Hallo Gemeinde,

nachdem ich in diesem Thread (http://www.rc-raceboats.de/forum/showthread.php?27196-Rettungsboot-mal-anders&p=206626&viewfull=1#post206626) die Probleme beschrieben habe, das leere Werbefenster bei ******.de zu schließen, erschien ein neues Fenster mir der Abfrage:

"Wollen Sie diese Seite wirklich verlassen?"

Alle Tricks, auch dieses Fenster OHNE Anklicken von JA zu verlassen, scheiterten. Mit Affengriff und Abbruch von Firefox verschwand alles und dieser Bildschirm erschien:
http://www.chip.de/ii/1/4/5/8/2/6/1/0/GVU-BSI-Trojaner-Webcam-3d01671f0da5e41c.jpg

Mit ESC verschwand das Zeug jedoch.....

....bis ich 2 Tage später den Rechner zur wöchentlichen Datensicherung neu startete.

Lange Rede, kurzer Sinn: Alle beschriebenen Hinweise von chip.de, Avira und Kasperski haben nicht funktioniert, Panda Antivirus hat nichts bemerkt, Acronis hat kläglich versagt und - ich habe eine neue Festplatte. :bang

Mein Tipp: Sollte jemand die Abfrage "Wollen Sie diese Seite wirklich verlassen?" auf dem Bildschirm sehen, Reset-Taste drücken, neu starten und bei Firefox NICHT die alten Seiten wieder anzeigen lassen, sondern eine neue Sitzung starten.

Sicherheitshalber Systemwiederherstellung auf den Vortag durchführen.

Gruß Hans

muß aber ein Firefox Problem sein....

ich benutze Chrome und habe keinerlei solche Probleme...

mfg, Jörn

muß aber ein Firefox Problem sein....
Hat definitiv nichts mit dem Browser zu tun.
Das erscheint auch nicht bei jeder Werbeeinblendung und ******.de wird das wohl noch gar nicht wissen. :rolleyes:

Gruß Hans

das ist der guv troyaner, hatte ich auch schon.
der lässt sich vom system nur über die registry entfernen ansonsten bleibt er auf dem rechner!

gruß hannes:prost:

Den hatte ich auch schon,konnte ich mit Malwarebytes Anti-Malware entfernen.

Den hatte ich auch schon,konnte ich mit Malwarebytes Anti-Malware entfernen.

Danke für den Hinweis.
Obwohl ich Avira-free installiert habe und
damit regelmäßig die Platte durchsuchen lasse,
hat diese Freeware 2 Trojaner gefunden.

Gruß
Wolfgang

Hallo,

hatte Samstag (29.9.2012) abend das Ding auch drauf.
Norton hatte mich zwar gewarnt, aber ich habe es einfach ignoriert, weil doch der Norten auch sonst alles macht. Aber nicht in diesem Fall :(

Kleine Anleitung, so wie ich ihn runter bekommen habe.

Rechner im abgesicherten Modus mit Netzwerk hochfahren.
Auf chip.de gibt es ein Programm.
http://www.chip.de/downloads/Kaspersky-WindowsUnlocker_54217363.html
das herunterladen und danach auf eine CD brennen.
Rechner runterfahren und danach den Rechner von der gebrannten CD starten.
Dann erscheihnt ein grüner Bildschirm. Auf 1 drücken enter.
Sprache anklicken,Grafikmodus.Lizensbestimmung zustimmen.
Dann rasselt er ein Stück.....anschließend geht so eine Art Linux Oberfläche auf.
Jetzt Softwareupdate machen ca. 200 MB und scannen, dann müßte er den Trojaner finden.Und Löschen.
Rechner runterfahren und normal hochfahren und alles ist gut...:)

Also bei mir hat das so gefunzt und keine Datei hat es beschädigt.

Gruß Hendrik

Hatte selbigen Virus vor ein paar Wochen, über Systemwiederherstellung kann man den Pc erstmal wieder starten und alles Sichern, leider ist somit der Virus an sich nicht behoben. Man sollte also ein oder mehrere Viren Programme rüber laufen lassen, findet keiner was wäre es am bestens das Betriebssystem neu zu installieren.

Problem : Alle Bilder, Filme und Dateien die fremd gehosted werden und deren Hoster auch noch Werbeeinblendungen hat, sind prinzipiell von diesem Problem betroffen.

