HijackThis ist ein Programm (Hijacker) für User, das Ihnen beim Aufspüren von Browser Hijackern behilflich sein kann. Das Programm erkennt Spyware und andere Malware (auch Dinge wie Trojaner und Würmer). Es durchsucht spezielle Bereiche der Registry und der Festplatte und listet die Resultate in einem Fenster auf. HijackThis bietet auch die Option an ein Logfile anzulegen, welchen von einem Texteditor geöffnet werden kann. Bis vor kurzer Zeit musste der User noch in Foren fragen und auf die Antworten warten. Jetzt kann Ihnen dieses Script dabei behilflich sein. Kopieren Sie einfach den Inhalt des Logfiles in die Textbox. Wenn Sie HijackThis noch nicht haben, können Sie es hier herunterladen: Webseite von Hijackthis Hier nun eine kleine Hilfe, wie man mit hijackthis logfiles erstellt und sie per Email verschickt. Das Programm HijackThis hier runterladen und danach in einen eigenen Ordner entpacken. Dann das Programm starten und auf "Do a system scan and save a Logfile" klicken. In dem Texteditor bitte persönliche Daten, wie z.B. Benutzernamen editieren Dann den editierten Text markieren "Strg+A" (oder mit der Maus) und mit einem Rechtsklick "kopieren" (oder "Strg+C") in die Zwischenablage speichern.

Dann auf die Seite www.hijackthis.de gehen, in das große weiße Textfenster klicken und den Text aus der Zwischenablage dort wieder einfügen. Entweder mit rechter Maustaste "einfügen" oder Tastenkombi "Strg+V" und auf "auswerten" klicken.

Danach weiter runter scrollen und auf den Link "Kurzauswertung" klicken. Den Text in dem sich öffnenden Fenster wieder markieren, kopieren und in die Email einfügen.

windiag (RAM Diagnose von Microsoft) Der Rechner läuft unstabil und verabschiedet sich regelmäßig mit einem Absturz. Oft ist an solchen Problemen ein fehlerhafter Hauptspeicher schuld. Microsoft bietet für solche Fälle das kleine Tool "Windows Memory Diagnosic" (windiag) zum Download an. Das Tool überprüft die im Rechner befindlichen Speicherbausteine und schlägt bei Problemen Alarm. Die Bedienung des Tools hat Microsoft bewußt einfach gehalten. Die Speicher-Tests selbst werden unter DOS durchgeführt. Beim ersten Start des Tools unter Windows hast Du die Möglichkeit, entweder eine Boot-Diskette oder eine Image-Datei für eine Boot-CD zu erstellen. Die Image-Datei "windiag.iso" wird auf der Festplatte gespeichert und kann anschließend mit einem Brennprogramm auf einen CD-Rohling gebrannt werden ("bootbar"). Die Datei mtinst.zip entpacken und die darin enthaltene mtinst.exe starten - EULA bestätigen ("accept")
Hier jetzt wählen, ob eine Diskette oder eine CD als bootbares Medium genutzt werden soll. (wir nehmen in diesem Beispiel "Create Startup Disk ...")
Im folgenden Dialog bitte das Floppylaufwerk auswählen, eine Diskette einlegen und auf "Create" klicken (vorsicht, alle bereits vorhandenen Daten auf der eingelegten Diskette gehen verloren!) Auch darauf achten, das der Schreibschutz der Disk nicht aktiv ist.
Der Schreibvorgang dauert nur wenige Sekunden und kann mit "Stop Writing" abgebrochen werden.
	Zum Schluß sollte diese Meldung erscheinen, dann wurde die Diskette erfolgreich beschrieben:
Die Erfolgsmeldung mit einem Klick auf "ok" beenden, anschließend 2x auf "cancel" um das Programm wieder zu verlassen.       Die Diskette im Laufwerk lassen und den Rechner neu starten - ggf. im BIOS die Bootreihenfolge auf "Floppy" (Diskettenlaufwerk "A") ändern, damit der Bootvorgang über die Diskette eingeleitet werden kann. Nach dem Neustart des Rechners mit eingelegter Boot-Diskette/CD-ROM beginnt "Windows Memory Diagnostic" mit der Überprüfung des Hauptspeichers mit den Standardeinstellungen. Sobald der erste Testdurchlauf abgeschlossen ist, folgen immer weitere Testdurchläufe, bis ein Fehler gefunden wurde oder das Programm beendet wird. Mit der Taste "T" können die Einstellungen verändern werden. In der Regel reichen ein oder zwei Testdurchläufe aus, um festzustellen, ob ein RAM-Riegel einen Defekt hat. Wer es dennoch genauer wissen möchte, der kann das Tool mit den "Extended Test"-Einstellungen über Nacht durchlaufen lassen. Sollte das "Windows Memory Diagnostic"-Tool einen Fehler beim Hauptspeicher melden, dann empfiehlt Microsoft das Problem zu beheben, bevor Windows erneut gestartet wird. Um das Programm zu beenden drücke die Taste "X". Das Tool läuft auf allen x86-Rechnern und unterstützt alle Intel- AMD- und dazu kompatible Systeme. Außerdem werden alle Arten von Speicherriegeln unterstützt, wobei sich im Rechner allerdings nicht mehr als insgesamt vier Gigabyte Speicher befinden sollten. Die Dauer eines Testdurchlaufs hängt vom Prozessor und der Größe des Hauptspeichers ab. Laut Microsoft dauert ein Testdurchlauf bei einem Pentium 4 mit 2,8-Gigahertz-CPU und einem Gigabyte RAM knapp 7,5 Minuten. Der Download des Tools beträgt knapp 297 Kilobyte und ist anschließend erst einmal zu entpacken. Die Anwender werden von Microsoft gebeten, das Tool zu testen und den Entwicklern ihre Meinung dazu auf dieser Website mitzuteilen. Hier können auch Verbesserungsvorschläge für künftige Versionen gemacht werden. Weitere Infos zum Tool finden Sie auf dieser Website bei Microsoft .

