Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Dl.exe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.11.2005, 22:40   #1
harno
 
Dl.exe - Daumen runter

Dl.exe



Guten Tag!

Vor ca. 4 Tagen setzte ich meinen Rechner neu mit WinXp prof auf. Diverse Daten hatte ich auf meiner Externen Festplatte gesichert, darunter natürlich auch exes.
Wie dem auch sei, alles funktioniert wunderbar; auch das Internet, und zwar über einen Proxyserver der nur über Port 80, bzw. 8080 durchlässt.

Nur eins war merkwürdig, meine externe Platte ratterte den ganzen Tag, obwohl ich nichts gemacht habe, und immer mehr Programme auf ihr zeigten beim starten die Meldung, dass diese Programme einen Fehler hevorufen würden und beendet werden müssten.

Da ich über den Proxyserver kein unendliches Limit habe, nahm ich mir vor zu Hause(bin in der Woche nicht zu Hause!) alle Windows-updates zu ziehen u. Virenscanner etc...
Als ich nun zu Hause war, und versuchte über einen Router (DSL 3k), welcher alle Ports allowed(offen hat), ins Inet(Internet) zu gehen stellte ich zwei Dinge fest:

1. Das Netzwerk funktionierte überhaubt nicht mehr (war also Quasi lahmgelegt, da andere Rechner nicht mehr ins Internet kamen.)
2. Ich bekamt eine seltsame Meldung, die im bildlichen der unter diesem Link geposteten entspricht:
http://www.winfuture-forum.de/index.php?showtopic=55240

Jetzt hab ich Knoppix-Live-CD gebootet, um posten zu können.

Meine Nachforschungen liefern aber nun keine befriedigenden Resultate:

Und zwar hätte ich zwei Möglichkeiten für diverse Infizierungen in meinem System:

Ich habe die harmlosere Variente den W32/Bagz. Allerdings müsste dieser eine syslog.exe im systemverzechnis rumligen haben und eine tutorial.doc.exe. Sowas ist aber nicht da. Außerdem müssten auch noch Registrierungseinträge da sein, die auch nicht da sind.

Dann wäre vielleicht noch die wesentlich schlimmere Variante, dass ich den W32/Tenga habe (und ich die infizierten Daten von meiner externen Festplatte mit auf das neue System geschleppt habe, und in dieser Zeit [neues system ohne updates] das Teil munter auf meiner externen Platte weiter infiziert hat.)

Der Tenga hat nämlich angeblich keine Registry einträge. Dieser müsste sich aber Datein Namens dl.exe; cback.exe; oder gaelcium.exe haben.

Und siehe da, die dl.exe liegt einmal im System32-Ordner und einmal unter Dokumente-und Einstellungen vor.

Bei exe erwartet man ja sicherlich sowas wie eine executable. Doch der Witz ist ja noch, dass wenn ich die Dinger mit einem Texteditor öffne, da sich folgendes Java-Script [sic!] hinter verbirgt:

Code:
ATTFilter
e67
<script language="javascript">

myreg=new RegExp("lycos\.it","i");
if ( !myreg.test("'"+top.location+"'") ) {
	nwreg=new RegExp ("http://([^/]+)?(/([a-z0-9A-Z\-\_]+)?[^']+)","i");
	rn=nwreg.exec("'"+self.location+"'");
	if (parent.frames.length==2) { top.location="http://" + rn[1] + rn[2]; }
	else { top.location="http://" + rn[1] + "/" + rn[3]; }
}

if(window == window.top) {
        var address=window.location;
        var s='<html><head><title>'+'</title></head>'+
        '<frameset cols="*,140" frameborder="0" border="0" framespacing="0" onload="return true;" onunload="return true;">'+
        '<frame src="'+address+'?" name="memberPage" marginwidth="0" marginheight="0" scrolling="auto" noresize>'+
		'<frame src="http://ads.tripod.lycos.it/ad/google/frame.php?_url='+escape(address)+'&gg_bg=&gg_template=&mkw=&cat=noref" name="LycosAdFrame"  marginwidth="0" marginheight="0" scrolling="auto" noresize>'+
        '</frameset>'+
        '</html>';

        document.write(s);      
}
</script>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<html>
<head>
	<title>Disabled Website</title>
	<meta http-equiv="refresh" content="10;URL=http://www.tripod.lycos.it/">
</head>

<body>
<script type="text/javascript">
	function GotoPortal() {
		window.top.location = "http://www.tripod.lycos.it/";
	}
	window.setTimeout("GotoPortal()", 5000);
</script>
<br clear="all">
<center>
	<img src="http://syndication.tripod.lycos.it/resources/img/members/disabled_tr.gif" width="261" height="106" border="0">
	<br><font face="Verdana" size="4"><b>Ci dispiace... ma il sito che stai cercando non è più presente su Tripod (oppure c'è un errore nella digitazione dell'URL).</b></font>
	<br><br><font face="Verdana" size="3"><b>Ti porteremo automaticamente all'homepage di Lycos Tripod in 5 secondi.</b></font>
	<br><br><a href="http://www.tripod.lycos.it/"><img src="http://syndication.tripod.lycos.it/resources/img/members/logo_tr.gif" width="128" height="43" border="0"></a>
</center>
</body>
</html>

</pre></xmp></noscript>

<script language="javascript" src="http://ads.tripod.lycos.it/ad/test_frame_size.js"></script>

<script language="javascript">
if (!AD_clientWindowSize()) {
        document.write("<NOSC"+"RIPT>");
}
</script>



