Spyware detected - was tun?

Internet Internet Sicherheit
#1

Hallo Freunde (und hoffentlich auch Helfer in der Not):

Der Desktop-Hintergrund bringt eine Spyware-Meldung (mit Link zu Anti-SW). Der Internet Explorer startet immer mit der Seite http://www.bestweblinks.com und eine Spyware W32.Sinnaka.A@mm wird gemeldet.

Beobachtungen im Detail:

  1. Beim Starten des IE kommt immer die Site (http://www.bestweblinks.com) - selbst wenn eine andere Startseite eingestellt wird! Es bleibt alles unverändert! Ein Screenshot ist unter http://www.wer-weiss-was.de.tf zu sehen. Rechts oben steht Security Center: ist das wirklich eine Meldung von MicroSoft?

  2. Von Zeit zu Zeit erscheint UNAUFGEFORDERT der Verbindungsdialog zum Internet

  3. Der Wallpaper (Desktop-Hintergrund) bringt auch eine Viruswarnung mit Hinweis auf Spyware und einen Link mit Anti-SW

  4. Der Desktop-Hintergrund kann nicht anders eingestellt werden, weil im Dialog Systemsteuerung/Anzeige die betreffende Registerkarte (neben anderen) eliminiert wurde

  5. Auch in der Statuszeile blinkt ein gelbes Symbol- wie von Security Center - mit dem Hinweis auf Spyware

Fragen:

  1. Ist die Meldung wirklich vom Security Center des lokalen PC?

  2. Wie und womit krieg ich das Ding wieder weg?

  3. Kennt jemand den Namen des Virus? W32.Sinnaka.A@mm könnte ja auch ein Fake sein…

  4. Wird nach Entfernen des Virus das System automatisch wiederhergestellt (fehlende Regsiterkarten, Hintergrund)???

  5. Kennt jemand Software, mit der ausgeblendete Registerkarten im Systemsteuerung/Anzeige - Dialog wieder eingeblendet werden können. Ich kenne den Registry Wizard - aber da finde keine Möglichkeit

So - ich hoffe, jemand kann mir helfen! Vielen Dank im Voraus jedenfalls!

LG Peter

#2

Ergänzung zu: Spyware detected - was tun?
Der Link heisst Richtig: http://www.bestwebSlinks.com ! Aber sicherheitshalber nicht anklicken ausser ihr seid bestens geschützt und wisst was ihr tut!

thx

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

#3

Hi Peter,

lange Frage, kurze Antwort: Dein System ist korrumpiert. Du hast Schadsoftware installiert, zwar ungewollt und unbewusst, hilft aber nichts: Neu installieren ist angesagt, gleichzeitig sicherstellen, dass das in Zukunft nicht wieder passieren kann.

Stichworte zum nachlesen:

  • Browser Hijacking
  • Spyware

alles nachzulesen in den FAQ.

Gruß Ralf

#4

Hallo Peter

Der Desktop-Hintergrund bringt eine Spyware-Meldung (mit Link
zu Anti-SW). Der Internet Explorer startet immer mit der Seite
http://www.bestweblinks.com und eine Spyware W32.Sinnaka.A@mm
wird gemeldet.

Hast du schon mal gegooglet? Nein? ich habe es für dich getan http://tinyurl.com/b5xk6 Ich brauch ja nicht erst raten, du verwendest den InternetExplorer und OutlookExpress? Richtig, dann solltest du mal das lesen: http://www.avweb.de/Info/IE-Katastrophen.html Mit einer Software geht man ganz einfach nicht ins Internet!

Um dein Problem zu beheben, ist nach http://faq.jors.net/virus zu verfahren. Jeder anderer Lösungsversuch ist Zeitverschwendung.

Tut mir Leid…

der hinterwäldler

#5

Hallo Peter

Der Link heisst Richtig: http://www.bestwebSlinks.com ! Aber
sicherheitshalber nicht anklicken ausser ihr seid bestens
geschützt und wisst was ihr tut!

Mit einem richtigen Browser und dem richtigen Sicherheitskonzept kann dir nichts passieren. Da du DSL hast, kannst du dir auch mal diese Video + Player herunterladen und heute abend ansehen: http://ulm.ccc.de/chaos-seminar/windows-security/rec…

der hinterwäldler

#6

Grundsätzliche Fragen
Lieber Manfred,

danke für die Informationen! Bewahrheitet sich meine Vermutung also.

Dazu noch grundsätzliche Fragen:

  1. Ist die Meldung (http://www.wer-weiss-was.de.tf) nun tatsächlich eine von Windows generierte? Oder auch schon ein Produkt des Virus?