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

An dieser Stelle erscheinen in loser Folge Dokumentationen zu den von mir empfohlenen Programmen. Meist handelt es sich dabei um kleinere Tools, die ursprünglisch in der englischen Sprache erschienen sind und somit nicht jedem geläufig sind.
Windows Memory Diagnostic	Speichertestprogramm
Hijackthis	Browser Hijacker
RealVNC	Fernwartungsprogramm

 

W32.Blaster alias lovsan.a

Hallo! Habe doch gewußt, das Du meine Seite finden wirst!

Sicherlich bist Du genervt und erschrocken zugleich, wie schnell sich so ein "Würmchen" verbreiten kann und welche Lawinen er auslösen kann.

Aber wieso befällt er gerade mich, der sowieso nur Emails schreibt und keine Downloads durchführt?

Weil Du Dich nicht ausreichend schützt und Du mit den Gefahren des Internets noch nicht vertraut bist!

Sicherlich solltest Du alle vorgeschlagenen Maßnahmen zur Auffindung des Wurms und dessen Beseitigung einleiten und immer "am Ball" bleiben - wer weiß denn schon so genau, was sich diese fiesen Wurmprogrammierer noch so alles einfallen lassen? Ein Ende ist jedenfalls nicht in Sicht - und eine wirkliche Alternative zu den folgenden Proceduren findest Du hier.

Tool zum finden und beseitigen von W32.Blaster ( "FixBlast.exe" ca. 164 kb)

Nach dem Download das Programm ausführen und den Anweisungen folgen.

Damit ist der Blaster erst mal weg, damit er aber nicht mehr wieder kommt, empfehle ich, Dein Windows sicher zu machen. Wie das geht, findest Du hier.

Während beim "Blaster"-Wurm eine Datei mit dem Namen "Msblast.exe" auf den Rechner geladen wird, nutzt der Nachfolger für den Dateinamen die unauffälligere Bezeichnung "winlogin.exe". Diese Datei wird ebenso wie die Datei "yuetyutr.dll" in das System-Verzeichnis von Windows kopiert.

Damit der Wurm bei jedem Systemstart aktiviert wird, werden folgende Registry-Einträge vorgenommen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
NdplDeamon = "winlogin.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
winlogon = "winlogin.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "explorer.exe winlogin.exe"

Danach dann einen Virenscanner: meine persönliche Empfehlung - AntiVir (kostenlos)!
und dann noch:

Windows-Patch gegen Sicherheitslücke!

