Spyware "TinyBar" ?

Hallo!

Ich habe mit XP Clean 5,7 einen Spywaretest durchgeführt, wobei folgendes als Ergebnis angeführt wurde:
"ctor.dll" und "TinyBar"

Beides sagte mir nichts und habe deshalb ein bisschen gegoogelt. Ich weiß nun, dass ich auf keinen Fall "ctor.dll" nicht löschen darf.
Ich habe jedoch keine brauchbaren Informationen über "TinyBar" gefunden mit Ausnahme, dass es eine Spyware ist und das man nur schwer wieder los wird.

Kann mir jemand erklären, wobei es sich hier genau handelt?

Danke und liebe Grüße,
Trotzkopf

 

http://inetexplorer.mvps.org/data/tinybar.htm
http://www.kephyr.com/spywarescanner/library/tinybar/index.phtml

 

Falls dir die nicht gerade informativen Links nix bringen, würde ich dir empfehlen die Proggies Spybot sowie AdAware mit den aktuellen Updates über deinen rechner zu jagen.

 

Hi Tobiy,

danke für den Tipp. Habe ihn auch befolgt:

Mit AdAware konnte nichts gefunden werden;
mit Spybot habe ich den Eintrag "Weather Cast" gefunden, den ich immunisiert habe.
Aber einen Hinweis auf TinyBar konnte ich leider nicht finden; ob er eventuell in Zusammenhang mit "Weather Cast" steht?

Liebe Grüsse,
Trotzkopf

 

Hallo,
erstelle mal in Hijackthis-Logfile, wie hier beschrieben:
http://www.pcwelt.de/forum/thread134046.html
und schicke den Link zur Auswertung hierher.
Es wäre aber auch möglich das es sich um einen Fehlalarm handelt.


Grüße Jasager

 

Hallo Jasager,

habe diese Logfile erstellt - hoffe, dass ich es richtig gemacht habe:

Logfile of HijackThis v1.99.1
Scan saved at 12:40:31, on 03.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\0190 warner\w0svc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

Danke für Deine Hilfe im voraus!
Liebe Grüsse
Trotzkopf

 

Hallo,
wie groß oder dick soll ich eigentlich Link noch schreiben, warum liest du nicht was im Link steht. Das ist auch nicht das gesamte Logfile sondern nur der erste Teil.


Grüße Jasager

 

Moin Trotzkopf,

zuerst meinen GLÜCKWUNSCH, dass AON wieder läuft!!!!!


Das ist "TinyBar" :
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453072550

Im unteren Teil steht, wie Du die Malware von Hand wieder los wirst (Dateinamen, Registry-Einträge etc.):
http://tinybar.antispytools.com/

Warte aber bitte auf das Ergebnis von "HijackThis" (HT), vielleicht war es ja nur ein Fehlalarm!

Werte Deine "Hijack This"-.log-Datei bitte unter folgender Adresse aus:
http://www.hijackthis.de/

Dazu entweder .log-Datei auf Festplatte suchen und hochladen oder aber im Editor öffnen, Inhalt komplett kopieren und in den großen weißen Kasten auf der HT-Seite einfügen, dann Knopf "Auswerten" drücken.

- Speichere das Ergebnis mittels des Knopfs "Auswertung speichern" (bleibt für drei Tage erhalten)
- poste dann hier bitte NUR den Link zu dem bei "Hijack This" gespeicherten Ergebnis, Du findest es mit dem Ergebnisfenster in der Adresszeile des Browsers

So kann jeder sich anschauen, was da im Argen ist und Dir Tipps geben, es zu beheben.

(Als Beispiel habe ich den von Dir geposteten unvollständigen Teil einmal durchlaufen lassen:
http://www.hijackthis.de/logfiles/8632e690238828a78c975c61a2753ffe.html)

-----
Nachsatz:
Wenn Du nun die Einträge fixen willst, musst Du auf Deinem Rechner noch einmal HT starten, neu scannen und in der Ergebnisliste nach "AON.Search" suchen (da steht R1 vorne dran), dann 1 Häkchen vor die R1-Zeile setzen und aufs Knöbbsche "Fix checked" drücken. Damit sollte der Eintrag entfernt sein.
-----

Alles Gute,
Thor

 

Hallo!