  2. Ich habe mit der Personal Antivir Edition gescannt und dabei nur einen Trojaner gefunden, der einen ganz anderen Namen trug. Die Info W32.Sinn… kenne ich ja nur von dieser Windows-Meldung - wenn die wahr ist?!

  3. Wo machen Virenscanner keinen Sinn mehr? WO könnte man die Grenze zwischen einem „normalen“ Virus und diesem hartnäckigen Typen ziehen?

  4. Gibt es irgendwo eine Schritt-für Schritt Anleitung, wenn sich der PC komisch verhält, so dass mit einem Virus gerechnet werden muss? Wichtig ist es ja dann, a) zuverlässig den Namen des Virus und b) die passende Gegenaktion zu kennen.

Vielen Dank noch mal!
Peter

#7

Grundsätzliches
Liebes drambeldier,

danke für die Informationen! Bewahrheitet sich meine Vermutung also.

Dazu noch grundsätzliche Fragen:

  1. Ist die Meldung (http://www.wer-weiss-was.de.tf) nun tatsächlich eine von Windows generierte? Oder auch schon ein Produkt des Virus?

  2. Ich habe mit der Personal Antivir Edition gescannt und dabei nur einen Trojaner gefunden, der einen ganz anderen Namen trug. Die Info W32.Sinn… kenne ich ja nur von dieser Windows-Meldung - wenn die wahr ist?!

  3. Wo machen Virenscanner keinen Sinn mehr? WO könnte man die Grenze zwischen einem „normalen“ Virus und diesem hartnäckigen Typen ziehen?

  4. Gibt es irgendwo eine Schritt-für Schritt Anleitung, wenn sich der PC komisch verhält, so dass mit einem Virus gerechnet werden muss? Wichtig ist es ja dann, a) zuverlässig den Namen des Virus und b) die passende Gegenaktion zu kennen.

Vielen Dank noch mal!
Peter

#8

Hallo,

  1. Ist die Meldung (http://www.wer-weiss-was.de.tf) nun
    tatsächlich eine von Windows generierte? Oder auch schon ein
    Produkt des Virus?

Wie man an der Fensterüberschrift sehen kann, handelt es sich um ein Popup-Fenster des Internet Explorers. Wenn es Werbung für die Telekom wäre, würdest Du dann auch vermuten, dass die von Windows generiert wurde? Wohl kaum. Es ist ein einfaches Browserfenster, welches so gestaltet ist, dass es ähnlich wie eine Windows-Meldung aussieht.

  1. Ich habe mit der Personal Antivir Edition gescannt und
    dabei nur einen Trojaner gefunden, der einen ganz anderen
    Namen trug. Die Info W32.Sinn… kenne ich ja nur von dieser
    Windows-Meldung - wenn die wahr ist?!

Sicherlich nicht.

  1. Wo machen Virenscanner keinen Sinn mehr? WO könnte man die
    Grenze zwischen einem „normalen“ Virus und diesem hartnäckigen
    Typen ziehen?

Wenn der Rechner kompromittiert ist, kann man kaum noch feststellen, was alles betroffen ist. Der Virus kann ja auch den Virenscanner beeinträchtigen. Man kann sich also auf nichts mehr verlassen.

  1. Gibt es irgendwo eine Schritt-für Schritt Anleitung, wenn
    sich der PC komisch verhält, so dass mit einem Virus gerechnet
    werden muss? Wichtig ist es ja dann, a) zuverlässig den Namen
    des Virus und b) die passende Gegenaktion zu kennen.

Wenn Du immer schön Windows updatest, einen nicht so anfälligen Browser und Email-Client verwendest und Brain 1.0 einsetzt kann Dir eigentlich nicht viel passieren. Ist der Virus oder Trojaner einmal auf der Platte, gehört Dein Rechner nicht mehr Dir.

Gruß,

Myriam

1 Like
#9

Hallo Peter

danke für die Informationen! Bewahrheitet sich meine Vermutung
also.

Dazu noch grundsätzliche Fragen:

  1. Ist die Meldung (http://www.wer-weiss-was.de.tf) nun
    tatsächlich eine von Windows generierte? Oder auch schon ein
    Produkt des Virus?

Also, ich war mit meinem Mozilla auf der Seite und schwupp zeigte sich zu meiner Belustigung die Message eines Javascriptes mit ähnlicher Aussage wie dieser. Damit dürfte diese Page eine der schwachsinnigsten aber auch gefährlichsten zugleich sein, die es im Internet gibt.

