Irrsinniger Hijackangriff

[TomM]

Nun isses passiert, mußte ja mal kommen

gestern Abend, ich düse durchs Internetz, plötzlich geht ein Popupfenster auf - nix weltbewegendes drinnen - und der Rechner wurschtelt wie irre.

Resultat, ein Hijacker allerfeinster Art, der wollte doch glatt gleich ne Antispyware verkaufen (39,95$).

Also alles gesäubert, jede Datei raus die neuer als vor dem Surfen war. Registry automatisch und danach noch mal manuell gesäubert (4 Stunden Arbeit). Neustart - noch mal alle Run und RunOnce gecheckt und geleert - wieder Neustart - alle angesprochenen Dateien die unbekannt waren gelöscht. eigentlich müsste das System nun sauber sein. Noch mal Neustart, nix läd sich .. ich war froh. Netz dran, Browser aufrufen - patsch, da war er wieder.

Hat mich nun insgesamt 20 Stunden gekostet und am Ende ein zerschossenes System - Neuinstallation, weil Image nicht brauchbar

Wer macht so blöde Versuche, die so offensichtlich sind, dass keiner mehr drauf reinfällt?

Zuhause hab ich einen Spion gefangen, der so doof war alle 90s den Versuch der Interneteinwahl zu starten - wer das net merk, merkt gar nix mehr - die Purschen werden immer dreister - mußte ich jetzt mal loswerden

Kompletter Arbeitstach am Ar*ch - Mist elendiger. Die packen es noch dass es in Firmen stricktes Internetverbot geben wird - ich überlegs mir bei uns - trotz Firewall.


_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[SENSITY]

Ich habe in letzter Zeit immer "tolle" *piep* (grauslich! bin Ästeht!), die plötzlich aufploppen ... Russian Girls, die voll nackig über meine Firewall klettern und (schiache) Frauen, die an allem lutschen, was irgendwie wegsteht.

Sogar, wenn ich mit Acronis das Laufwerk C: frisch zurückgesichert habe.

Internet ist ein Sündenpfuhl! Pfui Deubel!

Heute habe ich einem Bekannten einen neuen Notebook installiert ... zum Schluss kam Internet an die Reihe ... keine zwei Minuten fertig, wollten schon S*E*X*Y*G*I*R*L*S mich strammen Boy zu unsittlichen Handlungen verführen ... na, denen habe ich schnell den Nachrichtendienst entzogen ...
_________________
Das Internet ist die offene Form der geschlossenen Anstalt.

[HolgerS]

Ich nehme an, Tom hat´s verstanden ?

News are bad ....
_________________
Ach, macht doch was ihr wollt ..... aber machts wenigstens gut ......

[DV User]

Tom,

war das jetzt bei Dir zu Hause oder in der Firma? So ganz schlau werde ich aus Deinem Posting nämlich nicht.

[TomM]

Das war mit dem Hijacker in der Firma und mit dem Spion zuhause.

Leider arbeite ich sowohl hier als auch dort.

Popupblocker waren in beiden Fällen aktiv. Aber ich wurde auch mit Netsky in allen Variationen überhäuft - an einem Tag 512 verseuchte Mail - sieht fas nach einem beabsichtigten Angriff aus ... dabei bin ich nicht so wichtig, könnte mir aber vorstellen wo es herkommt.

Der Hijacker hat im Hintergrund eine dll installiert, und die hat sich ganz offensichtlich vermehrt, da wurden exe draus, neue dll und was noch alles.

Das tollste ist ein Bitmap Namens Seifenlase.bmp, das hat sich in Windows Verzeichnis geklemmt und ist eine ausführbare Datei - hab die Parameter vergessen. Das Biest liegt so friedlich da im Verzeichnis wie alle anderen Wallpapers aaarrrrg :walbash:

Außerdem hocke ich hinter einer recht dichten Firewall - sowohl hier als auch zuhause. hier sind die Rechner getrennt, zuhause leider nicht

Wenigstens hab ich dadurch zuhause sofort die Aktivität gesehen,die vom Spion.

