Ich hatte heute ein ganz faszinierend tolles Problem. Ich war auf der Suche nach RSS Feed Verzeichnissen und bin auf folgende Seite gestoßen:
http://blogs-optimieren.de/2008/09/3...e-und-portale/

Als ich die Seite aufrief brachte mir der IE8 oben so eine Meldung, dass ein ActiveX Steuerelement installiert werden soll. Das hab ich einfach ignoriert, da ich mir aus Sicherheitsgründen Steuerelemente von unbekannten Seiten von Haus aus nicht installiere!

Plötzlich kam die Meldung vom Windows der Browser sei abgestürtzt. Das typische Fenster wo man zwischen "Prozess beenden" und "Abbrechen" wählen kann. Ich klickte "Prozess beenden". Anstatt das sich aber das Browserfenster schloss, ging plötzlich eine DOS Eingabeaufforderung (jaja ich weiß unter XP gibts kein Dos mehr, die Eingabeaufforderung sieht aber so aus) auf und schloss sich sofort wieder. Kurz darauf meldete mir der "Security Task Manager", dass sich hier eine EXE in den Autostart schieben will. Das habe ich verboten.

Ich musste dann kurz mal neu starten. Aber beim Booten von Windows XP kam direkt ein Blue Screen und der Rechner startete neu. Ich hab dann versucht im Abgesicherten Modus zu starten. Das klappte auch. Ich hab dann dort "msconfig" aufgerufen und gesehen, dass sich beim Hochfahren eine "siszyd32.exe" im Autostartordner beim hochfahren starten will.

Das war aber bestimmt die EXE deren Autostart ich via Security Task Manager verbot. Faszinierender Weise stand sie im msconfic drin. Angeblich sollte sich siszyd32.exe im Verzeichnis - C:\Dokumente und Einstellungen\MEIN USER\Startmenü\Programme\Autostart\ befinden. Da war sie aber nicht.

Ich hab dann die siszyd32.exe im msconfig abgeschaltet (also den Autostart unterbunden) und neu gestartet. Bluescreen kam keiner mehr, alles super...Dachte ich...

Tja ich bin dann 2 Stunden einkaufen gewesen und ließ den Rechner derweil laufen. Als ich zurück kam bemerkte ich, dass meine LAN Verbindung (also die Internetverbindung) extremst aktiv ist. Ich habe quasi dauerhaft Daten gesendet und empfangen.

Ich hab mir dann das Programm "TCPView" gezogen und festgestellt, dass die "services.exe" (also die echte aus system32) tausende SMTP Verbindungen in allen Herrenländer aufgebaut hatte und auch immer wieder neue aufbaute. Ich dachte "na toll wie geht das denn".

Hab mich dann etwas belesen und mitbekommen, dass beispielsweise Treiber als Systemdienste laufen und deren "Handlungen" unter der services.exe laufen. Bin dann mal nach C:\Windows\System32\Drivers rein und habe mir die Dateien nach Aktualisierungsdatum anzeigen lassen und entdeckte tatsächlich eine Datei namens "qvvsikl.sys", die so ca. um die Uhrzeit angelegt wurde, als diese Webseite da versucht hat mich mit der siszyd32.exe zu infizieren. (So ca. um 15 Uhr rum wurde die qvvsikl.sys angelegt).

Da ich keinerlei Treiber oder Programme installiert hatte, war ich mir Sicher, dass das der Übeltäter ist. Da man Treiber nicht löschen kann und ich mir jetzt auch nicht mein System komplett zerschießen wollte, hab ich einfach eine Systemwiederherstellung mit gestrigem Datum ausgeführt.

Nach der Wiederherstellung waren die unzähligen SMTP Verbindungen weg. Die qvvsikl.sys konnte ich auch problemlos aus dem Drivers Verzeichnis löschen.

Meine Frage(n) jetzt:

- Was zum Teufel war das? Ist das Problem bekannt? Ich gehe mal von nem Spam Trojaner aus (wegen der vielen SMTP Verbindungen)

- Wie konnte sowas passieren. Ich dachte sämtliche Active X Schwachstellen im IE waren schon beim IE6 behoben.

- Was kann ich Einstellen, Umstellen etc. um sowas zukünftig zu verhindern?

- War wirklich oben geschriebene Seite schuld, oder hats irgendwer anderweitig geschafft "Remote Code" auszuführen? Ich mein ich würd ja nochmal gucken gehen, ob ich im Quellcode der Seite was finde, aber ich lass lieber die Finger von der Seite. Fand das Endskrass!

- Sind derartige Sicherheitslücken im IE8 bekannt (hatte vorher noch den alten IE6 und da hatte ich nie solche Probleme)

Mein System (Softwareseitig):
- Windows XP mit SP3 + alle Sicherheitsupdates
- Internet Explorer 8 mit Standart Sicherheitsstufe "Mittel"


Vielleicht gibts hier jemanden, der solchen Problemen auf den Grund geht...Ich bin zwar eigentlich selber kein DAU, aber die Aktion fand ich echt krass!

Danke für Eurer Interesse!

P.S.: Heute kam ein neues Sicherheitsupdate, welche angeblich Remote Code Ausführung unter WIN XP fixen sollte. Vielleicht wars das schon!? Das hab ich mir eben gleich draufgezogen!

Hi,

Zitat:

Als ich die Seite aufrief brachte mir der IE8 oben so eine Meldung, dass ein ActiveX Steuerelement installiert werden soll. Das hab ich einfach ignoriert, da ich mir aus Sicherheitsgründen Steuerelemente von unbekannten Seiten von Haus aus nicht installiere!

Von der IE-Verwendung rate ich strikt ab

Mehr zum Befall kann ich nur mit Logs sagen, daher: Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Ich hab den Rechner zwischenzeitlich neu gemacht. War mir alles zu riskant! Im Netz, auf Foren und auch bei Heiße mehren sich die Berichte über Spam Trojaner. Auch hier im Board gibts aktuell ähnliche Fälle.

Sehr vernünftig!