[Scanis Sartor]

Hallo zusammen.

Ich sitze grad am Rechner meiner Freundin und bin grad etwas ratlos. (Ist Home premium Vista)
Sie hat sich laut ihrer aussage irgendwas ausm netz runtergeladen (mp3) und seitdem kommt ne etwas merkwürdige Meldung die ich so auch noch nicht gesehen habe.

Diese meldung kommt kurz nach dem start des systems. Also direkt nach der eingabe des Benutzerpasswortes:
__________________________________________________
_
ERROR : Browser Security and Antiadware Software component license exprited!

Surfing PORN, ADULT and some other kind of sites you like without this software is dangerows and threatens with infection of your computer by harmful viruses, adware, spyware, etc... You strongly need to update your software to avoid infection and losting information from your computer. Please complete procedure of software update;

NOTE: Downloading via Public Channel. You can activate VIP channel. Estimated download time via Private Channel : 35 seconds. Click here to activate it right now.
Failed (Too many connections). Retrying...
Public channel
Private Channel: Waiting for license activation
Click to activate new license Private Channel
Download time after activation: 35 seconds.
__________________________________________________
_

Das ganze ist visuell so aufgebaut, dass man glauben kann es ist eine vista eigene fehlermeldung. Nur wirkt das ganze auf mich nicht so. eher wie ein geschickter werbebanner. "KLICK HIER!!!" so in etwa.

Dazu kommt noch, dass der Desktop bereits geladen ist und die icons zumindest kurz zu sehen sind bevor dieses dumme fenster auftaucht. (Erst ein schwarzes mit nem "Jetzt beheben" button oder ähnlichem textlaut.

Nun ja, ich bin grad an diesem rechner online. Denn die meldungen sind mit dem taskmanager (Und nur damit) zu beseitigen und dann liegt dahinter der desktop und alles funktioniert problemlos. (Im Task manager heißt das schwarze fenster nur "None" Und beide fenster die aussehen als wären sie flächendeckend über dem ganzen schirm sind nur IE browserfenster die auf vollbild gestellt sind.

Ich hab bis jetzt mal Spybot search & destroy laufen lassen (30 einträge oder so gefunden und gelöscht) Und avira antivir voll upgedated.
Ich hab alle Autostart einträge gekillt, nachgesehen welche software installiert wurde... etc. nichts gefunden.

Doch ich kann mir weiterhin nicht vorstellen das dies eine authentische windows meldung ist. Wenn doch, dann wüsst ich nur noch die möglichkeit, dass ihr key irgendwie auf deren blacklist geraten ist, doch das wäre eine andere meldung glaub ich und außerdem könnte sie den rechner dann gar nicht mehr benutzen. oder? (Ist übrigens natürlich eine orginalversion - OEM um genau zu sein vom MediMax Markt.)

Hoffe es kann uns einer helfen.

Vielen Dank, Scanis

[Urne]

Mach doch mal einen Screenshot der Meldung und ein Hijackthis Logfile.

[Scanis Sartor]

Hier sind die screenshots. Das kommt kurz nach der Eingabe des passwortes und der Desktop lädt vorher erst. (Wie gesagt)
Der Schwarze kommt zuerst

Angehängte Miniaturbilder

• 
• 

Angehängte Datei(en)

•  logfile.txt (7,57K)
  Anzahl der Downloads: 401

[Urne]

Na da hast Du Dir aber was nettes auf den Rechner geholt, bzw. die Freundin. Ich weiß zwar nicht, ob das nun sehr gefählich ist, aber ich tät zum neuaufsetzen raten.

[Scanis Sartor]

Ja, sowas hatte ich schon befürchtet.
Sie wird dann jetzt ihre Daten mal runterbrennen und ich formatiere das teil dann mal. (hab ich unter vista bis jetzt noch nie ^^ wird bestimmt lustig)

Auf jeden fall danke ich (wir) dir.

Greets, Scanis

[rubberduck]

Zitat (Urne: 23.12.2007, 16:22)

Na da hast Du Dir aber was nettes auf den Rechner geholt, bzw. die Freundin. Ich weiß zwar nicht, ob das nun sehr gefählich ist, aber ich tät zum neuaufsetzen raten.

Hallo,
Hätte nicht gedacht daß so eine Antwort von dir kommt. Da schaut man doch erstmal z. Bsp. bei Google was die Seite som "ausspuckt". Und Siehe da, das ist das Ergebnis:

http://www.backdoor-...?module=support

Nun handelt es sich hier nicht unbedingt um einen Schädling, nistet sich aber ungefragt als Beiwerk zu dem gewünschten Download ein. Es sollte daher kein gr. Problem darstellen diesen auch wieder aus dem System entfernen zu können. (Systemsteuerung-> Programme und Funktionen)
Ein neuaufsetzen des Systems ist nicht zwingende erforderlich, nur sollte man auch nach der Entfernung den Virenscanner und ein Spywaretool benutzen um auch evtl. Reste zu Entfernen.

