|
"uni--search.com" als Startseite nicht weg zu bekommen Habe seit kurzer Zeit plötzlich http://uni--search.com/ immer als Startseite. Mit Search&Destroy und mit Hijack this hab ich es nicht weg bekommen. Habe auch schon das Forum und google nach "uni--search" durchsucht und nichts gefunden. Hoffe mal ihr könnt mir weiterhelfen. Hier mal die Log von Hijack this: Zitat:
Grüsse Thomas |
Diesen Link hat mir soeben Cyberstriker vbmenu_register("postmenu_", true); gesendet, er sollte das Problem fixen. Tut er leider nicht. XXX |
Ich hoffe du hast die Datei nicht ausgeführt, sie ist zu 99,999% verseucht! Wenn ja, hast du dir jetzt wahrscheinlich eine Backdoor installiert! |
Poste jetzt nochmal ein aktuelles Log-File! Und anschliessend führst du dies aus: Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. Merke für die Zukunft: Niemals per PN beschriebene Vorgehensweisen oder Downloads ausführen von nicht vertrauenswürdigen Personen! Wenn CyberStriker was zu sagen hat, dann kann er dies hier öffentlich kundt tun! |
Cyberstiker hat schonmal einen Link zu Malware gepostet!!! siehe: http://www.trojaner-board.de/showthread.php?t=11248 |
Habe die exe dummerweise ausgeführt. Bin leider gerade nicht daheim an meinem PC, sonst würde ich gleich von euch beschriebenes machen. Mach es sobald ich daheim bin. Vielen Dank für den Link. Kann man diesen Cyberstriker nicht sperren? |
Ich hab den Vorfall an die Boardleitung gemeldet, warten wirs ab. Vielleicht bekommt man diesbezüglich mal ein Feedback von der Boardleitung! |
Ich habe es weitergeleitet. Selber sperren kann ich halt nicht. Cobra |
@ Cobra Merci. |
Falls da was faul ist, ich habe das Prog, konnte es aber noch nicht prüfen, hmm, dummer Zeitpunkt, hat das wer schon gecheckt? Wenn ja bitte Info, wenn was daran faul ist bekommt der Kerl richtig Ärger. Liebe Grüße, Charlie |
@charlie1 ich hab dir eine PM geschickt. AVK hat es als Ciadoor.13 erkannt. |
Hinweis:Folgende Attachments konnten aufgrund eines Virus nicht hochgeladen werden:Dateiname: Fix.exe gefundener Virus: Hmm, also doch was drann, dass hat mir nur web.de gemeldet, als ich das Teil zu mir selbst schicken wollte, Freund, falls das ein getarnter Trojaner sein sollte, was ich jetzt noch nicht weiß, da heute ein ungünstiger Zeitpunkt und ich mich nicht mehr richtig konzentrieren kann, kannst du was erleben, auf anderen sogenannte bößen Bords, wärest du schon beim ersten Versuch mit Schimpf und Schande geflogen, oder du bist es da schon und versuchst dich hier, was natürlich die billigste Art wäre. Und glaube mir, so anonym, wie du denkst ist das Internet nicht! :teufel3: Charlie |
Ich bin Mitbenutzer an Schuh's PC. Da er gerade für eine Woche in den Urlaub gefahren ist, werde ich mich solange darum kümmern. Hier erstmal die gewünschte aktuelle hijackthis.log. Die mwav.log folgt gleich. Zitat:
|
@ luxor C:\WINDOWS\System32\scvhost.exe ist der Wurm Backdoor.Agobot.ID., auch hier beschrieben: W32/Agobot-S. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://uni--search.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://uni--search.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://uni--search.com F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\System32\scvhost.exe F3 - REG:win.ini: load=C:\WINDOWS\System32\scvhost.exe F3 - REG:win.ini: run=C:\WINDOWS\System32\scvhost.exe O4 - HKLM\..