Ich habe mir heute morgen einen Trojaner von OTR oder einem Mirror eingefangen.

Um ca. 8:04 habe ich die Downloadseiten von House und Monk aufgemacht (backgroundtab) als ich komische Meldungen von der JavaVM bekam. Sie ist 2-3 mal abgestuerzt (obwohl gar kein Java-Programm lief)
Dann startete ich die Downloads bei otvr.de, und bei privatotrmirror.de. Kurz darauf forderte mich Windows(7) auf die Installation von einem Programm zu bestaetigen. Das Zertifikat war auf einen Windows Hardware Service ausgestellt und gueltig. Ich habs trotzdem nicht installiert (ging nur durch einen reboot) und die entsprechende Datei spaeter mit Muehe (chkdsk und Ubuntu) geloescht.

Warscheinlich ist die Datei von einem Werbebanner gekommen. Ihr solltet das mal checken.

Ich hatte die zweifelhafte Ehre, mir einen Trojaner eingefangen zu haben, bereits am 20.04.2010, kurz nach 0.00. Ja, wärend dieser Zeit habe ich bei OTR Banner geklickt, darum kann ich davon ausgehen, das der Verursacher eine Bannerwerbung war. Auch ich habe Win7, scheinbar ist das immer noch nicht so oft vertreten, sonst würden sich bestimmt mehr User melden.

Kann mir vielleicht jemand erklären, seit wann eine Bannerwerbung von sich aus mit der Flashseite kommunizieren will und ein Sponsorenbanner es dringend nötigt hat, auf Java zugreifen zu müssen?

Liebe Chef-OTR-ler, es wäre sehr nett, wenn ihr den Verursachern und Einbringern von Schadsoftware ordentlich den Marsch blast. Auch ist es sehr freundlich wenn ihr darauf hinweist, das man verdächtige Banner melden kann, dumm aber ist dann, wenn der Banner in der Zeit sein Klickziel erreicht hat und aus der Liste fliegt?

Ahoi!

Um welches Banner handelt es sich und um welchen Trojaner?

mfg mcmuppet

Ich hab das einfach mal aus dem Report des Avira rausgezogen:

[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen

Zu dem Banner kann ich nichts genaueres sagen, ausser das es meiner Meinung nach am 20.04. einer der 0.4 Banner war, der war vorher noch nie da und seit diesem Tag auch nicht mehr .. ich weiss, gross helfen tut dies auch nicht weiter, aber .. der Banner war so schnell aus der Ansicht raus, so das melden schon gleich gar nicht möglich war.

Welche Aviraversion benutzt Du? Definitionsupdate auf dem neusten Stand?

mfg mcmuppet

Hallo,
ich habe auch dieses Problem und kriege den Trojaner bisher nicht los.
Ich bin mir sehr sicher, dass ich ihn mir durch einen Download von otr-speed.com eingefangen habe!!
Die Datei war viel zu klein, weshalb ich misstrauisch wurde und sie sofort löschte, aber direkt danach ging der ganze Mist los. Ich habe sonst nichts heruntergeladen und auch keine anderen Seiten besucht. Es war am vormittags am 21.04.

@Esmaralda

Die von dir im Profil angegebene OTR-ID gibt es nicht. Bitte korrigieren.

Avira 10 .. immer das neuste Update, gerade eben wieder ein neues gezogen. Laut ccleaner und malwarebytes ist das System wieder sauber (Avira nach auch). Bei mir kann ich seltsame oder dubiose Seiten ausschliessen, da das downloaden und den Rest .. den übernimmt mein Freund und das kriminellste was ich sonst so besuche ist ebay.

@Raus

Erledigt.

Ich hatte heute auch das Vergnügen- 9 Trojaner! Auch bei mir war es wärend ich Banner geklickt habe.Welche Trojaner wurden denn gemeldet?

Hab mal einen Prnt Scrn gemacht:


http://img189.imageshack.us/img189/8335/scand.gif

Und nun? :o

Hallo!

Ich habe die ganze Woche auch mit Trojaner-Befall verschwendet. Hatte immer mindestens 7 Stück. Mit Avira ließen sie sich kaum löschen/verschieben. Beim nächsten Scan waren sie alle wieder da (oder auch andere). Malwarebytes konnte auch nur einen Teil beheben.
Am Mittwoch hatte ich sogar welche unter HKEY... und c:sytem volume
Passiert ist das bei mir auch immer beim Bannerklicken, wobei ich erst dachte, es wären neue Banner, aber am Mittwoch ist es mir auch bei bekannten Bannern passiert (z.B. Tape TV) und zum Schluss auch noch am Ende eines Downloads (von otr-files).
Ich hab das ganze Benutzerkonto gelöscht.
Sehr ärgerlich!!!
Wie wärs, wenn die Programmierer von OTR sich mehr um Sicherheit kümmern würden statt um ständig neue Regeln für die Benutzer und wie man Leute dazu bringen kann dauerhaft Premium zu werden... ??!!!!

Mit freundlichen Grüßen
Susan

Hallo,
also ich hätte da auch ein paar Fragen zur OTR Seite. Ich hatte eigentlich selten mal Probleme mit Viren oder Trojanern. Leider ist es mir nun auf zwei unterschiedlichen Rechnern an verschiedenen Orten passiert das sich die PC beide nach dem Besuch der OTR Seite mit Trojanern etc. infiziert hatten. Ich bin absolut sicher das die Schadsoftware von der OTR Seite gekommen ist sei es nun durch die Bannerwerbung oder von der Seite selbst. Was mich ganz besonders ärgert ist das einer davon Emails über meinen Account versendet hat an sämtliche Empfänger meines Adressbuches. Das hat meinen Provider natürlich gar nicht erfreut der mir gleich mal ne unfreundliche Nachricht geschickt hat.

