Druckversion des Themas

Hier klicken um das Topic im Orginalformat anzusehen

Rokop Security _ Trojaner, Viren und Würmer _ Bin im Botnetz?

Geschrieben von: biri37 13.07.2009, 18:27

Hi

Heute habe ich von der T-online diese mail bekommen

Sehr geehrte Telekom Kundin,
sehr geehrter Telekom Kunde,

für Ihr Vertrauen in unser Unternehmen möchten wir uns herzlich bei
Ihnen bedanken.
Leider haben wir jedoch weiterhin Kenntnis erhalten, dass über Ihren
Telekom Zugang unerwünschte Werbemails (Spam-Mails) versendet wurden,
worauf wir mit einer Beschränkung der Mailversandmöglichkeiten
reagieren mussten.

Dies bedeutet für Sie, dass Sie über eMail-Programme wie z. B. Microsoft
Outlook Express weiterhin eMails empfangen können, jedoch wurde der
Versand von eMails auf T-Online Mailserver beschränkt. Davon unbeschadet
und selbstverständlich weiterhin möglich ist der Versand von eMails über
Webportale wie z. B. das T-Online eMail Center, welches unter der URL
http://www.t-online.de/email erreichbar ist.

Wir haben den Laufweg der fraglichen Spam-Mails anhand der Headerdaten
ausgewertet und über die IP-Adresse Ihren Telekom Zugang als Einlieferer
ermittelt. Die eMails wurden nicht über Ihren Telekom eMail-Account,
sondern per Direkteinlieferung über Ihren Telekom Zugang gesendet. Die
Direkteinlieferung ist ein typisches Indiz für ein Sicherheitsproblem,
nämlich häufig eine Infektion Ihres Rechners mit Schadsoftware wie
Viren, Trojanischen Pferden oder Botnetzen.

Wir möchten Sie aus diesem Anlass auf unsere Allgemeinen
Geschäftsbedingungen hinweisen und bitten Sie, auch in Ihrem eigenen
Interesse dafür Sorge zu tragen, dass Ihr Telekom Zugang nicht
missbräuchlich genutzt werden kann.


Was kann ich jetzt machen ausser Formatieren?Habe Kaspersky 2009 und hat nichts gefunden.Danach habe ich Norton Anti Bot und NIS2009 installiert wieder nichts gefunden.Muß ich nach der Formatirung noch etwas beachten?Komme ich aus diesem Botnetz wieder weg?

gruße und Danke

Geschrieben von: Catweazle 13.07.2009, 18:49

Hallo poste mal ein Hijackthis Log hier mit rein, bitte.

Info´s dazu findest du http://www.rokop-security.de/index.php?showtopic=6235 hier.

Catweazle

Geschrieben von: Voyager 13.07.2009, 18:50

Klasse , die Beschränkungen über den Internet Service Provider sind seit 2004 in den AGB´s drin , schön das sowas auch mal zur Anwendung kommt.

@biri37

Du könntest 2 Sachen machen , ein Hijackthis Log anfertigen und dies hier einstellen und du könntest noch einmal GMER ausführen und uns genau Bericht erstatten ob das Programm etwas gefährliches meldet.

Hijackthis findest du hier http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

GMER findest du hier http://www.gmer.net/ , Auf den Button Download EXE drücken.

Geschrieben von: Catweazle 13.07.2009, 18:57

Und wie hast du dein Kaspersky 2009 eingestellt ?

Mach mal bitte was Voyager, dir geraten hatte zu erst.

Eine Anleitung zu den Kaspersky 2009 einstellungen, findest du hier: http://www.trojaner-board.de/61465-anleitung-kaspersky-internet-security-2009-a.html

Vielleicht geht noch eine schärfere Einstellung als dort beschrieben ist.

Aber mache Bitte, mal was Voyager dir angeraten hat.