Nun ist es zweifellos möglich, das genau diese Seite, aus welchen Grund auch immer, unter Ausnutzung der Lücken im IÄ oder anderen Systemteilen dir einen Exploid geschickt und im Anschluß diesen Trojaner implementiert hat. Um zu wissen, was ein Trojaner ist, solltest du grundsätzlich das mal zur Kenntnis nehmen: http://de.wikipedia.org/wiki/Trojanisches_Pferd_%28C…

Wenn also das Pferdchen aktiv war und das ist anzunehmen, so hat es mit Sicherheit eine gefährliche Malware aus einem Proxi nachgeladen. Welche das ist und was sie tun soll, steht in den Sternen und ist nirgends dokumentiert. Du kannst also den Trojaner löschen, die Malware befindet sich nach wie vor in deinem System. Selbst dann, wenn es dir gelingt einzelne ihrer Komponente zu eleminieren, wird sie sich immer wieder vervollständigen. Sehr mild ausgedrückt: Den PC hast du zwar bezahlt, aber das System gehört dir nicht mehr und andere tun damit, was sie wollen.

Das alles sind keine Viren, wie sie vor ein paar Jahren noch aktuell waren und deinen PC zum Absturz brachten oder Teile deine Festplatte löschten!!! Das war aus heutiger Sicht einfach lächerlisch. Hier ist eine erheblich größere kriminelle Aktivität und Energie am Werk. In diesem Zusammenhang solltest du mal diese Artikelserie von Heise ernsthaft studieren: http://www.heise.de/security/suche.shtml?T=Sch%E4dli…

Ich habe vor ein paar Tagen ein Tutorial (noch Beta) geschrieben und bevor ich es „auf die Massen loslasse“, hier erstmal zwecks Diskussion im engeren Kreis deponiert: http://tinyurl.com/cugnp Vielleicht ziehst du dir die .PDF mal zu Gemüt. Es ist speziel für meine Altersgenossen geschrieben. Kannst ja dort deine Meinung dazu kund tun.

der hinterwäldler

Ps:
Ich gebe mir mit dir darum so viel Mühe, weil ich deine Visitenkarte gelesen habe und du vermutlich großen Nachholebedarf hast.

2 Like
#10

Liebe Myriam,

danke für Deine Reaktionen auf meine Fragen! Ursprünglich wollte ich Dir gar nicht antworten, weil die Antworten doch eher (für mein Empfinden) schnippisch formuliert waren. Dennoch denke ich, dass es für DICH wichtig ist, in diesem Artikelbaum die Antwort vom Hinterwäldler - er scheint mir doch sehr kompetent! - auf den Betreff „Grundsätzliches“ zu lesen!

Hallo,

  1. Ist die Meldung (http://www.wer-weiss-was.de.tf) nun
    tatsächlich eine von Windows generierte? Oder auch schon ein
    Produkt des Virus?

Wie man an der Fensterüberschrift sehen kann, handelt es sich
um ein Popup-Fenster des Internet Explorers. Wenn es Werbung
für die Telekom wäre, würdest Du dann auch vermuten, dass die
von Windows generiert wurde? Wohl kaum. Es ist ein einfaches
Browserfenster, welches so gestaltet ist, dass es ähnlich wie
eine Windows-Meldung aussieht.

LIES DAZU DEN „HINTERWÄLDLER“! und merke: es ist nicht überall DRIN was DRAUFSTEHT!

  1. Ich habe mit der Personal Antivir Edition gescannt und
    dabei nur einen Trojaner gefunden, der einen ganz anderen
    Namen trug. Die Info W32.Sinn… kenne ich ja nur von dieser
    Windows-Meldung - wenn die wahr ist?!

Sicherlich nicht.

  1. Wo machen Virenscanner keinen Sinn mehr? WO könnte man die
    Grenze zwischen einem „normalen“ Virus und diesem hartnäckigen
    Typen ziehen?

Wenn der Rechner kompromittiert ist, kann man kaum noch
feststellen, was alles betroffen ist. Der Virus kann ja auch
den Virenscanner beeinträchtigen. Man kann sich also auf
nichts mehr verlassen.

UND GENAU DA IST DER PUNKT:

W A N N ist ein Rechner mehr als nur infiziert - nämlich kompromittiert??? Woran merke ich dass? Am Namen des Virus und der daraus resultierenden Beschreibung bei Symantec??

Wann genügt der Scanlauf mit Löschen befallener Dateien???
Wann muss neu aufgesetzt werden???

