei ist, wie stark
wird das Betriebssytem dadurch beschädigt. Bzw. wie aufwendig
wird die Restauration?

Eben hier liegt der Hase im Pfeffer und was verstehst du unter
bekannt. Bekannt ist, das moderne Malware (und dazu zählt dein
Fund) sich installiert und dann sich selbst aufgibt. Sie ist
dann sich schon lange gegen unauffällige und unbekannte
Dateien getauscht. Oft wurden Systemdateien sogar ersetzt. Du
kannst sie einfach nicht mehr finden, weil die Malware dann
EINMALIG, komplex und auf das System zugeschnitten ist. Du
findest nur noch die Spuren unbekannter Prozesse zu dubiosen
Internet-Adressen in der Registry.

Es ist das alte Problem von Huhn und Ei. Wie ich im vorhergehenden Posting bereits geschrieben habe, ist jede Software (also auch Betriebssysteme oder Sicherheitssoftware) manipulierbar. Es ist lediglich eine Frage des Willens, bzw. des dafür nötigen Aufwandes.

Ganz natürlich operieren wir Menschen mit Wahrscheinlichkeiten. Die Wahrscheinlichkeit das Dich in Berlin eine verirrte Kugel trifft besteht. Sie ist sovieles geringer als in Los Angeles, dass Du keine Kevlar Weste trägst. Du wägst die Wahrscheinlichkeiten ab und triffst basierend auf Deinem Kenntnisstand sowie Deiner Persönlichkeit und 100 anderer (irrtaionaler) Faktoren eine Entscheidung.

Selbst wenn Du Dir Dein XP direkt von Redmond - frisch ab Quelle - „zapfen“ würdest, wüsstest Du nicht ob nicht doch im Quellcode bereits
unbekannte überraschungen enthalten sind. Seien es NSA Backdoors oder
ungefährliche Eastereggs…

Jedem Menschen mit Deinem Furcht- und Hysteriepegel empfehle ich einen
MAC (derzeitig), das Betriebssytem (mit den APPS) ab „nurlesen“ Datenträgern (CD / DVD) oder eine kleine Routine zu schreiben, die Windows 1x die Woche über Nacht automatisch neu installiert - frisch ab den Quelldateien…

Wie Tauschen und Ersetzen geschieht, kannst du in dieser
mehrteiligen Serie bei Heise nachlesen:
http://www.heise.de/security/artikel/49687/0 . Aber wirklich
bis zu Ende lesen. Wenn dort von gepatschten Systemen die Rede
ist, ist ähnliches wie das Script von http://www.ntsvcfg.de/
etc. gemeint.
So viel wie das Video ist es nicht, denn dies ist eine
Strafaufgabe für Unbelehrbare.

Den Heiseartikel kenne ich gut. Zitate die mir wichtig scheinen:
1.
„Offensichtlich hängt das, was in diesem Experiment passiert, davon ab, wohin ich im Netz gehe“
2.
„Darauf lief ein Internet Explorer 6.0 mit Google Toolbar“
3.
"Statt dessen klickte ich auf „www.yahoogamez.com"
4.
„Da ich jetzt von meinem ersten Besuch auf der yahoogamez-Seite bereits ein Cookie auf meinem Rechner hatte“
5.
„Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles „Yes“ klicken müsse, und das Skript versucht es erneut“.

Da ich nicht noch mehr Zeit für Deine zusammengelesene Antwort aufwenden kann, muss ich es dabei bewenden lassen. Diese 5 Zitate definieren Umstände / Verhalten, die die Mehrheit der Benutzer die ich kenne als „gefährlich“ verstanden hat. D.h. ein Angriff basierend auf
diesen 5 Punkten ist in erster Linie ein Zeugnis für menschliches Versagen.

Grüsse
Peter

#10

Hallo,

Jedem Menschen mit Deinem Furcht- und Hysteriepegel empfehle
ich einen
MAC (derzeitig), das Betriebssytem (mit den APPS) ab
„nurlesen“ Datenträgern (CD / DVD)

Wie bekomme ich nur sie Sicherheitsupdates auf die CD/DVD?

oder eine kleine Routine zu
schreiben, die Windows 1x die Woche über Nacht automatisch neu
installiert - frisch ab den Quelldateien…

Cool. Ich will auch den Windows Quellcode. Wo bekomme ich den?

Gruß,

Sebastian

#11

Salü

Hallo,

Jedem Menschen mit Deinem Furcht- und Hysteriepegel empfehle
ich einen
MAC (derzeitig), das Betriebssytem (mit den APPS) ab
„nurlesen“ Datenträgern (CD / DVD)

Wie bekomme ich nur sie Sicherheitsupdates auf die CD/DVD?

„Pantha rei“ bzw. die Natur duldet kein Vakum :->

I.d.T. müsste der Prozess das sporadisch neu erstellen von CD einschliessen. Natürlich nur aus reinen Quellen und mit einem sterilen
Wirtesystem zum erstellen des Datenträgers. Nicht zu vergessen, die Seidenhandschuhe mit denen der Rohling angefasst wird… :wink:

oder eine kleine Routine zu
schreiben, die Windows 1x die Woche über Nacht automatisch neu
installiert - frisch ab den Quelldateien…

Cool. Ich will auch den Windows Quellcode. Wo bekomme ich den?

