Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tftp.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.09.2003, 23:58   #1
Schorty
Gast
 
tftp.exe - Beitrag

tftp.exe



Hi @all!
Vor ca. 2 Min. teilte mir Zone Alarm mit, dass der TFTP-Dienst aufs Internet zugreifen wollte. Nachdem ich ihn geblockt hatte, erschien die für den Blaster-Wurm typische Meldung vom RPC-Dienst (Das System wird...) Hab sofort das Removal-Tool von Symantec laufen lassen (das jedoch nichts verdächtiges gefunden hat) & den PC neu gestartet.

Kann es sein, dass ich jetzt noch vom Wurm infiziert bin?
(Es kam bis jetzt noch keine RPC Meldung & die Autostart-Einträge auch OK.)

Alt 13.09.2003, 05:13   #2
nico4u
 
tftp.exe - Beitrag

tftp.exe



hi schorty,

</font><blockquote>Zitat:</font><hr />Original by Trend Micro:
The worm utilizes a certain TFTP.EXE to download its copy on a target machine. During this download routine, a temp file named TFTP* is created. It eventually takes the name of the worm file when the download routine is completed. However, this renaming does not happen when the download process is interrupted or not completed. Thus, TFTP* files may be found in some infected systems as a result of this failed routine. </font>[/QUOTE]grüße nico
__________________

__________________

Alt 13.09.2003, 13:27   #3
Schorty
Gast
 
tftp.exe - Icon19

tftp.exe



Vielen Dank für deine Antwort, nico4u!
Habe bei der Windows-Suche folgende TFTP-Datei gefunden:

TFTP3128 - Erstellt am 12.09.03 um 23:19

Kann ich diese Datei löschen?

PS: Konnte den einglischen Text leider nicht vollständig übersetzen, da ich manche Begriffe (noch) nicht kenne.

Textübersetzung von Google:
</font><blockquote>Zitat:</font><hr />Die Endlosschraube verwendet ein bestimmtes TFTP.EXE, um seine Kopie auf einer Zielmaschine zu downloaden. Während dieses Downloadprogramms wird eine Temperaturakte, die TFTP genannt wird * hergestellt. Sie nimmt schließlich den Namen der Endlosschraubenakte, wenn das Downloadprogramm durchgeführt wird. Jedoch geschieht umbenennendes dieses nicht, wenn der Downloadprozeß unterbrochen wird oder nicht durchgeführt. So TFTP * Akten können in einigen angesteckten Systemen resultierend aus diesem gefunden werden verlassenes Programm.</font>[/QUOTE][img]graemlins/lach.gif[/img]
__________________

Alt 13.09.2003, 13:39   #4
Kitty
 
tftp.exe - Beitrag

tftp.exe



ich hatte auch dieses Meldung, dass das system runtergefahren werden muss (irgendwas mit remote...). hab ebenafalls mit dem blast removal tool den rechner checken lassen, es wurde aber nichts gefunden...
ist das jetzt ein virus oder nicht? bein anti viren progr. hat nichts gefunden.
und aus dem was nico4u gepostet hat werde ich nicht so ganz schlau.
hilfe!

Alt 13.09.2003, 14:15   #5
Cobra
 
tftp.exe - Beitrag

tftp.exe



Endlosschraubenakte *rofl*

Eine möglichst wörtliche, aber hoffentlich trotzdem verständliche Übersetzung:

"Der Wurm benutzt eine gewisse tftp.exe, um sich auf einen Zielrechner herunterzuladen. Während des Downloads wird eine temporäre Datei namens tftp* erzeugt. Wenn der Download beendet wird, nimmt diese Datei schließlich den Namen des Wurms an. Diese Umbenennung findet allerdings nicht statt, wenn der Download unterbrochen oder nicht beendet wird. Auf manchen infizierten Systemen lassen sich daher tftp*-Dateien als Resultat eines fehlgeschlagenen Downloads auffinden."

