Komme auf normalem Weg nicht mehr in dieses Forum

Hallo zusammen,

daß ich einen Spyware-Trojaner habe, hatte ich schon vermutet, weiß aber erst seit vorgestern, daß es stimmt, er heißt BZub.hv, hab gestern in 2 Posts hier kurz davon berichtet.

Bislang hat er sich kaum mausig gemacht (ist natürlich ein Keylogger). Heute kam ich nicht mehr hier auf diese Seite, weder durch manuelles Eintippen der URL noch durch Öffnen aus den Lesezeichen, ebenfalls nicht durch die Chronik, dort fehlt sogar die Anzeige meines gestrigen Besuchs hier. (Hab's auch mit Opera probiert, ging gleichfalls nicht.)

Problem: ich kann den Rechner zur Zeit nicht plattmachen und neuinstallieren, da ich ihn dringend noch für eine Arbeit brauche, die ich erst in Sicherheit haben muß. Wird noch mindestens 2 Wochen dauern. Solange soll aber wenigstens Firefox funktionieren bzw. auch dieses Forum erreichbar sein. Gibt's da irgend eine Stelle im Firefox, in Windows oder in der Registry, wo ich verhindern kann, daß diese Seite blockiert wird bzw. wo ich eine Blockade rückgängig machen kann?

Gruß, Rosabel

P.S. Hier noch weitere Einzelheiten, falls jemand Zeit hat, sich die durchzulesen:

Es kommt keine Fehlermeldung, nur stundenlanges Laden, ohne daß die Seite erscheint. Hab von allen möglichen Seiten aus die Links nach hier probiert, ging gleichfalls nicht. Geklappt hat es dann von Google aus, wo ich einen Eintrag aus about:config als Suchwort eingegeben hatte, dadurch in die Firefox-wiki, von dort aus hierher. (Geht morgen aber sicher auch nicht mehr :twisted: - hoffentlich kann ich eine eventuelle Antwort noch lesen.)

Im Windows Hosts-File steht nichts von Firefox-Forum oder Mozilla, da wird der Zugang wohl nicht geblockt. Wo noch könnte was verstellt sein? Eventuell im Firefox direkt? Hab zwar alle Einträge in about:config angesehen, versteh aber leider nichts davon, weshalb mir natürlich auch nichts auffallen kann.

Ich benutze immer noch FF 1.0.7 (mit Win XP Sp2). Die hat einfach immer perfekt und tadellos funktioniert. Hatte zwar die neue Version runtergeladen, aber noch nicht installiert, weil mich nach tagelangem Herumlesen in FAQs und der Firefox-wiki über die tausend zu beachtenden Dinge vor einem Update derart verwirrt hat, daß mich der Mut verließ; auch ist da immer nur vom Update von 1.5 auf 2x die Rede; meine antike Version wird gar nicht mehr erwähnt, wahrscheinlich ist das Update noch problematischer, und da ich aktuell an einer Arbeit sitze, mit dem dazugehörigen Termindruck, kann ich keine Risiken eingehen.

Zur Vorbereitung des Updates hatte ich schon mal Lesezeichen und Profil kopiert, in 3 separate neue Ordner auf dem Desktop (weiß jetzt schon nicht mehr, warum 3). Da das alles vor 6 Wochen war und inzwischen der Trojaner kam, das Update also nicht sehr sinnvoll erschien, ehe der Compi wieder clean ist, hab ich die 3 Ordner vorgestern wieder gelöscht, in der Annahme, die kopierten Einträge seien eh veraltet. Ordner 1 und 2 sind auch weg, aber Ordner 3 wird immer wieder neu erstellt und prangt dann immer wieder auf dem Desktop. Darin befinden sich Unterordner, die nach den Wochentagen benannt sind. Wenn ich den Hauptordner lösche, hat der neu erstellte nur einen Unterordner, den des aktuellen Tages. Darin die Dateien:

prefs.js
localstore.rdf
key3.db
hostperm.1
history.dat
cookies.txt
bookmarks.html

mit jeweils dem Datum des Tages. Ist das normal?

In cookies.txt befindet sich nichts als ein einziges Netscape-Cookie, obwohl ich Cookies auf "nicht annehmen" gesetzt und unter den zugelassenen Ausnahmen Netscape nicht eingetragen habe. Im Firefox selbst wird das Cookie nicht angezeigt. Wenn ich das Netscape-Cookie lösche, ist es bald danach wieder drin, auch wenn ich keine Internetverbindung habe. (Hab deswegen jetzt mal den leeren File auf schreibgeschützt gesetzt, mal sehen, was passiert.)

In hostperm.1 befindet sich eine "Erlaubnisliste" oder so ähnlich überschrieben, dann eine Liste, die mit 2 Netscape-Einträgen beginnt und sonst nur urls von Internetwerbung enthält, von denen die meisten und noch viel mehr auch im Windows-Hostfile stehen (das ist die Liste von Spybot Search & Destroy). Wozu gibt es eine Erlaubnisliste mit dubiosen Web-Adressen?

Bin selbst etwas gernervt, daher sorry, wenn sich das jetzt chaotisch anhört. Ich weiß halt nicht, was davon normal ist und was nicht.

Vielen Dank für Deine Antwort.

Kunden sind da keine betroffen und das Ding hat keine eigene Verbreitungsroutine. Einen Spyware-Killer hab ich natürlich probiert (das war Kasperski), aber der hat nicht alles wegbekommen, was ja auch eher zu erwarten war. Schon klar, daß außer Neuaufsetzen nichts wirklich sinnvoll ist. Aber allein meine Datensicherung würde tagelang dauern, und leider hab ich niemanden, der mir da mit Rat zur Hand gehen könnte.

"Verantwortungslos" ist übrigens nicht ganz unlustig angesichts der Tatsache, daß über 90 % aller Computer als spywareinfiziert gelten. Ist Dir klar, daß die meisten Leute nichtmal nach sowas suchen, um sich nicht verrückt zu machen, und völlig zutraulich mit dem Internet Explorer herumfuhrwerken, Norton wird schon aufpassen, und nichtmal ahnen, wo die Sicherheitseinstellungen überhaupt zu finden sind? Ein Typ aus meinem Forum (die anderen haben gleich abgewinkt) hat "zum Spaß" mal den Scanner laufen lassen, den ich dorthin verlinkt hatte. 16 Sorten Viren und Trojaner. Regt ihn aber nicht auf, solange die Kiste funktioniert. Das ist der Normaluser, aber den triffst Du hier im Forum natürlich gar nicht erst an.

Gruß,

Rosabel

P.S. Falls Du mit Entferungsprogrammen Ad-aware oder Spybot oder !avast gemeint haben solltest: die hab ich alle probiert, aber die haben nichtmal was gefunden und logischerweise auch nichts entfernt. Da ich denen nicht mehr traute, hab ich vor ca. 2 Wochen einen HijackThis-Logfile gepostet und bekam die Rückmeldung, mein Comp sei sauber. Ich hab's nicht geglaubt und weitergesucht. UniBlue SpyEraser hat's dann gefunden (war ein Tip vom Trojaner-Board). Soviel noch als Nachtrag zu Deinem "fahrlässig" und "verantwortungslos" und ob ich den Trojaner "züchte".