Ich kann an dieser Stelle nur dafür plädieren, die Bilderhochladefunktion des Forums zu nutzen - denn der Server hier ist garantiert werbefrei und unterliegt laufender Überwachung bezüglich solcher Dinge.

Ich werde jetzt nach und nach betreffende Uploaddienste auf die Zensurliste setzen - insbesondere die, die negativ aufgefallen sind - beginnend mit dem Bilderdienst der In dem betreffenden Thread genutzt wurde. Das verhindert, daß neue Bilder/Links zu diesem Hoster im Forum gespeichert werden können - und auch, daß bereits vorhandene Links zu diesem Dienstleister unterbunden werden und nur die unvollständige Adressen mit "***" eingeblendet werden, die nimmer aufrufbar sind.

Mir liegt euer Schutz am Herzen, deshalb die rigorose Maßnahme.
Sollte also ein von euch eingeblendeter Bilderlink nicht funktionieren, liegt es an der Eintragung in der Zensurliste hier.
Haltet trotzdem weiterhin eure Browser und Antivirenprogramme aktuell !!!

JNR

Mein persönliches Resümee:

Nachdem ich heute von 9:05 bis 14:30 Uhr mit Panda telefoniert habe, ist meine ursprüngliche Platte wieder sauber.
Dass Problem ist, dass diese Malware täglich mit geänderter Struktur aufgespielt wird und somit von keinem Virenschutzprogramm erkannt werden kann - es sei denn, es steht schon mehrere Tage in unveränderter Version auf einem Server.

Schlimmer als die Computersperre ist, dass das Zeug bei vielen Geschädigten vermeintlich beseitigt wurde, tatsächlich aber im Hintergrund weiter werkelt und Dateien verschlüsselt, wodurch erst Tage später das System zerschossen wird - dann aber irreparabel.

Ich schließe Werbefenster nur noch mit Alt+F4.
Funktioniert das nicht, folgen Affengriff, "Firefox beenden" und neuer Kaltstart.

Gruß Hans

Danke für den Hinweis.
Obwohl ich Avira-free installiert habe und
damit regelmäßig die Platte durchsuchen lasse,
hat diese Freeware 2 Trojaner gefunden.

Gruß
Wolfgang

:thx: Wolfgang für deinen Tipp Scanne auch gerade mal meinen Rechner.
VG

Bei mir war,ist alles Ok.
Nur bei meiner Frau waren 11 stück drauf :-(

:thx: Wolfgang für deinen Tipp Scanne auch gerade mal meinen Rechner.
VG

Ich auch!:laugh:

Hi

Hans hast Du es mal mit einer Rescue CD z.B. von Avira probiert?
Ich bekomme öfters Laptops und Rechner die sich was eingefangen haben,
bisher habe ich mit einer CD immer alles wieder weg bekommen....
Die Avira Rescue CD sucht jetzt auch speziell nach schädlichen Autostart Programmen.

Hans hast Du es mal mit einer Rescue CD z.B. von Avira probiert?

Ja, hab ich, Marcus.
Ich habe die HD gescannt mit Avira, Kasperki, Malwarebytes und PandaCloudCleaner.

Alle haben nichts gefunden.

Dann habe ich heute nach Anweisung von Panda zuerst Panda-Unpolice gestartet und anschließend PandaCloudCleaner. Letzterer zeigte 1 Suspicious Policies found.
Jetzt wurde beim Booten CHKDSK aktiv, löschte und ersetzte einige Objekte. Dauerte fast 10 Minuten.
Anschließend habe ich nochmals PandaCloudCleaner gestartet, der nun 2 Einträge fand.

Erst jetzt war die Platte sauber.

Wenn also Malwarebytes, Avira oder sonstwer nichts finden, würde ich mich nicht sorglos zurücklehnen. :rolleyes:

Gruß Hans

Nachdem ich letzte Nacht noch "etwas" im Web gebuddelt habe, hat sich meine Laune von *pleased* auf :bang gewandelt.

Wer wissen möchte, ob die Malware noch immer vorhanden ist, der durchsucht seine Systemplatte nach

wpbt0.dll
otbpw.pad
ctfmon.lnk

Suche muss versteckte und Systemordner / -dateien einschließen!

