Adware: was nun?

Internet Internet Sicherheit
#1

Hallo Allerseits,

Bei mir hat sich scheinbar trotz installiertem Norton Antivirus eine Adware eingeschlichen, es gehen ab und zu unvermittelt Internet Explorer mit irgendwelchen Websites auf (normal verwende ich Firefox, deswegen ist es sehr auffällig).

Ad-Aware und Spyware Doctor haben zwar jeweils verschiedenste Dinge gefunden und entfernt, hat aber nichts genutzt, die Seiten gehen immer noch auf.

Hat jemand eine Idee was ich noch versuchen kann, ohne das System neu zu installieren?

Schöne Grüsse, Robert

PS: Ich arbeite unter Windows Vista 64.

#2

Zu dem Thema noch, die Seiten die aufgehen sind grössenteils von bekannten Firmen wie Otto. In den URLs sind da Identifkatoren die vermutlich in irgendeiner Form auf den Versender der Adware hinweisen, damit der dann von Otto kassieren kann.

Gibt es da eine Möglichkeit das über diese Firmen zu spielen um an diese Leuter heranzukommen?

Nur mal so aus Interesse … :smile:

Schöne Grüsse, Robert

#3

Bei mir hat sich scheinbar trotz installiertem Norton
Antivirus eine Adware eingeschlichen,

Ein Virenscanner schützt nun mal nicht zuverlässig vor Viren und kann dies auch gar nicht. Du hast vermutlich irgendwann selbst den Viren Tür und Tor geöffnet, in dem du entweder irgendwelche Sicherheitsupdates nicht installiert hast oder dir die Dinger selbst unwissentlich installiert hast.

Hat jemand eine Idee was ich noch versuchen kann, ohne das
System neu zu installieren?

Vielleicht solltest du uns überhaupt erstmal sagen, welche Schadsoftware du dir eingefangen hast (genaue Bezeichnung und Version, Fundort usw) und welches Programm das wann gemeldet hat (detailierte Fehlermeldung).

Oder sollen wir raten, was du auf deinem Rechner hast und dir dann irgendwelche Tipps geben, die vielleicht stimmen oder eben auch nicht?

#4

Gibt es da eine Möglichkeit das über diese Firmen zu spielen
um an diese Leuter heranzukommen?

Kaum. Erstens ruft der sicher nicht direkt die Otto-Seite auf, sondern er ruft sie mittels eines Werbevertriebs auf, wie Doubleclick, Adlink, etc.

Das heißt, dass du erstmal den Werbevertrieb dazu bringen müsstest, dass er dir verrät, wer sich hinter der besagten ID verbirgt. Das wird er normal nicht freiwillig tun. Angenommen du schaffst es trotzdem irgendwie, dann hat du vermutlich die Adresse irgendeiner Briefkasten-Firma in China, Guatemala oder sonst irgendwo. Dort müsstest du dann erstmal Strafanzeige stellen, was aber zu nichts führt, weil sich der Betreiber dort entweder nicht strafbar gemacht hat oder weil die Behörden korrupt sind usw usf…

Also langer Rede kurzer Sinn:
Nein, das ist nicht möglich.

#5

Hallo Deconstruct,

Danke für deine Antwort.

Ein Virenscanner schützt nun mal nicht zuverlässig vor Viren
und kann dies auch gar nicht. Du hast vermutlich irgendwann
selbst den Viren Tür und Tor geöffnet, in dem du entweder
irgendwelche Sicherheitsupdates nicht installiert hast oder
dir die Dinger selbst unwissentlich installiert hast.

Hmmm, also ich verwende Windows Vista mit aktiviertem Auto-Update, es sollten also verfügbare Sicherheitsupdates recht schnell installiert werden. Ich bin auch hinter einer NAT-Firewall, also könnte da von aussen ohne mein Zutun nicht so leicht etwas reinkommen. Und gerade bei den Dingen die ich mir selber bewusst reinhole hatte ich eigentlich gedacht, dass der Norton greifen sollte, also wenn ich z. B. eine Datei aus dubiosen Quellen runterlade und ausführe. Aber vielleicht habe ich da Norton überschätzt und mich zu sicher gefühlt.