Ich bin nun wahrlich kein Anfänger und vermeide Besuche auf dubiosen Webseiten wann immer ich kann. OTR gehörte sicherlich nicht zu den dubiosen Seiten ich benutze den Service ja nun schon eine ganze Weile. Aber was in der letzten Zeit so mit der Webseite passiert ärgert mich einfach.

Keine Seite auf OTR die keinen Java Script Fehler produziert möglicherweise durch die Unmengen an unkontrollierten Bannereinblendungen (werden die eigentlich nicht mal Stichprobenartig kontrolliert was da beworben wird?) die irgendwelche JavaScripte starten wollen, dauernd irgendwelche Fehlermeldungen, Beispiel:

http://www.msckrauschwitz.de/images/fehler.jpg

Danach steht der Browser und nix geht mehr. Im Firefox blocke ich mittlerweile die komplette Werbung auf eurer Seite aber das kanns ja auch nicht sein ich mag keine Werbeblocker eigentlich weil ihr euch ja auch über Werbung finanziert.

Nicht nur das mir durch das Script auf der OTR-Seite der Browser lahmgelegt wird als Krönung bekomme ich dann noch Schadsoftware mitgeliefert.

Also ich würde einfach mal freundlichst vorschlagen ihr überprüft mal euer System mit einem Fachmann bevor das ganze noch mehr aus dem Ruder läuft und etwas mehr bekannt wird.

Freundliche Grüsse
Jan

Keine Sorge,
für mich war ein Trojaner Problem vollkommen neu drum habe ich zugesehen das ich meine Rechner wieder zum laufen bekomme denn damit muss ich arbeiten. Ich habe nun einen PC nur zum Spass mit minimaler Austattung am laufen wo es mir nicht darauf ankommt mir mal was einzufangen. Auch habe ich ein paar berfreundete User gebeten mir bei der Problemlösung und Dokumentation zu helfen. Mal sehen ob sie die Zeit finden ich will es mal hoffen.

Und, nicht falsch verstehen, das ist nun ganz und gar nicht unsere Aufgabe sondern eher eure. Fakt ist es gibt ein Problem bei euch bezüglich Schadsoftware und wenn ihr nichts dagegen unternehmt werden sich noch einige User mehr melden.


Freundliche Grüsse
Jan

So ich hab auch noch mal alles zusammen gekramt:


Also verwendet wird Win7, FF 3.6.3
Meldung kam wie schon erwähnt am 20.04.20010

Es handelte sich um einen Sponsorenbanner, dieser Banner war noch bis vor ca. 1-2 Tagen aktiv, zuletzt stand da was von Movieload oder Moviedownload und MP3. Als ich diesen Banner melden wollte, setzte ein Reload der Website ein und ich landete auf der Startseite von OTR. Eine genauere Beschreibung des Banners ist nicht möglich, da ich es nicht zuliess, das er noch ein einzigstes mal auf Java zugreifen konnte und somit nur der Schriftzug des Banners und das noch nicht einmal komplett dargestellt wurde.

**************************


Erster Suchlauf von Avira:

Produktversion 10.0.0.567 19.04.2010
Suchengine 8.02.01.224 21.04.2010
Virendefinitionsdatei 7.10.07.16 30.04.2010
Control Center 10.00.12.28 22.02.2010
Config Center 10.00.13.15 19.04.2010
Luke Filewalker 10.00.03.00 19.04.2010
AntiVir Guard 10.00.01.44 19.04.2010
Filter 10.00.02.02 16.02.2010
Planer 10.00.00.17 24.02.2010
Updater 10.00.00.29 19.04.2010



Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:ProgramDataAviraAntiVir DesktopTEMPAVGUARD_4bed5aa5guard_slideup.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Dienstag, 20. April 2010 00:15
Die Reparatur von Rootkits ist nur im interaktiven Modus möglich!

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wgvyd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE635.tmp' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:Users...AppDataLocalTempBNE635.tmp>
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.J.1752
Durchsuche Prozess 'eosy22k2sr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE632.tmp' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:Users...AppDataLocalTempBNE632.tmp>
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rscomaewnx.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:Users...AppDataLocalTemp
scomaewnx.exe>
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOPI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:Users...AppDataLocalTemp
scomaewnx.exe'
C:Users...AppDataLocalTemp
scomaewnx.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!


Ende des Suchlaufs: Dienstag, 20. April 2010 00:15
Benötigte Zeit: 00:16 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

0 Verzeichnisse wurden überprüft
32 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
28 Dateien ohne Befall
0 Archive wurden durchsucht
1 Warnungen
1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.

*************************************************


Zweiter Suchlauf von Avira:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 20. April 2010 00:15

Es wird nach 2012714 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000 geht niemanden was an
Plattform : Windows 7 x64
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : tut nix zu Sache

