glut32.dll - Spyware?

#1 Hallo,

ich hab' gestern mal das Programm "SpySweeper" ausprobiert und es hat die Datei "glut32.dll" als

Spyware erkannt. (AdAware u. SpybotSD hatten die bisher nie beanstandet).

Es hieß: "glut32.dll --> Employee Monitoring records web based email, all file attachments and

downloads, all emails including pop3 usernames and passwords, all chat and IM with total logs, also

detects watched words and notifications."

Wie kommen die dadrauf? Im Internet habe ich über "glut32.dll" jedoch nur rausgefunden, dass die für

Sachen mit OpenGL benutzt wird und würde jetzt gerne wissen, ob ihr die ebenfalls als Spyware

einstufen würdet.

Gruß, Boby13

#2 Lass deine Datei mal hier überprüfen:
http://virusscan.jotti.org/
und poste dann das Ergebnis

Wenn keiner der Scanner dort anschlägt, handelt es sich aller Wahrscheinlichkeit nach um einen false postivie, Fehlalarm.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#3 "Found nothing"

Aber wie kann es denn zu so einem "false postivie" kommen?

#4 Scanner reagieren auf bestimmte Codefolgen in Dateien, manchmal sind Scanner jedoch so "scharf" geschaltet, das sie eben auch mal eine harmlose Datei verdächtigen.
Außerdem produzieren manche Hersteller von Antiviren/Spyware-Software manchmal Fehlalarme in Testversionen/Shareware um den Nutzer zum Kauf zu bewegen indem ihnen ein verseuchtes System vorgegaukelt wird.

Wenn du noch auf Nummer sicher gehen willst, das dein Rechner sauber ist erstelle ein HijackThis-Log und lasse es automatisch bei www.hijackthis.de auswerten.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#5 Hallo Malkesh,

HijackThis-Log scheint auch ok zu sein. Also erstmal vielen Dank, besonders für den Link zum online-scan! :-)

Um jetzt nicht extra neuen Thread aufzumachen erlaube ich mir noch eine Frage hier anzuschließen. Im Thread "Browser öffnet sich einfach und ladet eine Seite... und anderes.." beschreibt Mattjunior, dass ihm irgend ein Schadprogramm Einträge in die hosts-Datei gemacht hat. Welchen Sinn macht es aber für so ein Programm, dass dann bestimmte Seiten/Server nicht mehr errreichbar sind?

Vielen Dank im Voraus,
Boby13

#6 Manchmal erfolgt eine Umleitung auf lokal auf dem Rechner abgelegte .html Seiten, die z.B. auch wieder schadhafte Exploits beinhalten.
Oder es wird verhindert das bestimmte Schutz/Warnseiten nicht mehr erreichbar sind. Oder Konkurrenz die man loswerden möchte indem man dafür sorgt, das Leute nicht mehr auf die Seiten kommen ..
Es gibt viele Argumentationsansätze, aber letztendlich beantworten kann es einem wohl nur der Autor der Malware.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#7 Die beiden letzten Punkte sind mir schon einleuchtend. Aber wenn es möglich ist, durch Einträge in die host-Datei eine Umleitung herbeizuführen, habe ich die Funktionweise einer host-Datei bisher irgendwie falsch eingeschätzt.

#8 Ich denke du hast mich nur etwas falsch verstanden.

Zitat

Quelle: hosts-Datei

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

Durch die hosts-Datei ist es also möglich einer Adresse eine IP zuzuweisen. Bei Heimanwendern die keinen Webserver oder ähnliches betreiben, wird in den meisten Fällen nur der berühmte localhost nach 127.0.0.1 verwiesen. Würdest du nun folgenden Eintrag hinzufügen:

81.209.184.215 board.protecus.de

Würdest du beim Aufruf der Adresse des Protecus-Boards automatisch zu der eingetragenen IP verwiesen. Es ist also durchaus möglich nicht nur auf lokale Inhalte zu verweisen. Diese Funktion ist z.B. für DNS- und Webserver essentiell.
In der Praxis sieht dies so aus:
DNS-Server führen Listen in denen zu bestimmten Adressen die jeweilige IP eingetragen ist, gehst du nun mit deinem Rechner ins Netz und rufst eine Seite auf, klopft dein Rechner bei deinem DNS-Server an und frägt ihn nach der zugehörigen IP zu der Adresse. Dadurch landest du dann letzten Endes auf der entsprechenden Seite.

Sind nun in deiner hosts-Datei falsche Einträge wie z.B.

81.255.150.200 board.protecus.de (IP ist von mir jetzt einfach mal frei erfunden)

wäre es möglich dich beim Besuch einer harmlosen Seite wie dem Protecus-Board auf den Server mit der hier von mir erfundenen Ziel IP umzuleiten. Z.B. um dir Malware unterzujubeln oder ähnliches.

Ich hoffe das war etwas verständlicher als meine vorangehende etwas "dahin geklatschte" Erklärung
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#9 >Ich hoffe das war etwas verständlicher als meine vorangehende etwas "dahin geklatschte" Erklärung

Ja danke! Die host-Datei ist also so eine Art Wegweiser, und der Weg muß eben nicht immer auf den eigenen Rechner weisen. Ich hab' auch gleich mal versucht zum Spaß was umzuleiten aber das Ergebnis war dann nur die Anzeige im Browser "error 400: Bad Request". Na ja, egal.

#10 Hallo@Boby13

Please download DllCompare from here
http://www.atribune.org/downloads/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten

silentrunners
http://www.silentrunners.org/sr_download.html
gehe auf:
Zitat:
Click here to download a zip file.
hier die Erklaerung:
http://www.silentrunners.org/sr_scriptuse.html
klicke: output file is in text format. --> Doppelklick und es oeffnet sich der Editor-->
und poste alles, was angezeigt wird.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,
ich hatte den Fall "glut32.dll" ja eigentlich schon als Fehlalarm und somit abgeschlossen betrachtet, habe aber trotzdem nochmal deine beiden Anordnungen befolgt. ;-)

Dein erster Link führte mich zwar nicht zu DLLCompare sondern zu:
h*tp://landings.overtureparking.com und
h*tp://enom.overtureparking.com
(hab' ich etwa schon wieder einen Hijacker? ;-)
...aber bei den folgenden beiden Aderessen gab's die DllCompare.exe dann doch:
1) http://www.downloads.subratam.org/DllCompare.exe
2) http://www.greyknight17.com/spy/DllCompare.exe

Ergebnis: O^E says: "There were no files found "

Das SilentRunners-VBScript hat mir auch nichts Ungewöhnliches angezeigt.

(Ein bisschen merkwürdig fand ich da nur, dass innerhalb des Skripts die URL "http://tinyurl.com" auftauchte, was ja eine Adresse ist, mithilfe derer man seine eigene URL verschleiern kann. Kann schon sein, dass ich, je länger ich mich mit Viren, Würmern, Trojanern, Hijackern, Keyloggern usw. beschäftigt, allmählich etwas paranoid oder übervorsichtig bin. *g* Aber immerhin habe ich auch schon irgendwo eine ganze Liste von angeblichen Anti-Programmen gesehen, die dann letzlich selbst nur als Malware erkannt wurden. Ich probiere zwar hin und wieder mal ein paar davon aus, doch hinterher spiele ich dann sicherheitshalber immer mein "Original-Image" ohne Anti-Programme wieder drauf.)

Ok, trotzdem jedenfalls vielen Dank für deine Mühe und Geduld, die man hier im Forum ja immer wieder beobachten kann. :-)

Boby13