*Sniff * sneuf* Wochen-Ende und ich habe ...

[cedra]

JA so is es ... da hat mir ein "werter" coder Kollege ja schön einen rein gebraten :-[

Also es geht darum :

(Danger !!! *)
/link entfernt
(* Ja nichts an addons bzw, add's von der Seite, System seitig, ¨ür Browser annehmen ! ).

ist die Seite wo ich gerade als "Start Page" habe.

ich bin hijackt , geviruset oder schlicht , die Figur in Pferdeform und Hohl ... O.o

Ich muss ja lachen !!! Anderer seits kann ich mich bei aktiviertem AntiVirus (AntiVir) aber auch nur wundern ! Wie kommt so was auf eine Kiste die ein dauer/voll aktiven AV laufen hat ??? Das ganze zeug scheint ausser performance Kosten , nich viel zu taugen !??

Aber was ist es den genau !???

http://www.threatexpert.com/report.aspx?...bcdf337b8f

Ich muss natürlich auch lachen, weil !! Kurz zu erklärung ! Ein Trojaner/Virus/hijack wo total offensichtlich ist, ist nie "böse", die "Phösen" teile dieser Sorten, sind darauf bedacht eben nicht auf zu fallen. Man kann also auch von einem Fun Programm reden, doof gesacht.

Aber was ist es den nun !??? Die suche via searchalot.com (hey !!? die giebts ja immer noch!!) ergab :

Troj/Agent-PWH

Threat Expert sagt auch bekannt als :

Alias:
Trojan.ADH [PCTools]
Trojan.ADH.2 [Symantec]

Aber wie kam es genau dazu !?? ^^

Ich "unschuldich" und "immer lieb" , war gerade auf der Suche nach Informationen über SolarZellen, um genau zu sein welche Steck-Systeme es da so giebt und wie die heissen. Dazu muss man wissen , ich erstelle gerade auf meiner OS Sim eine kleine Info Ecke über diverse Themen, der Titel der Parzelle ist : "Versuche der Elemente". Jedenfalls war ich gerade am "googlen" und war auf einer Page mit SolarPanel Kabel, gar eine Shop-Seite !!!, als ein Security Fenster vom Browser auf ging undf ich , doof wie ich war, promt zu liess und mit OK bestätigte.
Ich weiss gar nich was mich geritten hatte, es war wohl irgend wie auch so, ich dachte intuetive an ein Solar Rechner auf der Page, der vieleicht Flächen bedarf nach bedarf Leistung , oder so errechnene vermochte. DAS WAR MEIN FEHLER !!!

Jetzt sitz ich hier , weekend und bin gaaaanz Krank .. ich hab Virus ... :'(

das ganze is so vern ned tragisch, es war ja auf anhieb offensichtlich , dass ich ihn habe, also ned gefährlich, aber lästig !!!

Was mich wundert :

Also da der Bling wo ja die Page als search Engine bietet , ist ja nich viel wert. (Da sieht man mal wie man sich an Google gewöhnt hat schon)

Das ein solcher hijack überhaupt einfach aktive werden kann, obwohl ein AntiVir voll aktive und up to date , wie mit mittlerer heuristic , am laufen ist. !??
Also da bin ich mir echt eigentlich ganz anders gewöhnt vom AntiVir. Hätte ich doch bei Avast bleiben sollen !??? (avast update stimme fand ich iwei auch cool ^^)

und !? Is heute noch wie früher , man sollte echt immer bei jedem OK klicken, was ab Inet kommt , geistes gegenwärtig sein ^^


Tja und nu !?? Wie werd ich den wieder los !??

Weder antivier , noch SpyBot Search & destroy , noch Ad-Ware konnte bis jetzt helfen. :o

Was ist der SHICE !?? alle sammt überhaupt wert !???

PS: Ich habe verdacht , da es sich beim Agent-PWH bzw. ADH um einen modifizierte Form handelt. Also nene Mutanten. Dieser verdacht erhärtetet sich mir, nach dem ich die ThreatExpert und dessen Registry angaben bei mir nachvolzogen habe.
(Da kann ich mich auch irren da die Reg beim Vista mal erheblch verändert worden sein muss via SP und alte beschreibungen, über diese, teils ned mehr passend sind)

Aber ein weiterer Faktor der die befürchtung von einem neuem Mutanten bestärkt. Es kann ja kaum sein das 3 der leistungstärksten Softwaren diesen nich erkennen !???

