merkwürdiges bei CD einlegen/Trojaner???

#1 Hallo zusammen,

ich habe von einem Freund eine CD mit Unterlagen zu Vorlesungen der Uni bekommen. Jedesmal wenn ich diese CD ins Laufwerk lege, geht ein Fenster auf mit dem Hinweis "Schutz-Internetseite" und es scheint eine Übertragung statt zufinden ???!!

Ich denke, dass es ein Trojaner ist ??? Scannen mit Spyboot hat allerdings "nur" 4 "verfolgende Cookies" ergeben ??? Die Firewall meldet keinen outgoing Traffic !??

2 Fragen hierzu
- Was sind verfolgende Cookies ???
- Um was könnte es sich bei dabei (beim aufgehenden Fenster) handeln ???

Vielen Dank für die Antworten bereits vorab und einen schönen Abend noch !!!

#2 Hallo,

Zitat

- Was sind verfolgende Cookies ???

http://home.t-online.de/home/TschiTschi/cookies.htm

Zitat

Schutz-Internetseite- Um was könnte es sich bei dabei (beim aufgehenden Fenster) handeln ???

Ich ahne böses. Hast du die CD mittels aktualisierten Virenscanner überprüft?

Erstelle bitte mit HiJackThis ein Log-File und poste es hier rein.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 Hallo,

ich habe den Virenscanner mit der aktuellen Virendatei drüberlaufen lassen. Er findet nichts !!! Anbei meine Log-Files, bin gespannt was du findest....

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\DELLMMKB.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\SECRETMAKER\secretmaker.exe
C:\Programme\Corel\Graphics9\Register\Remind32.exe
C:\Programme\UltimateZip\uzqkst.exe
C:\WINDOWS\Nhksrv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Netropa\OSD.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\ULTIMA~1\uzip.exe
C:\DOKUME~1\STEPHA~1\LOKALE~1\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\PROGRA~1\SECRET~1\smiehlp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2952456363d9309d0e21/netzip/RdxIE601_de.cab

#4

Zitat

geht ein Fenster auf mit dem Hinweis "Schutz-Internetseite"

Welche Art von Fenster ? ein Browserfenster, oder ein Windows-Nachrichten-Fenster ? Oder... ?

Zitat

und es scheint eine Übertragung statt zufinden

Was lässt Dich das vermuten, wodurch ist das ersichtlich ?

Was ist in der autorun.inf auf der CD eingetragen (sofern auf der CD vorhanden)?
Das Log scheint soweit sauber zu sein.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 - Welche Art von Fenster
Ein Windows Fenster (wie z.B. beim Kopieren von Dateien von einem Verzeichnis in ein anderes) geht für vielleicht eine Sekunde mit der Bezeichnung "Schutz Internetseite" auf

- Übertragung
Wie beim Fenster, das beim Kopieren von Dateien aufgeht, wanderen hier auch "kleinere Balken" von links nach rechts, daher dachte ich an eine Datenübertragung

- Autorun.inf
Auf der CD nicht vorhanden !

#6 Hi@ironman

#Stell mal den Nachrichtendienst unter<Dienste< ab
#und scanne mit eScan im abgesicherten Modus.(deaktiviere solange deinen Virenscanner)

#lade < erstelle vorher eine C:\ base und entpacke dort den Scanner
http://www.mwti.net/antivirus/free_utilities.asp
suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%

Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm

#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
#Dann berichte.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina !

Ich wollte vorher noch folgende Beobachtung loswerden:

Hatte oben bereits erwähnt, dass Spyboot "verfolgende Cookies" gefunden und gelöscht hat. Ich habe jetzt zunächst mit Spyboot nochmal alles entfernen lassen und dann die CD eingelegt.

- Das Fenster ging beim erstmaligen Einlegen erneut auf. Ich habe nichts mit Spybooot unternommen und beim zweitenmal CD einlegen tat sich dann nichts mehr (=Fenscter ging nicht mehr auf).

- Nachdem ich die verfolgenden Cookies Avenue A, Inc (atdmt.com) bzw Media Plex (mediaplex.com) erneut gelöscht habe und die CD wiedereingelegt habe, hat sich das Fenster erneut geöffnet und exakt die beiden Cookies wurden wieder gefunden (ich war nicht im Internet)!!!

1. Kannst du hiermit etwas anfangen ?
2. Was ist den e-scan?

#8 Hallo @ironman
<escan< ist eine abgespeckte Virenscaner -Version...sehr effektiv.(und kompativel mit anderen Virenscannern)
Die tracking cookie sind wahrscheinlich auf der CD mit drauf.
Du kannst dich ja mal erkundigen, woher der Inhalt der CD kommt (aus dem Net ?)

http://www.pestpatrol.com/PestInfo/a/avenuea_com.asp
Opt-Out Option: On iballs.com, the opt-out cookie link redirects to Avenue A. An opt-out cookie that covers both Avenue A and iballs.com cookies is available at <www.avenuea.com/info/optout.asp<.