Catweazle

Geschrieben von: biri37 13.07.2009, 19:00

Hi danke euch beiden Hijackthis hat glaube ich nichts gefunden.Hier der Log

Catweazle habe danach NIS2009 und Antibot installiert nachdem Kaspersky nichts gefunden hat.Aber NIS und Norton anti bot haben auch nichts gefunden?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:55:16, on 13.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ESB.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Symantec\Norton AntiBot\agent\bin\NABMonitor.exe
C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6d53ec84-6aae-4787-aeee-f4628f01010c} - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\IPSBHO.DLL
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {d27cdb6e-ae6d-11cf-96b8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus (norton antivirus) - Symantec Corporation - C:\Programme\Norton AntiVirus\Engine\16.0.0.125\ccSvcHst.exe
O23 - Service: SymantecAntiBotAgent (symantecantibotagent) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe
O23 - Service: SymantecAntiBotWatcher (symantecantibotwatcher) - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\
O24 - Desktop Component 0: (no name) - http://bd.lilypie.com/IdI3p1.png
O24 - Desktop Component 2: (no name) - http://<a%20href="http://lilypie.com"><img%20src="http://bd.lilypie.com/IdI3p1.png"%20alt="Lilypie%20Ich%20erwarte%20ein%20Baby%20Ticker"%20border="0"%20%20/></a>

--
End of file - 6062 bytes

Geschrieben von: Voyager 13.07.2009, 19:04

O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe

Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen.
Und mache bitte noch einmal die GMER Anleitung .


ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet .

Geschrieben von: Catweazle 13.07.2009, 19:11

Viel kann ich nicht dazu sagen, zu dein Hijackthis Log, ABER dir fehlt der SP3 für Windows XP. Und alle nachvolgenden Updates nach SP3 !!!

Catweazle

Geschrieben von: biri37 13.07.2009, 19:12

ZITAT(Voyager @ 13.07.2009, 20:03) *
O4 - HKLM\..\Run: [ESB] C:\WINDOWS\system32\ESB.exe

Das dürfte er sein , kannst du das Objekt bitte mal auf http://www.virustotal.com/de/ hochladen und wenn der Scan abgeschlossen ist oben den Link in der Browser-Leiste kopieren und hier einfügen.
Und mache bitte noch einmal die GMER Anleitung .


ps. ich hatte schon SpamBots im Test auf der virtuellen Maschine und konnte danach dutzende SMTP Verbindungen im Netzwerk beobachten, NAV und NAB hatten hier leider auch nichts beanstandet .



Hi Voyager

Gmer hat auch gleich was gefunden scannt noch den log füge ich danach hinzu.

danke

Geschrieben von: biri37 13.07.2009, 20:03

Hi ich nochmal also Virustotal hat in ESB.exe nichts gefunden
http://www.virustotal.com/de/analisis/1fd352ee4ab30f00b6e4225dd49d112efa109d094e8f085186a8031701b7b979-1247509294

Und Gmer hat eine Warnung Rootkit Activity gemeldet in
Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** )

Komplett log

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-07-13 20:56:45
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT 843EA370 ZwAlertResumeThread
SSDT 843525E0 ZwAlertThread
SSDT 831849F0 ZwAllocateVirtualMemory
SSDT 843B6ED0 ZwAssignProcessToJobObject
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwClose [0xF50638A0] <-- ROOTKIT !!!
SSDT 84560C80 ZwConnectPort
SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwCreateEvent [0xF12828FD] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwCreateKey [0xF1415020] <-- ROOTKIT !!!
SSDT 83183F38 ZwCreateMutant
SSDT 83183A20 ZwCreateSymbolicLinkObject
SSDT 83187D70 ZwCreateThread
SSDT 844899C8 ZwDebugActiveProcess
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteKey [0xF14152A0] <-- ROOTKIT !!!
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwDeleteValueKey [0xF1415800] <-- ROOTKIT !!!
SSDT 83184B48 ZwDuplicateObject
SSDT 83184850 ZwFreeVirtualMemory
SSDT 84325668 ZwImpersonateAnonymousToken
SSDT 843EA480 ZwImpersonateThread
SSDT 84373108 ZwLoadDriver
SSDT 83184770 ZwMapViewOfSection
SSDT 84489630 ZwOpenEvent
SSDT \SystemRoot\System32\drivers\ef1b7fdd.sys ZwOpenKey [0xF12809C5] <-- ROOTKIT !!!
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwOpenProcess [0xF50638D0] <-- ROOTKIT !!!
SSDT 843EE538 ZwOpenProcessToken
SSDT 84368290 ZwOpenSection
SSDT 83184C18 ZwOpenThread
SSDT 83183AF0 ZwProtectVirtualMemory
SSDT 845389D8 ZwResumeThread
SSDT 843CD1D0 ZwSetContextThread
SSDT 83184618 ZwSetInformationProcess
SSDT 843B8248 ZwSetSystemInformation
SSDT \??\C:\WINDOWS\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation) ZwSetValueKey [0xF1415A50] <-- ROOTKIT !!!
SSDT 84353290 ZwSuspendProcess
SSDT 843D14B0 ZwSuspendThread
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateProcess [0xF5063980] <-- ROOTKIT !!!
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwTerminateThread [0xF5063A20] <-- ROOTKIT !!!
SSDT 84537748 ZwUnmapViewOfSection
SSDT \??\C:\Programme\Symantec\Norton AntiBot\agent\driver\AntiBotShim.sys (NAB Application Activity Monitor Loader Driver./Symantec Corporation. ) ZwWriteVirtualMemory [0xF5063AC0] <-- ROOTKIT !!!

