Beiträge von thebrain

Zitat von Nemesis17

Also bevor ihr euch die Köpfe einschlagt, von wegen was besser ist und was nciht^^...

das passiert doch nicht in Mode-Threads wie: "unser täglich Adware gib uns heute"...

dafür sind doch die: "wessen seiner ist länger" ! :lol:

Zitat von Global Associate

Alles, was beim Durchlauf "rot" erscheint, in die Tonne.

O_O :shock: bitte etwas vorsichtiger mit solchen Empfehlungen bei Rootkits !

es hat zwar kaum einer geprüft, welche lfd. WICHTIGEN Systemdateien sich nicht löschen lassen...
und viele sollte es auch nicht auf einen Versuch ankommen lassen, denn es könnte oneclick-"zwei in eins" werden....

der erste UND der letzte ! :wink:

ist "navipromo-Befall" diagnostiziert, z.b. erstmal nur über search/suchen lassen..log/Befunde posten !
dann ist es wesentlich effektiver, dieses Tool zu benutzen !
Original for Navilog1 und noch die deutsche Beschreibung...HJT-Board

besonders wichtig noch:

Zitat

Hinweis:

Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte Risktools erkannt. Es handelt sich jedoch nicht um einen Virus, sondern um ein Programm zur Reinigung dieser Infektion.

es sind AV-Wächter und sonstige "Schützer" zu deaktivieren, sonst bleibt die Ausführung hängen und es entsteht noch mehr Schrott !

aber es löscht auch die Ursache, dessen Reg.-Einträge usw. ... hoffentlich ! :wink:

z.B. [Blockierte Grafik: http://img153.imageshack.us/img153/3306/internetgamebox40eb4.th.jpg] oder legt Backups an [Blockierte Grafik: http://img153.imageshack.us/img153/8026/internetgamebox41oz8.th.jpg] (falls ImageShack-Bild mitspielt ?)

na gut, der Name ist austauschbar...

hauptsache es ist ein castlecops....HIPS (FAQ) aus der Reihe der Behavior-Analyse/Verhaltensblocker

Zitat

Mit dieser Analyse wird entschieden, ob eine Anwendung schädlich ist oder nicht, je nachdem wie sie sich verhält. Macht eine Anwendung etwas, das außerhalb des „Akzeptablen“ liegt, so wird ihr Betrieb eingeschränkt...

egal ob nun ThreatFire oder onlineArmor oder...wie sie alle heißen mögen...
der Nachteil an diesen Teilen ist natürlich, die (Er-)kenntnis über ein unbekanntes System, nämlich sein eigenes...

denn immerhin hat (sch...) Norton den lfd. Rootkit-Prozess erkannt !

Zitat

Der Suchlauf nach versteckten Objekten wird begonnen.
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!
c:\windows\prefetch\cxgcqnj.exe-37499dcd.pf
[HINWEIS] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\vm\lokale einstellungen\anwendungsdaten\cxgcqnj.dat
[HINWEIS] Die Datei ist nicht sichtbar.
c:\dokumente und einstellungen\vm\lokale einstellungen\anwendungsdaten\cxgcqnj.exe
[HINWEIS] Die Datei ist nicht sichtbar.
cxgcqnj.exe
[HINWEIS] Der Prozess ist nicht sichtbar.
Es wurden '40559' Objekte überprüft, '4' versteckte Objekte wurden gefunden.

Alles anzeigen

natürlich beim scan danach auch mein avira-Classic, das bei install ebenso deaktiviert !

wie auch die übrigen (ausgesuchten) Analyse-Tools, nur das vorher ist hierbei ansonsten eben wichtiger ! :wink:

ich hatte auch völlig vergessen:
Liebe Kinder natürlich NICHT nachmachen...auf einem normalen System !!!

und das Ganze begann auch auf der dunklen Seite des internets, also da wo normalerweise keiner hinkommt...
weil mann dort das Gehirn ausschalten muss... um weiterzukommen:

[Blockierte Grafik: http://img172.imageshack.us/img172/3179/internetgamebox1cv8.th.jpg]

Zitat von Oliver222

Im Negativen könnten solche veränderbaren System-DLL-Dateien unter Windows jedoch durch unbewusste Malware-Code-Einschleusungen auch dahingehend missbraucht werden..

na klar und mit Vorliebe, weil eben sehr effektiv...z.B. Praxis...Schaedlingen-auf-der-Spur

Zitat

...Die DLLs benutzt das Programm um sich in den Windows-Hook CBTProc einzuklinken. Das ist ein dubioses Windows-feature für Computer Based Training, über das ein Prozess beobachten kann, was im aktiven Fenster passiert...

oder hier dieses ziemlich interessante Teil: Virus: TR/Proxy.Lager.AQ.1
weiterführend auch die *.zip mit dem *.doc dazu bei Wilders:instructions and screenshots for manual cleaning of this rootkit

Zitat

...Diese taskdir.dll wird dann in jeden System Prozess injiziert. Diese dll hat, wie bereits beschrieben, Rootkit Eigenschaften, denn sie versteckt sich...

aber wie gesagt, es ist müssig theoretisch über Sinn und "Bärendienste" zu diskutieren...
während Millionen Zombies da draußen rumgeistern...mitohne Fx wegen IE oder was auch immer...

