Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: "Koule Jehova"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.09.2004, 11:19   #1
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



Wollte eben was mit dem Microsoft Baseline Security Analyzer über prüfen u hab festgestellt das alle gifs mit koule jehova überschrieben wurden...

ist das ein Virus?

thanx schonmal im vorraus

Geändert von BBaller (23.09.2004 um 11:51 Uhr)

Alt 23.09.2004, 11:25   #2
MountainKing
 
"Koule Jehova" - Standard

"Koule Jehova"



Wahrscheinlich, allerdings gibt es dazu wohl noch nicht viel Informationen.
Lass mal E-Scan wie beschrieben durchlaufen, nach einem Update natürlich:

http://www.trojaner-board.de/42731-escan-anleitung.html

Und ein Hijackthis-Log schadet sicher auch nix.
__________________


Alt 23.09.2004, 11:33   #3
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



hab ein paar infos bei chip.de gefunden

"Hab gerade den Kampf gegen "WordInfo.doc" gewonnnen, glaube ich zumindest.

Ich hatte zusätzlich noch die "nette" Datei mssys.exe auf meinem Rechner. Obwohl kein aktueller Viren-Scanner (Norton 2004 & AntiVir 6.27) diese als schädlich erkannt hat und ich auch alles andere als ein Experte bin, denke ich, dass diese Datei das Übel war. Die Datei wurde bei jedem Start von XP ausgeführt, allerdings nicht im abgesicherten Modus.

Sie lag bei mir unter C:\WINDOWS\mssys.exe. Zusätzlich gabs noch einen Registry-Eintrag unter HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.
Beide habe ich gelöscht und beide Dateien (WordInfo.doc & mssys.exe) kamen nicht mehr wieder.

Als "Bonus" mache ich die mssys.exe auch noch für folgende Veränderungen an meinem System verantwortlich:

- viele (komischerweise nicht alle) GIF-Dateien im System werden mit einer Graphik überschrieben, die als Inhalt "Koule Jehova" hat und 1 KB groß ist

- auch wieder viele, nicht alle, TXT-Dateien werden auf den Status versteckt gesetzt und es wird eine EXE-Datei mit dem gleichem Namen erzeugt. Diese Datei ist 348 KB groß und trägt das Erstellungsdatum 20.08.2000 15:30. Ich gehe davon aus, dass diese Dateien Kopien der mssys.exe darstellen.

Fazit: Ob es an der o.g. mssys.exe tatsächlich lag, kann ich nicht sagen. Allerdings sollte jeder, der die Datei "WordInfo.doc" auf seinem Rechner findet, mal schauen, ob nicht noch mehr (siehe oben) fremde Dateien drauf sind. Das Überschreiben der GIF-Dateien ist echt beschissen."

" hallo, mich hat der kuole jehova auch erwischt.
alle gif dateien sind geändert
alle txt dateien sind gleichnamig zu exe mit 348k geworden
auch .log dateien hats erwischt
msdosdrv.exe und mssys.exe werden immer erneuert
alle daten sind am 03.08. geändert worden
anfang september wurde er wieder aktiv
ich habe mal das systemdatum auf 01.10 gestellt und es ging wieder los
kein virenscanner hat angeschlagen norton , kasparsky, thrust antivirus

im internet ist kaum was zu finden also brauchen wir jede info

wer kann mehr infos geben oder sogar gegenmassnahmen bekannt geben.

ich schätze der rechner muß platt gemacht werden aber da bleibt das risiko der ursprungsdatei auf eventuellen datensicherungen"


"hab dfas gleiche proplem bei mir wird auch immer bei allesn gif. datein Koule Jehova(stirb\to Jesus\Gott soll das auf deutsch heißen kommt aus dem Finischen)
beim suchen hab ich "mssys.exe" gefunden aber nicht
"WordInfo.doc"
DAs einzige was dagegen lhelfen soll währe formatieren habs noch nicht gemacht hoffe das es auch ne andere lößung gibt"
__________________

Alt 23.09.2004, 11:42   #4
MountainKing
 
"Koule Jehova" - Standard

"Koule Jehova"



Ja, das habe ich auch gelesen, hast du denn diese mssys bei dir? Eigentlich gehört die zu einem bereits bekannten Schädling. Mach mal bitte, was ich vorgeschlagen habe.

