Beim Linkanklicken erscheint manchmal ein Pop!!!

    Hallo Bernd,

    kein Krampf! Mit dem Tool von Andreas ist der Trojaner weg, siehe die Auflistung:

    Alles weg!!!

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Im Momento erscheinen sie definitiv net, weil ja Mbam diesen Trojaner offenbar gelöscht hat. Sogar bei GData kennt man dieses Programm und empfiehlt es sogar als zusätzliche Hilfe, weil ja GData "nur" 99,7% Erkennung hat!
    Aber ich lad mir von Gdata nun die Total Protection 2013 Version runter; hatte bisher nur die 2012er.
    Aber - die Pops sind ja auch net alle 5 Sekunden gekommen, sondern nur so ca. 5-10 mal am Tag, also rel. wenig!!!

    Edit: hab die Seite startsear.ch zu Gdata eingeschickt; bin mal gespannt, was die sagen!!!

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Alles sauber!!!!!!!
    Wer weiss Rat??? 0 infizierte Objekte.
    Dann kamen diese Pops womöglich doch net von diesem Trojaner, sondern woanders her!
    Nur, was ist die Quelle??????????????????? :-??:-??:-??

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Hallo Preussenmatt,

    die Frage ist jetzt nicht, ob die Seitenumleitung derzeit beseitigt ist. Viel wichtiger wäre es gewesen, nach dem Full Scan mit mbam nichts zu löschen. Diese Option bietet mbam zwar (du hast sie genutzt), aber de facto lässt sich schädlicher Code auf diese Weise nicht zuverlässig entfernen. - Wie du ja selbst bemerkt hast, kommt der Schädling immer wieder.


    Zitat von Preussenmatt

    wenn ich auf irgendeiner Seite bin und einen Link anklicke, erscheint erstmal folgender Popup:
    h**p://http://www.private-krankenkasse-checken.de


    Das ist kein Popup. Das ist eine veritable Internetseite, die selbst jedoch kein schädliches Potenzial hat. Was aber dahinter steckt, ist ein Redirecting (also eine Umleitung). Team Internet mit Sitz in München stellt diesen Optimierungsservice seinen Kunden zur Verfügung und führt ihn über ParkingCrew aus. Wenn aber der Kunde diesen Service mit unsauberen Methoden modifiziert, kann der Kunde Links beliebig auf seine Site umleiten. Genau das geschieht derzeit auf deinem Rechner.


    Zitat von Preussenmatt

    Ich ahne, worauf es hinausführt: ABP runnerschmeissen und wieder installieren???


    ABP ist daran völlig unschuldig.


    Zitat von Preussenmatt

    Virenmeldung hatte ich auch vor ca. 3 Tagen, habs aber mit GData Total Protection andstandslos in die Quarantäne getan und gelöscht.


    Bitte suche in G-Data die entsprechende Reportmeldung raus (die aktuellste genügt), und poste sie hier.


    Zitat von 2002Andreas

    Es ist zwar nur ein Quickscan statt Vollscan, aber auch der hat schon etwas gefunden. Ob das etwas mit deinem Problem zu tun hat kann ich dir leider nicht sagen.


    Ja, das hat es. - Ich glaube aber nicht, dass diese Browsermanipulation der einzige Schädling ist.


    Zitat von Preussenmatt

    Andreas, würdest Du mir bitte den genauen PFad mitteilen? Vom Log in MBA.
    Versteckte Ordner werden alle angezeigt. Brauch halt nur noch den Pfad.


    Den Pfad benötigst du nicht. Auf der GUI von mbam klickst du auf den Reiter Logdateien. Darauf werden dir alle Logs angezeigt, soweit diese nicht explizit von dir zur Löschung ausgewählt wurden.

    Anschließend klickst du bitte auf den Reiter Quarantäne, und schaust, ob dort Meldungen/Dateien abgelegt sind. Diese bitte abtippen oder per Screenshot dokumentieren und hier posten.


    Zitat von Preussenmatt

    Ich glaub, er is weg.
    [...]
    Erfolgreich gelöscht und in Quarantäne gestellt. Dann die Quarantäne noch durch den G Data Shredder jagen und: gut isses!!!


    So einfach ist es nicht. - Du hast lediglich den Honey Pot erwischt. Du kannst also nicht erwarten, dass der Zauber damit beendet ist.


    Zitat von Bernd.

    "startsear.ch" hat Trojaner-Verhalten


    Das sehe ich sehr ähnlich.


    Zitat von Preussenmatt

    kein Krampf! Mit dem Tool von Andreas ist der Trojaner weg, siehe die Auflistung:
    Alles weg!!!


    Du siehst derzeit lediglich, was du sehen sollst. Nämlich ein augenscheinlich sauberes System. Immerhin wurden die Scans auf einem kompromittierten System ausgeführt. Also musst du zwingend davon ausgehen, dass auch alle Scannergebnisse, die unter aktivem Windows-OS ausgeführt wurden, manipuliert sind.