\Run: [Generic Host Process] C:\WINDOWS\System32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\System32\scvhost.exe O23 - Service: X10 Device Network Service - Unknown - D:\PROGRA~1\ATIMUL~1\RemCtrl\x10nets.exe (file missing) boote in den normalen Modus. beende: scvhost.exe lösche: C:\WINDOWS\System32\scvhost.exe Aktiviere die Systemwiederherstellung und boote neu. Eine Anleitung, wie man die Registry-Einträge entfernen kann, findet sich auch hier: www.datencrash24.de. Der Wurm sollte unverzüglich entfernt werden, da er ein hohes Sicherheitsrisiko mit sich bringt. Es bleibt zu überlegen, ob es nicht besser ist, das System zu formatieren und neu aufzusetzen, entsprechend Cidre's Rat: http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426 2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. MS Outlook und Outlook Express sicherer konfigurieren http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/ 8. Deine Passwörter ändern 9. Image der Systempartition erstellen mit z.B. Acronis True Image 7 10. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html Für die Zukunft: http://www.mathematik.uni-marburg.de...ompromise.html ------------ Platform: Windows XP SP1 (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) - lade bitte das aktuelle Service Pack SP2 runter und update den IE: www.windowsupdate.com |
Hab hier erst mal die mwav.log, die ich jetzt wohl gar nicht gebraucht hätte. Aber jetzt hab ich mir die Mühe gemacht, vielleicht sagt sie euch ja noch was. Zitat:
Stefan |
Hallo luxor, ich suche und versuche Information zu diesem => File C:\WINDOWS\System32\scvhost.exe infected by "Backdoor.Win32.Ciadoor.13" Virus zu kriegen. Bis jetzt ist mir das noch nicht gelungen. SD |
Ciadoor.13 hast du dir durch Cyberstriker eingefangen! -> http://www.antiviruslab.com/descript...151525&lang=de btw: hab gerade bemerkt, dass er schon gesperrt ist :daumenhoc |
Hallo Shadowdance, wie gesagt, habe ich deine Beschreibung ausprobiert. Die Beschreibung zum deaktivieren der Systemwiederherstellung haut bei mir nicht hin, weil es bei mir unter "Systemeigenschaften" überhaupt keine Registerkarte "Systemwiederherstellung" gibt. Habe XP Home Edition vielleicht liegt es daran. Stefan |
Hallo luxor, es scheint sich hierbei um relativ neue malware zu handeln, die noch nicht allgemein bekannt ist. Sei doch bitte so nett und verpacke die gesammelten Werke der von Dir hier zitierten Viren in einen Zip-Bestand und speichere ihn entweder auf Diskette oder auf CD: Zitat:
SD |
Hi, ich kenne das Teil auch nicht, Ewido hat es nicht mal erkannt, na ich habe ja das Ding, werde mal ein wenig spielen, mal schauen, wie es gestartet wird. Falls schon wer was Neues weiß, bitte posten. Liebe Grüße, Charlie Nachtrag: Ewido findet es jetzt auch, ich hatte nich das neuste update! |
Shadowdance, habe mal nach den Dateien geschaut. Allerdings konnte ich nur eine einzige (wsock32.sys) der aufgeführten Dateien finden. Stefan |
Folgende Einstellungen müssen gesetzt sein, damit du Dateien finden kannst: Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren |
Hm, scvhost.exe ist doch agobot, oder? Da bringt das rumgedoktere nicht viel, und man sollte den Rechner lieber neu aufsetzen. IMHO. Cobra |
Zitat:
mfg Haui |
Zitat:
Zitat:
Cobra |
Na gut, dann machen wir es nochmal ein bisschen deutlicher :D Bei einer Infektion des Systems mit einem Backdoortrojaner ist die einzige Möglichkeit, um wieder einen vertrauenswürdigen Zustand herzustellen die, das System neu aufzusetzen -> http://www.trojaner-board.de/showpos...8&postcount=2] Lutz über Datensicherung Pflichtlektüre Über die Entfernung von Schädlingen Bitte beim formatieren an die verlinkte Anleitung halten. |