Der Hijacker hier im Büro - so was hab ich noch nicht erlebt, der hat installiert wie der Teufel - klaro Nackedei's warn auch dabei. Aber das meiste waren einfach offers von allerlei, dem obligatorischen Calaris, *biep*, Schwanzvergrößerung - aber auch ne Menge Software, Antispy, Virenkiller bis hin zu Badehosen, T-Shirt's und was noch all. Da hat einer wie irre klicks gesammelt, Punkte halt für cash.

Nur, so dreist muß erst mal einer sein

Na ja, hier läuft es nun wieder - morgen gleich ein Image ziehen - keine Angst, die erste Sicherung liegt schon da - dann schaun wir weiter.

Übrigens das größte ist, die haben beide, der Spion und der Hijacker, sämtliche Wiederherstellungspunkte gelöscht - net schlecht, Herr Specht.
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[meisterjakob]

Es gibt dafür meines Wissens zwei gute kostenlose Tools
-Hijackthis gibts bei chip.de
und das Programm Flashswitch, womit man zwar keine Popups blocken kann, aber die blöden flash Animationen an und ausschalten kann!
Ist für manche Websites ratsam!

Vielleicht konnte ich helfen

[Tsunami]

Wie war denn die url der Seite?
Hast du ein Image von der verseuchten Partition gezogen?

[TomM]

URL weiß ich nimmer, hatte was mit Software zu tun Ich war/bin auf der Such nach einem Proggi das ein Image von einem ROM eines PPC ziehen kann - nun brauch ich aber das ganze Image (Yakumo, Mitak, Medion der Typ mit 200Mhz Xscale Prozzi, IR, tralala).

Das Biest (Hijacker) hat derart genervt, dass ich ihn beseitigen wollte und kein Image gemacht habe.

Beim Spion war es entweder die gleiche Ursache oder das Tierchen kam über E-Mail - keine Ahnung. Den hab ich auf jeden Fall gepackt - na gut, der war auch doof und hat seine Aufgabe im Klartext in die Registry geschrieben .

Das eigentliche Problem, die tarnen sich alle erst mal so als seien sie eine Windoof Datei - das merkst Du nicht und dann geht's los, Berge von Dateien entstehen, die alle alternativ in der Registry als Run oder RunOnce eingetragen werden - die wirst nimmer los weil sich hinter jeder harmlos dreinschauenden Datei im Windows oder System32 Verzeichnis so ein Tierchen verstecken kann.

Das ging gestern im Büro soweit, dass ich irgend eine Windoof Datei erwischt habe und damit das System so ruiniert habe, dass nix mehr ging - außer starten und per Tastastur rumfummeln. Keine Installation ließ sich mehr machen, gar nix, nur noch plätten und neu.

Na gut nun hab ich ein sauberes System und wundere mich wie schnell das ist . Wer weiß was da so alles im Hintergrund brummte.
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[Tsunami]

[TomM]

Also, das war er und hier ist er beschrieben:

http://www.spiegel.de/netzwelt/technologie/0,1518,315883,00.html

Mistding elendiges.
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[RHO]

Erlebe in den letzten Monaten Ähnliches wie TomM.
Ich habe seit Mai mehr Viren, Trojaner und ähnlichen Mist auf meinen PCs gehabt, als in den vier Jahren zuvor. Und das obwohl die Kisten mit mehr Sicherheitskram aufgerüstet sind als jemals zuvor: Firewall, Antivirusprogramm, Adaware und Spybot und Trojanremover. Viele Viren und Trojaner fangen und entfernen die Programme, allerdings häufig erst nach einiger Zeit (Wochen?), nämlich wenn die Herstellerfirma das jeweilige Ding entdeckt und eine Methode zur Entfernung entwickelt hat. Am Sonntag habe ich nach 14 Tagen Urlaub die Kiste eingeschaltet. Das Antivirusprogramm hat sich automatisch aufdatiert und mal eben einen TROJ_AGENT.BF gefunden und entfernt. Weiss der Teufel, wie lange der dort wohlmöglich schon sein Unwesen getrieben hat. Oft erkennt die Software die Dinger, kann sie aber nicht entfernen. Dann gibt es bei den Antivirus-Firmen kryptische Anleitungen zum Selbstentfernen, die erinnern eher Anweisungen für schwarze Messen.
Homebanking und son neumodischen Kroam gibts bei mir nich! Ich geh lieber in die Bank, schon der hübschen Dame am Schalter wegen

