Wer will an mein "eBay-Kennwort" ?

Seit einigen Tagen bekomme ich beim Aufruf einer neuen Adresse im IE 6.0 eine ZoneAlarm-Warnmeldung! ID-Schutz-Warnung.:

Soll das Senden eines unverschlüsselten Kennworts an
(Zum Beispiel) www.faz.net erlaubt sein?
Technische Informationen
ZieH-P: 193.227.146.1
Anwendung: IEXPLORE.EXE
Version: 6.002800.1106 (xpsp1.020828-1920)
Weitere Informationen
Internet Explorer versucht, eBay-Kennwort an
www.faz.net zu senden.

Die Adresse und die HP sind natürlich austauschbar.
Sogar pop.gmx.net mit der Anwendung msimn.exe
Es scheint kein IE6.0 -Problem zu sein,
denn auch unter OPERA passiert es.
Wenn ich dann die Warnmeldung von ZoneAlarm mehrmals.... mit nein bestätigt habe, hört das meist auf, aber nur dann bei dieser Adresse, = Neue Adresse, neue Meldung.

Ad-aware 6 und Spybot - Search & Destroy habe ich laufen lassen und hat auch einiges zu Tage gefördert, was ich dann bearbeitet habe.
Ich hab das Gefühl, Es ist kein Angriff von außen, sondern ein Programm, welches mich ärgern will.

Wer kennt sich aus mit dieser Materie und hat Erfahrung.

rogani123 schrieb:

Ad-aware 6 und Spybot - Search & Destroy habe ich laufen lassen und hat auch einiges zu Tage gefördert, was ich dann bearbeitet habe.

Zum Vergrößern anklicken....

Und was?

das fällt unter das sogenannte password-phishing, eine neue illegale masche um an passwörter von banken, e-bay etc. zu kommen. frag mal bei e-bay nach, über welchen weg die die passwörter neu anfordern, mit sicherheit nicht unverschlüsselt über e-mail oder link eines dritt-anbieters. hier eine interressante seite zum thema phishing

http://anti-phishing.org/

greetz

hugo

Hallo PCDSmartie!
Also das tut mir leid, gerkt habe ich mir das nicht. Legen diese o.g. Programme irgendwo Adressen ab, was sie entfernt haben, ich weiß es nicht.
Beide Programme haben Einträge in der Registry entfernt, einer war dabei , regelrecht als Dialer angegeben mit einem blinkenden Käfer.
Habe jetzt eBay angemailt mit Stellungnahme. Mal sehn was die sagen.

Spybot -> Wiederherstellen -> da sieht mans ausgegraut

Ad-Aware -> Quarantäneliste öffnen

Adaware hat 18 Objekte in Quarantäne gelegt

ArchiveData(auto-quarantine- 19-04-2004 11-01-26.bckp)
======================================================

STARINSTALL(MAINPEAN)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[0]=RegKey : ACTIVEXDOWNLOAD.ActiveXDownloadCtrl.1
obj[1]=RegKey : CLSID\{D037F883-92C3-4F89-A302-C01127CF3C72}
obj[2]=RegKey : CLSID\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}
obj[4]=RegKey : Interface\{B0CE21C5-6A79-45B7-AB9C-0008E75F2DBF}
obj[5]=RegKey : Interface\{CD6B926C-903F-46A4-9C7D-F3839F081788}
obj[7]=RegKey : SOFTWARE\Microsoft\Code Store Database\Distribution

Units\{E0B795B4-FD95-4ABD-A375-27962EFCE8CF}
obj[10]=RegKey : TypeLib\{A30B0BEB-A992-4E4B-AF6E-EB9019C3E540}

SUNINFOCONNECT
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[3]=RegKey : CLSID\{e44151c8-0c6c-4a7d-b677-4fcc9552e957}

DIALER
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[6]=RegKey : SOFTWARE\MainPean Highspeed

ALEXA
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[8]=RegKey : SOFTWARE\Microsoft\Internet

Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

WEBDIALER
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[9]=RegKey : SOFTWARE\WebDialer

TRACKING COOKIE
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
obj[11]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf

[email protected][1].txt
obj[12]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf gass@adtech[1].txt
obj[13]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf

[email protected][1].txt
obj[14]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf

gass@doubleclick[2].txt
obj[15]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf

gass@mediaplex[2].txt
obj[16]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf

gass@tribalfusion[1].txt
obj[17]=File : c:\dokumente und einstellungen\rolf gass\cookies\rolf

gass@valueclick[2].txt
++++++++++++++++++++++++++++++++++++++++++++++++++++++
Spybot: Leider kann ich die Liste nicht kopieren!

1. Viele Cookies
2. Alexa Related: What's related link
Avenue A, Inc
2x Cydoor: Cache for ads
DCON: Executable
4x DialerActiveX Class, Class ID, Libraty, Typelib
DoubleClick Cookie
10x DSO Exploit: Data source object exploit
MainPean Global settings
9x SunInfo Connect
ValueClick Cookie
WebDialer Settings
4x Windows Media Player Client ID

Das ist es in groben Zügen

Ebay rät zur Änderung des Zugang-Passwortes. Aber die laufenden Meldungen
zur Sendung des eBay-Passwortes, besonders an microsoft.com kann ich aber nirgends abschalten.

Hallo! Noch immer fordert irgendein Programm die Übertragung meines eBay-Passwortes. Zum Glück wird das von ZoneAlarm abgeblockt. Am 30.4. hatte ich schon mal diese Diskusion begonnen, aber helfen konnte mir noch keiner. Alle möglichen Programme konnten mir nicht helfen und haben keine diesbezügliche Programme gefunden. AdAware, Spybot - Search & Destroy, PestPatrol, HijackThis......
Frage: Kann man in der Zonealarm Log-Datei diese Anfragen erkennen, und woran?