Erwähnenswert hierbei vielleicht noch:

http://www.heise.de/newsticker/data/pab-10.09.03-000/

http://www.heise.de/newsticker/data/dab-11.09.03-002/

Cobra


Alt 13.09.2003, 16:29   #6
nico4u
 
tftp.exe - Beitrag

tftp.exe



hi @ all,

nach der trend micro beschreibung ist die tftp.exe ein unvollständiges (und somit halbwegs ungefährliches) blaster produkt, welches gelöscht werden kann und sollte.

daß manche scanner das als wurm erkennen, liegt an der qualität der scanner. wer nur strings sucht, der wird nichts finden.

also löschen, den rechner nochmals scannen und gut ist. dann dürfte es auch kein shutdown problem mehr geben. eventuell noch die systemwiederherstellung bereinigen. danach wäre es ratsam (siehe cobras posting) den neuen rpcss patch einzuspielen, um zukünftig nicht noch von ganz neuen varianten befallen zu werden.

grüße nico [img]graemlins/teufel3.gif[/img]
__________________
--> tftp.exe

Alt 13.09.2003, 19:01   #7
Schorty
Gast
 
tftp.exe - Beitrag

tftp.exe



Danke Cobra! [img]smile.gif[/img] (und natürlich auch Nico)

Schorty

Alt 14.09.2003, 13:34   #8
Kitty
 
tftp.exe - Beitrag

tftp.exe



aha, okay. danke für die erklärung. ich hab nach dieser tftp.exe gesucht. als ergebnis kam aber nur ne datei mit dem erstellungsdatum 2001.
ich hatte auch gleich alles bagebrochen. vielleicht hat sich deswegen nichts downloaden können.
ich kenne mich da nicht so gut aus. hab mir auch mal die links angeschaut, die cobra gepostet hat. ich finde mich da nicht so ganz durch.

Alt 14.09.2003, 15:48   #9
lunedi
 
tftp.exe - Böse

tftp.exe



hallo

jetzt habe ich eine Frage betreffend tftp.exe
ich finde diese Datei dreimal unter:

Ort:WINNT\$NtServicePackUninstall$
Ort:WINNT\ServicePackFiles\i386
Ort:WINNT\system32

unter Beschreibung steht:
Trivial File Transfer Protocoll App

Probleme mit runterfahren und so habe ich nie gehabt
Soll ich diese drei Files löschen

schönen Sonntag abend und Ciao

Alt 14.09.2003, 16:04   #10
forge77
 
tftp.exe - Beitrag

tftp.exe



</font><blockquote>Zitat:</font><hr /> Soll ich diese drei Files löschen </font>[/QUOTE]Nein, die 'tftp.exe' ist eine reguläre Windows-Datei, und _kein_ Bestandteil des Wurms.
Der Wurm benutzt dieses kleine Windows-Tool nur, um sich auf den zu infizierenden Rechner zu laden.

Nur evtl. vorhandene 'tftp*'-Dateien, wie z.B. die
'TFTP3128' von Schorty, können/sollten gelöscht werden. [img]smile.gif[/img]
__________________
"<a href="http://return.to/scheinsicherheit" target="_blank">Scheinsicherheit</a>" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

Alt 14.09.2003, 18:20   #11
Schorty
Gast
 
tftp.exe - Ausrufezeichen

tftp.exe



</font><blockquote>Zitat:</font><hr />Soll ich diese drei Files löschen</font>[/QUOTE]Bloß nicht! Es sind ja nicht nur die PC-Würmer, die den Service tftp nutzen, sondern bestimmt auch Programme, die anschließend nicht mehr funktionieren!

Schorty [img]graemlins/teufel3.gif[/img]

Alt 20.09.2003, 22:08   #12
docprantl
 
tftp.exe - Icon19

tftp.exe



</font><blockquote>Zitat:</font><hr />Original erstellt von Schorty:
Vor ca. 2 Min. teilte mir Zone Alarm mit, dass der TFTP-Dienst aufs Internet zugreifen wollte. Nachdem ich ihn geblockt hatte, erschien die für den Blaster-Wurm typische Meldung vom RPC-Dienst (Das System wird...)</font>[/QUOTE]Da kannst du mal sehen, daß dein Zonenalarm zu nichts zu gebrauchen ist. Was zu beweisen war.
__________________
Tugenden, subst. fem. pl. - gewisse Enthaltsamkeiten
[Ambrose Bierce, "Des Teufels Wörterbuch"]

Antwort

Themen zu tftp.exe
alarm, confused, geblockt, gefunde, infiziert, inter, interne, internet, laufe, laufen, meldung, neu, nichts, rpc-dienst, sofort, symantec, system, träge, typische, verdächtiges, zone, zone alarm, zugreife, zugreifen




Zum Thema tftp.exe - Hi @all! Vor ca. 2 Min. teilte mir Zone Alarm mit, dass der TFTP-Dienst aufs Internet zugreifen wollte. Nachdem ich ihn geblockt hatte, erschien die für den Blaster-Wurm typische Meldung - tftp.exe...
Archiv
Du betrachtest: tftp.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.