Internet Explorer poppt ständig automatisch auf

[bslux 10]

Hallo und guten Tag,

 

mein Nachbar hat von Computer wenig Ahnung. Neulich hat er im Internet irgendwelche 'Ferkel-Seiten' besucht und seit dem macht der Internet Explorer 5.x auf seinem Windows 2000 pro System alle 1-2 Stunden automatisch ein IE-Fenster auf und will sich einwählen (IE war bis dahin nicht gestartet; wählen bei bedarf ist eingestellt). Das Löschen von temporären Internetdateien hat nicht geholfen. Ich habe auch keine Software gefunden, die das verursacht. Vermutlich steht in der Registry irgendwo ein 'Autostart' Eintrag oder es läuft ein Dienst im Hintergrund, den ich aber nicht identifizieren kann.

 

Wer kann mir da weiterhelfen?

 

Bernard

[ErichD 10]

Ich tippe mal auf nem Virus (eventuell auf nem IRC/Abuse oder ähnlichem ...) Dieser installiert sich in Verzeichnisen die nicht so ohne weiteres gelesen werden können!

 

Beispiel hierfür ist eine expl0rer.exe oder ex.exe im Verzeichnis c:/windows/fonts. Diese kannst Du nur im Command-Fenster mit DIR finden, da der Explorer selbst diesen Ordner als Systemordner abgespeichert hat und nur FONTS darin aufzeigen wird !!. Selbst ein löschen dieser Dateien wird nichts bringen, da die Systemrecovery den Virus wieder herrstellt. Ein Virenscanner findet nur die befallenen Dateien, aber nicht die Systemrecoverydateien, da das Verzeichnis nur für das System lesbar ist. Die darunterliegenden Verzeichnisse sind für alle Lesbar und beschreibbar.

 

Dieser Virus wird per JScript oder ActivX oder per IRC (Gnutella ..) installiert und ist momentan in mehreren Abarten unterwegs.

 

Auswirkung: Es werden Daten von deinem Rechner ins Internet gestellt, so daß jeder auf deine Daten rankommt. Also einwählen bei bedarf ins Internet.

 

CU Erich

[bslux 10]

Hallo ErichD,

 

vielen Dank für Deinen Tipp. Den werde ich auf jeden Fall 'mal überprüfen. Allerdings läuf auf dem PC McAfee's VirusScan 6 (war auf jeden Fall vorher installiert) mit mindestens einer AntiViren-Definition 4174 und den habe ich schon mal die ganze Festplatte absuchen lassen ohne dass er einen Virus gefunden hat.

 

Bernard

[Dr.Melzer 191]

Has du schon mal geschaut. ob sich ein Autodialer installiert hat?

Prophylaktisch würde ich erst mal automatisch wählen abschalten, es gibt da so Nummern, da kostet schon die Anwahl 75 Euro oder mehr.

[bslux 10]

Hi Dr.Melzer,

 

das Fenster geht auch auf wenn ich das automatische Wählen abschalte. In diesem Fall zeigt er mir den gecacheten Offline-Inhalt der 'Ferkel-Seite) an. Er will aber mehr, er will Online gehen und dann fragt er höflich (wie befohlen) :) nach, ob er sich in T-Online einwählen darf. Also, der Ursprung ist ein 'selbstaufpoppendes' IE-Fenster. Alles was danach kommt, sind nur die Auswirkungen bzw. der Versuch auf irgendeine Art und Weise eine Verbindung ins Internet herzustellen.

 

Bernard

[Dr.Melzer 191]

Bist du sicher, daß er sich in T-Online einwählt und nicht die Anwahlnummer geändert hat? Irgendwie in 0190xxxx.

Ist irgendein neues Symbol in der Taskleiste hinzugekommen?

Wenn du Strg, Alt, Entf. drückst, welche Programme oder Prozesse werden angezeigt?

[bslux 10]

Nun ja, wenn das DFÜ-Fenster zum Wählen auffordert, steht da seine Zugangskennung und die Sternchen für das gespeicherte Passwort drin. Auch will er die 0191011 für T-Online über ISDN wählen, die standard Internet Verbindung halt. Wenn sich da nun eine 'böse' Software eingenistet haben sollte, dann hat sie die Zugangsdaten jedenfalls nicht 'optisch' verändert. Gibt es solche Schädlinge, die das DFÜ Netzwerk und den Benutzer in dieser Form täuschen? Ich glaub' das fast nicht. Ansonsten werde ich ihn morgen früh mal zeitig wecken und das überprüfen.

 

Bernard

[Dr.Melzer 191]

Nee, die Nummer, welche dort angezeigt wird sollte auch angewählt werden.

Trotzdem, lass dir mal alle ausgeführten Tasks und Programme anzeigen, um so zu eroiren, welcher Prozess den explorer startet.

Sehr wahrscheinlich wird dieser beim Systemstart aus der Registry heraus gestartet.

Wenn du den Namen des Prozesses kennst, kannst du in der Registry danach suchen.

[bslux 10]

Aufklärung: Das Tool 'Ad-aware' von Lavasoft http://www.lavasoft.de hat diverse SpyWare entfernt und nun gehts.

 

Trotzdem Danke für eure Bemühungen

[Dr.Melzer 191]

Hast du schon mal darüber nachgedacht, eine Personal Firewall einzusetzen?

[bslux 10]

Hallo Dr. Melzer,

 

nachgedacht habe ich schon darüber. Bislang habe ich mir (mein Nachbar auch) wenigstens ein bisschen Sicherheit durch die Verwendung von ZoneAlarm verschafft. Nun gelange ich aber nach und nach zu der Erkenntnis, dass das nicht ausreicht oder durch Unwissenheit falsch konfiguriert ist. Ich werde mich wohl erheblich mehr mit diesem Thema auseinander setzten müssen. Hast Du vielleicht einen Tipp, welche Software was taugt wenn ich mich schon darauf stürze?

 

Bernard

[Dr.Melzer 191]

Dafür dass sie für umsonst ist, ist ZoneAlarm nicht schlecht

Du kannst aber zu wenig selbst konfigurieren.

Ich selbst arbeite mit Norton Personal Firewall.

Die ist sehr sicher, wenn du nicht den Automatischen Regelasistenten verwendest.

Damit du diese Firewall aber vernünftig konfigurieren kannst, solltest du dich vorher mit den Themen TCP/IP, Ports, Protokolle und Dienste beschäftigen.

[Moon 10]

Hi all,

 

bei Heise hab ich den Link zum YAW gefunden, welcher vor unerlaubten Dialer warnen und diese auch entfernen kann.

Zugleich empfehle ich Zonealarm, beides ist freeware und auch für Laien verständlich.

 

Übrigens kann ein einmaliger connect zu diverse 0190er Nummer dir 400 TEURO Grenze locker übersteigen.

Quelle: Heise.de

 

Grüßle Moon

 

 

 

 

be aware