Vielleicht solltest du uns überhaupt erstmal sagen, welche
Schadsoftware du dir eingefangen hast (genaue Bezeichnung und
Version, Fundort usw) und welches Programm das wann gemeldet
hat (detailierte Fehlermeldung).

Sorry, hatte gedacht, dass die bereits entfernten wohl keine so grosse Rolle spielen.

Also Ad-Aware hat folgendes gefunden und entfernt:
Win32TrojanDownloaderAgent (c:\users\AppData\Roaming\nidle\nidle.exe)

Spyware Doctor hat folgendes gefunden und entfernt:
Trojan.Adclicker (Also known as: Adware.Hiu.c AdWare.Win32.Agent.ak [Kaspersky] AdWare.Win32.Age)

Nachdem es trotzdem nicht weg war hab ich gestern noch auf eigene Faust in msconfig.exe geschaut und dort verdächtige Einträge gefunden:
Startup Item: SfKg6wIPuSpdc
Command: c:\users\AppData\Roaming\Microsoft\Windows\cuapnle.exe
Startup Item: digifast Application
Command: c:\users\AppData\Roaming\digifast\digifast.exe

Über die erste Datei habe ich im Internet nichts gefunden, die zweite scheint aber sicher ein Trojaner zu sein. Hab mal beide deaktiviert und jetzt ist zumindest nach einigen Stunden Verwendung noch keine Werbung gekommen. War vorher aber auch nicht so regelmässig, also muss ich wohl noch ein bisschen warten bis ich sicher sein kann, dass es das war.

Schöne Grüsse, Robert

#6

hey,

Also Ad-Aware hat folgendes gefunden und entfernt:

Eine Entfernung hilft zumeisst insofern nichts, weil sich diese Dateien aus der Systemwiederherstellung wieder zurückspielen.

Also wenn es überhaupt möglich ist diese zu entfernen, dann muss entweder zusätzlich der Systemwiederherstellungsordner gereinigt werden (nur bei XP-pro möglich), oder die Systemwiederherstellung muss deaktiviert werden um ein Zurückspielen nach der Reinigung zu verhindern.

Windows verwendet zusätzlich den Ordner „dllcache“ dafür „unbeabsichtigt“ gelöschte „Systemdateien“ wiederherzustellen. Auch darin verstecken sich solche Schädlinge gerne (C:\WINDOWS\system32\dllcache).

lg,
fred

#7

Hmmm, also ich verwende Windows Vista mit aktiviertem
Auto-Update, es sollten also verfügbare Sicherheitsupdates
recht schnell installiert werden.

Das ist aber nur die halbe Miete. Auch dein Browser, dein Mail-Programm, der Adobe Reader, dein Media-Player der Adobe Flash-Player usw müssten immer zeitnah mit Sicherheitsupdates versorgt werden.
Ein Großteil der verbreiteten Viren nutzt eben keine Sicherheitslücken in Vista selbst, sondern sie nutzen Lücken in Software wie in oben genannten Beispielen. Wenn z.B. dein Adobe Reader eine offene Sicherheitslücke hat, dann reicht allein ein Besuch auf einer Webseite aus um dein System zu infizieren. Dazu muss die Seite nur in einem unsichtbaren Frame ein entsprechend präpariertes PDF-Dokument einbetten, dass dort vom Browserplugin des Adobe-Reader angezeigt wird.

Ein Tool, welches die bei dir installierte Software prüft und sie mit einer Liste bekannter Sicherheitslücken vergleicht ist z.B. Secunia PSI. Damit kann man seine Programme mit sehr geringem Aufwand aktuell halten.
http://secunia.com/vulnerability_scanning/personal/

Ich bin auch hinter einer NAT-Firewall, also könnte da von aussen
ohne mein Zutun nicht so leicht etwas reinkommen.