@ Jasager
Leider ist noch kein Meister vom Himmel gefallen! Habe leider etwas übersehen; aber wenn ich ein Profi wäre, dann bräuchte ich ja keine Hilfe

@ Thor
Danke für Deine Antwort - hat mir sehr weitergeholfen!

Hier ist nun der Link:

http://www.hijackthis.de/logfiles/5439f473ac491fa03ee348c2cae2b274.html

Danke für jede weitere Hilfe.

Liebe Grüsse,
Trotzkopf

 

Hallo,
verlangt ja auch keiner von dir das du ein Profi ist, beim nächsten mal einfach den Link sorgfältiger durchlesen. Da du jetzt nicht der erste warst der das nicht tut, wird der Ton halt recht schnell etwas barscher, naja...
Aber jetzt zu deinem Log,
C:\Dokumente und Einstellungen\IPC\Desktop\1_99_1.exe
Falls die der Eintrag nicht bekannt ist, habe allerdings den Verdacht das es sich um Hijackthis selber handelt, überprüfe die Datei mal hier:
http://virusscan.jotti.org/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
Diesen Eintrag solltest du fixen, d.h. einfach einen Haken davor machen und auf "fix checked" klicken.
Ansonsten ist dein System sauber, falls der Eintrag bei XP Clean 5,7 immernoch auftauchen sollte, denke ich das es ein Fehlalarm ist.


Grüße Jasager

 

Hallo Jasager,

habe den Eintrag nun gelöscht und nochmals XP Clean durchlaufen lassen; der Eintrag von TinyBar ist jedoch noch vorhanden.

Liebe Grüsse,
Trotzkopf

 

Hallo,
dann kann ich dir nur noch raten es mal mit fogenden Antispyprogrammen zu versuchen: Spybot, Adaware, Microsoft Anrispyware. Habe mal kurz nach der Tinybar gegooglet und habe da auch Threads gefunden die meinen das XP Clean 5.7 auch schon mal gerne einen Fehlalarm fabriziert.

Grüße Jasager

 

@ Trotzkopf

Moin nochmal,

lies bitte die PN, die ich Dir geschickt habe. Die Dateien, nach denen Du fahnden solltest, findest Du hier:

Gibt es diese Dateien auf Deiner Festplatte? Falls nicht, ist es vielleicht nur ein Fehlalarm (wenn Dateien negativ & Adaware+Spybot+HT negativ).

Toi, Toi Toi,
Thor

 

Hallo Jasager,
Hallo Thor,


@ Jasager
Spybot und AdAware geben mir keine Einträge; scheint alles in Ordnung zu sein. Soll ich da tatsächlich noch Microsoft Antispyware laufen lassen?

@ Thor
Habe nun nach den genannten Dateien gesucht; händisch im Explorer unter Windows/System32 sowie auch mit dem Suchassistenten - versteckte Dateien und Ordner habe ich mir anzeigen lassen. Die Dateien gibt es nicht; kann absolut nichts finden.

Ich hoffe nun wirklich, dass das alles nur ein Fehlalarm ist.

Liebe Grüsse,
Trotzkopf

 

Moin,

ich wünsche es Dir, solche Malware kann mächtig hartnäckig sein. Aber es hat wirklich den Anschein, dass es glimpflich ausgeht. Beim Browserstart bist Du doch bisher sicher nicht auf unerwünschte Seiten weitergeleitet worden oder hast plötzlich unerfreuliche Favoriten in der Liste?

War eine Menge Aufwand, aber immerhin gibts jetzt einen HijackThis-Profi mehr!

Alles Gute,
Thor

 

Hallo Thor!

Bis jetzt wurde ich noch nie weitergeleitet, habe auch keine unerfreulichen Favoriten in meiner Liste. Es sind mir bisher auch noch keine Ungereimtheiten aufgefallen; nichts Auffälliges.

Danke nochmals für die Hilfe - auch an Jasager.

Liebe Grüsse,
Trotzkopf