- #1
N
Nobbi2
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 23.11.2003
- Beiträge
- 53
- Reaktionspunkte
- 0
Hallo,
ich hätte eine Frage zu einem etwas seltsamen Systemverhalten nach einer Beinahe-Infektion mit einigen Trojanern.
Vor zwei Tagen ist mir folgendes passiert: Nachdem ich im Internet Explorer auf einen Download-Link geklickt habe, ging eine neue Seite auf. Nach ein paar Sekunden ging eine Download-Anfrage auf und ich habe aus Versehen auf Öffnen geklickt, weil ich eigentlich mit einem ZIP-Archiv gerechnet hatte. Im letzten Moment sah ich dann, daß da ein Programm namens loader.exe runtergeladen wurde, aber da war's schon zu spät.
Zum Glück sprang F-Secure Antivirus sofort an und hat die Infektion mit einer ganzen Latte Trojaner und Spyware (hoffentlich) erfolgreich verhindert. Danach meldete sich auch Win XP (Professional, SP1) mit einer Warnug vor einer Spyware-Infektion. Da war ich aber schon dabei, die infizierten Dateien vom Virenscanner löschen zu lassen und nach einem Reboot war die Meldung weg.
Gleich nach dem Download meldete FritzWebProtect, daß sich ein Programm namens C:\loader.exe ins Internet verbinden will, was ich natürlich nicht zugelassen habe. Ich habe C:\loader.exe dann von Hand gelöscht (wurde bei einem manuellen Scan nicht als Virus identifiziert).
Jetzt zu meinem Restproblem mit dieser Beinahe-Infektion: Bis jetzt kann ich keine sichtbaren Auswirkungen entdecken. Alles scheint normal zu funktionieren, bis auf eines:
Nennt mich verrückt, aber ich habe aus Neugier und Forscherdrang nochmal auf den betreffenden Link geklickt und diesmal natürlich den Download abgebrochen. Doch siehe da, FritzWebProtect meldete wieder, daß sich C:\loader.exe ins Internet verbinden will. Aber das Programm hatte ich doch gelöscht! Nachdem ich diesen Zugriff wieder unterbunden habe, hat sich der Internet Explorer beendet. Tatsächlich war das Programm loader.exe wieder auf C:\vorhanden, obwohl ich nichts runtergeladen hatte und sowohl Javascript als auch ActiveX deaktiviert waren (das war übrigens schon beim ersten Zugriff so).
Jetzt war mein Forschergeist endgültig geweckt und ich habe es nochmal probiert, aber vorher habe ich eine leere Textdatei namens loader.exe auf C:\ erzeugt und mit einem Schreibschutz versehen. Diesmal wurde der Internet Explorer sofort kommentarlos beendet, wohl weil der Virus(?) sich nicht auf die Platte schreiben konnte.
Frage: Wo kam dieses Programm loader.exe wieder her? Gibt es da einen versteckten Mechanismus im Internet Explorer, der den Download von Dateien zuläßt, ohne den Benutzer vorher zu fragen, obwohl alle Automatismen deaktiviert sind? Oder habe ich doch noch irgendwo einen unerkannten Virus liegen? Ich nehme doch nicht an, daß loader.exe irgendein normales Systemprogramm ist? Und wie kann es sein, daß nur durch einen Klick auf einen Hyperlink diese Datei wieder nach C: kopiert und ausgeführt wird? Im Internet konnte ich zu diesem Programm nichts finden, was meine Symptome beschreibt.
Übrigens wurden von F-Secure folgende Infektionen gemeldet:
Malicious code found in file C:\WINDOWS\KL.EXE.
Infection: Backdoor.Win32.Haxdoor.de
Malicious code found in file C:\WINDOWS\SYSTEM32\TIBS.EXE.
Infection: Trojan-Downloader.Win32.Delf.dg
Malicious code found in file C:\WINDOWS\SYSTEM32\PAYTIME.EXE.
Infection: Trojan.Win32.Startpage.zl
Malicious code found in file C:\WINDOWS\SYSTEM32\PAYDIAL.EXE.
Infection: Trojan.Win32.Dialer.gd
Malicious code found in file C:\WINDOWS\SYSTEM32\NEWDIAL.EXE.
Infection: Trojan-Dropper.Win32.Agent.my
Malicious code found in file C:\WINDOWS\HOSTS.
Infection: Trojan.Win32.Qhost.k
Malicious code found in file C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS.
Infection: Trojan.Win32.Qhost.k
Malicious code found in file C:\WINDOWS\MS1.EXE.
Infection: Trojan-Downloader.Win32.Agent.ho
Malicious code found in file C:\WINDOWS\MS2.EXE.
Infection: Trojan-Dropper.Win32.Microjoin.u
Etwas Sorgen macht mir noch die Datei C:\WINDOWS\system32drivers\etc\hosts. Ich habe ja alle infizierten Dateien löschen lassen und jetzt ist diese natürlich auch weg. Welche Auswirkungen könnte das haben?
ich hätte eine Frage zu einem etwas seltsamen Systemverhalten nach einer Beinahe-Infektion mit einigen Trojanern.
