Komme auf normalem Weg nicht mehr in dieses Forum

  • Hallo zusammen,

    daß ich einen Spyware-Trojaner habe, hatte ich schon vermutet, weiß aber erst seit vorgestern, daß es stimmt, er heißt BZub.hv, hab gestern in 2 Posts hier kurz davon berichtet.

    Bislang hat er sich kaum mausig gemacht (ist natürlich ein Keylogger). Heute kam ich nicht mehr hier auf diese Seite, weder durch manuelles Eintippen der URL noch durch Öffnen aus den Lesezeichen, ebenfalls nicht durch die Chronik, dort fehlt sogar die Anzeige meines gestrigen Besuchs hier. (Hab's auch mit Opera probiert, ging gleichfalls nicht.)

    Problem: ich kann den Rechner zur Zeit nicht plattmachen und neuinstallieren, da ich ihn dringend noch für eine Arbeit brauche, die ich erst in Sicherheit haben muß. Wird noch mindestens 2 Wochen dauern. Solange soll aber wenigstens Firefox funktionieren bzw. auch dieses Forum erreichbar sein. Gibt's da irgend eine Stelle im Firefox, in Windows oder in der Registry, wo ich verhindern kann, daß diese Seite blockiert wird bzw. wo ich eine Blockade rückgängig machen kann?

    Gruß, Rosabel


    P.S. Hier noch weitere Einzelheiten, falls jemand Zeit hat, sich die durchzulesen: :)

    Es kommt keine Fehlermeldung, nur stundenlanges Laden, ohne daß die Seite erscheint. Hab von allen möglichen Seiten aus die Links nach hier probiert, ging gleichfalls nicht. Geklappt hat es dann von Google aus, wo ich einen Eintrag aus about:config als Suchwort eingegeben hatte, dadurch in die Firefox-wiki, von dort aus hierher. (Geht morgen aber sicher auch nicht mehr :twisted: - hoffentlich kann ich eine eventuelle Antwort noch lesen.)

    Im Windows Hosts-File steht nichts von Firefox-Forum oder Mozilla, da wird der Zugang wohl nicht geblockt. Wo noch könnte was verstellt sein? Eventuell im Firefox direkt? Hab zwar alle Einträge in about:config angesehen, versteh aber leider nichts davon, weshalb mir natürlich auch nichts auffallen kann.

    Ich benutze immer noch FF 1.0.7 (mit Win XP Sp2). Die hat einfach immer perfekt und tadellos funktioniert. Hatte zwar die neue Version runtergeladen, aber noch nicht installiert, weil mich nach tagelangem Herumlesen in FAQs und der Firefox-wiki über die tausend zu beachtenden Dinge vor einem Update derart verwirrt hat, daß mich der Mut verließ; auch ist da immer nur vom Update von 1.5 auf 2x die Rede; meine antike Version wird gar nicht mehr erwähnt, wahrscheinlich ist das Update noch problematischer, und da ich aktuell an einer Arbeit sitze, mit dem dazugehörigen Termindruck, kann ich keine Risiken eingehen.

    Zur Vorbereitung des Updates hatte ich schon mal Lesezeichen und Profil kopiert, in 3 separate neue Ordner auf dem Desktop (weiß jetzt schon nicht mehr, warum 3). Da das alles vor 6 Wochen war und inzwischen der Trojaner kam, das Update also nicht sehr sinnvoll erschien, ehe der Compi wieder clean ist, hab ich die 3 Ordner vorgestern wieder gelöscht, in der Annahme, die kopierten Einträge seien eh veraltet. Ordner 1 und 2 sind auch weg, aber Ordner 3 wird immer wieder neu erstellt und prangt dann immer wieder auf dem Desktop. Darin befinden sich Unterordner, die nach den Wochentagen benannt sind. Wenn ich den Hauptordner lösche, hat der neu erstellte nur einen Unterordner, den des aktuellen Tages. Darin die Dateien:

    prefs.js
    localstore.rdf
    key3.db
    hostperm.1
    history.dat
    cookies.txt
    bookmarks.html

    mit jeweils dem Datum des Tages. Ist das normal?