Sacanne noch mal zusaetzlich zum Spybot mit AdAware (free)
http://www.lavasoft.de/support/download/
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Sabina,

ich habe mit escan im abgesicherten Modus gescannt. Dabei ist folgendes gefunden worden:

c:\winhel.chm infected by "Trojan.Win32Dialer.ce" virus. Action Taken: File Deleted

Muss ich jetzt noch was (bei mir) machen ???

#10 Nun, aendere alle wichtigen Passworte, deaktiviere die Wiederherstellung und aktiviere sie wieder.
#Tritt das Prob. bei der CD noch auf ?
Es kann sein, dass der Trojaner von dort kommt....)
in dem Fall scanne nach der Anwendung der CD noch mal mit mwav.exe und dann verwende die CD nicht mehr.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

bevor ich auf deine heutige Nachricht zurückkomme, habe ich noch Fragen, die sich gerade ergeben haben. Habe gerade mit escan nochmal im Normalbetrieb gescannt. Dabei gab es folgende Ergebnisse:

- Es wurde 12 Einträge angezeigt, davon "nur" 2 als "Trojan Downloader Win32.Stubby.b" Virus, der problemlos entfernt wurde.

1. Der Trojaner war u.a. auch im Bereich \System Volume Information\_restore...... Was bedeutet das ??? (Der andere Eintrag war direkt ein Programm)

2. Die weiteren Einträge waren als "not a virus" gekennzeichnet
z.B. ....bafoeg.exe (ein offzieler Bafoeg-Rechner) tagged as not a virus: Tool.Win32.Reboot No action taken --> Warum meldet sich der Scanner hier, wenn es "not a virus" ist ? Er hat auch Ad-Aware Einträge muniert ???

--> Zu Adaware
Ich hatte früher einmal eine Einstellung gewählt, mit der Ad-Aware mehr gefunden hat. Habe diese Einstellungen aber leider nicht gespeichert ! Kannst du mir dazu was empfehlen ???

Außerdem stelle ich mir gerade die Frage welches Anti-Spy Programm brauche ich denn jetzt "wirklich" und welches (Viren) Programm verträgt sich nicht mit wem ???

Sorry für die vielen Fragen ;-)

#12 Naja, man kann das Tool ja auch missbrauchen. Wenn nach dem Programmstart gleich der Rechner heruntergefahren wird, waere es laesstig, wenn jemand aus Jux das bei dir im Autostart setzt!
__________
MfG Ralf
SEO-Spam Hunter

#13 @ironman
1. Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
damit verschwinden die <\System Volume Information\_restore< Eintraege
(die Erklaerung ddazu findest du auf der Site)

2. Tool.Win32.Reboot bedeutet, es ist alte Software
(Koennte ja verseucht sein, deshalb erfasst die Heuristik vom eScan das auch.

3.Wenn adAware frueher mehr gefunden hat, dann war deinPC mehr verseucht.
Ich denke, wenn das Tool nichts mehr findet, solltest du nicht ueber die Einstellungen nachgruebeln, sondern happy sein

4. Ein guter aktualisierter Antivirus, eventuell eine Firewall, AdAware und der Firefox als Alternativbrowser reichen meiner Meinung aus, um einigermassen sicher und vernuenftig im Net zu surfen.(die absolute Sicherheit gibt es nicht...wie deine CD ja auch bewiesen hat....)
5. Man sollte unter <Internetoptionen< einstellen, dass die TemporaryInternetfiles nach Booten geloescht werden.
Oder man macht es manuell (auch unter Internetoptionen)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabina,

ohne die Wiederherstellung zu deaktivieren und dann wieder zu aktivieren, kann ich jetzt keinen Trojaner mehr feststellen. Habe dabei auch wieder im abgesicherten Modus gescannt. Keine Vorkomnisse !

Habe die besagte CD wieder eingelegt und diesmal geht seltsamerweise kein Fenster mehr auf (dies geschah immer - wie oben erwähnt -, wenn ich die besagten Cookies gelöscht habe, aber selbst die sind weg ???!!!!). Die Daten der CD habe ich auf meine Festplatte kopiert.

Auch habe ich CDs, die ich gebrannt habe daraufhin nochmal eingelegt (dachte der Trojaner könnte vielleicht "überspringen").

Aber auch da kein Ergebnis !

Gruß
Ironman

#15 Hallo @ironman
Du kannst die Wiederherstellung wieder aktivieren.

Grund des Problems scheint der Trojan-Dialer gewesen zu sein.
Trojan.Win32Dialer.ce.\Wo du dir den eingefangen hast...steht in den Sternen
Bedenke, dass du nun alle wichtigen Passworte (falls du solche hast) aendern musst.

Mache mal alle 3 Tests:
PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit