bla.exe, erkannt aber wie installiert ? Einstellungen

[Heike]

@Rios,
ich möchte nur endlich mal wissen, wie sich andere alles mögliche einfangen, es ist mir schlicht und einfach unbegreiflich.
Ich bin noch nicht mal vorsichtig, ich besuche auch sehr häufig Seiten, vor denen hier allgemein gewarnt wird.
Liegt wohl daran, dass ich vielleicht dann doch etwas umsichtiger bin und nicht alles anklicke, was einen versteckten Inhalt haben könnte.

Na, irgendwann wird es mich auch mal erwischen, es wäre ja einfach auch mal an der Zeit.

[Rios]

@ Heike,
ja allerdings es ist manchmal wie auf der Staße. Man kann noch so Vorsichtig genug sein und trotzdem machts mal bums. Aber du kannst dir ja gut helfen und hast für alle Fälle ein gutes Forum mit guten Leuten im Rücken.

[Domino]

Ja,ja, belobhudelt euch mal.

HEIKE, auch habe mir auf meinem Produktivsystem nichts eingefangen.

Wenn du aber bitte entschuldigst, ich frage mich wie diese Datei auf meinen Testrechner kommt, trotz aller Patches, trotz rigider Sicherheitseinstellungen (Javascript ist aktiviert, kein Aktiv x).

Wenn du also was zur Klärung dieses Phämonens beitragen kannst, gerne.

Kaum ein Normaluser hat diese Konfiguration.


Domino

[Destroyer]

Hab jetzt nach den 4 Dateien gesucht, hat aber nur die bla.exe gefunden. Hab diese dann natürlich entfernt.

Können in der Registry auch noch Einträge vorhanden sein?

destroyer

[Gast_Jens1962_*]

Btw, am XP-Rechner kann ich keine Windows-Updates mehr machen. Er sucht nach verfügbare Updates, findet aber keine.
Hab u. a. ein paar Windows-Dienste deaktiviert, kann es sein, dass da dran liegt?

Wenn das automatische Update mit dabei ist (Start-Verwaltung-Dienste, nicht in einer Maske), auf jeden Fall. Da war noch irgendetwas, die Website hat mir verklickert, was sie gerne haben will.

Jens

[Heike]

@Domino,

wenn Du rauskriegen könntest, wie Du Dich infiziert hast, das würde mich wirklich sehr interessieren.

Auf dem PC meines Mannes läuft der IE, längst nicht alle Patches, trotzdem hat er sich noch nichts gefangen. Ein Bekannter nutzt auch den IE, auch nicht alle Patches, aber Typ "Klicker", er hat dauernd etwas.

Du hast sicherlich eine Systemsicherung und kannst den Weg der Infizierung ja vielleicht reproduzieren.

[Domino]

Hmm, reproduzieren klappt _noch_ nicht, ärgerlich.

Was ich mich frage ist :

Da dieser Rechner alle automatischen Updates installiert hat, Active x ausgeschaltet war, Java deaktiviert, Dateidownload deaktiviert, JavaScript eingeschaltet und ich aber dennoch eine Datei auf der Festplatte finde ohne das ich etwas heruntergeladen hätte.

Handelt es sich hier um eine neue Bedrohung á la Blaster und Sasser ?

Nur das dieses Mal kein Patch verfügbar ist ?

Alles was ich bisher gefunden habe verweist auf die Installation der letzten Patches, die habe ich aber.

Es handelt sich übrigens um W2k SP4 + alle weiteren.

Oder muss ich das Ganze im Zusammenhang mit FlashGet sehen, hat FlashGet den IE vielleicht in der lokalen Zone geöffnet ?

Mir ist auch noch nicht ganz klar was dieser Netzwerkwurm macht. Vor allem hinter meinem Router...oder stellt dieser zunächst kein Problem dar ?

Wenn jemand Informationen über den Infektionsweg hat --> her damit !

Oder sehe ich Gespenster ?


Domino

[Stefan]

Mich würde dann dazu mal interessieren, was du denn mit Flashget heruntergeladen hast. Vielleicht sollte man da mal ansetzen.

[Domino]

Eine Linux Iso habe ich geladen.

Passt ja. *hust*

Das Ganze ist während des Downloads aufgetreten.


Domino

[Rios]

Hallo,
also haltet euch in Zukunft von dem Flash Get fern. Ist auf alle Fälle ein Explorer Exploit
BHO, der wie schon gesagt Spyware ist. Durchsucht besuchte Seiten um an Infos zu kommen. Man weis nie was da noch fürn Rattenschwanz entsteht.
Bei Pestpatrol ist dieses Ding ebenfalls gelistet
Kann leider momentan nicht mehr Infos geben.

[Voyager]

das nennt sich browser helper objects und das braucht man , damit bei downloads der downloadmanager automatisch den download übernimmt.

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll

das 2te modul ist fgiebar.dll und ist ein anzeige-plugin in der browseroberfläche.
ein exploid oder spyware gibts da nicht , es gab maximal adware (werbung in der flashget-oberfläche) wenn man keinen registrierungskey einträgt.
die erkennung im pestpatrol ist reiner quatsch, sorry...

[Gast_2cool_*]

Liest sich sehr spannend, dieser Thread. Ich bin gerade dabei mein System mit Antivir (neuste Signaturen) zu scannen. Aber soweit ich das bisher mitbekommen habe, gibt es für Antivir am Wochenende fast nie neue Signaturen. Da sind die Benutzer von KAV bestimmt mit neueren Signaturen gesegnet.

Aber man muss sich ja nicht nur auf sein Antivirus-Programm verlassen. Ich habe soeben einen Blick in die laufenden Prozesse und Autostarteinträge gemacht. Die Freeware-Tools ProcessExplorer und Autoruns von Sysinternals geben einem da eine gute Übersicht. Aber ich denke, die meisten Mitglieder dieses Forums kennen die guten Proggis schon.

Auf diesem Rechner sind keine neuen oder veränderten Einträge zu finden, auch der Viren-Scan hat noch nichts gefunden. Dennoch machen mich die Beiträge in diesem Thread etwas unsicher. Die WindowsUpdate-Seite, die mir vorhin noch meldete, für mein System seien keine neuen Patches vorhanden, hat jetzt etwas von ihrer beruhigenden Wirkung verloren.

Sind nur Benutzer von Flashget von diesem Virus / Wurm betroffen ?

Wenn das mal nicht der Beginn einer neuen Infektionswelle wird.....

[Voyager]

flashget läd nur das runter was man anklickt...ich glaube nicht das dort ein zusammenhang besteht, habe keine bla.exe oder ähnliches drauf.
jedoch kenne ich diese datei vom namen her bei meiner damaligen verwendung des wormradar , es ist einer dieser selbstverbreitenden gaobot würmer.
ich würde eher mal dort ansetzen wo eventuell keine firewall drauf ist ? (ist natürlich nurso ein gedanke)

[Gast_2cool_*]

Habe gerade mal nach "bla.exe" gesucht und bin auf "Boot Log Analyzer (BLA.EXE)" gestossen: google: bla.exe "boot log analyzer"

Aber der hätte wohl nicht versucht auf die Netzwerkkarte zuzugreifen !

[Yopie]

Könnte das die Ursache sein?
http://www.heise.de/newsticker/meldung/53499

[Domino]

flashget läd nur das runter was man anklickt...ich glaube nicht das dort ein zusammenhang besteht, habe keine bla.exe oder ähnliches drauf.
jedoch kenne ich diese datei vom namen her bei meiner damaligen verwendung des wormradar , es ist einer dieser selbstverbreitenden gaobot würmer.
ich würde eher mal dort ansetzen wo eventuell keine firewall drauf ist ? (ist natürlich nurso ein gedanke)
[right][snapback]62071[/snapback][/right]

Ich hatte vor Jahren schon mal FlashGet, da konnte man einfach eine .exe umbenennen und hatte das Programm werbefrei.
Diese neue Version läßt das natürlich nicht zu, deshalb habe ich sie auch nur auf dem Testrechner installiert.

Diese neue Version lädt aber nicht nur Werbebanner ins Programm, sondern öffnet den IE und blendet auch dort Werbung ein. Wenn ich also 1-2 Stunden download habe, habe ich auch 1-2 Stunden den IE offen, den ich sonst nicht nutze.

Yopie:

Das könnte es tatsächlich sein. Leider ist mir noch nicht gelungen die Infektion zu reproduzieren.


Zunächst würde ich aber auch sagen -> Finger weg von FlashGet.


Domino

[Voyager]

@Domino

wenn das alles so richtig ist müsste das heissen finger weg von unregistriertem Flashget, weil hier bei mir passiert absolut nichts von dem was du beschreibst !
ich hab keine werbung im flashget und im maxthon wird sowieso alles ausgeblendet über nis2005/werbeblocker und im webbrowser ad-hunter selbst.

@Yopie
ich glaube auch das es damit was zu tun hat , jeder der sich werbebanner in seinem webbrowser einblenden lässt ist da wohl einer gewissen gefahr ausgesetzt. interesannt dabei wäre zu bedenken das malware nur über ungepatchte systeme gelangen kann !

[Gast_Jens1962_*]

interesannt dabei wäre zu bedenken das malware nur über ungepatchte systeme gelangen kann !

Hab ich da was verpaßt?
Bisher kam doch immer erst der Schädling und danach der Flicken.
Wer die dann nicht aufspielt, hat logischerweise eine höhere Trefferquote.

Jens

[Voyager]

@Jens1962

es geht darum, wenn wirklich MALWARE über adserver (flashget werbebannereinblendungen nach beschreibung von @domino) gelangt und bei einigen daher sich schon malware auf der festplatte befindet, liegt der schluss nahe das sie mit ungepatchten (oder nicht ausreichend) systemen arbeiten.

[Yopie]

... und bei einigen daher sich schon malware auf der festplatte befindet, liegt der schluss nahe das sie mit ungepatchten (oder nicht ausreichend) systemen arbeiten.[left][snapback]62219[/snapback][/left]

heise meint was anderes:
"Besucht ein Surfer die Seite mit dem Internet Explorer, so wird auf seinem Rechner Ad/Spyware installiert. Es existiert noch kein Patch, aber wer Service Pack 2 für Windows XP installiert hat, ist von dem Problem nicht betroffen."
Was macht ein User (wie Domino) mit Win2k?