    In cookies.txt befindet sich nichts als ein einziges Netscape-Cookie, obwohl ich Cookies auf "nicht annehmen" gesetzt und unter den zugelassenen Ausnahmen Netscape nicht eingetragen habe. Im Firefox selbst wird das Cookie nicht angezeigt. Wenn ich das Netscape-Cookie lösche, ist es bald danach wieder drin, auch wenn ich keine Internetverbindung habe. (Hab deswegen jetzt mal den leeren File auf schreibgeschützt gesetzt, mal sehen, was passiert.)

    In hostperm.1 befindet sich eine "Erlaubnisliste" oder so ähnlich überschrieben, dann eine Liste, die mit 2 Netscape-Einträgen beginnt und sonst nur urls von Internetwerbung enthält, von denen die meisten und noch viel mehr auch im Windows-Hostfile stehen (das ist die Liste von Spybot Search & Destroy). Wozu gibt es eine Erlaubnisliste mit dubiosen Web-Adressen?

    Bin selbst etwas gernervt, daher sorry, wenn sich das jetzt chaotisch anhört. Ich weiß halt nicht, was davon normal ist und was nicht. :)

  • Zitat

    daß ich einen Spyware-Trojaner habe

    HABE? Wie wäre es mal mit einem Anti-Viren-Programm, dass ihn und wahrscheinlich noch mehr entfernt?

    Zitat

    Bislang hat er sich kaum mausig gemacht (ist natürlich ein Keylogger).

    Züchtest du den oder warum bist du noch immer damit online?

    Zitat

    ich kann den Rechner zur Zeit nicht plattmachen und neuinstallieren, da ich ihn dringend noch für eine Arbeit brauche, die ich erst in Sicherheit haben muß

    'n Witz, oder? Sicher deine Daten und installiere die Kiste neu, dauert nicht lange, wenn du dich auf das nötigste beschränkst. Alles andere ist grob fahrlässig und unverantwortlich. Ich weiß nicht was du für eine "Arbeit" zu tun hast, aber so ein Zustand ist NICHT tragbar, ggf. auch nicht für deine Kunden!

    Jede weitere Minute mit Fehlersuche und Rumgepfusche ist Zeitverschwendung und genauso gefährlich. Dass mit deiner Kiste bspw. auch Schaden bei anderen verursacht werden kann sollte dir auch bewusst sein.

    Zitat

    Ich benutze immer noch FF 1.0.7

    In Verbindung mit deiner Einstellung bei der Sache wundert mich der Malwarebestand nicht wirklich...

    Zitat

    Ist das normal?

    Deiner Kiste darf man getrost das Vetrauen entziehen, ob etwas normal ist, spielt keine Rolle mehr. Und nein, normal ist das nicht.

    Zieh jemanden zu Rate, der sich damit auskennt und setz die Kiste neu auf, alles andere ist grob fahrlässig und verantwortungslos.

  • Vielen Dank für Deine Antwort.

    Kunden sind da keine betroffen und das Ding hat keine eigene Verbreitungsroutine. Einen Spyware-Killer hab ich natürlich probiert (das war Kasperski), aber der hat nicht alles wegbekommen, was ja auch eher zu erwarten war. Schon klar, daß außer Neuaufsetzen nichts wirklich sinnvoll ist. Aber allein meine Datensicherung würde tagelang dauern, und leider hab ich niemanden, der mir da mit Rat zur Hand gehen könnte.