    Aussagekräftiger und zuverlässiger wäre jetzt nur ein Scan, der z. B. über ein Linux-Derivat (Live System) unter Ausschluss von Windows ausgeführt wird. Damit wäre sichergestellt, dass dieser Windows-Schädling im Linuxbetrieb inaktiv bleibt.


    Zitat von Preussenmatt

    Versteh ich das richtig: wenn ich auf die Seite http://www.trojaner-board.de/105277-startsear-ch-entfernen.html gehe, dann fange ich mir einen Trojaner ein???


    Wer sagt das? - Nicht das ich viel Vertrauen in diese Seite hätte. Aber die Chance, dir etwas einzufangen, ist bei der Kreissparkasse auch nicht geringer als auf einer Schmuddelseite.


    Zitat von Preussenmatt

    weil ja GData "nur" 99,7% Erkennung hat!


    Damit bist du einem weit verbreiteten und zudem gefährlichen Irrtum aufgesessen. Die Erkennungsrate von 99,7 Prozent bezieht sich auf bekannten Schadcode. Auf sonst nichts. Täglich gelangen jedoch im Schnitt 50.000 neue Schädlinge mit neuem/unbekannten Code ins Internet. in etwa 10 Tagen sind das roundabout eine halbe Million, also etwa genau so viele, wie maximal in den Erkennungsdatenbanken der gängigen Virenscanner als Samples für die Erkennung zur Verfügung stehen. Noch schlechter sieht es aus, wenn der Scanner auf eine heuristische Erkennung verzichtet, oder auch wenn die Verhaltenserkennung unausgegoren ist.

    Die Erkennungsrate von 99,7 Prozent ist also nur ein theoretischer Wert, und darf nicht mit einer absoluten Zahl verwechselt werden. Mal ganz davon abgesehen, dass es für GData und jeden anderen Hersteller von Security Software aufgrund des zeitlichen Aufwands völlig unmöglich ist, tagtäglich 50.000 neue Schädlinge zu analysieren und in ihre Virendatenbanken aufzunehmen.

    btw:

    Wie weiter oben von mir beschrieben, macht es jetzt keinen Sinn, weitere Scans mit GData oder mbam zu machen, da alle Löschversuche ins Leere laufen würden.

    Man könnte allenfalls den Status quo analysieren, um zu wissen mit welchem Schädling man es zu tun hat. Daraus könnte man den Infektionsweg ableiten, was wiederum wichtig ist, um eine erneute Infektion erfolgreich verhindern zu können.

    Das ändert aber nichts daran, dass das System kompromittiert ist, und neu aufgesetzt werden muss.

    Wenn du magst, kannst du zu Analysezwecken ein OTL-Log posten (bitte ohne die extras.txt).

    gruß,
    docc

    Hallo Doc,

    hier das Protokoll von Gdata vom 01.06.2012, hat tatsächlich was gefunden:

    Hatt ich scho ganz vergessen, sollte wohl in Rente!!!! :mrgreen:




    ________________________________________________________
    Edit:
    Log gekürzt
    docc

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    @ Preussenmatt

    Ich sehe gerade, dass du Online Banking betreibst. Darauf musst du derzeit (bis zur Neuinstallation des OS) konsequent verzichten. Auch alle übrigen Transaktionen wie Online Shopping sind derzeit über deinen Rechner tabu!! Ebenso solltest du derzeit keine passwortgeschützten Zugänge zu Social Networks wie z.B. Facebook o.ä. nutzen.

    Sicherheitshalber solltest du jetzt unverzüglich alle Kenn- und Passwörter ändern. Dies darf jedoch nicht über diesen Rechner gemacht werden. Das muss über ein sauberes System erfolgen.

    @ Preussenmatt

    Code
    Objekt: (message 1)=>[Subject: INFO: Brig. Gen. David Swisa][Date: Fri, 1 Jun 2012 05:44:33 +0300]=>(MIME part)=>IDF INFO.rar=>IDF INFO‮cod.SCR


    Ich nehme mal an, dass du nichts mit "Brigade General David Swisa" am Hut hast!? - Diese E-Mail vom 1. Juni 2012 war verseucht. Gefunden wurde folgendes: Exploit.RTL-RAR.Gen

    Frühere Analysen dieses Schädlings haben folgendes zu Tage gefördert:

    http://r.virscan.org/80fbf4654cd02c5f67d0aebe3cb71b4d
    https://www.virustotal.com/file/b37f47e6c…3733a/analysis/

    Wie gedenkst du nun mit dieser Situation umzugehen?

    Zitat von Docc

    @ Preussenmatt

    Code
    Objekt: (message 1)=>[Subject: INFO: Brig. Gen. David Swisa][Date: Fri, 1 Jun 2012 05:44:33 +0300]=>(MIME part)=>IDF INFO.rar=>IDF INFO‮cod.SCR


    Ich nehme mal an, dass du nichts mit "Brigade General David Swisa" am Hut hast!? - Diese E-Mail vom 1. Juni 2012 war verseucht. Gefunden wurde folgendes: Exploit.RTL-RAR.Gen

    Frühere Analysen dieses Schädlings haben folgendes zu Tage gefördert:

    http://r.virscan.org/80fbf4654cd02c5f67d0aebe3cb71b4d
    https://www.virustotal.com/file/b37f47e6c…3733a/analysis/

    Wie gedenkst du nun mit dieser Situation umzugehen?

