Also ich muss jetzt mal ein Thread zu dem Thema machen. In letzter Zeit taucht dieses Teil immer wieder auf sämtlichen Rechnern auf die ich cleane bzw. wollte sich das Teil auch bei mir schon installieren (was ich verhindern konnte).

Faszinierend daran ist, dass das File:

A: Auf den meisten Rechnern existiert, aber meist inaktiv ist
B: In Security Task Manager und anderen Tools als "Macromedia Flash Player" ausgewiesen wird

Weiterhin interessant: Offensichtlich ein Flash Hack! Ein Kumpel benutzt den Firefox und hat sich das Ding bei ner Pornoseite geholt, als er sich ein Video ansehen wollte. Ich hab das daraufhin mit mehreren Browsern versucht - Bei tatsächlich allen Browsern versucht sich beim Aufruf dieser Seite eine exe zu starten, die aus zufälligen Zahlen als Dateiname besteht, diese legt recycle.bin als unsichtbaren Ordner an. Auch via Eingabeaufforderung bleibt der Ordner unsichtbar, selbst wenn man die Einstellung trifft, dass man versteckte UND Systemordner anzeigen will!

Finden tut man den nur, wenn man auf der Systemplatte danach sucht!

Da man sich das Teil ohne zutun auf Seiten mit Flash Inhalten einfangen kann (habe eben gerade ne Seite geöffnet, auf der plötzlich Pornowerbung kam und schon hatte ich das Teil wieder drauf), irrelevant welchen Browser man benutzt, liegt das diesmal ausnahmsweise nicht an ner erneuten Sicherheitslücke im IE, sondern vermutlich an einer Lücke im Flash Player. Da die Datei recycle.bin.exe auch als "Flash Player" deklariert ist, unterstreicht das meine Vermutung, dass es sich um ein Sicherheitsproblem im Flash Player handelt!

Wer hat weitere Infos zu dem Teil? Es waren zwar hier schon Leute, die das Ding auch eingefangen hatten, aber ich wollt dem mal auf den Grund gehen, da man sich das offenbar ohne eigenes zutun holen kann und es in letzter Zeit unzählige Fälle gibt. Leider gibts bei Google kaum Infos zu dem Thema...

Thx für Eure hilfe!

hi, kannst du mir die seiten als private nachicht senden?
naja, der ie ist nicht so unsicher, wie man ihn gerne machen möchte.
dieses teil ist ein spyeye trojaner, besonders alle diejenigen, die onlinebanking machen, sollten die bank anrufen, und das system neu aufsetzen. ich würde bei diesem befall im allgemeinen neu aufsetzen.
naja, und sorry, pornoseiten etc sind nicht erst seit heute bekannt für malware.
ich kann dir ne anleitung geben, nach der du pcs neu aufsetzen bzw einrichten solltest, damit deine leute sicher im netz unterwegs sind

Ne Seite kann ich Dir leider nicht nennen, da die alle down sind mittlerweile. Solltest einfach bisschen auf PornoTubes surfen, dann haste den bald!

Komisch ist, dass die exe nirgendwo lief. Also im Task Manager nicht zu sehen und ließ sich auch problemlos löschen. Irgendwelche Phishing Versuche hats auch nicht gegeben, zumindest bei mir nicht!

Du kannst mir die Anleitung zum aufsetzen sicherer PCs gern mal geben. Wobei ich denke, dass ich schon sicher unterwegs bin...Useraccount ohne Rechte und dieses Spy Protect vom Security Task Manager ist auch ne feine Sache. Meldet mir sofort, wenn sich irgendwas in den Autostart zu schreiben versucht, was zwar kein Programm schafft, da Useraccount aber ich seh wenigstens, wenn was passiert...