    "Verantwortungslos" ist übrigens nicht ganz unlustig angesichts der Tatsache, daß über 90 % aller Computer als spywareinfiziert gelten. Ist Dir klar, daß die meisten Leute nichtmal nach sowas suchen, um sich nicht verrückt zu machen, und völlig zutraulich mit dem Internet Explorer herumfuhrwerken, Norton wird schon aufpassen, und nichtmal ahnen, wo die Sicherheitseinstellungen überhaupt zu finden sind? Ein Typ aus meinem Forum (die anderen haben gleich abgewinkt) hat "zum Spaß" mal den Scanner laufen lassen, den ich dorthin verlinkt hatte. 16 Sorten Viren und Trojaner. Regt ihn aber nicht auf, solange die Kiste funktioniert. Das ist der Normaluser, aber den triffst Du hier im Forum natürlich gar nicht erst an.

    Gruß,

    Rosabel

    P.S. Falls Du mit Entferungsprogrammen Ad-aware oder Spybot oder !avast gemeint haben solltest: die hab ich alle probiert, aber die haben nichtmal was gefunden und logischerweise auch nichts entfernt. Da ich denen nicht mehr traute, hab ich vor ca. 2 Wochen einen HijackThis-Logfile gepostet und bekam die Rückmeldung, mein Comp sei sauber. Ich hab's nicht geglaubt und weitergesucht. UniBlue SpyEraser hat's dann gefunden (war ein Tip vom Trojaner-Board). Soviel noch als Nachtrag zu Deinem "fahrlässig" und "verantwortungslos" und ob ich den Trojaner "züchte".

  • Zitat

    Kunden sind da keine betroffen

    In dem Fall betrifft es ja dann nur dich.

    Zitat

    das Ding hat keine eigene Verbreitungsroutine. Einen Spyware-Killer hab ich natürlich probiert (das war Kasperski), aber der hat nicht alles wegbekommen, was ja auch eher zu erwarten war

    Da widerlegst du dich dann aber selbst. Mag sein, dass dein AV-Programm von Kaspersky einen Keylogger gefunden hat, aber du schreibst selbst, dass das System deswegen noch nicht clean ist. Was gibt dir die Gewissheit, dass dort nicht noch mehr ist? Hast du den Rechner mal mit einer LiveCD wie Knoppix gescannt? Malwarebekämpfung von einem infizierten, laufenden System aus hilft meist nur bei recht dummer Malware.

    Zitat

    Aber allein meine Datensicherung würde tagelang dauern

    Weshalb? Leih dir eine externe Platte, falls du keine hast, und speicher die Daten darauf ab. Das dauert maximal im Stundebereich. Das Zurückspielen mag ebenfalls lange dauern, aber dabei kannst du dich zunächst auf das nötigste beschränken, was du zwingend zum Arbeiten brauchst. Ein XP-System ist in maximal 2 Stunden aufgesetzt.

    Zitat

    daß über 90 % aller Computer als spywareinfiziert gelten

    Quellen für diese Aussage?

    Zitat

    st Dir klar, daß die meisten Leute nichtmal nach sowas suchen, um sich nicht verrückt zu machen

    Das Problem ist eher, dass ihnen das nötige Wissen und Bewusstsein fehlt, ich kenne niemanden, der keinen Virenscanner einsetzt, nur aus Angst, dass dieser dann etwas entdeckt.

    Zitat

    und völlig zutraulich mit dem Internet Explorer herumfuhrwerken

    Hm, ein Fx 1.0.7. ist auch nicht wirklich das Maß an Sicherheit.

    Zitat

    Das ist der Normaluser, aber den triffst Du hier im Forum natürlich gar nicht erst an.

    Oft genug würde ich sagen.

    Zitat

    Soviel noch als Nachtrag zu Deinem "fahrlässig" und "verantwortungslos" und ob ich den Trojaner "züchte".

    Das ist darauf bezogen, dass du damit weiterarbeiten willst. Du machst dich lustig über einen Typ, der sich nicht an einer Infektion störte, aber du handelst ebenso. Wer den Widerspruch findet, darf ihn gern behalten ;)