gut, einen Versuch zur (halben) Überzeugung mache ich noch...zu allerallerletzt... :wink:

folgendes...ich bin "inetten" gegangen...wie die o.g. Millionen...

wobei diese Immu, die kann ja auch lästig und störend sein...[Blockierte Grafik: http://img150.imageshack.us/img150/8166/internetgamebox2td7.th.jpg] verboten, gesperrt, geht nicht...usw.

und was habe ich geklickt, um endlich dahin zu kommen wo ich hin wollte...
war schon bald soweit, hier Thread zu erstellen, wie: "Hallo!!!!!DRINGEND!!!!mein Internet ist kaputt!!!!

habe es dann aber doch gelassen...[Blockierte Grafik: http://img153.imageshack.us/img153/3243/internetgamebox4kq2.th.jpg] was hätte ich auch sagen sollen...
nicht mal mit dem IE ging es... (eingeschränkte Sites !)

aber dann fiel es mir wie diese Schuppen, "du hast doch mal was gelesen"...hostperm1 / plugins / downloadsperre

da war er...[Blockierte Grafik: http://img530.imageshack.us/img530/3896/internetgamebox8td9.th.jpg] der downloadverhinderer ! :oops: also schwuups die SS&D-Immu rückgängig gemacht...

siehste, geht doch...[Blockierte Grafik: http://img401.imageshack.us/img401/2807/internetgamebox9op1.th.jpg] mann muß es nur wollen !

natürlich ich als Hardcore-Gämer...[Blockierte Grafik: http://img120.imageshack.us/img120/7667/internetgamebox16md6.th.jpg] gleich installiert... :cry:

aber naja, meinen Spass werde ich trotzdem noch haben...[Blockierte Grafik: http://img530.imageshack.us/img530/4884/internetgamebox20tf4.th.jpg]

achso fast noch vergessen...(sch...) Norton-AntiBot :lol: der meldete sich nach Neustart gleich ! [Blockierte Grafik: http://img408.imageshack.us/img408/8595/internetgamebox21py6.th.jpg]

denn hatte ich ihn ja auch vor der Installation sicherheitshalber auch deaktiviert, wegen der Technik, klappt ja sonst nicht...

also guckt mal bei den Bildern rein, immunisiert oder lasst es...

Zitat

...Der Firefox müste im Anschluss daran auf so ein...

nicht-immunisiertes System ja zum glück nicht bei mir arbeiten ! :wink:

ach Oliver, Du hast ja so Recht !
gut nicht ganz was meine Wenigkeit angeht, aber insgesamt... :wink:

JV16 ist natürlich auch schon bei mir auf jedem Basis-Image und somit System "vorinstalliert", nur manchmal aber...

Zitat von Oliver222

Ist insoweit unerheblich, da ein kritischer Anwender über die Kontrolle bezüglich solcher Programm-(De)Installationen selber verfügen sollte.

das ist ja genau mein Reden auch immer !
zwar kommt man hier auch schnell an einen Punkt, wo dann der gemeine Anwender von WINdoof oder (sch...) Norton anfängt...
aber das wirst Du von mir nie hören...

obwohl ich mal ein Beispiel mit WinOnCD erlebt...
war zwar nur eine relativ kleine Differenz von Install zu Deinstall allein von ~44000 Reg-Schlüssel...
und unter was die aber auch alles laufen...Roxio, Sonic, SmartSound, Programm-Ordner, Gemeinsame Dateien...
also richtig Spass...teilweise bis heute noch und natürlich voll unter Kontrolle !

oder Virtualisierungssoftware und deren virtuelle Netzwerk-Adapter bzw. nach Deinstallation noch vorhandenen Treibern...

ja, da mußt Du aber schon richtig schön suchen, wenn das schöne "JV16 Datei fehlt" fehlt...
denn warum auch, die Dateien sind ja noch da !

aber gut ist jetzt auch ein blödes Beispiel, denn z.B. Innotek oder VMware sind ja noch ziemlich eindeutig zu finden...

etwas interessanter sind dann schon so Sachen wie Zonealarm installieren und auch Kaspersky haben...
[Blockierte Grafik: http://img521.imageshack.us/img521/489/zaav3sv0.th.jpg] gut, weiß natürlich heute schon jedes Kind über diese Probleme Bescheid wie:
KAV 7.0.0.123 Installations Probleme !!, Fehler bei der Installation von KAV. Hilfe!!

Zitat

Ja, komplett deinstallieren. Ausschalten wird nicht reichen. Das problem ist dieses: ZA 7 benutzt komponenten von kaspersky lab (also besser gesagt installiert sie nur denn diese werden nur in der Variante mit AV benutzt). Diese sind festgehalten und der kav installer kann sie nicht ersetzen. Das passiertr auch wenn es aus ist, es muss komplett weg sein.

und das bei Kaspersky´s eigenen Dateien...von Zonealarm...
so was meinst Du, wie da erst die Minifilter-Treiber anderer AV-Hersteller ins Grübeln kommen...
oder evtl. ein Anwender mit JV16...und Treibern in system32 !

oder sucht mit JV16 nach "Symantec-Resten" und löscht die WINeigenen vorgebenen für z.b. die XP-Sicherheitscenter-Erkennung gleich mit...