Scheint aber zur Zeit so...

PS : Die Seite : /link entfernt ist wahrscheindlich keine verteiler Seite und hat auch gar nix direkt mit dem Agent-PHW zu tun, ich glaube es handelt sich um eine Seite von Troja oder so und is als runing Gag gedacht gewesen. Man muss der Klicks haben ^^ . Mal in englisch währe noch intressant, so würde man besser mit bekommen was die da beschreiben .

//edit: Hab die LInks zu der Virenverseuchten? Seite mal entfernt, sonst steigt mir noch einer aufs Dach. Obwohl da jeder selbst schuld ist, wenn man drauf klickt. Cedra, ich weiss du meinst es gut. bitte an alle, solche Links bitte NICHT posten.

[Bogus Curry]

Huhu Cedra, sowas ist mir auch schon passiert .. Hab mir auch sowas eingefangen, aber durch meine eigene Schuld.

Auch wenn man sich vielleicht Auskennt oder es glaubt sich auszukennen, ist man vor swas nicht gefeit. Und wie heisst es so schün, man soll keine "Fremde" Links vertrauen .. auch wenn sie von angeblicken Freunden stammen.

[cedra]

*g* Hand wasch und abtrocknet*

A freches kleines Ding , ich nenne ihn "Agent-PW".

Natürlich ist dieser mittler weilen erfolgreich entfernt worden.

Auch wenn man sich vielleicht Auskennt oder es glaubt sich auszukennen, ist man vor swas nicht gefeit. Und wie heisst es so schün, man soll keine \"Fremde\" Links vertrauen .. auch wenn sie von angeblicken Freunden stammen.

Naja , was heist auskenne !?? Ich wunderte mich, was da nich für "kompetente" Tips in den Foren giebt. Ich verstehe langsam warum sich Klarabella eine Such-Engine wünscht, wo Foren-Seiten ausgeschlossen sind. ^^

Am schlimmsten sind die , wo glauben , ich zitire inhaltlich...

Wie werde ich Agent-PWH los ? :

Am besten ganzes System neu aufsetzen und alle Partitionen löschen, NICHTS auf CD brennen .. LOL wie bescheuert muss man sein !?? Wer so was empfihlt weiss ohne hin nicht was er an Konsole macht, also wo da die gefahr beginnt, kann ich genau erklären.
Das sind den diese wo 3 AV laufen haben mit HIGH Heuristik plus 2-3 Firewalls und wo sich den wundern, warum die Kiste nicht mehr recht lauft, wahrscheindlich ein Virus .. löl

Wie kann ich Agent-PWH manuell removen, also deaktivieren und entfernen ? :

Wir haben nicht mehr das Jahr 1998 , so was kann man heute nicht mehr von Hand "deinstallieren".


Ähm !??? Also zum mal erklären , was "nur" die letzten Jahre so ablief .. Longhorn ist Vista und hatte eine entwicklungs Zeit von etwas über 6 Jahre. Also so gesehn soll Vista ja auch von Grund auf neu codiert worden sein, "soll" . Also wer sich über Win7 und Vista streitet, kann genau so gut über Win2K und XP Streiten , dass ganze ist nämlich bis zu letzt der selbe Shice !! übrigens ! , kaum war Vista drausen, wurde in dem ein Fehler der enthalten war bis und mit Win 2K zurück nach gewiesen. Also von wegen von Grund auf neu erstellt.

Naja , war wieder mal wierklich witzig, gerade auch weil Agent-PW ein "kleiner Bruder" vom PWH gewesen ist. Nach Expert hat der PWH z.B. auch eine RegEditor blockade enthalten, was nun bei mir und dem PW Version nich der Fall war. Also es wurde nicht verhindert das man die Grund legenden änderungen vom PW in registrierung ned mehr verändern , bzw einsehn konnte.

Die ganze enthaltenen dinge vom PW waren kaum bös , als mehr lern artiger Natur.

Was ich wierklich intressant fand ist die host File , im Grunde , kann man ja jegliche Domain Eingabe auf eine eizelne IP routen und so z.B. ein sehr sicheres Kinder-Web konseptieren. Der aufwand ist minimal und die sicherheit seitens Kind sehr hoch. Technisch ein klax.