Alt 23.09.2004, 12:12   #5
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



Ne hab keine mssys. Hab am Sa mal nen e-scan gemacht im abgesicherten modus. Es wurden 600 dateien gefunden (nehme an das es die .txt dateien waren die automatisch als exe umgewandelt wurden)
gefunden über escan wurde: backdoor.optix.pro13
win32.bacros.a" virus

hoffe das dir das ein wenig weiterhilft


Alt 23.09.2004, 12:43   #6
MountainKing
 
"Koule Jehova" - Standard

"Koule Jehova"



Der "Vorgänger" konnte bereits das anrichten:

http://securityresponse1.symantec.co...tixpro.12.html

Das System ist offensichtlich kompromittiert, du solltest am besten neu installieren.

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/...windowsxp.mspx)
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Unbedingt auch Punkt 11 beachten, da dieser Trojaner wahrscheinlich auch sehr gezielt Passworte ausspioniert.

Alt 23.09.2004, 12:50   #7
Cidre
Administrator, a.D.
 
"Koule Jehova" - Standard

"Koule Jehova"



Ich schließe mich der Meinung von MountainKing an.
Hier findest du eine genaue Erklärung, was dieser OptixPro.13 durch seine Client und Server Komponenten alles anstellt:
Zitat:
Server Component

Upon execution, the server component drops a copy of itself as SERVER OPTIX PRO 131.EXE in the default Windows system folder.

It creates the following registry entry to ensure its automatic execution at system startup:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
GLSetlT32 = %System%\server optix pro 131.exe

(Note: %System% refers to the Windows system directory, which is usually the folder C:\Windows\System for Windows 95, 98, and ME, C:\WINNT\System32 for Windows NT and 2000, and C:\Windows\System32 for Windows XP.)

Then, it opens and listens to port 3410, where it waits for any command coming from the remote malicious user.

The server also allows the following features to be configured, depending on the user's preference:

* Notification information separators
* IP address separator
* Information included in any notification
* Identification name
* Server port
* Server password
* Fake error message
* Server icon
* Startup registry entry
* Registry RunServices startup
* Win.ini startup
* System.ini startup
* S7 special method startup
* Server file name
* Start directory (windir/sysdir)
* Melt server
* Unlimited ICQ number notification
* Unlimited CGI script notification
* Unlimited MSN account notification
* Unlimited IRC server/channel notification
* Unlimited PHP script notification
* Unlimited SMTP notification
* Toggling killing of in-built exe/service list for firewalls
* Toggling killing of in-built exe/service list for Anti-Virus
* Toggling killing of in-built exe/service list for packages classifed as both anti-virus and firewall!
* Unlimited Number of custom exe's to kill
* Unlimited Number of custom services to kill
* File name and registry value cloaking

Client Component

The client component is the part of the backdoor package which is with the remote malicious user. It attempts to connect to the target system via the port opened by the server, which is port 3410. When the connection attempt is successful, it allows the malicious user to utilize the following backdoor functionalities through a GUI (Graphical User Interface):

* User these power options:
o Logoff
o Suspend
o Reboot
o Shut down
* Get server information
* Get computer information
* Get passwords
* Log keys
* Capture screen with left click mouse manipulation
* Manipulate keyboard
* Get camera capture
* Send keys
* Flash keyboard lights
* Turn the monitor on/off
* Disable keyboard
* Disable mouse
* Print text to their screen
Quelle: http://de.trendmicro-europe.com/ente...RO.131&VSect=O
__________________
Gruß, Cidre


Alt 23.09.2004, 12:51   #8
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



sprich windows xp neu installieren? Gibt es keine andere Möglichkeit?

Die Updatefunktion von windows funktioniert auch nicht mehr... es kommt folgende meldung:

[Fehlernummer: 0x8DDD0002]
Sie müssen als Administrator oder Mitglied der Administratorgruppe angemeldet sein, um Produkte von Windows Update zu installieren. Wenn der Computer mit einem Netzwerk verbunden ist, können Einstellungen für Netzwerkrichtlinien das Ausführen dieses Vorgangs verhindern.