Zitat

der richtigen Spyware ist Dein(em) Lieblings-Browser völlig egal...
es holt sich seinen Nachschub voll automatisch durch einen kurzen Besuch z.b. auf der zuständigen Website...[...]

Verwechselst Du dabei nicht Ursache und Wirkung? Sofern bereits im Vorfeld eine Infektion der Windows-DLL (Bibliotheken) vorlag (Dein Argument)...

nur das habe ich irgendwie noch nicht verstanden ? welche Infektion im Vorfeld ?
die Bilder wären eine LIVE-Infektion, wenn mann online gewesen wäre !

http://minime.exe/TR/Dldr.Swizzor.Gen ruft direkt aus dem setup den IE auf (oder andere vllt. auch nur die engine, z.b. dann mit einem eigenen "IE-Gebilde")
dieses lädt dann z.b. über die beim normalen alles erlaubenden Anwender z.B. das nicht-immunisierte ActiveX...
über eine z.B. nicht-immunisierte Website z.b. aus der hosts...usw.

und zu allerletzt noch:

Zitat

..Kein Tool wird Dir das jemals ersetzen können..

stimmt auch, vllt. hätte ich noch erwähnen sollen, dass bei mir als allererstes immer die "brain.exe" versucht zu starten...
und trotzdem weiterführend dann auch die anderen Hilfsmittel...zu allem wie Vorsorge, Testzwecke etc.

ach wären sie doch nur alle so kritisch wie wir... :wink:

nun Oliver, profitieren wird das gesamte System...
daher ist der Blaster nur ein Bestandteil eines Sicherheitskonzeptes... :wink:

ich weiss nicht, ob du ein Tool hast, mit dem Du z.B. De-/Installationen nachvollziehen kannst...
z.B. wäre InstallRite als Freeware so ein Teil, aber es gibt natürlich auch andere und wie gesagt wer seinen DEinstall-Müll minimieren will...
muß sich eben mit sowas beschäftigen... :wink:

so natürlich in erster Linie ActiveX und das IE-Zonenmodel betroffen !
und trotzdem geht es JEDEN etwas an...

warum ? hatte ich ja neulich schon im "Smalltalk" versucht zu beschreiben Spybot Immunisieren

der richtigen Spyware ist Dein Lieblings-Browser völlig egal...
es holt sich seinen Nachschub voll automatisch durch einen kurzen Besuch z.b. auf der zuständigen Website...
und auch unbemerkt...meistens

und diese blödsinnigen ohne IE-stabilen-torrent-WINs...no comment ! :lol:

aber zum Punkt:
die sogenannten Kill-Bits die dann DABEI eben nicht mehr ausgeführt werden könn(t)en..
auch schon mal beschrieben(?), aber hier nochmal: So verhindern Sie die Ausführung von ActiveX-Steuerelementen in Internet Explorer

Zitat

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\ ...Compatibility Flags...dword:00000400

• Sie sollten alle installierten ActiveX-Steuerelemente entfernen und dann das Steuerelement installieren, das Sie deaktivieren möchten. Fügen Sie anschließend das "Kill Bit" zur CLSID hinzu, um das ActiveX-Steuerelement zu ermitteln, das Sie deaktivieren möchten.
3. Ändern Sie den Datenwert des DWORD-Wertes für "Compatibility Flags" zu "0x00000400".

so was noch bei der Immu in der Registrierung gemacht wird, wird hier ziemlich gut erklärbar...
Beschreibung der Registrierungseinträge für Internet Explorer-Sicherheitszonen

Zitat

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\0190-dialers.com ... dword:00000004

Hinweis: Einstellungen für Sicherheitszonen werden standardmäßig in der Registrierungsunterstruktur HKEY_CURRENT_USER gespeichert. Da diese Unterstruktur dynamisch pro Benutzer geladen wird, haben die Einstellungen für einen Benutzer keinen Einfluss auf die Einstellungen für einen anderen Benutzer.

Es werden nur die Einstellungen des lokalen Computers verwendet, und alle Benutzer haben dieselben Sicherheitseinstellungen, wenn die Einstellung Sicherheitszonen: Die Einstellungen für Sicherheitszonen statisch festlegen in der Gruppenrichtlinie aktiviert ist oder wenn der DWORD-Wert Security_HKLM_only mit dem Wert 1 im folgenden Registrierungsunterschlüssel vorhanden ist:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings

da werden also Blaster-Domains erklärbar...

weiterführend...wir reden ja von einem Konzept kommt dann vllt. noch SS&D dazu z.B. dessen IP´s !