Vor zwei Tagen ist mir folgendes passiert: Nachdem ich im Internet Explorer auf einen Download-Link geklickt habe, ging eine neue Seite auf. Nach ein paar Sekunden ging eine Download-Anfrage auf und ich habe aus Versehen auf Öffnen geklickt, weil ich eigentlich mit einem ZIP-Archiv gerechnet hatte. Im letzten Moment sah ich dann, daß da ein Programm namens loader.exe runtergeladen wurde, aber da war's schon zu spät.
Zum Glück sprang F-Secure Antivirus sofort an und hat die Infektion mit einer ganzen Latte Trojaner und Spyware (hoffentlich) erfolgreich verhindert. Danach meldete sich auch Win XP (Professional, SP1) mit einer Warnug vor einer Spyware-Infektion. Da war ich aber schon dabei, die infizierten Dateien vom Virenscanner löschen zu lassen und nach einem Reboot war die Meldung weg.
Gleich nach dem Download meldete FritzWebProtect, daß sich ein Programm namens C:\loader.exe ins Internet verbinden will, was ich natürlich nicht zugelassen habe. Ich habe C:\loader.exe dann von Hand gelöscht (wurde bei einem manuellen Scan nicht als Virus identifiziert).
Jetzt zu meinem Restproblem mit dieser Beinahe-Infektion: Bis jetzt kann ich keine sichtbaren Auswirkungen entdecken. Alles scheint normal zu funktionieren, bis auf eines:
Nennt mich verrückt, aber ich habe aus Neugier und Forscherdrang nochmal auf den betreffenden Link geklickt und diesmal natürlich den Download abgebrochen. Doch siehe da, FritzWebProtect meldete wieder, daß sich C:\loader.exe ins Internet verbinden will. Aber das Programm hatte ich doch gelöscht! Nachdem ich diesen Zugriff wieder unterbunden habe, hat sich der Internet Explorer beendet. Tatsächlich war das Programm loader.exe wieder auf C:\vorhanden, obwohl ich nichts runtergeladen hatte und sowohl Javascript als auch ActiveX deaktiviert waren (das war übrigens schon beim ersten Zugriff so).
Jetzt war mein Forschergeist endgültig geweckt und ich habe es nochmal probiert, aber vorher habe ich eine leere Textdatei namens loader.exe auf C:\ erzeugt und mit einem Schreibschutz versehen. Diesmal wurde der Internet Explorer sofort kommentarlos beendet, wohl weil der Virus(?) sich nicht auf die Platte schreiben konnte.
Frage: Wo kam dieses Programm loader.exe wieder her? Gibt es da einen versteckten Mechanismus im Internet Explorer, der den Download von Dateien zuläßt, ohne den Benutzer vorher zu fragen, obwohl alle Automatismen deaktiviert sind? Oder habe ich doch noch irgendwo einen unerkannten Virus liegen? Ich nehme doch nicht an, daß loader.exe irgendein normales Systemprogramm ist? Und wie kann es sein, daß nur durch einen Klick auf einen Hyperlink diese Datei wieder nach C: kopiert und ausgeführt wird? Im Internet konnte ich zu diesem Programm nichts finden, was meine Symptome beschreibt.
Übrigens wurden von F-Secure folgende Infektionen gemeldet:
Malicious code found in file C:\WINDOWS\KL.EXE.
Infection: Backdoor.Win32.Haxdoor.de
Malicious code found in file C:\WINDOWS\SYSTEM32\TIBS.EXE.
Infection: Trojan-Downloader.Win32.Delf.dg
Malicious code found in file C:\WINDOWS\SYSTEM32\PAYTIME.EXE.
Infection: Trojan.Win32.Startpage.zl
Malicious code found in file C:\WINDOWS\SYSTEM32\PAYDIAL.EXE.
Infection: Trojan.Win32.Dialer.gd
Malicious code found in file C:\WINDOWS\SYSTEM32\NEWDIAL.EXE.
Infection: Trojan-Dropper.Win32.Agent.my
Malicious code found in file C:\WINDOWS\HOSTS.
Infection: Trojan.Win32.Qhost.k
Malicious code found in file C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS.
Infection: Trojan.Win32.Qhost.k
Malicious code found in file C:\WINDOWS\MS1.EXE.
Infection: Trojan-Downloader.Win32.Agent.ho
Malicious code found in file C:\WINDOWS\MS2.EXE.
Infection: Trojan-Dropper.Win32.Microjoin.u
Etwas Sorgen macht mir noch die Datei C:\WINDOWS\system32drivers\etc\hosts. Ich habe ja alle infizierten Dateien löschen lassen und jetzt ist diese natürlich auch weg. Welche Auswirkungen könnte das haben?