Danke, Lutz für die Beratung.

Ich denke, ich versuch die Sache mit einer neu angelegten, formatierten Partition mal. Den Rest werd ich dann brennen oder auf eine zusätzliche, formatierte Festplatte überspielen. Werde ja danach sehen, ob es hingehauen hat, wenn ich das System nochmal escan und hijackthis überprüfe.

Allerdings muss ich erst mit Schuh klähren welche seiner Daten unbedingt gesichert werden müsssen. Werde den Rechner dann demnächst bis Schuh wieder da ist vom Netz nehmen.

Hallo an Board,

@ Charlie? Komm doch mal in Deine PN ;-)

SD

@Shadowdance, ich habe mit dem Suspicious File Locator die Dateien gesucht und auch die Überordner gescannt. Das Programm hat aber nichts gefunden.

Ich dachte Charlie1 hat das Ding auch und sogar schon untersucht, vielleicht kann er es ja auch weitergeben.

Ja, hab ich, um was geht es denn, muß erst mal die PN lesen, bis gleich.
LG, Charlie

@ luxor

Eigentlich solltest Du die dateien in dieses Programm einlesen und an den angegeben Adressaten damit einsenden .. Geht das nicht? Warum nicht?

Zwischenbericht, Ewido scheint das Teil komplett zu killen, muss aber noch bis zur nullten Ebene runter um ganz sicher zu dein, was die anderen AVs machen weiß ich noch nicht, dass kostet alles sehr viel Zeit wenn man es gründlich macht, also, noch ca. eine Stunde bis ich wirklich weiß, ob Ewido wirklich alles aufräumt.
Bis bald, Charlie

Hi,

kann die "Berichterstattung" von dem Teil hier erfolgen,oder sollte man das ggf. per PM machen.


@ Charlie

Das ist zwar ein Ciadoor,aber lt.meinem Bekannten wurde der Server nochmal im Nachhinein bearbeitet,so dass nicht nur die bisher bekannten Registery Einträge erstellt werden:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Services Controller = "<Windows-Ordner>\services.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services\
Services Controller = "<Windows-Ordner>\services.exe"

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run\
Services Controller = "<Windows-Ordner>\services.exe"

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run Services\
Services Controller = "<Windows-Ordner>\services.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Services Controller = "<Windows-Ordner>\services.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\
Services Controller = "<Windows-Ordner>\services.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\
Services Controller = "<Windows-Ordner>\services.exe"

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\
load = "<Windows-Ordner>\services.exe"

ein Keylogger hat das Teil auch noch anscheinend:


%Windows System%\wininv.dll

%Windows System%\winkey.dll

Er ist noch fleissig dran,später dann ggf mehr...

@ luxor,

es gibt noch ein Progrämmchen mit dem man Files einlesen kann .. Suspicious File Packer, vielleicht geht's damit.

Ja, das Ding wurde mit einem Hexeditor bearbeitet und gepackt und wenn es ganz dumm kommt, ist es ein persistant Server und dann ist Trauer angesagt.
So Leute, nun muss ich arbeiten, bis bald, Charlie

So, persistant ist das Teil erst mal nicht, sonst hätte es sich nachgeladen, hat es aber nicht!
Ewido, killt das Ding ganz, da bin ich mir jetzt wirklich sicher, kannst du ja schon mal drüberschicken, es kann sein, dass Ewido etwas zappelt, weil der Server versucht Ewido zu killen, schafft er aber nicht.
Kann das Ding mal wer mit a² scannen, würde mich interessieren, ich kann es im Moment nicht, denn ich habe schon Zwei Rechner infiziert, den Dritten möchte ich sauber halten und Tests dauern halt lange.
Ach so, noch was nichts mit PNs, dass sollte alles öffentlich gemacht werden, denn nur Aufklärung schützt dauerhaft vor solchen Sachen, je mehr man darüber weiß umso besser kann man sich schützen!
Bis in ca. zwei Stunden, Charlie

@ shadowdance, ich hab die Dateien, wie gewünscht, verschickt. Das Programm konnte die Dinger zwar nicht finden. Konnte sie aber jetzt mit der Hilfe eines Freundes ausfindig machen.

Hast du jetzt schon formatiert, oder bist du immer noch mit dem kompromittierten System unterwegs?

Charlie,

ich weiß nicht seit wann du den Server hast,aber ich glaube wir haben hier einen anderen,b.z.w kann sein,dass er nochmals geändert wurde,wir haben ihn erst seit gestern.

Bei uns sieht das langsam anderest aus;er hat noch einen Rbot nachgezogen,allerdings erst eben.Kaspersky entfernt auch nicht alle Reg-Einträge.

Edit: Den hat er nachgezogen,einwandfrei!

http://www.sophos.de/virusinfo/analyses/w32rbotsd.html

Ich habe die Version vom: 31.12.2004, 17:52,
da, lädt sich nichts nach, grübel.
LG, Charlie

Könnte sein,dass wir 2 verschiedene Server haben,den Link habe ich erst heute Nacht von Haui bekommen,und gegen 01.45 haben wir ihn auf dem anderen Notebook installiert,von daher könnte man vermuten,dass der Server nochmal in der Zwischenzeit geändert wurde...