Zitat

Wenn der URL eine IP-Adresse enthält, wird der Schlüssel Ranges verarbeitet. Die IP-Adresse des URL wird mit dem :Range-Wert verglichen, der in den willkürlich benannten Schlüsseln unter dem Schlüssel Ranges enthalten ist.

achso ja und die hosts dann ja auch von SS&D...
aber nur, wenn sie nicht gerade z.b. von CID dem AdwareHelper auf irgend so einer MultiMedia-MessengerPlus-Schrottkiste verbogen wurde...
oder sämtliche AV-IP´s ohnehin ja geblockt etc.

jedenfalls wäre das das 2. Mittel im Konzept, z.b. für den Fx (und seiner heutigen Sicherheit..)
außer es fummelt z.b. mal wieder einer im cache rum... :lol:

so und erspare mir die cookies, die bei mir und meiner Nachfrage-Einstellung einen erheblichen Nutzen haben...
indem eben etwas weniger von bekannt ungewollten nachgefragt wird ! :roll:

ich lege z.b. dabei gewissen Wert auf Kontrolle, was wann wo und warum vllt. nicht geht...
auch in Bezug auf unnötige cookies...

jo, aber wie das mit den Tips so ist...
deshalb meine Ergänzung für "Mehr-Benutzer-Systeme"... :wink:

es gibt systemweite Immunisierung und "benutzerweite" eben...
z.B. die "Internetoptionen > eingeschränkten Seiten" sind benutzerspezifisch...

will nicht zu weit ins "Detail-Chaos" gehen, aber z.b. auf XP:
eingeschränkter Nutzer NACH immu im Admin-Recht-account...[Blockierte Grafik: http://img340.imageshack.us/img340/5034/blaster41eyg0.th.jpg]

z.B. Reste im echten Admin abgesichert...[Blockierte Grafik: http://img340.imageshack.us/img340/4218/blaster44agz3.th.jpg]
wie gesagt nach Rücknahme aller SS&D+Blaster-Immu´s...

nach meinen Beobachtungen werden teilweise auch Reste in neuen Datenbanken übernommen etc.
aber manchmal eben auch nur teilweise und je nach Verwendung...
z.b. bin ich auch mal mit SS&D-Beta-Signaturen unterwegs ! :roll:

daher rate ich jedem dringend, die Hersteller-Empfehlungen zu lesen...
und genau anders zu handeln bzw. nach SEINEM System halt... :wink:

Zitat von Wurstwasser

Gehört ja eigentlich eher in den Bereich "Smaltalk".

uufff...in ziemlich jedem anderen Forum würde Sicherheits-Software unter Sicherheit laufen...
wie eben auch die Folgen von Unsicherheit...

aber möge es denn hier ein MOD in den Smalltalk verschieben...
hauptsache das Progi/Info nützt dem einen oder anderen etwas... :wink:

nach kurzer Suche und keiner Entdeckung... :wink:

der neue SpywareBlaster 4.0 ist erschienen:
für Leute mit Interesse die Offizielle Vorstellung im Wilders-Forum
oder auch Softwarearchiv-WinTotal

noch extra auf Deutsch dazu: :roll:
natürlich wie immer vor allem bei sicherheitsrelevanter Software sollte die alte Version sauber deinstalliert werden...
insbesondere VORHER mit Rücknahme der Immunisierung...auf jeweils allen user-accounts !

vllt. sogar auch kurzzeitig gleiches mit der Spybot S&D-immu...
um in diesem Sinne Überschneidungen/Datenbank-Anpassungs-Fehler etc. zu minimieren... :wink:

na kuck Road-Runner...alles wird gut !
Dank PepiMK und seiner Crew ! :wink:

der langsame Start war eigentlich schon lange mit einem Fix (auf 1.5.1.16) behoben...
die Rücknahme der immu bei Fx dauert aber auch jetzt immer noch etwas...

aber wann macht man das normal schon, außer bei einer Deinstallation...
der geübte Fx-user hat sowieso mehrere Profile usw. :wink:

tja nur schade dass die W2K-er jetzt wohl NUR noch diese blödsinnige Art der Immunisierung des Fx haben...

Zitat von PIGSgrame

...das meine Ansicht dazu hätte ändern können...

war auch nicht meine Absicht, hier einzig und allein das "Spybot verhält sich seit Version 1.5 hier wirklich total blödsinnig", nur weil der Anwender etwas kritisiert, was er gar nicht zu benutzen braucht !

Zitat

Andere haben keine hosts...(aus dem Kopf heraus gewesen)

Keine hosts haben ist auf den Betriebssystemen, unter denen Spybot S&D läuft, nicht möglich...

Win98...

Zitat

Copyright (c) 1998 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP stack for Windows98

unter W9X -Systemen muß die vorhandene hosts.sam als
hosts
also ohne Endung gespeichert werden damit sie greift,
sonst wird sie ignoriert .

beliebte Arbeiten...für jemanden mit PC-Kenntnis...
[Blockierte Grafik: http://s2.directupload.net/images/080212/temp/e3j7tu6l.jpg] stimmt [Blockierte Grafik: http://s3.directupload.net/images/080212/temp/o7zmiigu.jpg]

da ich zugegebenerweise mit diesem ausgestorbenen system auch nicht so auf Du bin, kurz mal getestet:

[Blockierte Grafik: http://s6.directupload.net/images/080212/temp/mhvmbek8.jpg] stimmt [Blockierte Grafik: http://s3.directupload.net/images/080212/temp/66wmy5dc.jpg] nun nicht mehr

Zitat

bzw. können diese nicht nutzen...

die "Nutzung" bezog sich natürlich auf eine immunisierte hosts...mit dann Problemen bei Windows 2000

Zitat

Ich habe Win 2000 SP4 und hatte das gleiche Problem mit 100% CPU der services.exe (bei mir jedes mal, wenn ich die Internetverbindung hergestellt habe)

100% CPU-Auslastung...services.exe desweiteren zu ohne Probleme...mit Probleme

klar mitunter auf alten Kisten ! :wink:

der Form halber...was ist Teil der immnisierung ? z.b. die sogenannten Killbits:

Zitat

..die ActiveX Controls benutzen in der Registry CLSIDs, hexadezinale Schlüssel, unter denen ihre Informationen abgelegt werden. Wenn man unter einem solchen Schlüssel das so genannte Killbit setzt, führt Windows diese Controls nicht mehr aus.

