|
Log(s) nach positivem Kav-Scan (Delf-Trojandownloader) Hallo Ich kenne mich leider nicht so besonders aus, deswegen hätte ich gerne mal ein paar Meinungen zu meinen logs hier ;) Ich hab nach dem Auftauchen eines verdächtigen Prozesses mit der Kaspersky Personal 5 Trial im abgesicherten Modus gescannt und eben ein paar Delf-Varianten gefunden. Über diesen Trojandownloader selbst hab ich leider noch nicht so viel brauchbares gefunden. Beim scannen wurden ein paar infizierte executables im windir gelöscht und ein verweis in der registry, sonst wurde nichts gefunden. Seltsamerweise unterscheidet sich mein HijackThis-Log vom 2. Scan vom Log des ersten Scans. Ich hab keine Ahnung warum, oder "soll" das so sein? Es betrifft scheinbar aber auch nur ein paar Einträge über Browser Startpages etc. Log 1: Logfile of HijackThis v1.98.2 Scan saved at 15:44:49, on 21.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\System32\SCardSvr.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\stisvc.exe D:\WINNT\SCARDS32.EXE D:\Programme\WinGate\WinGate.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\Explorer.EXE D:\Programme\WinGate\wgengmon.exe C:\HJT\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97 Log 2: Logfile of HijackThis v1.98.2 Scan saved at 15:45:01, on 21.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINNT\System32\smss.exe D:\WINNT\system32\winlogon.exe D:\WINNT\system32\services.exe D:\WINNT\system32\lsass.exe D:\WINNT\System32\SCardSvr.exe D:\WINNT\system32\svchost.exe D:\WINNT\system32\spoolsv.exe D:\WINNT\System32\svchost.exe D:\WINNT\system32\stisvc.exe D:\WINNT\SCARDS32.EXE D:\Programme\WinGate\WinGate.exe D:\WINNT\System32\WBEM\WinMgmt.exe D:\WINNT\Explorer.EXE D:\Programme\WinGate\wgengmon.exe C:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97 Was meint ihr dazu? Mfg Waldbaum |
Hallo Waldbaum, ich finde es seltsam, dass Du in zwei aufeinanderfolgenden Scans mit Hijack This verschiedene Startseiteneinträge hast, aber sie sind nicht auffällig. Bitte überprüfe mit virusscan.jotti.dhs.org: D:\WINNT\System32\SCardSvr.exe D:\Programme\WinGate\WinGate.exe teile uns das Ergebnis der Überprüfung mit. Deaktiviere die Systemwiederherstellung und beende: wgengmon.exe lösche: D:\Programme\WinGate\wgengmon.exe Boote in den normalen Modus. Aktiviere die Systemwiederherstellung. Zitat:
einige dieser Trojaner sind Backdoor-Trojaner mit folgenden Funktionen (Die Sophos Virus-Information zitiert): # Ermöglicht Dritten den Zugriff auf den Computer # Stiehlt Daten # Legt Malware ab # Speichert Tastenfolgen # Installiert sich in der Registrierung Bei Anwesenheit dieser Trojaner auf einem System muss man davon ausgehen, dass das System kompromittiert ist. Es ist also zu empfehlen, die Festplatte zu formatieren und dabei Lutz Rat zur Datensicherung und Cidre's Rat zu beachten: Cidre zitiert: [..] Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist. http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html[Zitatende] [edit] Ich hätte gerne noch weitere Meinungen der Kollegen zu diesem Problem. [/edit] SD |
Hallo, entschuldigt bitte die etwas verspätete Antwort, aber ich hatte mit ein paar Problemen an der RL-Front zu kämpfen. Ich habe auf virusscan.jotti.dhs.org (sehr nützliche site btw.) die von dir genannten Dateien überprüft und alle Scanner haben "no viruses found" gemeldet. Mein Fehler, ich hätte erwähnen sollen, dass an dem Rechner ein Chipkartenleser von Towitoko angeschlossen ist, zu dem der Prozess D:\WINNT\SCARDS32.EXE und der Windowsdienst "Smartcard" (D:\WINNT\System32\SCardSvr.exe) gehören. Und WinGate ist ein "Software-Router" von Qbik Software (www.wingate.com), den ich nun schon etwas länger zu Testzwecken einsetze. WinGate.exe ist die als Dienst laufende "Engine", und wgengmon.exe das mitgelieferte "Monitorprogramm" zur Überwachung, das ganz normal im Autostartordner eingetragen ist. Diese Backdoor-Trojaner aus der Delf-Familie sind wirklich ziemlich übel. Da bekommt man ja schon vom Lesen der Beschreibung Angst. Ich bin mir leider nicht mehr ganz sicher, aber ich glaube alle bei meinem Scan gefundenen Dateien waren mit Delf.cq infiziert, oder Delf.c-irgendwas. Da bin ich mir relativ sicher. Es scheint also die Hoffnung zu bestehen, eine etwas harmlosere Delf-Variante erwischt zu haben, die "nur" versucht weiteren Müll von irgendwelchen Servern zu ziehen. Delf.cq selbst hab ich jedoch in dieser Sophos-Datenbank noch nicht gefunden. Ich habe mir die ganzen Links von dir zum Thema Kompromittierung durchgelesen und gleich mal alle Passwörter geändert. Wenn sich das alles bestätigen sollte, kommt wohl einiges an Arbeit auf mich zu... Gibt es einen praktikablen Weg (außer Virenscannern, die evt. ja nicht alle kennen) Backdoors aufzuspüren? Vielleicht durch Überwachung des Traffics per TCPView oder Ethereal oder was weiß ich noch.. Wenn ich das alles richtig verstanden habe, ist ein Virenscan auf einem kompromittiertem System nicht aussagekräftig, da im Prinzip fundamentale Systemdateien und/oder der Scanner selbst kompromittert sein könnten und somit das Ergebnis manipuliert wäre, oder nicht? Aber ein Scan von einem nicht kompromittiertem Medium müsste doch funktionieren. Ich habe nämlich vorhin meine c't 20/04 entdeckt, bei der die neue Knoppicilin-CD (schreibt man das so?) dabei war. Das ist im Wesentlichen ja nichts anderes als ein modifiziertes Knoppix zum Aufspüren von Malware. Das könnte doch klappen, wenigstens hätte ich dann Gewissheit, oder? Gruss Waldbaum P.s. Nochmal Danke für die brauchbaren Links, ich fand die Informationen sehr nützlich. |
Hallo, Zitat:
Zitat:
http://cert.uni-stuttgart.de/os/ms/w...-detection.php Zitat:
Zitat:
Jetzt würde mich aber interessieren, wo KAV den TrojanDownloader Delf entdeckt hat (genaue Pfadangabe)? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:46 Uhr. |
Copyright ©2000-2025, Trojaner-Board