Wer auch nur eine der Dateien findet, dessen HD ist noch immer befallen.
Das Löschen der Dateien nützt nichts!!!

Alle seriösen Ratgeber sind sich einig, dass man sich dieser Malware einzig durch Neuaufsetzen des Systems entledigen kann = platt machen mit neuem MBR.

Ich werde morgen Panda mit dieser Erkenntnis konfrontieren und die Antwort hier mitteilen.

Frustrierter Gruß
Hans

Ist es egal welches Betriebssystem ich verwende ?

Alle Windows-Versionen. :mad:

Gruß Hans

Ach wie schön das ich nur mit dem Mac online bin :)

entschuldige Hans der musste jetzt sein.

Ach wie schön das ich nur mit dem Mac online bin :)
...
Ist in der Tat etwas sicherer, aber auch abgesehen davon dass ich angesichts des Preisunterschieds verschmerzen kann meine Windowskiste hin und wieder mal neu aufsetzen, mir wärs zu unpraktisch immer mit 2 Rechnern rumhantieren zu müssen.
Die ganze Modellbau Hard- und Software gibts ja nur für Windows (keine Ahnung ob man es evtl. in einer VM zum laufen kriegt).
Außerdem hab ich noch kein 15" MacBooks ohne Schminkspiegel gesehen, außerhalb geschlossener Räume ist ein mattes Display doch klar von Vorteil.

Gruß
Gunnar

Was haltet Ihr von deepfreeze ? Das ist doch quasi bei jedem Neustart alles wie in der Konfiguration bei der man alles einfriert ,ohne lästige Nebenwirkungen die man sich eventuell eingehandelt hat.
http://www.faronics.com/de/enterprise/deep-freeze_de-2/

Ich werde morgen Panda mit dieser Erkenntnis konfrontieren und die Antwort hier mitteilen.
Hat nun doch etwas länger gedauert. :mad:

Panda hat aufgegeben und nicht mehr geantwortet, worauf ich den Vertrag gekündigt habe. http://www.rc-raceboats.de/forum/images/icons/icon13.png

Danach habe ich Malwarebytes Anti-Malware installiert (danke an klusi für den Tipp). Die Jungs haben sich intensiv mit diesem Problem beschäftigt. Mit 22 Euro pro Jahr ist das Zeug auch noch deutlich günstiger als meine vorige Software und die nächsten 4 1/2 jahre sind bereits bezahlt. Nachdem ich einem Online-Händler festgestellte Malware mitgeteilt habe, lag ein Scheck im Briefkasten. :cool:

Gruß Hans

Hallo Miteinander,

benutze seit ca. 2 Jahren AVAST Antivirus (Vollversion), und seitdem ist Schluss
mit Müll aller Art...*pleased*

Bin selbst auch sehr viel im Netz unterwegs, und wenn, kommt sofort eine Warnung.
Wer damit auch positive oder negative Erfahrungen gemacht hat,
kann sich gerne melden.

Hab mal spaßeshalber mit Malwarebytes einen Quick-Scan vor ca. 5min. gemacht, 6,5min. Laufzeit.

Anzeige: Infizierte Objekte 1

Danach "anzeigen lassen", und es war eine kleine online free exe: "Resistor Color and SMD Coder"--1,54 MB ??

Erst einmal nicht gelöscht, Malwarebytes geschlossen, neu geöffnet und noch einmal Quick-Scan.

Anzeige: Infizierte Objekte 0 --??

Auch gut...


Viele Grüsse,

Dietmar

Wir setzten ja komplett auf Sophos, das ist leider für den privatmann fast unbezahlbar, aber unsere Uni tellt dass ja.
Das erste Virenprogramm was nicht nervt und einfach mal so arbeitet wie es soll.

Wir setzten ja komplett auf Sophos, das ist leider für den privatmann fast unbezahlbar, aber unsere Uni tellt dass ja.
Das erste Virenprogramm was nicht nervt und einfach mal so arbeitet wie es soll.

Hallo px1fan,

hast Du wohl recht, kann sich kein Privatmann leisten.
Aber eine Firma, welche ständig andere zum eigenen Profil passend aufkauft,
muss dass Ganze ja wieder irgendwie refinanzieren, siehe "Wikipedia-News"...;)

"Too Big to Fail"...:cool:


Viele Grüsse,

Dietmar