Diese CLSIDs sind in der Registry unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility" verstaut. Wenn man dort den DWORD Wert "Compatibility Flags" Auf dezimal 1024 setzt, werden die Controls nicht mehr ausgeführt.

System (fast) sicher machen
Gnmpf und die SS&D-Immunisierung

Zitat

Mit "Custom Blocking" ist es möglich eine eigene Liste ActiveX-Kontrollen zu erstellen. Man kann Einträge hinzufügen, sie entfernen oder die gewählten CLSID verändern. Man kann sich vor diesen Einträgen schützen und sie auch wieder entfernen. Es wird davor gewarnt, Custom Blocking Lists anderer zu übernehmen, wenn man sie nicht wirklich kennt.

HJT-Forum...bekannt und trotzdem nochmal
und der aktuelle SpywareBlaster hat ebenso "Lade-Überprüfungs-Probleme" mit der Immunisierung von SS&D...z.Zt.
The upcoming new release of SpywareBlaster will be fully DEP compatible... also wohl demnächst !

gemeint hier natürlich nicht die Filesharer, denn da ist Compatibilität überflüssig...
wenigstens da sind wir uns ja einig !

Zitat von PIGSgrame

Du hast meinen Beitrag entweder nicht vollständig gelesen oder nicht verstanden. Ich habe ausführlich dargelegt, warum ich die Firefox-Immunisierung (nicht die Immunisierung generell) für sinnlos halte.

vllt. hast du auch etwas nicht richtig verstanden, bzw. lese nochmal dein "blödsinniges" und Drumherum, auszugsweise:

Zitat

Spybot verhält sich seit Version 1.5 hier wirklich total blödsinnig. Reichlich 6100 Seiten werden von diesem Programm als gefährlich eingestuft und diese werden bei Immunisierung durch Einträge in die hosts-Datei nach 127.0.0.1 geroutet. Es besteht damit absolut keine Möglichkeit mehr für irgendein Programm, Daten von diesen als gefährlich eingestuften Seiten abzurufen.

Sicherheit ist ein Konzept der Prävention und SS&D versucht diesen Weg zu gehen, somit kein sinnloses Einzelgeplänkel, z.B. duch Reinigung.

Seit SS&D 1.5 ist die Wahlmöglichkeit gegeben, eben u.a. Firefox abzuwählen, eine durchdachte Variante für den Anwender !
Andere haben keine hosts, bzw. können diese nicht nutzen...

soviel zum Thema Blödsinn, sinnlos und SS&D subjektiv nicht zu empfehlen...
das nicht immer alles zu 100% klappt und wie überall dabei auch Risiken oder Fehler entstehen, ist ebenso kaum diskussionswürdig !

Zitat von PIGSgrame

Seit Version 1.5 versteht Spybot unter "Immunisieren" etwas mehr. Ich finde dieses Feature und vor allem dessen Umsetzung nach wie vor völlig sinnlos...

ja in der Tat, was ein großer Haufen wiederholter Blödsinn !

nur EINE Beispielseite..aus hostperm install 2 oder sonstwas..
Video Codec:z.B. imediacodec(dot)com

Zitat

Ein Besuch auf einer unsicheren Seite macht es möglich, ehe man es sich versieht, hat man schon das neueste Programm rund ums Thema Video auf dem Rechner, man muss es nichtmal downloaden.

Dank Internet Explorer installiert es sich selbst ....

Einmal installiert, sammelt es Information über das Verhalten des Users, seine bevorzugte Sprache, sein Betriebssystem. Es installiert weitere Programme, die den User beraten sollen, zum Download und Kauf angeblich sinnvoller Programme.

Zugespammt mit Malware, Popups, erheblich behindert beim surfen im Netz, kommen die User dann u.a. zu uns und bitten um Hilfe....

McAfee-Automatische Web-Sicherheits-Testergebnisse für imediacodec.com

diese Seiten verbreiten u.a. den oh, my God! it´s getting bigger and bigger.
also nicht das, sondern eben nur den filesharer-zlob ! :lol:

da ist ja nur gut, daß hier keiner den IE nutzt, also jedenfalls nicht gewollt und zum surfen...[Blockierte Grafik: http://www.addis-welt.de/smilie/smilie/lachen/24.gif] 
uuups tschuldigung, meinte natürlich, braucht ihr ja auch nicht, regelt die "richtige" Software schon alleine !

und was z.b. ohne diese sinnlose immunisierung passiert:

Bitte um Hilfe bei Winzix-Problem

Zitat

Der Depp:
Ich hatte von einem p2p einen Film mit der Endung .zix geladen. Ich Depp...

und der "Reiniger":
Während der Benutzung hat das Programm außerdem zweimal eine Netzwerkverbindung zu inside.winzix.com aufgebaut.