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WerFault.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Zxk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ws6e.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE635.tmp' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:Users...AppDataLocalTempBNE635.tmp>
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.J.1752
Durchsuche Prozess 'eosy22k2sr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BNE632.tmp' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:Users...AppDataLocalTempBNE632.tmp>
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rscomaewnx.exe' - '1' Modul(e) wurden durchsucht
Modul ist infiziert -> <C:Users...AppDataLocalTemp
scomaewnx.exe>
[FUND] Ist das Trojanische Pferd TR/Crypt.PEPM.Gen
Durchsuche Prozess 'mshta.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UNS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSwMgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KeNotify.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorDataMgrSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAStorIcon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOPI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LMS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:Users...AppDataLocalTempsnocxraewm.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTempsnocxraewm.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalTempBNE632.tmp'
C:Users...AppDataLocalTempBNE632.tmp
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Catched Exception in function <SCAN_Search> - Object <C:Users...AppDataLocalTempBNE632.tmp>
ACCESS_VIOLATION
EAX = 000000FF EBX = 00000000
ECX = 01D6EED8 EDX = 00000000
ESI = 01D6EED8 EDI = 00000100
EIP = 749AF7C9 EBP = 045EE980
ESP = 045EE948 Flg = 00010206
CS = 0000002B SS = 00000023
Beginne mit der Suche in 'C:Users..AppDataLocalTempimiyus.exe'
C:Users...AppDataLocalTempimiyus.exe
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '50d558eb.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTemp yysqcc.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTemp yysqcc.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalTempjanfw.exe'
C:Users...AppDataLocalTempjanfw.exe
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0285021f.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempBNE635.tmp'
C:Users...AppDataLocalTempBNE635.tmp
[FUND] Ist das Trojanische Pferd TR/PCK.Katusha.J.1752
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
[WARNUNG] Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
[WARNUNG] Die Datei konnte nicht gelöscht werden!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIYimwaic[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIYimwaic[1].htm
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5e545269.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfjnvpk[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfjnvpk[1].htm
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '12957ede.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempieyih.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTempieyih.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRgnemtrzxsn[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRgnemtrzxsn[1].htm
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6e863e72.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempkhvcol.exe'
C:Users...AppDataLocalTempkhvcol.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '43af11c5.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDR
vqxfn[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDR
vqxfn[1].htm
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5ab82aad.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempgmfrxpgv.exe'
C:Users...AppDataLocalTempgmfrxpgv.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '36eb0694.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfwevpovto[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAfwevpovto[1].htm
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47513f0b.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAgnemtrzxsn[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE59XPFHFOAgnemtrzxsn[1].htm
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Spy.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b0fc7.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5HB0BHQ5Dhypwhc[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5HB0BHQ5Dhypwhc[1].htm
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0c6f7688.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRhypwhc[1].htm'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5EHP0UNDRhypwhc[1].htm
[FUND] Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '05647223.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempmrscnwaeox.exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTempmrscnwaeox.exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataLocalTempmosacnxwre.exe'
C:Users...AppDataLocalTempmosacnxwre.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.CFI.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d266b45.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTemp yysqcc .exe'
Der zu durchsuchende Pfad C:Users...AppDataLocalTemp yysqcc .exe konnte nicht geöffnet werden!
Systemfehler [2]: Das System kann die angegebene Datei nicht finden.
Beginne mit der Suche in 'C:Users...AppDataRoaming96F6B67B984C490515E25EDC7 4A4F626
ewupdate1142C.exe'
C:Users...AppDataRoaming96F6B67B984C490515E25EDC74 A4F626
ewupdate1142C.exe
[FUND] Ist das Trojanische Pferd TR/FakeYak.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '71ae1273.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIY
ewupdate1142C[1].exe'
C:Users...AppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5OHOE1CIY
ewupdate1142C[1].exe
[FUND] Ist das Trojanische Pferd TR/FakeYak.A
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f5072a9.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTempiexplore.exe'
C:Users...AppDataLocalTempiexplore.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2c5959da.qua' verschoben!
Beginne mit der Suche in 'C:Users...AppDataLocalTemp709976,971149445.exe'
C:Users...AppDataLocalTemp709976,971149445.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
--> Object
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0ad019fa.qua' verschoben!

**********************************************


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Datenbank Version: 4012

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20.04.2010 17:48:25
mbam-log-2010-04-20 (17-48-25).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 104285
Laufzeit: 2 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USERSoftwareYVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREMicrosoftHandle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USERSOFTWAREQZAIB7KITK (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionExplorerwinid (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ich hoffe das reicht fürs zweite ..

P.s. Die Software unserer Fritzbox listet auf, welche Kuriosistäten am Tag so auflaufen und woher sie kommen, so war am 28.04.20010 um 0.07 Uhr der angebliche Urheber der Java Abfrage und fast Reaktivierung die Seite sxsxa.net und am 01.05.2010 um 0.09 Uhr die Seite xoesa.net

Hallo,

Und ist dieser ominöse banner nochmal gesichtet worden oder ist der verschwunden?


Gruss, Ingo

Das ist der Hammer, waren meine Beiträge zu kritisch?? Oder warum wurden sie gelöscht. Man könnte ja fast denken, das mit dem trojaner ist gewollt. Wenn ich mich recht entsinne, ist das löschen von Userbeiträgen nicht rechtens. Aber wenn kümmert es hier, oder ist hier auch eine Trojaner unterwegs. 4 Beiträge verfasst, 1 kann man sich anzeigen lassen, komisch gell.

Ohne Angabe der User-ID ist kein vernünftiger Support möglich.
Die User-ID ist kein Staatsgeheimnis, sondern die ist für den Support nötig. Es ist die Kundennummer, die man braucht, wenn man Support will. Ich weiß nicht, warum Du Dich so sträubst, die User-ID zu nennen. Solange Du die User-ID nicht nennst, wissen wir nicht, ob Deine Postings ernster Natur sind.

Dies ist ein Supportforum und wir versuchen zu helfen. Nur wenn uns die nötigen Hilfsmittel fehlen ....

Ich kann auch nicht bei 1&1 anrufen und Support wollen, aber meine Kundennummer nicht nennen. Auch da ist dann kein Support möglich.

Wie an jedem Tag auch heute wieder das bekannte Fenster mit dem Script das den Rechner lahmlegt. Und zwar taucht es auf wenn versucht wird das rechte Banner zu laden. Es tritt immer auf der Seite auf wo die hq aufnahmen eingeblendet werden zum herunterladen.

http://www.msckrauschwitz.de/images/fehler1.jpg

Und noch einmal meine Frage, wieso bekommt man bei jeder Seite von OTR unten links im Browser das gelbe Javascript Fehler Dreieck angezeigt?