Um dem Wurm auch künftig keine Möglichkeit zu geben, auf Dein System zu gelangen, solltest Du unbedingt die Sicherheitslücke in Windows schließen und regelmäßig Dein System updaten lassen.

W32/Sasser-A, Sasser, W32/Sasser.worm, Win32.Sasser.A, W32.Sasser.Worm:

Betroffene Systeme:
Windows 2000, Windows XP, Windows Server 2003

Nicht betroffen:
Windows 95, Windows 98, Windows ME, Windows NT 4.0


Am 1.Mai 2004 um 4:15 AM (PST), haben die TrendLabs einen Yellow Alert ausgelöst, um die Ausbreitung dieser Malware einzudämmen. Berichte über Infektionen liegen bereits aus den USA vor.

Dieser Computerwurm nutzt die sog. "Windows LSASS Vulnerability", die einen Speicherüberlauf darstellt, der einem entfernten Nutzer ermöglicht Code auf dem befallenen System auszuführen und ihm vollen Systemzugriff ermöglicht.

Um sich zu verbreiten, durchsucht er das Netzwerk nach verwundbaren Systemen. Sobald er ein solches findet, versendet er ein präpariertes Datenpaket um so einen Speicherüberlauf bei der LSASS.EXE zu induzieren.

Er erstellt die Scriptdatei CMD.FTP, die Anweisungen für das befallene Sytsem enthält, eine Kopie der Malware per FTP (via Port 5554) von einem bereits infiziertem System herunterzuladen und lokal auszuführen.

Da diese Malware einen Speicherüberlauf in der Datei LSASS.EXE erzeugt, stürzt dieses Programm ab und fordert dadurch zu einem Neustart von Windows auf.


Symptome:

Es erscheint eine Meldung, dass das System heruntergefahren werden muss ("System herunterfahren").
Ggf. wird die Info ausgegeben: "lsass.exe - Fehler in Anwendung".
Oder: "LSA Shell (Export Version) hat einen Fehler ermittelt und musste beendet werden".
Im Windowsverzeichnis ("WINNT" bei Windows 2000 und "Windows" bei Windows XP) wird eine Datei namens avserve.exe und oder avserve2.exe abgelegt.
Zusätzlich finden sich im Windows-Ordner Dateien nach dem Muster xxxxx_up.exe, wobei xxxxx für eine zufällig generierte fünfstellige Zahl steht.
Im Rootverzeichnis C: findet sich eine Datei namens win.log bzw. win2.log (also C:\win.log bzw. C:\win2.log).
In die Registry erfolgt der Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run als avserve.exe bzw. avserve2.exe.

Bei der b-Variante (avserve2.exe) kann es zu Problemen kommen, Windows herunterzufahren bzw. neu zu starten.

Wichtig: Schwerin-PC empfiehlt dringend den Patch für die Windows LSASS vulnerability einzuspielen. Der Patch ist auf folgender Internetseite erhältlich:


download Windows XP LSASS vulnerability Patch ( Microsoft Security Bulletin MS04-011 ca. 2,59 MB)  

Sollte der Countdown bereits gestartet sein, rufe "Start, Ausführen" auf und gebe dann "shutdown -a" (ohne die Anführungszeichen) ein. Der Countdown wird dann abgebrochen.



Patch aufgespielt - wie bekomme ich denn den sasser nun weg?

1. Besorge Dir für Deinen Virenscanner eine aktuelle Virendefinition (Virenscanner updaten) oder benutze das Entfernungstool von Microsoft.
2. Lasse Dein System nach dem Wurm durchsuchen.
3. Lasse den Wurm entfernen.
4. benutze ggf. den Taskmanager (Strg+Alt+Entf), und beende den Task (avserve.exe oder avserve2.exe bei der B-Variante des Wurms)
5. starte den Registrierungseditor (regedit) und suche im Zweig HKEY_LOCAL_MACHINE >Software >Microsoft >Windows >CurrentVersion>Run nach den Einträgen avserve.exe = %Windows%\avserve.exe (oder auch avserve2.exe)s uchen und entferne diese dann.
6. Falls Meldungen wie "Datei in Benutzung" kommen, dann Punkt 2.-5. noch mal, aber im abgesicherten Modus.
7. System anschließend noch mal mit dem Virenscanner überprüfen.