LG

naja, wenn solche malware auf den pc gelangt, ist man nicht sicher...
diese malware nutzt code injektion, um versteckt im system zu laufen.
wenns bei der anleitung nen punkt gibt, wo du fragen hast, stelle sie.
bei xp muss natürlich der xp abschnitt abgearbeitet werden.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter windows Vista / 7 und allgemeines abarbeiten!
außerdem den abschnitt
Maßnahmen für ALLE Windows-Versionen abarbeiten.

als antivirus kannst du zb avast nutzen. pdf zur anleitung gibts hier:
Bremer Treff - Downloads - Anleitungen - Installation und Einstellung von avast 6 Free Edition
denke die haben das beste gesammt angebot für kostenlose produkte.
als browser opera.
falls er dir nicht zusagt, passe ich die anleitung für nen andern browser an
um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

eine sandbox ist eine isulierte umgebung aus der kein programm raus kommt.

um die volle wirkung zu erreichen muss alles umgesetzt und eingehalten werden.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt, die card reader gibts verbilligt bei den banken. ist ein sehr sicheres verfahren.

du wirst feststellen, wenn du das alles umsetzt und einhältst, sollte ne infektion nahezu unmöglich sein.
sicherheitslücken werden sofort geschlossen, zumindest die bekannten. ich nehme an, deine meisten freunde nutzen avira, avira hat nur die signaturen, und die heuristik.
sie sind meist wirkungslos gegen malware, avast hatt, signaturen, heuristik, webschutz, sandbox etc. die sandbox ist aber nur für verdächtige dateien.
dann hast du das eingeschrenkte konto, dep, welches die code injektion verhindert, somit kann der spyeye auf einigen pcs nicht laufen.
und wichtig, sandboxie. wenn der spyeye laufen sollte, dann nur in der sandbox, nach runterfahren ist er inaktiev.
und wenn alle stricke reißen, backup zurück spielen.
ist besser als nen pc zu bereinigen, da wesendlich sicherer

Hallo MarkusG,

*g* Ich bin selber aus der "Szene". Das alles ist bei mir standart. Im Grunde reicht schon fast ein Benutzerkonto aus, da Viren zwar über einen unzuverlässigen Browser gestartet, aber nicht in den Autostart eingetragen werden können und somit schon beim nächsten Neustart inaktiv wären. Die meisten Trojaner (Viren sind ja seltener) wollen sich zudem meistens irgendwo auf die Systemplatte kopieren, meist sogar irgendwo ins Windows Verzeichnis und das darf der sowieso nicht, wenn man nur als Benutzer angemeldet ist.

Was mich vielmehr interessiert ist - WIE man sich das Teil holt. Ein Browser Loch kann ich ausschließen, da es irrelevant war mit welchem browser man es aufgerufen hat. Auf der Seite waren aber eben Flash Videos und ich vermute da die Lücke. Hat Flash eine bekannte Sicherheitslücke?

Außerdem - Warum läuft die recycle.bin nie - hab mir die auch auf meinem Laptop eingefangen und aus Faulheit keinen benutzeraccount erstellt (asche auf mein Haupt). Security Task Manager zeigte sie mir zwar an, sagte aber sie sei inaktiv, also wäre nicht gestartet. Ich konnte die Datei auch problemlos löschen, also lief die auch nicht! Eigentlich müsste recycle.bin.exe auch aktiv sein, wenn sie Bankdaten mitloggen soll ;-) Einen anderen Verdächtigen Prozess fand ich auch nicht! Ich habe auch keine Fake-Fishing-Tan-Eingabenversuche gehabt!

hi, ein eingeschrenkter nutzer bietet eben nicht, die 100 %ige sicherheit, die du hier gerne anführst.
es ist höchstens ein schritt in die richtige richtung.
wenn du vom fach bist, sollte dir klar sein, dass es keine programme gibt, die 100 %ig sicher sind, in flash gibts jeden monat mindestens eine sicherheitslücke.
ich nenne dir die ganzen programme nicht umsonst.
einige dienen der absicherung, andere zum updaten von programmen wie flash etc.
warum die malware bei dir nicht richtig lauffähig war, kann mehrere gründe haben:
- sie war beschädigt, kommt schon mal vor.
- sie war aufgrund getroffener schutzmaßnamen nicht richtig lauffähig.
auch das sie nicht versucht hatt, deine pins tans abzufragen kann mehrere einfache lösungen haben.
- dieser spyeye könnte auf anderes ausgelegt gewesen sein.
- dieser spyeye hat nur eine webinjects.txt für ausländische banken besessen.