Freundliche Grüsse
Jan

Ohne Angabe der User-ID ist kein vernünftiger Support möglich.Er hat aber gute Gründe angegeben, und zwar in einem höflichen, angemessenen Ton, die UserId ist auch nicht für die Lösung des allgemeinen Problems notwendig, der Vertrauensverlust ist jetzt mal wieder da, die Reputation OTRs befindet sich im Keller - und diese Löschung ist kontraproduktiv. Ein Bärendienst ist der Vergleich mit 1&1.

Kann sein, dass es auch andere Gründe für die Userid-Verweigerung gibt (Bashing u.ä.), eine Verschwörung, oder so, aber:

Warum äußern sich die OTR-Macher nicht zu diesem Thema? Würde vieles vorwegnehmen. Ein Deja-vu gefällig?

Es wird bereits fieberhaft an dem Problem gearbeitet und nach Lösungen gesucht. Und wir sind auch an einer schnellen Lösung interessiert.

Aber die Möglichkeiten, die wir zur Lösung brauchen, unter anderem auch User-IDs, das mußt Du uns schon überlassen. ;)

Fieberhaft? das geht ja schon seit über einer Woche.:-|
Ich arbeitete in einer Hotline einer großen Firma, solcherart Tickets mussten innerhalb Stunden geschlossen sein, d.h. gelöst. Nur mal so, zur Info.:cool:;)

Fieberhaft? das geht ja schon seit über einer Woche.:-| Ich arbeitete in einer Hotline einer großen Firma, solcherart Tickets mussten innerhalb Stunden geschlossen sein, d.h. gelöst. Nur mal so, zur Info.:cool:;)Der Vergleich mit einem direkten Kundenkontakt (Telefon) und einem Posting im Forum hinkt ein wenig, da man am Telefon die gewünschten Informationen zeitnah bekommt. Ich bin schon länger für eine kostenpflichtige Hotline für Supportanfragen. Sollten wir wirklich nochmals Intern diskutieren. Wie Du am Threadverlauf ein wenig erkennen kannst, mussten Nachfragen gestellt und weitere Informationen eingeholt werden (und das funktioniert nur, wenn sich die User zurückmelden). Die Problematik wurde sofort nach bekannt werden weitergeleitet und das Problem anhand der wenigen Informationen versucht zu rekonstruieren. Leider ohne Erfolg. Jede weiterführende Information ist zwecks Bearbeitung weitergeleitet worden. Die letzte Meldung dürfte vom 28.04.2010 gewesen sein. Dies resultiert vermutlich auf der Reaktion eines Werbepartners, der die entsprechende Werbung mittlerweile unterbunden hat. Dies soll nun nicht bedeuten, das wir nicht weiterhin am Ball bleiben. Im Gegenteil, die Meldungen werden ernst genommen und entsprechend zeitnah überprüft. Allerdings würde es den Zeitrahmen sprengen, wenn wir hier auch noch die Arbeitsprotokolle posten und aktualisieren müssten. Es mag für Dich und manch anderen User im Thread nicht deutlich erkennbar sein, dass die Problematik bearbeitet wurde/ wird, aber dem ist so. Was hätte ich mir sonst für Korrespondenz erspart ;).

mfg mcmuppet

Darf ich noch was sagen........ ach ich mach es einfach.
Warum wird dies nicht aktiv gepostet, auch auf der OTR Seite.
Warum kann man die Seite nicht ohne js bedienen?
Warum werden meine Posts nicht einfach an besagten Stellen editiert anstatt gelöscht.
Das waren keine unfreundlichen Post (Dr House lässt grüßen) , weder zu Froschn, OTR noch zu anderen Usern.
Warum wird nicht gleich auf der ersten Seite gesagt &quot;OK, wir kümmern uns mit Nachdruck drum, macht erstmal dies und das damit es sicher ist.
Warum wird dieser Beitrag wieder gelöscht ;-) EDIT: Mist, er ist noch da. Ja liest den hier keiner ;-)

...
Das waren keine unfreundlichen Post (Dr House lässt grüßen) , weder zu Froschn, OTR noch zu anderen Usern.
...

Darf ich dich bitten, meine Kollegen und auch andere User mit ihren richtigen Nick anzuschreiben? Mein Kollege verhunzt deinen Namen ja auch nicht

@Cineatic: OK, war aber nicht wirklich bös gemeint.
Wer kennt und liebt nicht den Froschn und den Maulwurf.
Daran musste ich leider immer bei dem Avatar von MCMUPPET denken. Aber ich glaube wir schweifen hier von einem ernsten Thema ab.
Ich für meinen Teil würde mich einfach über eine Erklärung freuen, wenn das Problem geklärt ist.
Wie es dazu kommen konnte und was dafür gemacht wurde damit dies nicht nochmals passiert.
Mir ist klar, dass dies wirklich (ernst gemeint) viel verlangt ist, aber damit würde das Vertrauen wieder hergestellt.
Fehler macht man (wer auch immer), man sollte auch die Größe haben diese zuzugeben.

Es tritt immer auf der Seite auf wo die hq aufnahmen eingeblendet werden zum herunterladen.

Die HQ-Übersichtseite dauert auch ohne Werbung Ewigkeiten zum Laden, weil dort inzwischen fast alle HQ-Aufnahmen dieses Jahres aufgelistet werden, d.h. inzwischen etwa 5000 (grob überschlagen) Einträge. Das ist einfach schon eine riesige Datenmenge, und wenn dann noch ein Skript daran rummacht, dann passiert so was.