---- Kernel code sections - GMER 1.0.15 ----

? SYMEFA.SYS Das System kann die angegebene Datei nicht finden. !
? C:\WINDOWS\System32\drivers\ef1b7fdd.sys Das System kann die angegebene Datei nicht finden.

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs ef1b7fdd.sys

AttachedDevice \FileSystem\Ntfs \Ntfs AntiBotFilter.sys (NAB Application Activity Monitor Filter Driver./Symantec Corporation. )
AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Ip ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Tcp ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\Udp ef1b7fdd.sys
AttachedDevice \Driver\Tcpip \Device\RawIp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
AttachedDevice \Driver\Tcpip \Device\RawIp ef1b7fdd.sys

Device \Driver\symtdi \Device\SymTDI ef1b7fdd.sys
Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device EB714C8A

AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\System32\drivers\ef1b7fdd.sys (*** hidden *** ) [SYSTEM] ef1b7fdd <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@Start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ImagePath \SystemRoot\System32\drivers\ef1b7fdd.sys
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Type 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@Start 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet002\Services\ef1b7fdd@F96ZK6nPB YmF0dXJhbWViZWwuY29t
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Text Allow paste operations via script
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@PlugUIText @inetcpl.cpl,-4854
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@Text Prompt
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@PlugUIText @inetcpl.cpl,-4804
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@ValueName 1407
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@CheckedValue 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPASTE\QUERY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@PlugUIText @inetcpl.cpl,-4912
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Text Allow websites to prompt for information using scripted windows
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\ALLOW@ValueName 2105
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTPROMPT\DENY@ValueName 2105
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Bitmap C:\WINDOWS\system32\inetcpl.cpl,4485
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@PlugUIText @inetcpl.cpl,-4867
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Text Allow status bar updates via script
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS@Type group
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@CheckedValue 0
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@PlugUIText @inetcpl.cpl,-4803
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Text Enable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\ALLOW@ValueName 2103
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@CheckedValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@DefaultValue 3
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@PlugUIText @inetcpl.cpl,-4805
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPath SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@RegPoliciesPath SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\%s
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Text Disable
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@Type radio
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\SO\SCRIPTING\SCRIPTSTATUS\DENY@ValueName 2103

---- Files - GMER 1.0.15 ----

File C:\Dokumente und Einstellungen\daniele.manuela\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\profile\opcache\opr0QZ9K 366 bytes

---- EOF - GMER 1.0.15 ----

Weiss aber nicht was ich jetzt machen soll?[color="#FF0000"][/color]

Geschrieben von: Voyager 13.07.2009, 20:11

Starte GMER bis zur Meldung "Rootkit endeckt Vollscan Ja oder Nein" , drücke hier auf NEIN.
jetzt drückst du bei der rot-markierten Erkennung mit der rechten Maustaste das Kontextmenü auf und drückst auf DISABLE SERVICE , bestätigen mit YES und rebootest dein PC .
Nach dem Reboot schaust du mit deinem Dateimanager ob du die Datei C:\WINDOWS\System32\drivers\ef1b7fdd.sys löschen kannst.

Meines Wissens sollte Norton die Art des Rootkit als Trojan Pandex erkennen , Frage hast du die NIS Signatur Updates überhaupt eingespielt ?

Das Problem ist jetzt auch, das Rootkit dient in der Regel dazu Malware auf dem PC unsichtbar zu machen und zu verstecken . Wenn du das Rootkit erfolgreich entfernt hast müssen wir mit der Hijackthis Untersuchung des PC nochmal von vorne beginnen.

Edit:

@Raman

die ESB.exe sieht mir trotzdem nicht koscher aus, was meinst du ?