Tja so weit , sehr spannend , wieder viel gelernt und auch meiner seits erkannt, ich kanns nach wie vor , auch immer noch mit Vista , ich brauche nur die richtigen Infos.

PS : Bogus , ich sagte ja das die Seite nich die gefährliche ist, möglicher weisse hat die gar rein nichts zu tun mit dem Agenten. Ich würde hier sicherlich nie jemanden gefährden ... ^^

PSS : naja naja ... ^^ *grübel* So was noch mal modified , der Agent-OS-PWH !??? ^^ Alle Login Uris immer auf Dorenas Grid um routen lassen !?? und den alle "zwingen" bei uns logen zu müssen ... und ah ja , reklamations Stelle dan is äh Dorena jep .. ^^

[Ezry Aldrin]

Huhu

Ich versteh nicht was du da sagst,aber wohl das du nen Virus hattest oder trojaner den du nun erfolgreich beseitigt hast,wo ich nicht hinter komme ist was meinst du mit Agent-PWH und Agent-PW, versteh halt nach wie vor nicht alles,aber was das ist und wofuer moechte ich schon gerne mal wissen

thx
lg
Ezry

[Datalo Tenk]

Agent-PWH

For remove Troj/Agent-PWH virus,please clean/delete all Troj/Agent-PWH infected files and Delete/Modify any values Troj/Agent-PWH added to the registry as following:
Troj/Agent-PWH Category


------------------------------------------
Denke mal ein Antivirenprogram

[cedra]

Huhu Ezry !

Vielen lieben Dank Datalo

Ezry , beim Expert :

Wird ja der Trojaner , sagen wir mal lieber hijack beschrieben.

Beim Experten nennen die ihn :

Alias:
Trojan.ADH [PCTools]
Trojan.ADH.2 [Symantec]

Aber bei weiteren Seiten wird dieser HiJack Agent-PWH genannt.

Jetzt haben wir schon 3 Namen für den Selben dingens... oki so weit ??

NUR !! Mein Antivirus kannte den ned ???

Drum !! Kam der ja erst bei mir drauf ! Sonst hätten ja alle Lampen Hier rot geleuchtet. Also handelt es sich wiederum um was anderes . !?
Aber ! Der Expert Beschreib "stimmte" eigentlich schon zu Meinem kleinem Virus aber nicht mehr in der gänze. SO hatte mein Virus z.B. nicht den RegEditor disabled.

to disable the Windows registry editors (Regedt32.exe and Regedit.exe)
[HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings]
JITDebug = 0x00000000
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
HomePage = 0x00000001

Das war z.B. unangetastet , währe auch ganz schön scheisse gewesen ^^ Richtiger "blocker" um was machen zu können. Klar man kann via reg File diesen RegEditor wieder aktivieren, aber erst muss man das ja auch mal noch wissen, was der Hijack wo und wie machte. Im übrigen stimmen aber die Pfade in der Beschreibung von Expert schon, es war also nich so , dass der Hijack auf grund von System unstimigkeiten die änderung nicht hätte vornehmen können, aber er tat es trotzdem nicht.

übrigens :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes]
mirc = \"http://www.blahblah.gen.tr\"

Der war verändert und bewirkte folgendes, Wen das so in der Registry steht, kann man beim Browser unter Einstellungen , die Start Page nicht mehr verändern. ^^
Die Domain steht dan so im Fenster drin und ist Grau , was bei Windows als unveränderbar gillt.

Drum allem anschein nach, war meiner ne abgeschwächte Version vom PWH und drum nannte ich den PW ... ohne H , das H nehme ich für "hard" *g*

Deshalb gehe ich recht in der Annahme , denke ich , wen ich von einem "Mutanten" rede. Es giebt ja viele Viren in mehren "Formen" um es mal so zu sagen.
Dieser annahme bestärkend meiner seits is noch, dass der Grund-Typ eigentlich nicht sehr alt ist : 30 December 2010, 12:49:24

Glück an der Geschicht ist ja eigentlich auch, dass der Hijack so was von offensichtlich ist und man via dem Domain-Namen sehr schnell drauf kommt was es ist, auch wen der AV diese Version noch nich erkannte.