@OTR: Bitte einfach mal die Anzahl der Einträge begrenzen!

Gruß,
flagpirate

EDIT: Überschlagrechnung:
30 Tage (seit Ostern) * 100 HQs = 3000
+ 40 Tage (Mitte Februar bis Ostern) * 30 HQs = 1200
+ 40 Tage (6.1. bis Mitte Februar) * 10 HQs = 400
+ Tage mit Extra-HQs und US-HQs

Ergänzung zu Cineatic:

Ich stehe mit dem User in PN-Kontakt. Eine Nachfrage läuft noch. Auch unterscheidet es sich hier, daß der User nicht mit einem Banner diese Probleme hat, sondern mit einem Download. Und da ist die User-ID sehr von Vorteil. Jedoch ist noch nicht geklärt, ob der Download von OTR oder einem Mirror stattfand. Wie gesagt, Nachfrage läuft.

... Ich bin schon länger für eine kostenpflichtige Hotline für Supportanfragen. Sollten wir wirklich nochmals Intern diskutieren. ...
Wenn es hier denn schon mal angesprochen wird: Aber doch hoffentlich erst, wenn OTR das Beta-Stadium verlässt, hoffe ich. Bis jetzt habe ich das Gefühl, dass ein Gutteil der Probleme in dem OTR-System selbst begründet liegt, OTR würde dann ja an der eigenen Unzuverlässigkeit verdienen:thinking:. Heute dürften ein paar User schon an dem Post an den Support gesessen haben, als der Hinweis auf je ein(e) abgerauchte(s) Netzteil und Festplatte kam. Die Hilfen müssten dann von den OTR-Machern auf neuestem Stand gehalten werden; beim Statuswechsel den User stundenlang ohne Mitteilung im luftleeren Raum hängen zu lassen und dadurch einen Supportfall zu provozieren: geht dann nicht! usw. Glücklicherweise wurde ja die Übernahme des neuen Premiumbedingungs-Konzepts für Wishlists in das Produktivsystem verschoben, möglicherweise ja wegen der seltsamen Datenlage auf der inoffiziellen Statusseite - das wäre ja zukünftig gleich wieder ein Hotline-Fall? Und letztendlich müsste man auch darüber nachdenken, ob kostenpflichtige Hotline und unbezahlte freiwillige Mod-Arbeit dabei zusammenpassen würden...

Ansonsten: Viel (und schnelles) Glück auf der Trojanerjagd!

Auch unterscheidet es sich hier, daß der User nicht mit einem Banner diese Probleme hat, sondern mit einem Download. Das ist natürlich hochinteressant: Wirklich im Download, also in der OTR-Datei selber? Die Dateien werden mit Viren geimpft? Ich meine, wie wird sich das auswirken, abgesehen davon, dass es Prüfsummenfehler gibt?:thinking:

Das ist natürlich hochinteressant: Wirklich im Download, also in der OTR-Datei selber? Die Dateien werden mit Viren geimpft? Ich meine, wie wird sich das auswirken, abgesehen davon, dass es Prüfsummenfehler gibt?:thinking:

Bitte erst richtig lesen, dann schreiben. Ich schrieb, daß es in Klärung ist und Du schreibst hier schon von unbewiesenen Tatsachen, die Du gar nicht wissen kannst.

Ab jetzt sollten sich hier, wenn noch vorhanden, Leute melden, die diese Probleme haben. Alles andere bringt nichts.

mal weg von den fragen des supports und zurück zu der frage, wie überhaupt schad-code im zusammenhang mit dem besuch bei otr übertragen werden könnte...

der vorschlag wurde ja gemacht und was spricht denn dagegen, beim öffnen einer http://*.onlinetvrecorder.com/ -seite das ausführen von externe scripten zu unterbinden, die also nicht aus dieser domain kommen?

denn, dass die admins von otr immer nur hinter den geänderten codes von anderen domains hinterherrennen sollen (indem sie dann die entsprechenden banner sperren), fänd ich, wenn ich admin wäre, schon nervig. gäbe es bei einer solchen sperrung externer scripte denn irgendwelche einbußen an funktionen der otr-seite?
wenn man dann bewusst entscheidet, ein banner anzuklicken, wodurch man eine externe seite lädt, muss man das als user eben selbst verantworten (bzw. überwachen), worauf die otr-admins eh keinen direkten zugriff haben. dann werden die betreiber von otr auch nicht mehr für die versuche von externen seiten, schadcode einzuschleusen mit verantwortlich gemacht.

Ehrlich gesagt , kann ich das ganze nicht nachvollziehen. Selbst Surfen mit völlig ungeschützten und ungetunten Internet-Explodierer (IE 8) auf der OTR Seite brachte mir keine adware und/oder Trojaner, trotz heftigem Bannerklicken. Auch den beschriebenen Scriptfehler, der den IE zum Absturz bzw einfrieren bringt, konnte ich nicht nachvollziehen. Warum sind da nur einzelen User von betroffen?

Allerdings: Eine werbefinanzierte Seite wie OTR muss mit allen möglichen Scripten arbeiten, das lässt sich wohl kaum abstellen. Allerdings wüsste ich schon gerne mal, inwieweit eigentlich die Scripte der Werbeanbieter geprüft werden. Wir user dürfen ja keine Scripte verwenden, die irgendwie in den Ablauf der OTR-Website eingreifen, sonst gibt es deutliche Sanktionen - wie hält OTR es da denn mit den Werbefuzzis?