Geschrieben von: raman 13.07.2009, 20:22

Die ESB sollte sauber sein http://www.processlibrary.com/de/directory/files/esb/

Ein Virustotal.com ERgebniss von C:\WINDOWS\System32\drivers\ef1b7fdd.sys waere interessant...

Geschrieben von: aido 13.07.2009, 20:23

Der Rechner ist hinüber. Eine Bereinigung aufgrund der veralteten Sicherheitsupdates und dem fehlenden SP3 ist ein "Neu Aufsetzen" dringend anzuraten.

EDIT: Mich würde jetzt noch interessieren, wie sich http://www.prevx.com/freescan.asp hier schlägt.

aido

Geschrieben von: Catweazle 13.07.2009, 20:40

Ins blaue gefragt, warum hat ein scan mit Kaspersky 2009, nicht angeschlagen ?

Catweazle

Geschrieben von: biri37 13.07.2009, 20:51

Hi Danke euch allen Voyager,Catweazle ... dank eurer hilfe

habe die Datei ef1b7fdd.sys gelöscht gekriegt.Habe diesen PC eigentlich meinen Kindern übergeben gehabt .Und dachte für die Kinder langts.Da mein PC einen Defekt hat und im moment nicht so schnell es Reparieren kann(Finanziell)habe ich es seit 1 Woche benutzt.Bis ich die Mail von t-online bekam.Werde meinen PC gleich morgen richten lassen und dann den verseuchten PC für die Kinder formatieren und auf denm neuesten stand bringen (sp3).
Hätte nie gedacht das mal sowas passiert.


So Virustotal hat ne menge gefunden:
http://www.virustotal.com/de/analisis/ce2bb68e918d44245f76b0aafef049cb3acf5e91d51384b1344c3e3c17da10b0-1247393058

Norton hat alle updates erst vor 10 min erst.Hat aber auch bei Virustotal nichts gefunden.Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden?Habe erst KIS 2010 drauf gehabt

Habe jetzt mal PREVX 3.0 installiert scannen lassen und hat prompt gleich 3 sachen gefunden :

[color="#FF0000"][/color]THREAT ef1b7fdd.sys in C:/windows/system32/drivers
THREAT /REGISTRY/Machine/System/ControlSet001/Services/ef1b7fdd
THREAT /Registry/Machine/System/CurrentControlSet7sERVICES/ef1....

leider tut es nicht säubern da ich kein Key habe.

Danke euch

mfg

Geschrieben von: Voyager 13.07.2009, 20:55

PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes. Versuche nochmal die Sys Datei zu löschen .

Vermutlich müssten wir hier aber auch noch die Systemwiederherstellung bereinigen und alle Punkte löschen.

Geschrieben von: biri37 13.07.2009, 20:58

ZITAT(Voyager @ 13.07.2009, 21:54) *
PrevX findet immernoch die SYS-Datei , hattest du Sie nicht gelöscht gehabt ? Die restlichen 2 Funde sind dann nur die Registry Einträge des abgeschalteten Dienstes.


Doch doch habe es aber vom Papierkorb wiederhergestellt wegen Virustotal und PREVX.Jetzt habe ich es endgültig gelöscht smile.gif

Weiss jetzt aber nicht was ich von Kaspersky2010 und Norton halten soll?zumal bei Virustotal Kaspersky 7.0 scannt.


PS:muß ich sonst noch was löschen in der Registry?

danke nochmal gruß

Geschrieben von: raman 13.07.2009, 20:59

ZITAT
Das komische ist Kaspersky hat bei mir nichts gefunden aber bei Virustotal gefunden?


Das ist halt das Ziel eines Rootkits. Sprich, wenn es einmal aktiv ist, kann es sich sehr effektiv verstecken. Da hilft es auch nicht, ein HIPS (Antibot) zu installieren, wenn der Rechner schon inifziert ist.

Nachtrag: Du musst neu aufsetzen und alle Passworte wechseln!

Geschrieben von: Voyager 13.07.2009, 21:02

ZITAT
PS:muß ich sonst noch was löschen in der Registry?


nicht zwingend notwendig bei einem abgeschalteten Dienst.


ZITAT
Da hilft es auch nicht, ein HIPS (Antibot) zu installieren, wenn der Rechner schon inifziert ist.