Ein wirkungsloser nachhause telefonierender Placebo dessen einzige Aufgabe darin besteht, Malware auf dem System zu plazieren.

In Anhang zwei Screenshots aus der Installation. Ich würde sagen: Das kann man nicht übersehen. Und beachten: In diesem Fall kann man das nicht einmal abwählen. Ich wollte es aber übersehen. Folge: Ich habe einen Swizzor auf dem System

so denn auch [Blockierte Grafik: http://img216.imageshack.us/img216/6234/winzix2ams5.th.jpg] andres Installationsbeispiel [Blockierte Grafik: http://img216.imageshack.us/img216/9157/winzix3aji6.th.jpg]
notgedrungen mit Avast, denn mann will ja nicht ohne Virenschutz sein !

bzw. da es mit avira nicht geklappt hätte...(klingelte nur die ganze Zeit)

Zitat

C:\Dokumente und Einstellungen\All Users\Dokumente\WinZix-2.0-setup-0411.exe
[FUND] Enthält Signatur des Droppers DR/FraudTool.WinZix.A.28

C:\Programme\WinZix\minime.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Swizzor.Gen

C:\Programme\WinZix\WinZix.exe
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/FraudTool.WinZix.A.2

C:\Programme\WinZix\WinZixManager.dll
[FUND] Enthält Signatur der Phish-Datei/Email PHISH/FraudTool.WinZix.A

Auswirkung der immunisierung z.b. [Blockierte Grafik: http://img174.imageshack.us/img174/6435/winantivirusfaketv5.th.jpg]

aber eigentlich habt ihr ja Recht, für die Schnelligkeit kann mann schon mal auf sinnlose Sicherheit verzichten !

Zitat von doubletrouble

Die Prävention in allen Ehren - da die Prävention einem Fass ohne Boden gleicht, ist bestenfalls - und das nur mit intensivstem Interesse - ein temporär geeignetes "Level" erreichbar. :roll:

das meinte ich ja auch - das Fass ohne Boden -
nur, das boshafte in mir kommt halt eben immer mal wieder durch...

ob der täglichen HJT-logs...von Monitor-Problemen !
ob des intensivstem Interesses z.B. der anderen "ungeschützten" Mitglieder der Internet-Community...

z.b. der Gelegenheits-e-mail-Opa und seine 100€ Software-Spende...
für den bei esel einkaufenden Neffen...

Oh ! und IceMaster und seine Lösung ist hier auch schon angekommen !
verlinke doch auf deine ganzen avira-posts oder WinFuture oder ?
jedenfalls brauchst du denn nicht immer alles neu schreiben...

huuuiii sogar exklusiv ! (bei richtiger googlung) :lol:
Mhmm..finde ich deine "Lösung" auch, wenn "Festplattencleaner.com" nicht mehr modern ist...
oder ich sogar nach dem richtigen Problem "navipromo" suche ?

aber egal, hauptsache Karl wird gefunden ! (evtl. als inoffizielles navipromo-update noch)
Navipromo. eine durch ein Rootkit versteckte Adware:

Zitat

Wird meistens von den Benutzern mit einer anderen Software installiert, die "frei" zum Download erhältlich ist.
Deshalb wäre es interessant, ob Du dich noch erinnern kannst, was Du vorher installiert hast. Das sollte dann nämlich ebenfalls vom System entfernt werden.

und die Erinnerung an Ursachen...nicht an Symptome !

nun, wenn die o.g. KAV-Kapazitäten empfehlen das abschalten, so wird es wohl kaum andere (bessere) Lösungen geben ? :wink:

wieso der Firefox es meldet ist nach o.g. ja klar...
z.B. der Kaspersky HTTP-scanner sitzt vor dem Browser und scannt und filtert...
also macht sozusagen das, was der Anwender will...

wie gut oder wie schlecht, muss der Anwender eben dann selbst wissen bzw. dann bestimmen...
dafür sind dann u.a. die Benachrichtigungsfeatures der Progis gedacht !

Zitat von dix

mag sein, dass bei jedem der mistbock einen anderen namen hat...

sagte ich ja...aus diesem Grund:

Zitat

...Die Dateinamen werden bei jeder Installation zufällig bestimmt, über die wirst Du also nichts finden...

bliblablubb..ständig ploppt Werbung auf

Zitat von doubletrouble

...Trotz des Löschens durch AVG-Anti-Rootkit waren die Dateien noch vorhanden...

nunja, abgesehen von meiner relativen Unkenntnis ob der Arbeitsweise der AVG-Wunderwaffe...

lässt sich ein AKTIVES Rootkit sicher nicht so ohne weiteres löschen !
daher mein Verweis auf den F-Secure-Umbenenner, als ein ur-Vater der Rootkit-Scanner... :wink:

daher MUSS die Vorgehensweise spezieller Tools bzw. auch des Anwenders sein:
1. Identifikation
2. Löschen/deaktivieren der verantwortlichen Startaufrufe (Reinigung der Registratur)
3. Neustart...bzw. in diesem Ablauf dann unschädlich machen durch Verschieben/Umbenennen, Beenden von Prozessen/Diensten etc.
3a. keinesfalls durch blindes löschen etwa !