Irrtum. Die NAT-Firewall schützt dich nur vor Angriffen auf Dienste die dein PC nach außen hin bereitstellt. Das sollten im Idealfall eigentlich ohnehin keine sein.
Die meisten Viren verbreiten sich aber nicht auf diesem Weg, sondern sie verstecken sich entweder als Trojaner in Software die du selbst installierst oder sie nutzen wie oben gezeigt Sicherheitslücken aus. Vor beiden Dingen schützt dich keine Firewall.

Und gerade bei den Dingen die ich
mir selber bewusst reinhole hatte ich eigentlich gedacht, dass
der Norton greifen sollte, also wenn ich z. B. eine Datei aus
dubiosen Quellen runterlade und ausführe. Aber vielleicht habe
ich da Norton überschätzt und mich zu sicher gefühlt.

Ähm… das ist ehrlich gesagt ein klarer Fall von „Selbst schuld“.
Software aus dubiosen Quellen, also z.B. aus Filesharing-Netzen, Warez-Seiten usw ist hochgradig virenverseucht. Dies gehört zu den Hauptverbreitungswegen von Schadsoftware.
Dein Norton schützt dich davor nicht wirklich, denn der kann nur Viren finden, die ihm bekannt sind. Bei neuen Viren - und diese treiben sich auf solchen dubiosen Quellen zu hauf herum - erkennt so ein Virenscanner höchstens die Hälfte.
Wenn du also Software aus dubiosen Quellen installierst, dann gibt es davor keinen Schutz und du wirst dir damit immer irgendwann ein Schadprogramm einfangen.

Die einzige Lösung ist: Hör auf, solche dubiosen Quellen zu nutzen.

Über die erste Datei habe ich im Internet nichts gefunden, die
zweite scheint aber sicher ein Trojaner zu sein. Hab mal beide
deaktiviert und jetzt ist zumindest nach einigen Stunden
Verwendung noch keine Werbung gekommen. War vorher aber auch
nicht so regelmässig, also muss ich wohl noch ein bisschen
warten bis ich sicher sein kann, dass es das war.

Ähm, sorry, aber du bist in dieser Beziehung extrem naiv. Dein Rechner ist von verschiedenen Viren und Trojanern befallen, von denen du allenfalls einen Bruchteil entdeckt hast. Viele dieser Dinge arbeiten unbemerkt im Hintergrund und zeigen sich dir nicht mit Werbeeinblendungen.

Schadsoftware

  • versucht u.a…deine Passwörter und Kontodaten zu klauen und sie dann zu verschicken damit man sie missbrauchen kann.
  • verschickt über deinen Rechner SPAM, der dann woanders Schaden anrichtet
  • nutzt deinen PC als Angriffsplattform um andere Rechner zu attackieren
  • macht deinen PC fernsteuerbar und ihn zu einem sog. Zombie, der sich von außen beliebige fernsteuern lässt, um z.B. Firmen mittels DDoS-Angriffen zu erpressen
  • usw usf…

Keines der gerade genannten Programme will von dir irgendwie entdeckt werden, deshalb arbeiten die auch ohne dass du das mitkriegst. Und nachdem du irgendein Werbe-Proramm das noch das harmlosteste von allen Dingen ist entfernt hast, glaubst du dass dein PC sauber ist?? Das ist mit Verlaub ziemlicher Quatsch.

Da weder du noch ich noch dein Virenscanner und sonst auch niemand weiß, was sich inzwischen auf deinem Rechner alles so eingenistet hat, gibt es nur einen Weg das Zeug zu entfernen, nämlich in dem du dein System platt machst und neu aufsetzt.
Und danach würde ich an deiner Stelle dringend mal dein eigenes Verhalten überdenken was deinen Umgang mit Updates, Fremddaten und dem Bezug von Software aus fremden Quellen betrifft. Sonst bist du nämlich in ein paar Wochen wieder befallen. Und nein - das musst du nicht mal mitkriegen, weil bis auf ein paar Werbe-Programme kein normaler Virus seine Anwesenheit verrät.