Antibot sieht keine Rootkits , kann ich bestätigen . Dafür sieht Antibot in der Regel aber genau hin wenn man versucht einen Rootkit zu installieren, irgendwo muss der ja herkommen.

Geschrieben von: biri37 13.07.2009, 21:10

Okay Danke euch .


grueße mfg

Geschrieben von: Catweazle 13.07.2009, 21:16

@ biri37

Was machst du jetzt ?


Catweazle

Geschrieben von: Voyager 13.07.2009, 21:18

@biri37

Mache jetzt bitte nochmal eins und zwar gehst du auf Start -> Ausführen und gibst cmd ein , Enter drücken.
Jetzt öffnet sich ein schwarzes Kommandofenster , dort gibst du netstat ein und drückst Enter .
Jetzt zeigt es dir eine Reihe Netzwerkverbindungen an . Sage uns bitte mal ob du jeweils hinter dem "Doppelpunkten" eine Zahl 25 siehst. Die Zahl 25 wäre ein Indiz das du "immernoch" Spam versendest.

Geschrieben von: diddsen 14.07.2009, 01:51

ZITAT(raman @ 13.07.2009, 21:58) *
Das ist halt das Ziel eines Rootkits. Sprich, wenn es einmal aktiv ist, kann es sich sehr effektiv verstecken.


ich frage mich wie und wann das ding draufkam... confused.gif
war/ist kis erst kürzlich installiert worden oder schon länger?
ist natürlich schon ein ding, wenn die 2010er kis nichts erkennt ph34r.gif


Geschrieben von: Sasser 14.07.2009, 08:41

whistling.gif Ändere doch einfach die Ausgangsverbindung deines Mail Accounts.
Möglich ist hier zb. ein Einrichten von einem Proxy-Port oder die Nutzung über einen anderen Anbieter zb. Portnutzung 446 etc.
Den 25 Port solltest Du aber trotzdem in der Firewall dichtmachen.
Ich persönlich würde auch ein Antiviren-Programm + Firewall eines neutralen Herstellers wie Online Armor free oder Outpost nutzen.
Dafür sollte es nach Säuberung nicht zu spät sein, sofern du beim Entfernen auch das Abschalten der Systemwiederherstellung abgestellt hast und aus dem Reboot gelöscht hast wie hier schon beschrieben wurde.
Nach allen Patches SP3 und neu aufgesetzter Sicherheitsrichtlinie sollte bei Proxy-Einrichtung über IE die generelle Abfrage des Passwortes
bei jeder zu verschickenden Mail auftauchen ! Somit ist ein automatisierter Spammer nicht mehr möglich.

Geschrieben von: biri37 14.07.2009, 16:30

ZITAT(Voyager @ 13.07.2009, 22:17) *
@biri37

Mache jetzt bitte nochmal eins und zwar gehst du auf Start -> Ausführen und gibst cmd ein , Enter drücken.
Jetzt öffnet sich ein schwarzes Kommandofenster , dort gibst du netstat ein und drückst Enter .
Jetzt zeigt es dir eine Reihe Netzwerkverbindungen an . Sage uns bitte mal ob du jeweils hinter dem "Doppelpunkten" eine Zahl 25 siehst. Die Zahl 25 wäre ein Indiz das du "immernoch" Spam versendest.



Hi Voyager

habe es so gemacht wie beschrieben hast.Es zeigt localhost:27015 und localhost:1030?
Aber der PC ist enorm langsam geworden kann fast nicht mehr booten.Und beim Start kommt fehlermeldung :
WARNING: Immediately back-up your data an replace
your hard disk drive. A failure may be imminent.
Press F1 to Continue
Denke das die Festplatte bald crasht.

@diddsen habe Kaspersky seit 10 tagen drauf gehabt die 2010 .Davor Avira free.

Habe heute mit T-online telefoniert und die haben gesagt ich solle nur formatieren und nichts anderes.
Sie haben auch eine mail geschrieben da steht
Bitte schreiben Sie uns, nachdem Sie Ihren Rechner überprüft und alle
Sicherheitslücken geschlossen haben, eine kurze Nachricht, damit wir die
Beschränkung des Mailversands für Ihren T-Online Zugang wieder aufheben
können.