die so "gesicherten" Funde sind z.B. bei: http://www.virustotal.com/de
auf die Erkennung zu testen bzw. zur selbigen für die Schutz-Progi´s weiterzuleiten...
z.B. für den in Avira schon integrierten Rootkit-Scanner (bzw. etwas hochscrollen)

weiterer Helfer könnte z.B. Combofix sein, dieses jedoch mit einem ausgeprägten Hang zu MS-default-Einstellungen im System...
von bekannten Desktop- und Startseiten-Änderungen, bis hin zu den weniger bekannten etc.

da ja aber auf solche Weise "gereinigte" Systeme eh´ nie wieder einen vollwertigen Status erreichen werden...
kann mann dann ja in nicht-sicherheitstechnischen Foren um weiteren Rat fragen !
Advanced user sind sich jedenfalls immer einiger, dass eine "Reinigung" heutzutage vollkommen sinnfrei ist...

axo:

Zitat

...AVG-Anti-Rootkit erforderte einen Neustart - lief also nicht im abg. Modus...

zum Rootkit-scanner gehören z.B. auch spezielle Treiber die geladen werden müssen...
diese arbeiten systemnah auf Kernel-Basis, bzw. sollten idealerweise bei stationär installierten AV´s...

Zitat

...die mit avipbb.sys einen eigenen Treiber mitbringt. Der Treiber hilft, vom Kernel möglichst 'systemnahe' Informationen zu bekommen - das ist für eine zuverlässige Rootkit-Suche erforderlich, da im Falle eines aktiven Rootkits den vom (Win32-)API geliefeten Werten nicht mehr vertraut werden kann...

z.B. Diskussion für Interessierte: Programmfehler oder Rootkit ?

Zitat

Typischerweise erfolgen Aufrufe der System-API-Funktionen durch Dienstprogramme entweder über spezielle Datenbereiche (Import/Export-Tabellen), oder mit Hilfe der API-Funktion "GetProcAddress". Da der Programm-Code in DLL-Modulen realisiert ist, kann das Rootkit die Anfragen der Anwendung abfangen und sich so in den Prozeß einschleusen. Der Übeltäter hat damit die Möglichkeit, alle Anwendungen des Benutzers zu kontrollieren.

Die Möglichkeiten der Rootkit's und der Kampf gegen sie sagt z.b. kaspersky...

daher empfehlenswert bei solchen Konsorten und womöglich noch zu tausenden eingesetzt...

Zitat

WICHTIG! Achte darauf, dass bei den Rootkitscans alle Anwendungen - insbesonders Virenwächter - beendet sind und trenne nach Möglichkeit die Netzwerkverbindung (durch Ziehen des Netzwerkkabels, USB-Kabel bzw. Modemkabel vom Rechner) während der Scans! Denke auch dabei an evtl. WLAN-Verbindungen! Schließe alle Fenster, die noch geöffnet sein sollten, vor dem Start des ersten Rootkitscans! Beende alle in der Taskleiste befindlichen Anwendungen! Die Anwendungen der Taskleiste, die sich nicht beenden lassen, sollten zumindest deaktiviert werden!
Warte ca. 10 Sekunden nach Beenden aller Anwendungen, bevor Du den ersten Rootkitscanner startest!
Lass immer nur einen Rootkitscanner nach dem anderen scannen! Nicht mit mehreren Rootkitscannern gleichzeitig scannen!
Mache nichts am PC während der Rootkit-Scans!

und nun das schon immer stationär installierte AV-Progi behindern...
bis hin zur allseits bekannten (Lauf-)-Unfähigkeit ! (Treiber-Konflikten)

Zitat

Während der Startlade- und Kernelphase werden elementar wichtige System-Dateien initialisiert und geladen sowie spezielle Treiber von installierten Anwendungsprogrammen wie eben auch Firewallsystemen. Treiber, die beispielsweise auf Kernel-Ebene also Ring 0 des Systems arbeiten, besitzen einen System-Schutz vor Manipulationen und anderen Beeinträchtigungen und werden aus dem Grund auch Systemtreiber genannt.

Programme - Treiber und Oberflächen

vielleicht auch nochmal in diesem Zusammenhang:

Zitat

Kapitel 3: Nicht-PnP-Treiber Troubleshooting?

Es gibt auch eine ganze Reihe von Treiber und Applikationen, die sich in den Bereich Nicht-PnP-Treiber schreiben.
Dazu gehören nicht signierte Treiber, Imageprogramme, Virenscanner, Personal Firewalls und viele mehr, so daß auch hier Vorsicht oberstes Gebot ist, aber eine großes Spektrum um Fehler zu bereinigen.