    Jetzt, wo Du das sagst, sag ich: Top, Du hast recht!!!!!!
    Habe den Anhang gespeichert, da er mir suspekt vorkam.
    Dann kamen die beiden Trojaner zum Vorschein, die Du erwähnt hast. Dann hab ich die Email gelöscht. Und nu issi irgendwo im TB Profil. Habe gerade 2 Scans gemacht, mit Gdata, ich schick sofort die Ergebnisse. Bis gleich.

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Zitat von Preussenmatt

    Habe den Anhang gespeichert, da er mir suspekt vorkam.


    Ausnahmslos jede E-Mail, die man nicht konkret einem persönlich bekannten Absender zuordnen kann, muss konsequent ungeöffnet gelöscht werden. - Das ist dein Job. Und diesen Job kann dir keine Security Software abnehmen.

    Ob es sich bei dieser Payload um den Primärschädling handelt, lässt sich aus der Ferne nicht sagen. Das wäre jedoch mit dem oben von mir erwähnten OTL-Log möglich.


    Zitat von Preussenmatt

    Habe gerade 2 Scans gemacht, mit Gdata, ich schick sofort die Ergebnisse. Bis gleich.


    Bitte lies noch einmal, was ich weiter oben ausführlich erklärt habe. Es macht keinerlei Sinn, weitere Scans auf dem kompromittierten System auszuführen. Der Zug ist abgefahren.

    Vielleicht liest du mal ganz in Ruhe, was ich bisher gepostet habe. Ich habe dir auch einige Fragen gestellt, aber darauf kam deinerseits kein Feedback.

    Hier kommt der besagte Trojaner vom Scheiss General:

    Virenprüfung mit G Data TotalProtection 2012
    Version 22.1.0.2 (27.12.2011)
    Virensignaturen vom
    Startzeit: 01.06.2012 11:10:53
    Engine(s): Engine A, Engine B
    Heuristik: Ein
    Archive: Ein
    Systembereiche: Ein
    RootKits prüfen: Ein

    Prüfung der Systembereiche...
    Prüfung aller im Speicher befindlichen Prozesse und Verweise im Autostart...
    Prüfung auf RootKits...
    Prüfung aller lokalen Festplatten...
    Analyse vollständig durchgeführt: 01.06.2012 11:15:44
    155244 Dateien überprüft
    2 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden


    + Archiv: Trash
    Pfad: C:\Users\Preussenmatt\AppData\Roaming\Thunderbird\Profiles\6h492j8l.default\Mail\Local Folders
    Status: Datei in Quarantäne verschoben
    Virus: Exploit.RTL-RAR.Gen (Engine A)

    + Archiv: Inbox
    Pfad: C:\Users\Preussenmatt\AppData\Roaming\Thunderbird\Profiles\6h492j8l.default\Mail\Local Folders
    Status: Datei in Quarantäne verschoben
    Virus: Exploit.RTL-RAR.Gen (Engine A)

    + Der Zugriff auf die folgenden Dateien wurde verweigert:

    + Die folgenden Dateien sind Passwortgeschützt:

    wie komm ich nu an den ran, ohne alle eMails zu löschen???
    HILFE!!!!!!! :-??

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Zitat von Docc

    Vielleicht liest du mal ganz in Ruhe, was ich bisher gepostet habe. Ich habe dir auch einige Fragen gestellt, aber darauf kam deinerseits kein Feedback.

    Weil es eben auch zu viel ist für mich. War noch nie in solcher Situation. Aber ich les es mir durch. Tschuldigung, wollte Dich ja sicher net ärgern. Bin aba scho bisserl durcheinander. Meine Frage: gehts net auch anders als das System neu aufsetzen???

    Kann ich nicht im Profil von TB z.B. den Trojaner löschen?

    Regards,
    Preussenmatt

    FF 112.02 Win 10 pro 64

    It's done!!! :)

    Einmal editiert, zuletzt von Preussenmatt (5. Juni 2012 um 14:27)

    Zitat von Preussenmatt

    Kann ich nicht im Profil von TB den Trojaner löschen?


    Ich habe alles (auch das Wie und Warum) bereits mehrfach erklärt.

    Lies bitte, und melde dich dann noch einmal.

    Zitat von Preussenmatt

    Mach ich, aba noch eine Frage: was kann der böse Trojaner denn anrichten???

    Du musst es nur noch kapieren wollen! Und das lesen, was du in diesem thread vorfindest. Und den Inhalt noch in deiner Murmel verarbeiten.
    Du hast hier mehr oder weniger über 6 lange Seiten beschrieben, was das von dir -und wie ich meine- fahrlässig eingefangene Zeugs bewirkt. Da hilft kein Lamentieren! Setz dein System neu auf. Und es gibt keine andere Möglichkeit!