Folgende Daten sind für die Aufhebung der Sperre erforderlich:

- Ihre T-Online Nummer
- Kontakt eMail Adresse, falls diese von der T-Online eMails Adresse
abweicht. (Wichtig, ohne Kontakt eMail-Adresse können wir das
Schreiben leider nicht zeitgenau bearbeiten)

Zur Freischaltung wenden Sie sich bitte an eine der folgenden
Kontaktadressen:

- eMail: abuse@t-online.de (Betreff: SPAM / Freischaltung)
- Kundenservice Telefon: 0180 5 305 000 (0,14 ¤/Min. aus dem deutschen
Festnetz, abweichende Preise für Anrufe aus dem Mobilfunknetz möglich)
- Fax: (06151) 6809399
- www.t-online.de/abuse/freischalten (Bitte geben Sie Ihre Abuse-ID an,
welche Sie in diesem Anschreiben vermerkt finden)

Wir bitten um Verständnis für diese Maßnahme.

Mit freundlichen Grüßen
Ihr Abuse-Team
http://www.t-online.de/abuse

Wenn ich Formatiert habe muß ich was beachten? bzw kann es sein das Passwörter wie ebay usw ausspioniert worden sind.Weiß nicht wie lange es schon drauf war.


gruß

Geschrieben von: raman 14.07.2009, 16:40

Das formatieren wuerde ich mir sparen, wenn SMART schon meldet, das die Festplatte bald einen Schaden erleiden koennte, waere mir ein neu Aufspielen auf dieser Platte zu heikel.....

Geschrieben von: biri37 14.07.2009, 16:46

ZITAT(raman @ 14.07.2009, 17:39) *
Das formatieren wuerde ich mir sparen, wenn SMART schon meldet, das die Festplatte bald einen Schaden erleiden koennte, waere mir ein neu Aufspielen auf dieser Platte zu heikel.....



Ja du hast recht mache ich eh nicht mehr wird sowieso alles schlimmer.Hoffe nur das ich mit T-online keine größere probleme kriege.

mfg

Geschrieben von: blueX 14.07.2009, 16:47

Du willst doch aber nicht weiterhin damit ins Netz gehen, oder?


Geschrieben von: biri37 14.07.2009, 16:58

ZITAT(blueX @ 14.07.2009, 17:46) *
Du willst doch aber nicht weiterhin damit ins Netz gehen, oder?


Nein blueX fühle mich eh nicht wohl.Werde nacher meinen Defekten PC wieder richten.Habe heute neues Mainbord und Netzteil besorgt.Und der verseuchte PC von meinen Kindern wird vorläufig stillgelegt bis eine andere Festplatte reinkommt und Formatiert wird.
Ist das Programm z.b wie Salfield Kindersicherung sinnvoll neben einem guten Virenscanner?
Habe Angst das sowas wieder passiert da ich nicht weiß wie es eingedrungen ist.

Danke für all die Tipps

mfg

Geschrieben von: aido 14.07.2009, 17:09

Verwendest du einen Router oder Modem?

Auf jeden Fall ist ein Router allemal sinnvoller als jede Schutzsoftware. Wenn du an einen güntigen mit Content Management herankommst, kannst du dir auch die Kinderschutzsoftware sparen. Mit CM kannst du im Router per Klick betreffende Inhalte einfach Sperren lassen.

Auf jeden Fall solltest du deine Zugangspasswörter ändern.

aido

Geschrieben von: J4U 14.07.2009, 17:31

ZITAT(biri37 @ 14.07.2009, 17:57) *
Ist das Programm z.b wie Salfield Kindersicherung sinnvoll neben einem guten Virenscanner?
Meine Kinderrechner laufen mit Benutzerrechten (vereinzelt laufen Spiele nicht, da müssen die Kinderchen eben warten, bis ich das starte), auf den Rechnern läuft Antivir, wir sitzen alle hinter einem Router (auf einem Kinderrechner ist aus Versehen extra noch die Windows-FW gelaufen, dabei waren keine Einschränkungen zu spüren) und auf den Kinderrechnern läuft die http://service.t-online.de/c/12/72/75/62/12727562.html. Diese filtert relativ scharf und es ist gelegentlich ein manueller Eingriff notwendig (Kinder können geblockte Seiten auf eine Wunschliste setzen, diese muss dann vom Elternaccount aus freigegeben werden), aber lieber eine Seite zuviel geblockt, als Rechner oder Kind im Eimer. Einfach mal ansehen, das Teil.
Übrigens: Die meisen Seiten der Wunschliste lösche ich ohne Kontrolle, die lieben Kleinen fragen auch nie wieder danach. whistling.gif

J4U

Geschrieben von: diddsen 14.07.2009, 17:43

@J4U
du vergisst dass es auch 1+1 komlplettanschlüsse gibt ... oder kann man da das auch nutzen?