Alt 23.09.2004, 12:57   #9
MountainKing
 
"Koule Jehova" - Standard

"Koule Jehova"



Du siehst ja selbst, wie weitreichend bereits in dein System eingegriffen wird.
Die Neuinstallation ist die einfachste und schnellste Methode ein definitiv wieder vertrauenswürdiges System herzustellen, zumindest für den normalen user, der sich mit Rootkits und Backdoorprogrammen nicht wirklich auskennt.

Alt 23.09.2004, 12:59   #10
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



Wie kann ich meine dateien/programme am besten sichern? Hab den rechner noch nicht lange u hab noch nie ne Neuinstallation durchgeführt

das hört sich ja echt übel an

Alt 23.09.2004, 13:13   #11
Cidre
Administrator, a.D.
 
"Koule Jehova" - Standard

"Koule Jehova"



Hier findest du eine bebilderte Anleitung zur Neuinstallation von XP:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Zitat:
Wie kann ich meine dateien/programme am besten sichern?
Am besten auf CD/DVD sichern. Achte aber darauf, welche Dateien du sicherst, siehe http://oschad.de/wiki/index.php/Dateiendungen
__________________
Gruß, Cidre


Alt 23.09.2004, 13:27   #12
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



kann ich auch die mir wichtig erscheinenden dateien auf festplatte d: speichern?

Alt 23.09.2004, 13:44   #13
Cidre
Administrator, a.D.
 
"Koule Jehova" - Standard

"Koule Jehova"



Das kannst du natürlich auch machen.
__________________
Gruß, Cidre


Alt 23.09.2004, 14:44   #14
BBaller
 
"Koule Jehova" - Standard

"Koule Jehova"



muss man vom schlimmsten ausgehen oder könnte es auch harmlos sein?

Falls ihr noch Tips habt wär ich euch sehr dankbar

Geändert von BBaller (23.09.2004 um 14:58 Uhr)

Alt 23.09.2004, 14:57   #15
Cidre
Administrator, a.D.
 
"Koule Jehova" - Standard

"Koule Jehova"



Zur deiner eigenen Sicherheit solltest du vom schlimmsten einzutretenden Fall ausgehen.
Harmlos ist Optix.Pro mitnichten. Du hast die Links gelesen, oder?

Aber es obliegt natürlich dir, wie du dich entscheidest.
__________________
Gruß, Cidre


Antwort

Themen zu "Koule Jehova"
analyzer, festgestellt, gestellt, microsoft, prüfen, schonmal, security, virus, überschrieben



Ähnliche Themen: "Koule Jehova"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  3. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  4. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  5. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  6. AVIRA meldet "W32/Patched.ZA", "TR/ATRAPS.Gen2", "TR/ATRAPS.Gen", "ZR/sirefe.P.487"
    Log-Analyse und Auswertung - 30.07.2012 (9)
  7. Malwarereinigung: "TR/Kazy.25747.40", "Trojan.Downloader..." und "Backdoor: Win32Cycbot.B"
    Log-Analyse und Auswertung - 09.06.2011 (1)
  8. "Stutter.X,"Windows XP recovery"-Aufforderung, "Festplatte beschädigt"-Meldung, Bildschrim schwarz,
    Log-Analyse und Auswertung - 28.05.2011 (20)
  9. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  10. Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Alles rund um Windows - 16.04.2011 (0)
  11. "0.05870814618642739.exe" ("Win32:Trojan-gen") in "C:\Users\***\AppData\Local\Temp\"
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (25)
  12. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  13. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  14. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  15. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema "Koule Jehova" - Wollte eben was mit dem Microsoft Baseline Security Analyzer über prüfen u hab festgestellt das alle gifs mit koule jehova überschrieben wurden... ist das ein Virus? thanx schonmal im vorraus - "Koule Jehova"...
Archiv
Du betrachtest: "Koule Jehova" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.