<script type="text/javascript">
        function setCookie(name, value, expires, path, domain, secure) {
           var curCookie = name + "=" + escape(value) +
             ((expires) ? "; expires=" + expires.toGMTString() : "") +
             ((path) ? "; path=" + path : "") +
             ((domain) ? "; domain=" + domain : "") +
             ((secure) ? "; secure" : "");
           document.cookie = curCookie;
        }

        var ad_url = "http://ads.tripod.lycos.it/ad/google/frame.php?_url="+escape(self.location)+"&gg_bg=&gg_template=&mkw=&cat=noref";
        var ref=window.document.referrer;


        if(parent.LycosAdFrame) {
                if(parent.memberPage && parent.memberPage.document.title ) {
                        parent.document.title=parent.memberPage.document.title;
                }

                if(parent.LycosAdFrame && parent.LycosAdFrame.location && (ref != "" && (ref+"?" != window.location) && (ref.substr(ref.length-1,1) != "/")) ) {
                        parent.LycosAdFrame.location.replace(ad_url);
                }
                setCookie("adFrameForcePHP",0,0," ");
                parent.document.body.cols = "*,140";
        }
        else if(top.LycosAdFrame && top.LycosAdFrame.location) {
                if ((ref != "" && (ref+"?" != top.window.location) && (ref.substr(ref.length-1,1) != "?"))) {
                        top.LycosAdFrame.location.replace(ad_url);
         
752
       }
                setCookie("adFrameForcePHP",0,0," ");
                top.document.body.cols = "*,140";
        }
        else {
                if (!window.opener) {
                        setCookie("adFrameForcePHP",1,0," ");
                }
                else {
                        setCookie("adFrameForcePHP",0,0," ");
                }
        }
		
	if (window.top.location.href.indexOf("http://utenti.lycos.it")!=-1) {
		ad_frame = 1 ;
		window.top.document.body.cols="*,140" ;
	}

function resizeGoogleAdFrame() {
	window.top.document.body.cols = "*,140";
}


	if (ad_frame == 1 && AD_clientWindowSize()) {
		setInterval("resizeGoogleAdFrame()", 30);
	}
		
</script>

<script language="javascript" src="http://ads.tripod.lycos.it/ad/popunder_lycos_update.php?cat=noref&CC=it"></script>

<script type="text/javascript" src="http://ads.tripod.lycos.it/ad/ad.php?cat=noref&mkw=&CC=it&ord=29e7af3&adpref="></script>

<!-- START RedSheriff Measurement V5.01 -->
<!-- COPYRIGHT 2002 RedSheriff Limited -->
<script language="JavaScript" type="text/javascript"><!--
  var _rsCI='lycos-it';
  var _rsCG='noref';
  var _rsDT=1;
  var _rsSI=escape(window.location);
  var _rsLP=location.protocol.indexOf('https')>-1?'https:':'http:';
  var _rsRP=escape(document.referrer);
  var _rsND=_rsLP+'//server-it.imrworldwide.com/';

  if (parseInt(navigator.appVersion)>=4) {
    var _rsRD=(new Date()).getTime();
    var _rsSE=1;
    var _rsSV='';
    var _rsSM=1.0;
    _rsCL='<scr'+'ipt language="JavaScript" type="text/javascript" src="'+_rsND+'v5.js"><\/scr'+'ipt>';
  } else {
    _rsCL='<img src="'+_rsND+'cgi-bin/m?ci='+_rsCI+'&cg='+_rsCG+'&si='+_rsSI+'&rp='+_rsRP+'">';
  }
  document.write(_rsCL);
//--></script>
<noscript>
<img src="//server-it.imrworldwide.com/cgi-bin/m?ci=lycos-it&amp;cg=noref" alt="">
</noscript>
<!-- END RedSheriff Measurement V5 -->

0
         
(Allerdings versteh ich dann das Zeichen "e67" und "0" am Anfang und ende nicht. Vieleicht eine Script um Mailware zu erzeugen!? Keine Ahnung.)

So, damit bin ich auch mit meinem Latein am Ende.

Kann mir vielleicht jemand sagen um was für einen Wurm es sich handelt?
Könnten vielleicht meine Daten infiziert sein?
Was muss ich jetzt machen (software, vorgehensweise, etc.) um den Wurm zu beseitigen?

Ich danke euch!

(P.S.: Wenn ich mir das Script noch mal so im nachhinein ansehe, dann sieht das schon sehr verdächtig aus... Ich meine ,das ding schreibt noch irendwas in die Registry)

Also! Bitte helft mir!

Alt 13.11.2005, 19:56   #2
harno
 
Dl.exe - Standard

Dl.exe



NACHTRAG: Ok... ICh glaube ich bin nun schlauer. Nun geht es wieder los mit dem Windows-System. Es fängt nun wieder an. Langsam werden alles Dateien des Systems infiziert. Langsam kriecht der Wurm in alles, was nur den Anschein einer Executable hat...
Dann zum Schluss geht garnichts mehr. Alle exes funktionieren nicht mehr... Das System ist hin.

Ich glaube ich habe eine voll, entschuldigung, "Arschkarte"...

mfg Harno
__________________


Antwort

Themen zu Dl.exe
anfang, beim starten, danke, diverse, dsl, einstellungen, escape, externe platte, fehler, festplatte, handel, homepage, html, infizierte, internet, mailware, netzwerk, neu, neue, port, port 80, programme, refresh, registry, router, scan, secure, software, starten, system, timeout, träge, winxp, wurm



Zum Thema Dl.exe - Guten Tag! Vor ca. 4 Tagen setzte ich meinen Rechner neu mit WinXp prof auf. Diverse Daten hatte ich auf meiner Externen Festplatte gesichert, darunter natürlich auch exes. Wie dem - Dl.exe...
Archiv
Du betrachtest: Dl.exe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.