Falls Dir noch was unklar ist, schreibe mir einfach eine Mail.

Als Schadprogramm (engl. malware: Kunstwort aus malicious - "böswillig" - und software) bezeichnet man Computerprogramme, die eine offene oder verdeckte Schadfunktion aufweisen und mit dem Ziel entwickelt werden, Schaden anzurichten. Schadfunktionen können zum Beispiel die Manipulation oder das Löschen von Dateien oder die Kompromittierung der Sicherheitseinrichtungen (wie z.B. Firewalls und Antivirenprogramme) eines Computers sein.

Mit Schadprogramm ist nicht ein fehlerhaftes Programm gemeint, auch wenn es durch den Fehler Schaden anrichten kann. Vielmehr geht es um die mutwillige Zerstörung.

Es existieren folgende Typen von Schadprogrammen:

Computerviren sind die ältesten Programme dieser Art; sie verbreiten sich, indem sie Kopien von sich selbst in Programme, Dokumente oder Datenträger schreiben.
Ein Computerwurm ähnelt einem Computervirus, verbreitet sich aber direkt über Netzwerke wie das Internet und versucht in andere Computer einzudringen.
Ein Trojanisches Pferd ist eine Kombination eines (manchmal nur scheinbar) nützlichen Wirtsprogrammes mit einem versteckt arbeitenden, bösartigen Teil, oft Spyware oder eine Backdoor. Ein Trojanisches Pferd verbreitet sich nicht selbst, sondern wirbt mit der Nützlichkeit des Wirtsprogrammes für seine Installation durch den Benutzer.
Eine Backdoor ist ein üblicherweise durch Viren, Würmer oder Trojanische Pferde installiertes Programm, das Dritten einen unbefugten Zugang („Hintertür“) zum Computer verschafft, jedoch versteckt und unter Umgehung der üblichen Sicherheitseinrichtungen. Backdoors werden oft für Denial-of-Service-Angriffe benutzt.
Als Spyware bezeichnet man Programme, die Informationen über die Tätigkeiten des Benutzers sammeln und an Dritte weiterleiten. Ihre Verbreitung erfolgt meist durch Trojaner.
Oft werden auch Dialer (Einwahlprogramme auf Telefon-Mehrwertrufnummern) zur Malware gezählt, obwohl sie nicht grundsätzlich dazu zählen. Illegale Dialer-Programme allerdings führen die Einwahl heimlich – unbemerkt vom Benutzer – durch und fügen dem Opfer (oft erheblichen) finanziellen Schaden zu (Telefonrechnung).

Ursache:
Dieses Problem rührt von einem Codierungsfehler in der Datei "Http.sys" her, durch den es zur Beschädigung des Stacks kommt. Das Problem tritt auf, wenn folgende Bedingungen erfüllt sind:

Auf dem Computer sind TDI-Filtertreiber installiert. TDI-Filtertreiber werden für gewöhnlich von Antiviren- oder Firewallprogrammen installiert.

Die installierten TDI-Filtertreiber geben auf die E/A-Anforderung TDI_SET_EVENT_HANDLER eine STATUS_PENDING zurück, sodass der Aufruf als asynchroner APC bearbeitet wird.

Durch einen Codierungsfehler in der Datei "Http.sys" kann es zu einer Beschädigung des Stacks kommen, wenn der TDI-Filtertreiber die E/A-Anforderung TDI_SET_EVENT_HANDLER asynchron auf einem anderen Thread fertig bearbeitet. Der Stack für den ursprünglichen Thread wird bei der Bearbeitung der E/A-Anforderung überschrieben. Dies führt dann zu der Stop-Fehlermeldung.


Hinweis: Mit der ursprünglichen Freigabeversion von Windows XP und mit Windows XP Service Pack 1 (SP1) tritt dieses Problem nicht auf.

Lösung:
Um dieses Problem auf einem Computer mit Windows XP SP2 zu beheben, downloaden und installiere das entsprechende Update (ca. 3.06 MB) für Windows 2000/XP (KB887742).