MfG rubberduck

[Urne]

Ich hatte nur nach den Screenshots geurteilt und da der Threadersteller das Ding so rein garnicht zuordnen konnte und es haufenweise derartiges Zeug gibt, war das mein Rat. Ob das nun wirklich harmlos ist entzieht sich da meiner Kenntnis, schrieb ich ja auch. Die meisten sinds eben nicht so gänzlich, sondern suggerieren Sicherheit und bewirken letzendlich ganz was anderes.

[TimeTurn]

Habe diesen Thread per Zufall entdeckt...

Muß aber leider zustimmen: Mach Platt die Kiste, alles andere ist zu unsicher! "nur ein MP3" war das mit Sicherheit nicht, das kann mir Deine Freundin nich erzählen. Das sieht mir nach Badware aus, aber ziemlich sicher.

im HijackThis Log fällt mir folgendes auf - am besten mal bei http://www.virustotal.com/ oder http://virusscan.jotti.org/ hochladen die EXE-Files und scannen lassen. Zwar ist Antivir ein recht guter Scanner (nur durch die Werbung ist der mir zu nervig, nutze daher den etwas schlechteren AVG), aber wenn es sich dabei um Betrugsprogramme handelt, die einen Weismachen, man habe Viren o.ä. auf dem Rechner (siehe aktuelle c't, da ist ein schöner Bericht dazu drin), wird diese vermutlich nicht erkannt.

O4 - HKLM\..\Run: [License] locker.exe

Check den mal, der sacht mir nix. Kann harmlos sein, aber ich würde mich nicht darauf verlassen. Bügeln die Kiste, besser heute als morgen (naja, da kurz vor 0 Uhr, besser morgen als übermorgen)

Die Screenshots sehen so aus, als währe das irgend was vom Windows Defender - da der aber wohl kaum in Englisch ist, dürfte das eher ein Fake sein, der einen genau das denken machen will.

PS: wann stellt mal einer die uhr in diesem Forum auf Winterzeit um?

Dieser Beitrag wurde von TimeTurn bearbeitet: 23. Dezember 2007 - 23:56

[Scanis Sartor]

jo, ich sitz grad wieder hier dran. ;-)

Danke für eure Antworten.

Der Backdoor guard hat keine sachen festgestellt.
Wer jetzt mal die software liste von allem bereinigen was nach völlig sinnlosen shareware proggis aussieht. ^^

Mit dem neu aufsetzen wird lustig.. Ich hab zuhause ja eine einzeln gekaufte vollständige vista cd. Aber ich seh hier grad, dass die cd von ihr anscheinend nur eine "Operating system recovery dvd ist. Hmm, na, dürfte dennoch klappen, denk ich mal :-P

Thx, Scanis

[Scanis Sartor]

So, läuft übrigens jetzt alles wieder.

Ich hab zwar unter programme nichts installiertes gefunden was dort nicht sein sollte, doch nachdem ich mal über den taskmanager herausbekommen hab welche datei das ist konnte ich mit der suche den ordner und demnach auch das datum der installierten dateien finden.

Also hab ich mir alle dateien anzeigen lassen die an exakt diesem tag erstellt worden sind und konnte so herausbekommen welche dateien zum schädling/popup-trick gehören.

Greets, Scanis

[Stefan_der_held]

Zitat (Scanis Sartor: 02.01.2008, 11:09)

Ich hab zwar unter programme nichts installiertes gefunden was dort nicht sein sollte, doch nachdem ich mal über den taskmanager herausbekommen hab welche datei das ist konnte ich mit der suche den ordner und demnach auch das datum der installierten dateien finden.

Naja wenn dort was stehen würde hättest du nen reichlich beschhheidenen Coder gehabt (nurmal so ganz nebenbei)

Zitat

Also hab ich mir alle dateien anzeigen lassen die an exakt diesem tag erstellt worden sind und konnte so herausbekommen welche dateien zum schädling/popup-trick gehören.

da würde ich mich generell nicht drauf verlassen...... was machst du wenn von mal-zu-mal eine kopie erstellt wurde (nenes Datum) oder du eine "Kopie" geöffnet hast... unsicher sowas

Kann bei sowas Urne nur beifplichten... sichere deine Dateien und setze Windows neu auf... Um sowas demnächst versuchen zu vermeiden, deaktiviere Scriptsprachen (am besten mit nen Browser PlugIn, denn so kannst du ggf noch Scripte für bestimmte Sites erlauben denen DU vertraust was beim plumpen Deaktivieren/Aktivieren durch Browserfunktionen idR nicht möglich ist)