Hungerdunger: der vorschlag wurde ja gemacht und was spricht denn dagegen, beim öffnen einer http://*.onlinetvrecorder.com/ -seite das ausführen von externe scripten zu unterbinden, die also nicht aus dieser domain kommen? ...
wenn man dann bewusst entscheidet, ein banner anzuklicken, wodurch man eine externe seite lädt, muss man das als user eben selbst verantworten (bzw. überwachen), worauf die otr-admins eh keinen direkten zugriff haben. dann werden die betreiber von otr auch nicht mehr für die versuche von externen seiten, schadcode einzuschleusen mit verantwortlich gemacht.

Das hört sich für mich als der vernünftigste Vorschlag bisher an. So wird OTR den Ärger los und der User ist selbst verantwortlich, wenn dann die Seuche ausbricht. Direkte Frage an die Mods/Admins: Lässt sich das umsetzen?

Mein Scutzkonzept scheint ja bisher gut geklappt zu haben: Firefox mit Noscript addon und alle Scriptanbieter von usemax, addfreestats etc verbieten. OTR-Scripte erlauben. Dazu als premium in den Einstellungen Layerwerbung abgestellt und Bannerwerbung angestellt - die Klickbanner für PPP oben erscheinen dann immer noch, aber der restliche Blinkkram verschwindet, mögliche Schadscripte werden erst gar nicht ausgeführt. Dazu regelmäßiger Scan mit Antivirensoftware (auf dem neuesten Stand). Firewall abgestellt, weil die jeden pups meldet und meist unnötig Panik verbreitet. Ich habe damit trotz eifrigen Surfens, auch auf nicht ganz sauberen Seiten, mir im letzten jahr ganze 3 Viren eingefangen - die mein Scanner (Antivir Personal Zuhause und Norman security Suite auf Arbeit) zuverlässig gefunden und gekillt hat. Das ganze kann auch ohne weiteres von einem Computer-Halbgebildeten wie mir zum bzw am Laufen gebracht bzw. gehalten werden.

Ehrlich gesagt , kann ich das ganze nicht nachvollziehen. Selbst Surfen mit völlig ungeschützten und ungetunten Internet-Explodierer (IE 8) auf der OTR Seite brachte mir keine adware und/oder Trojaner, trotz heftigem Bannerklicken. Auch den beschriebenen Scriptfehler, der den IE zum Absturz bzw einfrieren bringt, konnte ich nicht nachvollziehen. Warum sind da nur einzelen User von betroffen?

Mein Scutzkonzept scheint ja bisher gut geklappt zu haben: Firefox mit Noscript addon und alle Scriptanbieter von usemax, addfreestats etc verbieten. OTR-Scripte erlauben. Dazu als premium in den Einstellungen Layerwerbung abgestellt und Bannerwerbung angestellt - die Klickbanner für PPP oben erscheinen dann immer noch, aber der restliche Blinkkram verschwindet, mögliche Schadscripte werden erst gar nicht ausgeführt.


Ich hatte bisher auch nie Probleme (seit 2 Jahren). Und trotzdem konnte ich mich letzte Woche nicht retten vor Trojanern. Und Antivir konnte sie nicht einmal beheben.
Manchmal frag ich mich, ob die Mirror sauber sind. Letzte Woche musste ich bei ThisLoad mal ziemlich viel rumklicken (um es dann doch zu lassen, weil der Download nicht funktionierte). Da hab ich mich gefragt, ob beim Klicken irgendwas mitgeladen wurde.

Was meinst Du denn mit Noscript addon und sonstige Scripte verbieten?? Wie macht man das??


Lieben Gruß
Susan

OK, danke, werde ich mich bei Gelegenheit mal mit beschäftigen.

Was anderes: Habe mir grad (13.55 Uhr) beim Bannerklicken was Neues eingefangen:
Troj/PDFJs-JS in
C:Dokumente und Einstellungen...Lokale EinstellungenTempplugtmpplugin-pdz.php

Zum Glück klicke ich Banner nur noch in der Uni an. Hier habe ich Mozilla Firefox 3.6.3 benutzt. Als Virenprogramm Sophos Anti-Virus 7.6.19

Gruß
Susan

Hallo

Ich habe gerade den neusten Eintrag bei den News gelesen:


besser PDF-Reader updaten, besonders Bannerclicker, siehe i8t.de/2gpfw6yt

Der Link führt nach Heise-Security, und zwar zu dem Artikel:


Kriminelle versuchen ungepatchte Reader-Lücke auszunutzen

Ich finde es ja gut von OTR, vor möglicherweise verseuchten Bannern auf der eigenen Seite zu warnen, aber wie soll ich eine ungepatchte Sicherheitslücke mittels der neusten Version beseitigen?

Edit:
Ich finde übrigens, dass mein Beitrag nicht in diesen Thread hätte verschoben werden sollen. In meinem Beitrag geht es um den nichtexistenten Patch zum Adobe-PDF-Reader und nicht um eine Java(script)-Lücke.

vielleicht wäre es sinnvoll an gleicher stelle auch zu erwähnen, dass man java auch updaten muss? da gibts ne lücke die mindestens genauso übel ist und auch schon aktiv ausgenutzt wird:

ct.de/-974603.html
http://www.heise.de/security/meldung/Java-Exploit-startet-lokale-Windows-Anwendungen-974603.html

ct.de/-978119.html
http://www.heise.de/security/meldung/Java-Luecke-Spiel-mir-das-Lied-vom-Trojaner-2-Update-978119.html

So wie es Alternativen zu Windows (Linux), MS-Office(OO) gibt, gibt es Foxit-PDF-Reader oder XChange-Viewer zu Adobereader. Wenn Adobe die gleiche Politik (ich meine bspw. serienmäßige Aktivierung unsicherer, oft nicht benötigter Features) einführen möchte, sollte man sich nach derartigen Alternativen schon umschauen wollen. Soviel zu Adobe.