Natürlich bei Microsoft :smile:)
http://www.microsoft.com/resources/sharedsource/Init…

Natürlich war es das falsche Wort uns sinnstiftend wäre „Orginaldateien“ gewesen.

viele Grüsse
Peter

Gruß,

Sebastian

#12

Hallo Peter

Argument pro OpenOffice im Bezug auf einen Trojanerbefall?
B.t.w das ganz andere Thema Makroviren in Officeprodukten ist
schon seit Jahren nich mehr aktuell.

Nein, das habe ich nicht gemeint. Ich dachte eher daran, das die SetupCD von MS-Works nicht (mehr) da ist!

Deine Verehrung von Hijackthis ist OK. Es ist ein Programm für
Endanwender mit einer sehr guten und breiten Unterstützung der
Auswertung der LogDateien. Womit man als „Helfer“ z.B. über
E-Mail schnell einen Überblick über die Dienste gewinnt.

Nein, keine eMail. Die Auswertung wird unten in der Page angehängt und geschieht Online, ähnlich wie bei http://www.security-check.ch/

http://www.sysinternals.com/ntw2k/freeware/autoruns…

Habe ich mir geholt und werde es mal dann testen, wenn nach dem Besuch meiner Kids im Internet oder in meinem Bekantenkreis wieder mal das System nicht so zuckt, wie es angedacht ist.

Das die Entwickler dieser Applikation mehr KnowHow über
Winodws Internas haben, als die Sys Internals Crew wage ich
ganz salopp zu bezweifeln…

Wer will das beurteilen? Wollen wir anerkennen, das beide Crews mehr zur Sicherheit beigetragen haben als manche andere, die es auf ihre bunten Schachteln gedrucken.

Zweitens war ein Prozess von Ebates, aktiv da der Registry
Eintrag in der Run Sektion automatisch wieder aktiviert, bzw.
eingesetzt wurde. D.h. er war aktiv.

Habe ich es anders beschrieben? Sollte grundsätzlich ein Grund zum plätten sein, denn eine Neuinstallation geht schneller als manche Suche nach Malware.

Auf dieser Website siehst Du das Hijackthis Log eines von
(vermutlich) mit EBates befallenen Windows PC:
http://board.protecus.de/showtopic.php?threadid=13928
Sei so nett und benennen den oder die „Ebates“ Prozess(e). Und
auch die überprüfbare Quelle, womit Du den fraglichen Prozess
identifizierst.

Das ist genau, das was ich schon schrieb, die Malware hat sich selbst schon aufgegeben, aber die Prozesse sind noch aktiv. Übrigens gab die Moderatorin Sabina eine gute Anleitung zur Entfernung dieses Prozesses in http://board.protecus.de/showtopic.php?threadid=1392…
Ein paar Postings weiter oben hat sie aber auch was über regelmäßige Updates und Dauergast geschrieben.

Dazu bin ich mittels eines Internetzuganges auch in der Lage.
B.t.w. kenne ich i.d.R. gute 90% der Registry - Autostart
Einträge.

Siehe obigen Threas in Protecus.de Da ist es auch nicht sofort offensichtlich.

Du wirst einiges durcheinander und das Resultat Deines
Horroreintopfes
enthält nicht eine einzige schlüssige und für Windows XP
relevante Aussage. B.t.w es ging bei Deinem langen Monolog
ursprünglich um ein Problem mit XP…

Wenn du denkst, ich wollte nur helfen

Entweder oder? Das sehe ich nicht. Das Windows im Produkt XP
so anfällig und fehlerhaft wurde, dass es quasi nur an einem
Tropf zu Mama Microsoft überlebt, finde ich unsympathisch.

Weder ich noch irgend ein anderer kann es ändern, auch dann nicht, wenn da irgendwelche Empfehlungen kommen (siehe Sebastian). Ich habe vor 10 Jahren auch OS/2 gehabt. Nur kommt dieses BS mit der jetzigen Hardware nicht mehr zurecht. Schade das IBM damals aufgegeben hat, dann würde M$ auch besser gearbeitet haben.

Jedem Menschen mit Deinem Furcht- und Hysteriepegel empfehle
ich einen MAC (derzeitig)

Dann hätte ich mich schon lange getrennt.

schreiben, die Windows 1x die Woche über Nacht automatisch neu
installiert - frisch ab den Quelldateien…

Ich habe doch einen Satz CD’s mit einer sauberen Installation, die vorher noch nicht im Internet war. Die nehme ich immer dann, wenn es wirklich nicht mehr geht und das wöchentliche Image auf der E: auch schon betroffen sein könnte. Das dauert allerdings keine ganze Nacht, sondern nur 10-20 Minuten. Das ist aber eine Lösung speziell für mich und nicht für eine Werkstatt, obwohl die BartPE auch für dich ein paar gute Features drauf hat. Ich kann beides jeden Anwender empfehlen.

Den Heiseartikel kenne ich gut.

Ich hatte Anfangs nicht den Eindruck, bitte entschuldige…

diesen 5 Punkten ist in erster Linie ein Zeugnis für
menschliches Versagen.

Bist du sicher? Hier war immerhin von „Otto Normalo“ die Rede, welcher soeben seinen nagelneuen Hobby-PC beim Lebensmitteldisconter erstanden hat oder von einer Studentin, die nur mal wissen wollte, was da im Anhang der Mail drin (kicher-kicher) ist und nicht vom User: „Ich erkenne einen DAU von Weiten“.

Übrigens:
Hast du dich nicht schon selbst beim unüberlegten Klick auf „OK“ ertappt? Ich ja, denn keiner ist unfehlbar.

der hinterwäldler