Malware? - You've got a postcard from a friend

Hallo Anna,
du solltest davon ausgehen, dass die Mail mit einer Schadsoftware zusammenhängt, vermutlich mit dieser
http://www.pcwelt.de/start/sicherheit/virenticker/news/86184/
Diese Malware gehört zur Familie Stration/Warezov.

Vorsorglich scanne bitte deinen PC mit dem Antivirustool "Dr.WEB Cureit".
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und beginne den  vollständigen Scan. Poste bitte auf jeden Fall den ausführlichen Scanreport von Cureit hier !

 Die Aktion sollte am besten im abgesicherten Modus von Windows erfolgen und achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man dazu eine Anleitung zum abgesicherten Modus.

Boote den PC neu und erstelle dann ein HijackThis-Log und poste den Logfile hier.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/
und folge den Anweisungen.
Direkter Download link zum Tool
http://download.hijackthis.eu/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Das heißt, durch das bloße anklicken der IP wird Schadsoftware heruntergeladen, auch wenn sich nur ein Pop-Up-Fenster öffnet?

Das heißt, durch das bloße anklicken der IP wird Schadsoftware heruntergeladen, auch wenn sich nur ein Pop-Up-Fenster öffnet?

Ja!
Genau eine solche Aktion kann, muss aber nicht zwangsläufig, den Rechner mit Malware infizieren. In der Praxis hat dies aber meist eine Infektion zu Folge und
die Popup Meldung ist ein Indiz dafür.   
 

Hallo, vielen Dank für die Antworten!!!

Und sorry, wenn ich nochmals nachfrage:

Ich werde den Rechner auf jeden Fall scannen, würde nur gerne verstehen, was die Schadsoftware kann und was nicht. Ich hatte das anhand der Links, die Du mir dankenswerterweise gegeben hattest so verstanden, dass die Seite geladen wird und dann ein Skript nachgeladen.

(("Charakteristisch ist ein enthaltener Link zum Aufruf der vorgeblichen Grußkarte, der auf regelmäßig wechselnde IP-Adressen zeigt und einen kryptisch wirkenden Parameter enthält. Wird der Link angeklickt und die Seite aufgerufen, versucht ein nachgeladenes Script über Sicherheitslücken im Browser Malware einzuschleusen. Die Virenforscher von F-Secure loben in ihrem Blog die vereinten Bemühungen vieler Sicherheitsunternehmen die Malware-Server schnell vom Netz zu nehmen." (http://www.pcwelt.de/index.cfm?pid=1744&pk=86373)))

Wenn der Rechner beim / durch Anklicken des Links ein weiteres Fenster versucht aufzubauen/ zu öffnen, dies jedoch nicht gelingt bzw. die typische "Leeranzeige" ohne INhalt erscheint und Firefox noch den Suchvorgang (oder ist das ein Ladevorgang?) anzeigt und kurz darauf die Meldung erscheint, dass die Seite nicht gefunden werden konnte - heißt das nicht eigentlich, dass die infizierte Seite nicht mehr auf dem Server liegt und sie bereits jemand "entsorgt" hat?

Wenn ich recht verstanden habe, kann ich dann docheigentlich keinen Schaden haben, wenn die Seite nicht aufgerufen werden kann bzw. dem Link keine Seite mehr hinterlegt ist, oder?

Ich wäre danbkbar, wenn Du diese - aus Eingeweihtensicht sicherlich unbedarfte - Frage auch noch beantworten könntest...

Vielen herzlichen Dank!

Ja!
Genau eine solche Aktion kann, muss aber nicht zwangsläufig, den Rechner mit Malware infizieren. In der Praxis hat dies aber meist eine Infektion zu Folge und
die Popup Meldung ist ein Indiz dafür.   
 

Hm, sowas kann aber höchstens im IE mit aktiviertem ActiveX passieren, denke ich...

 

Hm, sowas kann aber höchstens im IE mit aktiviertem ActiveX passieren, denke ich...

Diese Kombination ist anfälliger als ein PC mit deaktivierten ActiveX, aber grundsätzlich ist jeder Browser mehr oder weniger gefährdet. Hier hilft nur der gesunde Menschenverstand, aktuelle Software und ein sehr gutes Schutzprogramm mit gegenwärtigen Erkennungssignaturen!