Folgende Registry-Einträge prüfen:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionShellServiceObjectDelayLoad

Folgende Pfade prüfen:
C:
C:Users\%username%AppDataLocalTemp
C:WindowsSystem32
Dass heisst, du arbeitest, surftst usw. mit Adminrechten?

Kein Wunder, wenn sich Viren, Würmer usw. sich da austoben können. Da nützen die besten System+AntiSpyware etc mit ihren allerneusten updates lediglich als Amulett...

also, wer sich die Mühe macht eine Trojaner-Schleuder auf OTR zu fangen , dem kann ich schonmal 2000 GWP versprechen für die Mühe...
aber wie ich schon sagte.. noch ist nicht sicher , daß sie von OTR kommen und wenn es sicher ist, dann entfernen wir die Quelle sofort. Ich halte es aber keinesfalls für unmöglich, nicht mal unwahrscheinlich, daß einer der Banneranbieter sich da ein faules Ei eingefangen hat. Siehe auch meine anderen Postings zu dem Thema...

Hat noch einer so etwas beobachtet / bekommen?Ich habe das Problem weitergeleitet und es wird recherchiert.

mfg mcmuppet

vielleicht könnten auch die tape.tv-Banner bzw. deren Inhalt geprüft werden. Ich habe das Gefühl, dass die irgendwas an der Konfiguration meiner Grafikkarte (nvidia Geforce 7x) verändern, wodurch diese enorme Probleme bereitet.
Habe sie jetzt 3 mal neu konfiguriert und seit ich tape.tv meide gibts keine Probleme mehr.

Viper2009: Woher kommst du und wer ist dein Internetprovider Bitte?

Ergänzend zu IngoPan:
Viper2009: Woher kommst du und wer ist dein Internetprovider Bitte?Gerne auch per PN an IngoPan ;).

Welche Banner genau weiss ich leider nicht mehr, TapeTV war auf jeden Fall dabei, und dann die die einem auf der Startseite sonst noch so angezeigt werden (z.B. hammerrabatte.de)

Leider sind solche bösen Banner bei allen Netzwerken theoretisch möglich. Da hilft nur, den eigenen PC wirklich immer schnell updaten und gute Antivirensoftware benutzen. Und das wie gesagt gilt für jede Webseite im Internet. Wer surft muß sich schützen.

Ich empfehle u.a. http://www.chip.de/downloads/Sandboxie_21760394.html

Auch gut zum Testen von Programmen.

Danke für die Info.
Ich kann http://cert.at sehr empfehlen (wenn ich da mal etwas Werbung machen darf)

Aber auch das interessiert mich:
Ob hfrmobile nun den erwähnten GWP-Segen bekommt und ob er ihn sich evtl. noch mit anderen teilen wird, die auch zu diesem jüngsten Erfolg beigetragen haben.

Danke für die Info! Für diesen Hinweis möchte ich meinen Anteil des GWP-Segens gerne mit Balancy zu 50:50 teilen :)

Ich habe mir diesen Mist auch zweimal vor einigen Wochen durch OTR eingefangen, Banner klicke ich (gewollt) keine. Ich versuche höchstens die wild aufpoppenden Banner wegzuklicken, was natürlich nicht selten das Gegenteil bewirkt :mad:

Das ist das erste mal in den letzten 8 Jahren dass ich mir so einen Mist eingefangen habe. Um hier in den Foren rumzuwühlen hatte ich weder die Zeit noch den Nerv. Heute sehe ich nun den Eintrag auf der HP. Ist das die erste Meldung dazu, oder gab es schon vor Wochen eine die ich übersehen habe?

Ansonsten, bitte mit weniger aggressivem Bannerwahn weitermachen, sonst werde ich für OTR demnächst zu alt, oder altere durch die PC Renoviererei vorzeitig :thinking:

Traurig.
Nun muss man sich sich schon rechtfertigen wenn man auf Probleme durch diese Site hinweist.
Wie schon vor mir geschrieben wurde, eine Bringschuld sehe ich in so eine Fall als User schon mal gar nicht.
Wenn einem mit derartiger Desinteresse begegnet wird, sehe ich auch keinen Grund mehr hier zu investieren.
Tschüss.

Manomann habt ihr probs mit Trojaner usw. Hab seit 20 jahren vielleicht gerademal eine handvoll eingehandelt und ist doch garnet so schlimm so ein teilchen auf der platte zu haben solange man halt ne sauber image als backup angelegt hat.

Traurig. Nun muss man sich sich schon rechtfertigen wenn man auf Probleme durch diese Site hinweist.[...]Wenn einem mit derartiger Desinteresse begegnet wird, sehe ich auch keinen Grund mehr hier zu investieren.Da hast Du mich wirklich gründlich missverstanden. Desinteresse wäre gewesen, Deine Meldung nicht zu hinterfragen. Für die nötigen zusätzlichen Informationen wäre ich schon dankbar. Leider hast Du diese nicht gepostet - allerdings auf mein Posting geantwortet. Ich gebe die Hoffnung nicht auf ;).

MfG
MCMUPPET

Manomann habt ihr probs mit Trojaner usw. Hab seit 20 jahren vielleicht gerademal eine handvoll eingehandelt und ist doch garnet so schlimm so ein teilchen auf der platte zu haben [...]Hier geht es ja nicht darum, ob es leicht ist diese zu entfernen... sie sollen einfach nicht verteilt werden ;). OTR geht jeder dieser Meldungen nach und ergreift die nötigen Maßnahmen. Falls Du OTR als Dienst direkt ansprichst, möchte ich darauf hinweisen, dass private und kommerzielle Projekte doch sehr unterschiedlich sind ;).