ZITAT(biri37 @ 14.07.2009, 17:29) *
Wenn ich Formatiert habe muß ich was beachten? bzw kann es sein das Passwörter wie ebay usw ausspioniert worden sind.Weiß nicht wie lange es schon drauf war.

wie schon mehrfach vorgeschlagen, würde ich UMGEHEND!!! alle passwörter ändern!
die platte tauschen und neu installieren.
mit t-online sehe ich jetzt nicht das problem, die heben das dann halt wieder auf und gut.

ZITAT(biri37 @ 14.07.2009, 17:57) *
Ist das Programm z.b wie Salfield Kindersicherung sinnvoll neben einem guten Virenscanner?


ich verstehe dein lage und ängste sehr gut. hab auch zwei kinder und von anfang auf sowas geschaut!
auch bei bekannten, kunden usw. hab ich schon verschiedene lösungen probiert, jedoch zufrieden bin ich mit keiner.
salfeld ist nicht schlecht, aber auch nicht kostenlos...hatte auch damit probleme, dass sich programme nicht installieren ließen, obowhl der angemeldetet benutzer volle rechte hatte usw.
auch K9 wo ein freies opensourceprojekt ist, ist nicht ganz schlecht, aber auch hier besteht "pflegebedarf" durch eventuelle updates, was viele schon überfordert. es muss einfach "laufen", so lautet das oftgehörte motto :-)
mittlerweile tendiere ich eher zu kindersichrungslösungen wie sie in kis zu finden sind. zwar kann man dort nur den internetverkehr kontrollieren, aber das nicht schlecht.
nicht ganz schlecht ist auch die vistaeigne funktion des eingeschränkten jugenschutzkontos, jedoch die t-online-software hört sich gut an, mit dem genehmigen... aber wie gesagt, ob das auch für nicht-t-onlinekunden geht?

alles in allem bringen auch die schärfsten kontrollen nichts, denn beim nachbar, in der schule oder sonstwo geht ja alles ohne probleme und kontrolle whistling.gif
z.b. hatte ich kürzlich bei einem bekannten ein problem bzw. er mit seinen kindern, die auf einer bekannten seite www.team-ulm.de an zwilichtige gestalten durch den chat geraten sind! die seite kann man zwar durch solche softwarelösungen sperren, aber es gibt unzählige verlinkte seiten, wo dann eben durch das "raster" fallen... man muss nur mal in google "team ulm gesperrt" eingeben ... ph34r.gif
habe dann einige solcher verlinkten seiten gefunden und mit vistaeigener jugendschutzkontrolle gesperrt...aber lösung ist das auch keine.

von daher, kann man nur mit erklärung/aufklärung/belehrung und letztendlich mit apell an die vernunft der kinder arbeiten - finde ich

noch eine frage an biri:
wie war das genau...
wurde der rechner vorher auch so benutzt?
wenn ja, dann ist das wie ein offenes scheunentor und eigentlich keine entschuldigung zu sagen... "hätte ich nicht gedacht,,,," rolleyes.gif
genau solches verhalten verursacht, warum wir uns in solchen super boards wie rokop um sowas kümmern müssen sad.gif

Geschrieben von: J4U 14.07.2009, 20:33

ZITAT(diddsen @ 14.07.2009, 18:42) *
@J4U
du vergisst dass es auch 1+1 komlplettanschlüsse gibt ...
Nach allem, was zu lesen war, ist @biri37 T-Online-Kunde, deswegen mein Hinweis auf diese Software.

J4U

Geschrieben von: Rios 06.01.2015, 12:25

Hallo, allen noch ein gutes neues Jahr.
Das BKA hat sich wieder einmal mit den Botnetzen beschäftigt. An die 11.000 Computersysteme, die Hälfte davon waren angeblich in Deutschland betroffen.
http://www.golem.de/news/sicherheit-bka-schaltet-botnetz-mit-tausenden-rechnern-ab-1412-111393.html

Geschrieben von: Bizzy 08.01.2015, 18:19

http://www.chip.de/downloads/RUBotted_61472426.html

Unterstützt von Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)