Vielleicht könntest Du über die Suchfunktion nach dieser Datei suchen. Einen charakteristischen Begriff aus der Anforderung für das Passwort oder der Meldung von Zonealarm eingeben. Vielleicht wirst Du damit fündig.
gruss clasaf

Mit der Meldung von Zonealarm: Soll das Senden eines unverschlüsselten Kennworts an.....................
ist keine Suchfunktion zu verknüpfen. Bei den Einzelheiten heißt es: ZoneAlarm erkannte einen Versuch, Ihr EBay-Kennwort an eine Remote-Site zu senden und weiter unten: Prüfen Sie das Programm Internet Explorer (Dateiname IEXPLORE.EXE), das versucht, Ihre Informationen zu senden. Dieses Programm ist möglicherweise ein Spyware-Programm, das versucht, Ihre persönlichen Informationen zu stehlen. Was kann man davon halten???
Grüße aus Osthessen
rogani

Und auf welcher Internetseite bist du gerade, wenn eine solche Meldung erscheint?

Wenn der IE als Programm genannt wird, sieht mir das auch als direkten Zugriff eine Site aus, wie wohl auch Al Bundy vermutet.
Versuche vielleicht mal einen Alternativ-Browser (Mozilla, Opera). Wäre interessant zu wissen, ob das Problem dort auch auftritt.
gruss clasaf

Wichtiger wär es erstmal die Seite zu identifizieren um evtl. etwas in deren Quellcode zu finden.

Hallo. Ich hab das ganze nochmals durchprobiert. Manchmal muß ich die Frage von ZoneAlarm 3 bis 4 x mit nein wegklicken und dann kommt sie meist auch nicht mehr, jedenfalls bei der momentanen Sitzung. aber jede neue Adresse, die ich bestimmt noch nicht angewählt habe, bringt sofort eine Frage von ZoneAlarm. Nicht nur beim IE 6.0, auch bei Opera.

Habe jetzt mal Symantec Security Check durchlaufen lassen und nachfolgende Meldung bekommen.

67304 Dateien geprüft 6 infizierte Datei(en) auf Ihren Laufwerken.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security durch.

Es wurden keine Viren im Arbeitsspeicher gefunden.

Die Prüfung wurde vorzeitig abgebrochen. Um die Prüfung erneut zu starten, klicken Sie hier.

Ihr Computer ist frei von bekannten Viren und Trojanischen Pferden. Die Virenerkennung prüft keine komprimierten Dateien

Ihr Computer scheint derzeit sicher zu sein. Um Ihren Computer vor Viren, Hackern und Übergriffen auf vertrauliche Daten zu schützen, führen Sie ein Upgrade auf Norton Internet Security durch.

Warnung! Die Virenprüfung hat einen in Ihrem Arbeitsspeicher aktiven Virus entdeckt.
Die Prüfung wurde beendet, um eine weitere Infektion zu verhindern.

Fahren Sie Ihren Computer sofort herunter und starten Sie ihn mit einer Antiviren-Rettungsdiskette oder einem ähnlichen Tool.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.


Es wurden keine Viren im Arbeitsspeicher gefunden.

Ihr Computer ist mit mindestens einem bekannten Virus oder Trojanischen Pferd infiziert.

Hinweis: Die Prüfung wurde abgebrochen, bevor sie abgeschlossen war. Es können sich weitere infizierte Dateien auf diesem Computer befinden.

Suchen Sie auf der Symantec Security Response Site nach dem Namen der unten aufgelisteten Viren, um Hinweise zum Entfernen dieser Viren zu erhalten.


Es wurde keine Prüfung durchgeführt. Um die Virenerkennung zu starten, klicken Sie hier.

C:\WINDOWS\system32\ntrootkit.reg ist infiziert mit Backdoor.Rtkit
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPAB0LM3\ntrootkit[1].reg ist infiziert mit Backdoor.Rtkit
C:\Dokumente und Einstellungen\Local*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9IZC32J\update[1].txt ist infiziert mit W32.HLLW.Raleka
C:\Dokumente und Einstellungen\Local*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FCL0HL3C\update[1].txt ist infiziert mit W32.HLLW.Raleka
C:\Dokumente und Einstellungen\Local*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8A8WSER8\ntrootkit[1].reg ist infiziert mit Backdoor.Rtkit
C:\Dokumente und Einstellungen\Local*******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8A8WSER8\ntrootkit[2].reg ist infiziert mit Backdoor.Rtkit

Die Temp. Internet files (sind höchstens 4 Tage alt) ist kein Problem, aber darf ich die erste, die Reg-Datei einfach löschen?

Na da hast du ja das Problem. Die reg Datei löschen wird es bestimmt nicht lösen, das sie ja auch veränderungen in der Registry durchführt.

Lies mal hier: Klick

Hallo.
Ich hoffe, das Problem gefunden und gelöst zu haben.
Symantec Security Check hat den Wurm: Releka und das Backdoor: Rtkit gefunden. Bei der Sicherheits-CD von Micosoft von 02.2004 war die Internet Evaluierungs-CD mit F-Secure. Dieses Programm hat die gleichen Probleme entdeckt und gleich beseitigt. Nun scheint alles roger zu sein.
Danke an alle die mich unterstützt haben.
Hallo, zu früh gefreud. Noch immer popt die Meldung auf, keine Fehler mehr gefunden und weiterhin keine Ahnung.........

Deswegen würde ich zumindest das Ebay Kennwort trotzdem ändern.

Einige Programme, besonders Backdoorprogramme interessiert es überhaupt nicht, ob du bei ZA auf Ja oder Nein klickst, den sie haben ihre Arbeit bereits verichtet wenn die ZA Meldung aufpoppt!