MfG
MCMUPPET

Manomann habt ihr probs mit Trojaner usw. Hab seit 20 jahren vielleicht gerademal eine handvoll eingehandelt und ist doch garnet so schlimm so ein teilchen auf der platte zu haben solange man halt ne sauber image als backup angelegt hat.Es ist aber traurig, wenn man OTR zuliebe jedesmal einen Image draufklatschen muss. Genausogut könnte man empfehlen, bei jedem OTR-Besuch eine Live-CD oder Sandbox zu benutzen - geht doch ein bissl an was vorbei, oder?

Ich habe mir diesen Mist auch zweimal vor einigen Wochen durch OTR eingefangen, Banner klicke ich (gewollt) keine. Ich versuche höchstens die wild aufpoppenden Banner wegzuklicken, was natürlich nicht selten das Gegenteil bewirkt :mad:

Das ist das erste mal in den letzten 8 Jahren dass ich mir so einen Mist eingefangen habe. Um hier in den Foren rumzuwühlen hatte ich weder die Zeit noch den Nerv. Heute sehe ich nun den Eintrag auf der HP. Ist das die erste Meldung dazu, oder gab es schon vor Wochen eine die ich übersehen habe?

Ansonsten, bitte mit weniger aggressivem Bannerwahn weitermachen, sonst werde ich für OTR demnächst zu alt, oder altere durch die PC Renoviererei vorzeitig :thinking:


Es ist aber traurig, wenn man OTR zuliebe jedesmal einen Image draufklatschen muss. Genausogut könnte man empfehlen, bei jedem OTR-Besuch eine Live-CD oder Sandbox zu benutzen - geht doch ein bissl an was vorbei, oder?

Es ist doch eigentlich ganz einfach, von Schädlingen verschont zu werden:
1. InternetExplorer NICHT benutzen, sondern FireFox oder Opera (vielleicht auch CHrome, kenn ich noch nicht).
2. Javascript, aktive Inhalte etc. DEaktivieren
3. Auf den vertrauenswürdigen Seiten, wo aktive Inhalte nötig sind, dies einzeln wieder aktivieren (z.b. mit NoScript).
Dann können die Scripte von OTR normal ausgeführt werden, aber die Bannerseiten haben keine Chance, irgendwas zu veranstalten.
Auf diese Weise habe ich in 15 Jahren Internet nie irgendwelche Probleme gehabt. Auch Werbe-Popups sind mir ziemlich fremd.

Klar, es macht bissel Arbeit, erstmal für jede Seite die paar Mausklicks zu tätigen, damit alles sichtbar ist, was man braucht. Aber das ist es mir auf alle Fälle wert.

PS: Daß man einen aktuellen Virenscanner besitzt, alle Software-updates installiert und keine Ports offen läßt (in dem man z.b. hinter einer Hardware-Firewall sitzt), versteht sich natürlich von selbst.

Es ist doch eigentlich ganz einfach, von Schädlingen verschont zu werden:
1.-.....
2.-....
3.-....
usw.

Sorry, wenn ich jetzt überheblich rüberkomme, aber diese Tipps sind Allerweltstipps, banal, bildig aufbereitet und glaubenbehaftet und schon veraltet und nicht immer hilfreich. Natürlich verwendet der IE irgendwelche Bausteine, die sicherheitskritisch sind, wie alle anderen Programme, die nicht von MS stammen. Es ist chic, M$ zu komprimitieren, für andere ist es jedoch auch möglich. Jedenfalls ist der neue IE auch nicht unsicherer als andere.

Und wie du sagst: Es ist ein bisserl Arbeit notwendig und für meiste User jedoch unzumutbar, da viele mehr falsch machen können als richtig und auch nicht die Zeit dafür haben. Für Geschäftsrechner, also Rechner, von denen der Lebensunterhalt abhängt, empfehle ich keinen Besuch auf OTR - so konsequent muss man schon sein.
Und schön für dich, dass du seit 15 Jahren keine Probleme mit Internet hast, ich auch nicht - würde mich aber nicht überraschen, wenn du die Probleme nocht nicht bemerkt haben solltest...:D

Auf jedenfall können deine obenaufgeführten Argumente die Webseitenbetreiber von der Verantwortung und (Mit)Verursachung nicht reinwaschen - und nur darum geht es.

Finde deine Argumentation keineswegs überheblich. Kann eigentlich nur zustimmen. Wie ich einige Seiten vorher gepostet habe, denke ich mir, dass OTR ja auch gut von der Werbung lebt (niemand hat was zu verschenken bzw. sonst täten die es doch nicht machen) und sich daher seiner Verantwortung stellen muss. Genausogut kann man argumentieren: Keine User == Kein OTR.

Werbefinanziert, aber zu wieviel Prozent nun eigentlich? Das Argument, dass man als Premium eh' keine Werbebanner hat (ausschaltbar), finde ich etwas überheblich. Premium == Bezahldienst (zumindest meiner Auffassung nach!). Mal ganz ehrlich, möchte mir nicht meine Freizeit mit stupiden Banner-Klicken vergeuden ...

Mal ganz offen und ehrlich: Könnte OTR ohne Normal-User, sprich ohne Werbung (über)leben? Also nur von den Premium-Usern leben, die hier oft so hoch gelobt werden?

Können wir Thread schließen? Die Datei avira..xy war offenbar harmlos, die Art der Verbreitung aber trotzdem verboten, drum wurde afaik der Werbepartner gesperrt. Also erstmal Entwarnung. Gruß Werner

@Mods: wenn was dagegen spricht, Thread bitte wieder öffnen, ich fänd aber einen Thread pro Alert übersichtlicher...