Der Webmaster dieser Seite ist um Richtigkeit und Aktualität der auf dieser Internetpräsenz bereitgestellten Informationen bemüht. Trotzdem können Fehler und Unklarheiten nicht vollständig ausgeschlossen werden.
Der Webmaster dieser Seite übernimmt deshalb keine Gewähr für die Aktualität, Richtigkeit, Vollständigkeit oder Qualität der bereitgestellten Informationen. Für Schäden materieller oder immaterieller Art, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehler-hafter und unvollständiger Informationen unmittelbar oder mittelbar verur-sacht werden, haften der Webmaster dieser Seite nicht, sofern ihm nicht nachweislich vorsätzliches oder grob fahrlässiges Verschulden zur Last fällt. Gleiches gilt für kostenlos zum Download bereitgehaltene Software.
Der Webmaster dieser Seite behält sich vor, Teile des Internetangebots oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen.

Die Verantwortlichkeit für "fremde Inhalte", die beispielsweise durch direkte oder indirekte Verknüpfungen (z.B. sogenannte "Links") zu anderen Anbietern bereitgehalten werden, setzt unter anderem positive Kenntnis des rechts-widrigen bzw. strafbaren Inhaltes voraus. „Fremde Inhalte“ ist in geeigneter Weise gekennzeichnet.
Der Webmaster dieser Seite hat auf „fremde Inhalte“ keinerlei Einfluss und macht sich diese Inhalte auch nicht zu Eigen. Der Webmaster dieser Seite hat keine positive Kenntnis über rechtswidrige oder anstößige Inhalte auf den verknüpften Seiten fremder Anbieter. Sollten auf den verknüpften Seiten fremder Anbieter dennoch rechtswidrige oder anstößige Inhalte enthalten sein, so distanzieren sich der Webmaster dieser Seite von diesen Inhalten ausdrücklich.

Rechtliche Hinweise zum Urheberrecht:
Das Layout der Homepage, die verwendeten Grafiken sowie die sonstigen Inhalte ist urheberrechtlich geschützt.

 

Webmaster Schwerin-PC

Webdesign und Realisation © 2006 www.mv-media.de

Der Internet Explorer, demnächst Windows Internet Explorer (Abkürzung: IE oder MSIE) ist ein Webbrowser von Microsoft für das Betriebssystem Microsoft Windows. Seit Windows 95b, SR2 ist der Internet Explorer fester Bestandteil von Windows-Betriebssystemen. Bei älteren Windows-Versionen kann er nachinstalliert werden. Für einige Zeit gab es auch Versionen für Unix-Derivate (wie Solaris und AIX) und für Mac OS. Die derzeit aktuelle Version 6.0 SP2 ist nur für Windows XP mit dem Service Pack 2 erhältlich. Die aktuelle Entwicklerversion ist 7.0 Beta 2 Preview (Build 5299).

Nach der Verdrängung des Netscape Navigators im so genannten 1. Browserkrieg ist der Internet Explorer heute der meistgenutzte Browser im World Wide Web. NetApplications beispielsweise misst einen Marktanteil von 85,03 Prozent (Stand: Februar 2006).

Domain mit Umlauten:
Anders als Firefox kann der jetzige MSIE leider keine URL mit Umlauten (ä, ö, ü, ß) anzeigen. So führt der Versuch http://www.döner-king.de ins Leere, obwohl seit dem 01.03.2004 Umlaute und das "ß" in Domainnamen erlaubt sind. Aber für den MSIE gibt es Abhilfe, ein Plugin macht den Internet Explorer Umlautfähig. Weitere Infos und den Download finden Sie hier.

Um Domainnamen mit Umlauten und anderen Sonderzeichen korrekt aufrufen zu können, sind folgende Browser und entsprechende Konfigurationen notwendig:

Mozilla 1.4 und höher
Mozilla Firebird
Netscape 7.1 und höher
Opera 7.11 und höher
Microsoft Internet Explorer 5.0 und höher (+ Verisign i-Nav TM PlugIn)
Konqueror (ab KDE 3.2 + GNU IDN Library)
Safari 1.2 (MacOS X 10.2 oder höher)