Hallo Anna,
erstmal finde es gut, dass du dich mit Thema vertraut machst.
Solche Nachfragen wie deine sind hier immer gern gesehen.

Nun zu deiner Frage:
Grundsätzlich ist deine Aussage richtig. Nur was machen wir, wenn dies genau von der Malware gewollt ist und somit du von ihr getäuscht wirst?
Theoretisch wäre dies möglich!
Also lass uns Fakten schaffen ohne dabei gleich in Panik zu verfallen.
Scanne den PC wie beschrieben mit Dr.WEB Cureit, aktualisiere deinen installierten Virenscanner und führe eine weitere Überprüfung im abgesicherten Modus von Windows über  alle Dateien aus. Weiter erstelle ein HijackThis-Log und poste alle Ergebnisse hier.
Das kostet zwar ein wenig Zeit, aber nur so können wir uns Klarheit verschaffen.

Hier noch ein Link zur kleinen Virenkunde von AVIRA:
http://www.avira.com/de/threats/virenkunde.html
Schau mal unter der Beschreibung von Botnet, zu der Gruppe gehören die Malware Sturm und Stration/Warezov.
 

Hallo,
also, die logfile steht noch auf dem Programm, wird noch gepostet, das habe ich mir fürs Wochenende aufgehoben.

O.k., dass ´die Malware auch über eine Sicherheitslücke im Browser eingeschleust werden kann - zumal wenn Firefox und IE parallel installiert sind, habe ich kapiert, auch dass die Fehlermeldung gewollt sein kann, hatte ich schon in Erwägung gezogen... 

Kann ich aber - unabhängig davon - halbwegs sicher sein, dass ich keine Schadsoftware auf dem Rechner habe, wenn

1) Avira sowieso immer (mit allen updates) installiert ist  und ich

2) gestern zusätzlich nochmals einen online-Scan von Kaspersky habe drüber laufen lassen? (ausgenommen war da aber u.a. der Bootsektor, den habe ich nur mit Avira geprüft).

Oder besser auch nochmal Dr.Curelt - prüft der dann wirklich alles?? - Ich hatte mit Curelt gezögert, weil ich ja dann erstmal Avira hätte deinstallieren müssen, bei Kaspersky ging's auch mit einer temporären Deaktivierung.

Und noch eine Frage: Man gab mir noch einen Tipp, den ich vermutlich nur zur Hälfte verstanden habe: Ich solle von einer CD mit Linux booten und dann den Scan machen (oder so ähnlich), dann könne ich sicher sein, dass nichts auf dem Rechner sei. Prüft der dann auch die Windows-Partitionen? Klappt das auch, wenn ich Linux gar nicht als Betriebssystem verwende?? - Oder habe ich alles komplett falsch verstanden?

Bin für jeden Rat dankbar...und noch dankbarer für einen Link der Art "Installation von Linux neben Windows für Anfänger ohne Datenverlustrisiko"...

Schönes Wochenende!

 

Scanne im abgesicherten Modus .... 

1) Avira sowieso immer (mit allen updates) installiert ist und ich

2) gestern zusätzlich nochmals einen online-Scan von Kaspersky habe drüber laufen lassen? (ausgenommen war da aber u.a. der Bootsektor, den habe ich nur mit Avira geprüft).
Oder besser auch nochmal Dr.Curelt - prüft der dann wirklich alles?? - Ich hatte mit Curelt gezögert, weil ich ja dann erstmal Avira hätte deinstallieren müssen, bei Kaspersky ging's auch mit einer temporären Deaktivierung.

Jetzt willst du es aber Wissen!
 

Hier ein paar kurze Zwischenantworten zu deinen Fragen:


Zu 1:
Ja, wenn täglich die Updates eingespielt werden.
Sofern du aber nur Freewareversion von AntiVir einsetzt,
musst du bedenken, dass diese Version kaum Adware und Spyware erkennen kann.

Zu 2:
Das mit dem Onlinescan mit Kaspersky ist eine sehr gute Idee gewesen.
Somit kannst du davon ausgehen, das dein PC zu 99,9 % frei von Malware ist und
ein Scan mit Curelt hat sich damit erledigt.
Bei einer Überprüfung mit Curelt müsste man übrigens nicht das vorhandene Schutzprogramm deinstallieren, das Deaktivieren reicht schon aus und selbst das muss nicht unbedingt sein.