Weil :

For remove Troj/Agent-PWH virus,please clean/delete all Troj/Agent-PWH infected files and Delete/Modify any values Troj/Agent-PWH added to the registry

Genau so ist es ! ^^ Und genau da fängt normal das dilema bei einem Virus auch an, im Grunde entfernt man ein Virus immer so , egal welcher das ist. Nur eben , normal weiss man ja auch nicht auf anhieb welche Files diese den sind, ausser man weiss eben welcher Virus es ist. Was aber auch nicht immer so schnell der fall sein kann. Heraus zu finden was man für ein Virus hat, wen der AV selber diesen noch nicht kennt , ist bei einem neuem Typ sehr mühsam, bis schier unmöglich. Da muss man im einzelnem jeder System seitiger veränderung nach gehn und ermitteln , obs vom Virus her rühmt. Am besten gehts dan ,wen man eine Absicht erkannt hat.
Irrwitziger weisse kann man nich bei allen Typen eine Absicht erkenen, bzw kommt schlicht nicht drauf.

versteh halt nach wie vor nicht alles,aber was das ist und wofuer moechte ich schon gerne mal wissen

Tja , da fragst aber auch den falschen , ich hab das shice Dingens ja ned erstellt ;D

Aber scheint ein Cyber-Punk revolutze Teilchen zu sein, wo quasy Google attackiert ^^ so quasy .

www.google.com.tr
www.google.co.uk
www.google.ca
www.google.com.br
www.google.co.il
www.google.com.ar
www.google.com.my
www.google.gr
www.google.com.ph
www.google.com.tw
www.google.co.id
www.google.co.in
www.google.com.au
www.google.ru
www.google.co.nz
www.google.com.pk
www.google.dk
www.google.pt
www.google.es
www.google.se
www.google.de
www.google.com.hk
www.google.fr
www.google.co.jp
www.google.com.mx
www.google.com.sa
www.google.com.sg
www.google.cn
www.google.com.eg
www.google.com.ba
www.google.com.at
www.google.be
www.google.ch
www.google.no
www.google.sk
www.google.fi
search.yahoo.com

Alle diese Domains werden einfach auf die eine IP adresse um ge routet und thats itz. :O)

Man hat den also quasy oben www.google.ch stehn , als beispiel und ist trotzdem auf der anderen HP. Auch die Bilder unter Eigenschaften scheinen von google.ch Domain bzw das wo man oben stehn hat herzu kommen.

Ähm , im grunde ist es ziemlich primitive das Ding. Aber ist sehr lernreich auch ! Ich finde das mit der host File sehr witzich ^^ Ich glaube ich bau das mal bei meinem Schatzi ein und sag den , nejjj is fertisch frei Inet , du hast nun Game-Code.Net arrest.

Vieleicht , könnte man das auch noch so umbasteln, dass man ne art OS-Sim arrest einleiten kann ^^

Hmm man müsste einfach jegliche %secondlife://% URL auf eine einzelne ganz speziefische Login Uri um routen .. *grübel*

lllLooL ... ähm aber ne ich lass es lieber ^^ , ich glaube Dorena hätte nich so viele freude wen ein haufen Avas bei uns durchs Grid walken und rum jammern :" ich komm hier ned, weg ich komme hier ned wech ..."
^^ *sich die reklamations flut ausmal* Neee ich lass des ^^

Aber ! Wen man mal das ganze von einer anderen Seite her betrachtet und sich überlegt. Wen man nun eine Web-Seite machen würde mit einem Iframe und diese wiederum mit Seiten Darstellung von 3t Seiten speissen würde und den wiederum eben ein System mit Browser so restriktiniert , hätte man ein geniales , sagen wir mal Kindes-Sicheres Web.
Admins würden neue Pagen nach kontrolle und durchsicht eintragen und alles was nicht auf dieser speziefischen Domain liegt, währe schlicht "unerreichbar". Womit man ein wierklich sicheren Inhalt generieren könnte.

Also man kann rein theoretisch die selbe Technik für was gutes benutzen, genauer betrachtet.

Leider sind 98% Eltern , mit dem Agenten selbst bereits so weits überfordert das die wahrscheindlich System neu aufsetzen würden, geschweige den so eine restriktion einrichten könnten. Aber dafür sind halt wir wissenden da , ich bin ja auch kein Flug-Pilot.

Muah so ein http://www.kinder-sicher-web.de/ Projekt hätte noch was , irgend wie ... ^^