  1. Gibt es irgendwo eine Schritt-für Schritt Anleitung, wenn
    sich der PC komisch verhält, so dass mit einem Virus gerechnet
    werden muss? Wichtig ist es ja dann, a) zuverlässig den Namen
    des Virus und b) die passende Gegenaktion zu kennen.

Wenn Du immer schön Windows updatest, einen nicht so
anfälligen Browser und Email-Client verwendest und Brain 1.0
einsetzt kann Dir eigentlich nicht viel passieren. Ist der
Virus oder Trojaner einmal auf der Platte, gehört Dein Rechner
nicht mehr Dir.

Gruß,

Myriam

Danke - Peter

PS: Deine HP hat mich wieder versöhnt :wink:

#11

Hallo,

danke für Deine Reaktionen auf meine Fragen! Ursprünglich
wollte ich Dir gar nicht antworten, weil die Antworten doch
eher (für mein Empfinden) schnippisch formuliert waren.

Für Dein Empfinden bin ich aber nicht verantwortlich, oder?

Dennoch denke ich, dass es für DICH wichtig ist, in diesem
Artikelbaum die Antwort vom Hinterwäldler - er scheint mir
doch sehr kompetent! - auf den Betreff „Grundsätzliches“ zu
lesen!

„You’re preaching to the choir“. Hinterwäldlers Antworten lese ich fast immer, da ich sie kompetent finde.

LIES DAZU DEN „HINTERWÄLDLER“! und merke: es ist nicht überall
DRIN was DRAUFSTEHT!

Bitte schrei mich nicht an. Deine Antwort ist unlogisch. Klar kann ein hinterhältiges Programm vortäuschen, etwas anderes zu sein als es ist. Aber ein Virenscanner würde das ja wohl kaum tun, oder? Wenn Du daher ein PopUp des Internet-Explorers vor Dir hast, welches mehr schlecht als recht vortäuscht eine Warnmeldung von Windows zu sein, wie groß sind dann die Chancen, dass es sich um eine verlässliche Meldung handelt? Ich sage mal: gleich null.

UND GENAU DA IST DER PUNKT:

W A N N ist ein Rechner mehr als nur infiziert - nämlich
kompromittiert??? Woran merke ich dass? Am Namen des Virus
und der daraus resultierenden Beschreibung bei Symantec??

Du schreist schon wieder. Wenn Du verlässlich den Virennamen herausfinden kannst, dann kannst Du anhand der Beschreibung der Auswirkungen des Virus beurteilen, was nötig ist. Steht dort, dass der Virus nur verursacht, dass der Rechner sich jeden Freitag den 13. neu startet, reicht vermutlich ein Entfernen des Virus per Virenscanner. Wenn der gefundene Virus jedoch anderen Zugriff auf Deinen Rechner ermöglicht hat und eventuell noch andere Schadsoftware nachlädt, weißt Du ja gar nicht mehr, was Du alles auf dem Rechner hast …

PS: Deine HP hat mich wieder versöhnt :wink:

Na dann bin ich ja froh.

Gruß,

Myriam

#14

Vorgehensweise bei Trojaner und Spywarebefall
Keiner der am Markt angebotenen Virenscanner ist perfekt. Es ist deshalb eine gute Idee mit einem zweiten oder dritten Antivirenprogramm zu scannen. Sehr leistungsfähige (kostenlose) Virenscanner sind escan (Kaspersky Engine) und BitdefenderFree.

Da aber alle Virenscanner Probleme mit Trojanern und Spyware haben, grundsätzlich mit Spyware- und Trojanerscanner zusätzlich prüfen: Spybot Search&Destroy und a² (emisoft). Für alle eingesetzten Programme gilt: Vor dem Einsatz aktualisieren (updaten)!

Dannach checken mit HijackThis und MSConfig.

Dann Systemwiederherstellung (nur Windows XP) deaktivieren und im abgesicherten Modus booten. Nochmal Virenscanner, Spybot und a² drüber laufen lassen und mit HijackThis überprüfen/fixen. Wenn keine Fehler mehr, neu booten und die Systemwiederherstellung wieder aktivieren.

Eine Garantie, dass der Schädling weg ist, hast du aber nicht. Hier hilft nur Formatieren und Neuinstallation der Festplatte. Eine Anleitung findest du hier http://www.trojaner-board.de/showthread.php?t=16918.

Du solltest dir aber mal grundlegende Gedanken machen, warum du den Schädling bekommen hast und entsprechende Vorsorgemaßnahmen ergreifen (Stichwort 10 goldene Regeln).

Infos und Downloads zum Thema findest du auf meiner Webpage http://www.comsafe.de