Hi Leut


Da meine Freundin des öfteren im Internet auf Rezeptsuche ist, ist dem AV Prog. (und mir) aufgefallen dass sie sich etliche Male bei verschiedenen Rezept-Sites u.a. den "Trojan-Downloader.Win32.Stardler.a" eingefangen hat.

Letztes Mal hab ich das miterlebt, dass, egal was du auf der Seite anklickst, dir diesen installierst.

Frage: Diese Sites-Betreiber, haben sie dies bewusst miteinkalkuliert, oder wissen die nichts davon?

Wenn jemand eine dieser Adressen möchte, um selbst festzustellen was ich meine, kann er mir eine PN zuschicken, und ich sende ihm einige Beispiele.

Im Grunde braucht man nur bei Google z.B. "WOK-Rezepte" eingeben, und mit Sicherheit ist einer der ersten Sites eines derjenigen die ich meine.

Danke

Hallo gary,

Zitat:

Da meine Freundin des öfteren im Internet auf Rezeptsuche ist, ist dem AV Prog. (und mir) aufgefallen dass sie sich etliche Male bei verschiedenen Rezept-Sites u.a. den "Trojan-Downloader.Win32.Stardler.a" eingefangen hat.

Ich vermute Folgendes: Einige Seiten bieten Verschiedenes (hier z.B. Wok-Rezepte) an. Dafür wird automatsch einen Dialer herunter geladen, der über Telefonleitung die Verbindung zur DL-Seite aufbaut. Kosten liegen normalerweise ab 2 EUR pro Minute und aufwärts unbegrenzt. Die Seiten sind über Google sehr leicht zu finden .
Wenn DL des Dialers nicht zum Ende gebracht wurde, es ist möglich, dass die Temp-DL-Datei vom AV gelöscht wurde. Das kann man feststellen, sobald man des Quarantäne-Verzeichnis öffnet.
Du kannst das System überprüfen, wenn du HJT von www.hijackthis.de installierst und den Log ebd. auswerten lässt.
PS:Wenn du noch Fragen hast, poste bitte die Daten zum Betriebssystem inkl. SPs, AV und anderer Security-Software.

AFAIK hatten wir dies hier schon mal, eventuell hilft die Suchfunktion des Boardes.

Zitat:

Zitat von Shadow

AFAIK hatten wir dies hier schon mal.

Meinst du den Thread: http://www.trojaner-board.com/showth...light=Stardler ?

Nein ich finde es jetzt selbst auch nicht
war's ein anderes Forum?

Auf jeden Fall gibt(gab ?) es ein Bündel von Domains die alle auf die selben Seiten leiteten, wo man vor einem Rezept einen Dialer bekam, allerdings ging es mit FireFox eher schwer diesen Dialer auch wirklich zu bekommen, mit IE wurde man prompt bedient.
@ gary: ein Dialer von dem der Site-Betreiber nichts weiß?

Logfile of HijackThis v1.99.0
Scan saved at 14:59:11, on 02.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\Gary\Desktop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Programme\Copernic Agent\CopernicAgentExt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: BINGOOO - {2F6F9AFE-8E40-46A5-81FD-92B09D6FBBD5} - C:\Programme\BINGOOO\BINGOOO.exe
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\Programme\Copernic Agent\CopernicAgent.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...23/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AC35D43-143D-488C-A40C-F5DCD6B9F328}: NameServer = 194.154.192.101,194.154.192.102
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Netropa NHK Server - Unknown - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

@gary

Zitat:

O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab

Davon abgesehen ist der Log sauber. Ich kann einfach diesen Eintrag nicht beurteilen. Prüfung des Inhalts von diesem Archiv verlief bei KAV-Remotecheck negativ.
Wenn die Seite wird deinerseits nicht gebraucht, fixe den.

@ Rene-gad


Dieser ist ist Ok, gehört zu PestPatrol (->PP) http://store.ca.com/promo=56155

Dank jedenfalls