Hallo Forum,

folgendes ist passiert:

Bei einem Freewaretool war eine malware mit dabei, die sich als update.exe tarnte.
Nach Aufruf dieser Datei erschien ein Fenster, das einen MainPean HighSpeed Zugang ankündigte. Gewählt wurde hier nicht.

An dieser Stelle wurde ich dann angerufen und um Hilfe gebeten. So gings unter meiner Anleitung erst mal weiter:

Der Prozess für das Fenster wurde sofort abgebrochen und update.exe mit McAfee VirusScan8 gescannt (Der Hintergrundwächter lief immer). Von VS8 wurde es jetzt als Dialer.d.generic erkannt, wobei die Virendatenbank hier nur sagt, dass es sich nicht um einen Virus sondern um ein vermutlich unerwünschtes Programm handelt.
Daraufhin wurde das System mehrmals gescannt:

- Spybot Search&Destroy fand einen Registry Eintrag unter Hkey_local_Machine\software\MainPean_HighSpeed\ der Daten über das Land (D) und über das Modem enthielt. -> Exportiert und dann gelöscht

- AdAware fand nichts
- YAW 3.5 Final fand nichts
- VS8 fand nichts weiter
- McAfee Privacy Adware und Keylogscanner fand nichts
- Kaspersky fand nichts

In den auf www.trojaner-info.de genannten Starteinträgen fand sich nichts aussergewöhnliches, es wurde kein DFÜ-Netzwerk-Eintrag erstellt.

Ist das System wieder sicher? Gibt es eine Möglichkeit zu untersuchen, was 'update.exe' wirklich tut?

Vielen Dank für eure Hilfe und Mühe,
Christoph

p.s. Klar, ich werde einen Benutzer OHNE admin Rechte einrichten um sowas in Zukunft zu vermeiden

Von mir erhälst du den "SystemDialerfrei" Stempel. Aber mal sehen was die anderen sagen [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Original erstellt von baloons:
p.s. Klar, ich werde einen Benutzer OHNE admin Rechte einrichten um sowas in Zukunft zu vermeiden </font>[/QUOTE]warum erst jetzt? ansonsten sehr gut, da du deine lektion gelernt hast.

tip: rechtsklick auf eine verknüpfung (z.b. windowsexplorer), eigenschaften, dann fenster verknüpfung, auf erweitert und dan [x] unter anderen anmeldeinformationen ausführen. dann kannst du in dem falle den windowsexplorer als admin ausführen um dein system zu verwalten (system steueung, installieren, deinstallieren...)


Heiko

</font><blockquote>Zitat:</font><hr />Original erstellt von AddBlocker:
warum erst jetzt? ansonsten sehr gut, da du deine lektion gelernt hast.
Heiko [/QB]</font>[/QUOTE]Nun ja, ist nicht mein Rechner und ist nicht meine Konfiguration. Dennoch Danke für den Hinweis. Wie siehst du das, Rechner wieder sicher oder doch Neuinstallation?

</font><blockquote>Zitat:</font><hr />Original erstellt von baloons:
</font><blockquote>Zitat:</font><hr />Original erstellt von AddBlocker:
warum erst jetzt? ansonsten sehr gut, da du deine lektion gelernt hast.
Heiko </font>[/QUOTE]Nun ja, ist nicht mein Rechner und ist nicht meine Konfiguration. Dennoch Danke für den Hinweis. Wie siehst du das, Rechner wieder sicher oder doch Neuinstallation?</font>[/QUOTE]dürfte sicher sein


heiko

Also, es gibt ein Ergebnis:

Um einen Kompromiss zwischen Sicherheit und Arbeitsaufwand zu schaffen, hab ich ein neu zu installierendes System als kurzeitiges 'guinea pig system' verwendet.

Es wurde nur Windows XP und ein Programm namens Ashampoo drauf installiert. Ashampoo gibt sich als uninstaller aus, wobei sämtliche Änderungen an einem System, die bei einer Installation gemacht werden, protokolliert werden. Es eignet sich somit vorzüglich zur Untersuchung eines Dialers.

Das Ergebnis lässt sich kurz zusammenfassen:

Es wurde tatsächlich nur der 'MainPean' Registry Eintrag vorgenommen und der Eintrag ins Startmenu (nicht StartupFolder). Beides wurde auch von Spybot Search & Destroy gefunden und behoben.
Der einzige Virenscanner, der den Dialer als solchen erkannt hat, ist McAfee. Kaspersky, Panda, Trend und Norton fanden den File absolut unbedenklich. Ist genaugenommen auch kein Virus. Meiner Meinung nach, sollten Dialer aber von Virenscannern durchaus erkannt werden. Nicht als Viren somdern eben als Dialer.

Vielen Dank für eure Mühe und Geduld.