Gruss, RHO

[Tsunami]

Ich habe gestern mal meinen McAfee Antivirus testweise deinstalliert, um den neuen Kaspersky Antivirus 5.0 zu testen und siehe da, der findet doch tatsächlich 22 (!) Trojaner bei mir. Zum glück war keiner von denen aktiv, sondern befanden sich in ehemals runtergeladenen Archiven.
Da kann McAfee wohl einpacken bei dieser miesen Erkennenungsleistung.
Außerdem verbraucht der Kaspersky weniger RAM und ist meiner Meinung nach schneller.
Mich wundert nur, das er beim Hochfahren des Computers kein Symbol iim Systray anzeigt, aber trotzdem aktiv ist. Man kann ihn manuell laden, um das Symbol angezeigt zu bekommen, aber vielleicht bediene ich ihn auch nur falsch.

[RHO]

Antivirusprogramme sind nicht unbedingt bedienerfreundlich.
Ich hab auf einem PC "Antivir", da hab ich mir die Anleitung 3 mal durchgelesen um das Ding automatisch beim Hochfahren zu aktivieren. Habs aber - obwohl auf Deutsch - noch nicht einmal verstanden
Auf dem anderen PC ist es Office Scan von Trend Micro. Der erzählt mir regelmässig, dass er einen Trojaner gefunden hätte, den aber nicht entfernen konnte. Im LOG steht aber, dass das Ding entfernt sei, was dann auch der Fall ist.
Gruss, RHO

[Tsunami]

Mittlerweile gibt es sogar Dialer, die die gesetzlich vorgeschriebene Bestätigung "OK" selber eintippen und dadurch keine Benutzereingaben mehr erfordern :
http://www.pcwelt.de/news/sicherheit/102821/index.html

[TomM]

Ja ja, das gibt es. Allerdings ist das Hijacking wohl im Moment besonders aktiv - anscheinend über die Trojaner, die dann irgendwann unbemerkt zuschlagen.

Wenn sich dann Searchbar (ganz üble Seite, die sich gerne einklinkt) achselzuckend verabschiedet - was willste da machen.

Das Problem ist, die Purschen kriegst in Europa nicht zu fassen - war für mich ein ganz schöner Schaden - zeitlich und auch Mails kamen nicht an weil ich sie in der Flut wahrscheinlich mitgelöscht habe.

Nun bewege ich mich auf "Fußspitzen" durchs Netz um ja alles mitzukriegen - mal sehen wie lange es anhält. Ist einfach Bullshit, wenn Du ne komerziele Website betreibst (egal wie häßlich) und damit Mail Addy's bekannt und scanbar werden.
_________________
so long -> Tom

Wissen ist Macht - macht nichts
(Heinz Erhardt)

[Tsunami]

Das Problem mit dem nicht im Systray auftauchenden Kaspersky-Symbol hat sich geklärt.
Ich hatte bei der Installation dem Ordner für den Lizenz-Key
einen anderen Namen verpasst, so das es zwei Ordner gab,
einen für das eigentliche Programm und einen für den Key und die Dokumentation.
Eine weitere Nebenwirkung war, das bei jedem Neustart der Ordner c:\Programme\Kaspersky
auf dem Desktop angezeigt wurde.
Nachdem ich den Key in den "Kaspersky Lab"-Ordner kopiert hatte,
im Programm selber den "neuen" alten Schlüssel angemeldet hatte
und den alten Ordner "Kaspersky" gelöscht hatte,
wurde der Ordner bei einem Neustart nicht mehr angezeigt
und im System-Tray hatte ich das Kaspersky-Symbol.

[RHO]

Sag ich doch: saukompliziert diese Antivirusprogramme, nix für normale Menschen

Gruss, RHO

[Tsunami]