Treiberleichen und Programmreste beseitigen -Workaround-
da ja soviel immer auch außerhalb des Sichtbereiches des Monitors passiert...

mal als Beispiel:
Sysinternals Rootkit-Revealer arbeitet (wie z.b. auch die malware) mit zufälligen Prozess-/Dienstnamen...
um so intelligenterweise z.b. einer Erkennung durch aktive Malware zu entgehen !
Dienst wird temporär "installiert": [Blockierte Grafik: http://img91.imageshack.us/img91/2091/rootkitrevealer1da4.th.jpg]

gestarteter Prozess z.b.
 [Blockierte Grafik: http://img91.imageshack.us/img91/8858/rootkitrevealer2fh4.jpg]
beim nächsten Mal:
[Blockierte Grafik: http://img530.imageshack.us/img530/6818/rootkitrevealer2aac2.jpg]

Hijack-log-Eintrag:
O23 - Service: IZOVCNPTP - Sysinternals - xxx.sysinternals.com - D:\DOKUME~1\XXX\LOKALE~1\Temp\IZOVCNPTP.exe

läuft der scan OHNE Komplikationen ab, ist o.g. wieder weg...
gibt es auf diesen malwareverseuchtenZombieTuneup-Schleudern die üblichen Komplikationen...
bleibt eben sowas auch gerne mal teilweise dann bluescreenabsturzmässig erhalten...

aber wie Kaspersky eben sagte:

Zitat

Abschließend möchten wir bemerken, dass der effektivste Schutz im Kampf gegen Rootkits die Prävention ist.

wer diesen Level nicht erreicht, hat eh´ verloren...

dem freien kostenlosen Internet und seinen "Nutzern" und den angeschlossenen Freunden...
zum wohle ! :lol: (kleingeschrieben !)

Zitat von doubletrouble

..Hab nur blöderweise in meiner Überraschung verpennt, einen Screenshot vom Avast-Alarm zu machen.

äähm... :shock: arbeitet avast noch mit screenshots...

rechtsklick icon > AVAST Protokolle > Warnungen
[Blockierte Grafik: http://img100.imageshack.us/img100/1394/avasticonip8.th.jpg] .. [Blockierte Grafik: http://img100.imageshack.us/img100/5695/avastfunde3lp7.th.jpg] z.B. nach HTTP-Warnung EICAR !

Zitat von DerGaggy

Noch jemand einen Tip?!

jo, habe zwar kein "My-eBay", aber (vielleicht auf Druck des Marketings)..

Zitat

Dazu fertigt KIS ein Ersatzzertifikat an, das zum Browser geschickt wird...

Das Originalzertifikat wird als pem-Datei abgelegt in C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Data\. Beispiel: [orig]kaspersky.arvato-systems.de.pem. Dazu fertigt KIS ein Ersatzzertifikat an, das zum Browser geschickt wird, in unserem Beispiel [fake]kaspersky.arvato-systems.de.pem...

nein nein, es war mein Gehirn, das hat gesagt: "installier Dir doch auch mal den Kaspersky"...
[Blockierte Grafik: http://img526.imageshack.us/img526/1693/casperzerti1ac6.th.jpg] ... [Blockierte Grafik: http://img98.imageshack.us/img98/9416/casperzerti1azw8.th.jpg] jedenfalls scheint da etwas dran zu sein ?

und noch Ebay + Zertifikatfehler

also soweit das für mich theoretische Problem
praktisch ist nur, bei "bearbeiten" kommt manchmal keine Bearbeitung zustande...
d.h. wohl, ich muss nochmal mit meinem "Marketing" reden.

Zitat von Road-Runner

Ich denke, dass sich bei Dir irgendwelche Malware eingenistet hat.

weitere Gedankengänge ! :wink:

Zitat

Navipromo is adware running in stealth from the user by using rootkit techniques.

F-Secure Spyware Information Pages: Navipromo
etwas ausführlicher: Adware/NaviPromo in den WIN-Eingeweiden
natürlich uralte Infos von vorgestern, aber da die malware-Autoren DAS Hirn des Internets sind...
somit ihre "Produkte" stündlich anpassen, vllt. doch aktueller als gedacht...

Zitat

..Navipromo dringt über Sicherheitslücken ins System ein. Dabei benötigt das Adware-Muster die „Mithilfe“ des Anwenders: Nur wenn eine Datei, eine schädliche Website oder eine E-Mail geöffnet wird, kann sich die Adware verbreiten..

vor dem Monitor ! Adware trickst Online-Gamer aus

Zitat von doubletrouble

doublekl: Ein Freund erzählte mir gestern vom selben Problem. Wenn's irgendwelche konkreten Erkenntnisse gibt, dann bitte posten!

Klar..Beispiel Problem mit "fp.pc-on-internet_com" 2. Beispiel dort noch verlinkt...

ergo ist z.b. mit F-secure Blacklight nach etwaigen Dateien zu suchen:

Zitat

C:\WINDOWS\Prefetch\MTBHFLRXXD.EXE-2F5D8E4E.pf 49152 bytes
xxx\mtbhflrxxd.exe
xxx\mtbhflrxxd.dat
xxx\mtbhflrxxd_navps.dat
xxx\mtbhflrxxd_nav.dat

wobei o.g. Namen natürlich Schall und Rauch sind und auf die Endungen zu achten ist...

Viel Spass beim "Reinigen"... :wink: (mit den HJT-Boardies)

wer es braucht, kann ich Dir natürlich nicht sagen, aber es gibt sie...