Zu Linux Boot CD:
Das ist er was für Profis. Mit normalen PC Kenntnisse kommt da nicht weit, es sei denn man verwendet fertige Produkte wie z.B. die von Panda.
Hier empfehle ich Windows PE (Bart-CD) oder die Vista Setup DVD.
Alle Drei sind Top Lösungen!
 

Frag mal , ob jemand eine Live-CD von Bart-PE hat , falls ja , lass dir eine Kopie machen ...
Meine läuft inzwischen überall im Bekanntenkreis ... 

Einen schönen guten Morgen allerseits!

Hier (=ganz unten) nun das Logfile. Die Auswertung bei hijackthis hat nichts Bedenkliches angezeigt - nur "run word explorer", das ist aber mein digitales Wörterbuch, das ich kenne.
Falls einer von Euch trotzdem etwas Bedenkliches finden sollte, wäre ich für eine Nachricht dankbar.

Noch eine Frage zum Verständnis "Virenscan im abgesicherten Modus": Macht das denn Sinn, wenn der Virenscanner ohnehin nichts  gefunden hat? Ich habe die BSI-Info so verstanden, dass es nur darum geht, eine Rückkopie möglicher Schadsoftware nach ihrer Beseitigung durch die Systemwiederherstellung zu verhindern - was aber voraussetzt, dass Malware auf dem Rechner ist. Oder hat der Virenscanner im nicht-abgesicherten Modus ein größeres Problem, Malware überhaupt zu ERKENNEN?

Inzwischen bin ich von Avira auf die Testversion von Kaspersky umgestiegen, die hat auch nichts gefunden (da gibt es dann auch die Funktion "Datenverkehr anzeigen" leider aber ohne Angabe von Uhrzeit und Datum, so dass mir das auch nicht hilft, wenn ich wissen will, ob mein Rechner etwas tut, was ich nicht möchte!
 
Falls Ihr mir jetzt auch noch die Unbedenklichkeit meines logfiles bestätigen solltet, werde ich mal aufatmen und davon ausgehen, dass ich Glück gehabt habe!!!

Und vielen Dank nochmal für die geleistete Hilfe an alle!

Logfile of HijackThis v1.99.1
Scan saved at 09:32:09, on 14.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Informatic\Word Explorer 2.0\Launch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\silke\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://stabikat.staatsbibliothek-berlin.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Launch Word Explorer 2.0.lnk = C:\Programme\Informatic\Word Explorer 2.0\Launch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Run Context - C:\Programme\Informatic\Word Explorer 2.0\cnie5.htm
O8 - Extra context menu item: Run Word Explorer - C:\Programme\Informatic\Word Explorer 2.0\cnie5.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Run Word Explorer - {26231800-6CE9-43d8-9357-5B4DC8CF4561} - C:\Programme\Informatic\Word Explorer 2.0\cnie5.htm
O9 - Extra 'Tools' menuitem: Run Word Explorer - {26231800-6CE9-43d8-9357-5B4DC8CF4561} - C:\Programme\Informatic\Word Explorer 2.0\cnie5.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1184359680155
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)

 

Folgende Angaben bekam ich noch zu den untenstehenden Prozessen. - Kann es sein, dass ich da mit MySQL etwas falsch gemacht habe? Das sollte eigentlich eine Trainingsdatenbank sein...

C:\Programme\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe 
Sehr sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\.*mysql\bin\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. MYSQL Datenbank
   C:\Programme\Classic PhoneTools\CapFax.EXE 
 
Fax Software
   C:\Programme\VIAudioi\SBADeck\ADeck.exe 
Sicher
Eventuell schädlich! Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\via\viaudioi\sbadeck\! Überprüfen Sie, ob Sie die Datei kennen und führen Sie ggf. einen Virencheck durch. VIA Audio Software
 

Hallo Anna,
um kurz zu machen, dein PC geht es Bestens.
Da ist alles im grünen Bereich, Gedenken musst dir keine mehr Machen.

 

Oder hat der Virenscanner im nicht-abgesicherten Modus ein größeres Problem, Malware überhaupt zu ERKENNEN?

Das ist richtig, da im abgesicherten Modus nur das nötigtes von Windows geladen wird, hat ein Virenscanner es einfacher Malware zu erkennen und beseitigen.

Ich wünsche dir ein schönes Sommerwochenende und viel Spaß wieder beim Internetsurfen.