srchdetect1.predictad.com

    Heute ist mir aufgefallen das Firefox, bei jedem Versuch eine Webseite (auch intranet Seiten), jedes mal eine Verbindung zu srchdetect1.predictad.com aufbauen will.
    Die Adresse ist von einem Isralischem Provider.
    Ein paar andere haben auch davon berichtet, aber das sind sehr wenige.
    Was ich in letzter Zeit "bewusst" installiert habe, war ein Update für Anno1404. Es ist mir aber nicht klar ob hier ein zusammenhang besteht.
    Wenn ich lustig drauf bin werd ich mal mit Wireshark schauen welche Daten übermittelt werden, ist mir aber jetzt zu blöd.
    Kennt noch jemand das Verhalten? oder noch besser... woher kommt es, und was bezweckt es?

    lg
    eXe

    Tatsache. Ich hab über 40 Einträge mit PredictAd gefunden. Darunter auch einen Trojaner der auf eine echt primitive Art gestartet wird:
    cd "C:\WINDOWS\system32"
    rename cracker.txt cracker.exe
    reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v Winsys32sys /t REG_SZ /d "C:\WINDOWS\system32\cracker.exe"

    Eigentlicht echt witzig, ich schütze meinen Rechner mit einem Registry Schutz, hab eine Firewall die Standart Traffic durch nen Virenscanner schickt und auch noch auf Anormalien im Datenstrom untersucht.
    Und so ein Neanderthaler Trojaner kommt durch.

    Danke für den Tip mit Malwarebytes.
    Ich werd die nächsten Tage meinen Rechner cleanen.

    lg
    eXe

    Säubern eines gefährdeten Systems
    http://www.microsoft.com/germany/techne…les/600574.mspx

    Zitat

    Sie können ein gefährdetes System auch nicht säubern, indem Sie einen Virenscanner
    verwenden. Um die Wahrheit zu sagen, einem vollständig kompromittierten System ist
    einfach nicht mehr zu trauen. Auch Virenscanner müssen sich an irgendeinem Punkt
    darauf verlassen können, dass die Rückmeldungen des Systems der Realität entsprechen.
    Und auf die Frage, ob eine bestimmte Datei vorhanden ist, antwortet der Angreifer ggf.
    einfach mit einem Tool, das falsche Tatsachen vorspiegelt.


    Malware - was nun?
    * Daten sichern (Dokumente, Music usw kopieren, Image anlegen oder ... etc)
    * Windows-CD/DVD einlegen, booten
    * mit Windows-CD/DVD Systemlaufwerk formatieren
    * Windows neu installieren
    * alle Windows-Updates installieren
    * sicheren Browser benutzen
    * nur Programme aus sicheren Quellen installieren
    * Sicherheitskonzept überdenken!
    * bei Trojaner zusätzlich alle Passwörter ändern
    * nicht mehr als Admin surfen!

    Zitat von exeption

    ich schütze meinen Rechner mit einem Registry Schutz


    Das glaubst du auch nur. Bei Verwendung eines Admin-Kontos für tägliches Arbeiten ist der HKLM-Zweig der Registry änderbar, mit einem eingeschränkten Konto wäre er es nicht - und das ohne einen Ressourcen-fressenden und schlußendlich insuffizienten weil unzuverlässigen "Schutz". (Nein, ich will gar nicht wissen, wie diese Placebo-Software heißt.)

    exeption erklärte u.A. Folgendes:

    Zitat

    [...]Wenn ich lustig drauf bin, werd(e) ich mal mit Wireshark schauen(,) welche Daten übermittelt werden, ist mir aber jetzt zu blöd.


    Du siehst Dich in der Lage, so eine Datenflussanalyse (über „Wireshark“ oder vielleicht auch über „Snort“) - durch die Übertragung der einzelnen TCP/IP Pakete (Head and Body) - solcher Analyseprogramme weitgehendst interpretieren zu können?

    Respekt - In Germany sind scheinbar schon wieder Schulferien... ;)


    Oliver