@luxor ie gesagt, habe ich deine Beschreibung ausprobiert. Die Beschreibung zum deaktivieren der Systemwiederherstellung haut bei mir nicht hin, weil es bei mir unter "Systemeigenschaften" überhaupt keine Registerkarte "Systemwiederherstellung" gibt. Habe XP Home Edition vielleicht liegt es daran. kuckst du hier Deaktivierung der Systemwiederherstellung von Windows XP: Das geschieht in folgenden Schritten. 1. rechte Maustaste auf Arbeitsplatz, Eigenschaften wählen. 2. Systemwiederherstellung wählen und Systemwiederherstellung auf allen Laufwerken deaktivieren wählen. chaosman |
Hallo Cobra, Du hast vollkommen recht. Der Rechner muss formatiert und neu aufgesetzt werden. Es wäre aber gut, wenn wir dieses Paket Malware sicherstellen könnten. Meiner Ansicht gehört diese ganze Virenansammlung auf diesem Rechner zu diesem neuen Backdoor. Sowie luxor diese gesamte malware gezipt hat, müssen wir ihm erklären, wie er seinen Rechner formatieren muss und was er zu tun hat .. es steht ja schon in meinem Posting, weiter oben. Da fehlt allerdings noch der Hinweis von Lutz zur Datensicherung. Und hier der Hinweis, wie man formatiert. Backdoor.Win32.Ciadoor.13 ist aber - meiner Ansicht - nicht das gleiche wie Backdoor.Agobot.ID. SD |
Zitat:
Ansonsten war Dein Post vorbildlich. Nur ein wenig härter mußt Du noch werden. ;) Cobra |
*lach* ... danke für Dein Lob @ Cobra. Trotzdem wäre es gut, wenn diese Malware in ihrer Gesamtheit als Zip-Bestand erhalten bliebe. Übrigens nehme ich an, dass es sich um einen sehr gefährlichen Backdoor handelt. Luxor hat geschrieben: "Die Beschreibung zum deaktivieren der Systemwiederherstellung haut bei mir nicht hin, weil es bei mir unter "Systemeigenschaften" überhaupt keine Registerkarte "Systemwiederherstellung" gibt. Habe XP Home Edition vielleicht liegt es daran." Ich nehme an, das ist eine der Auswirkungen dieses neuen Backdoors? SD |
Ok, ziehe das System neu auf. Allerdings weis ich noch nicht, wie ich ca. 90 GB Daten auf DVD oder ähnlichem sichern soll. Zu der Sicherung der Malware. Es fehlen mir noch: Zitat:
Zitat:
@chaosman Hab die Anleitung schon verstanden. Systemwiederherstellung ist bei mir eifach nicht vorhanden. Stefan |
Hallo Luxor, die Dateien in dem Ordner File D:\System Volume Information\_restore wirst und kannst Du so ohne Weiteres nicht finden, der Ordner ist schreib- und lesegeschützt. Aber das ist auch nicht so wichtig, denke ich. Soweit ich weiss, sind es doppelte Dateibestände, die in diesem Ordner abgelegt werden. Mit diesem Ordner kann man - normalerweise - sein System retten .. wenn man denn über eine intakte Systemwiederherstellung verfügt. Verbessert mich, wenn ich Unfug schreibe. Und diese Dateien sind schon zu finden: Zitat:
|
Zitat:
Mache aber bitte nicht den Fehler, das back-Up wieder auf den formatierten Rechner hochzuspielen ... bevor Du das verwendest, musst Du erst Lutz Rat zur Datensicherung befolgen. SD |
Generell solltest du bei der Sicherung auf ausführbare Dateien verzichten. Musik- oder Videofiles kannst du jedoch ziemlich gefahrlos sichern. mfg Haui |
Hey, für was haltet ihr mich, ich sitz nicht gerade zum ersten mal vor einem Comptuer. Da sind keine Dateien, zumindest nicht für mich sichtbar. Da seien müssen sie wohl schon weil wenn ich die Dateien mit "ausführen" aufruf (ich weis, das ich das nicht tuen sollte) reagieren sie. Aber in den Ordnern in denen sie seien sollten sind sie nicht vorhanden. Im Verzeichnis Temporary Internet Files gibt es bei mir nicht einmal Unterordner und auch im Verzeichnis selbst sind die Dateien nicht. Ich hab selber geschaut und Windows suchen lassen. Das Programm BackUp Macker kenn ich. Es geht mir aber nicht darum ein Backup zu machen, sondern ich habe keinen Bock 90 GB zu brennen. Kann man nicht auf einer seperaten Partition, die die nur mit Daten belegt ist, Daten belasssen, während man die Systempartitionen löscht. Wenn man Lutz liest wohl nicht. Ginge es dann zumindest eine weitere Festplatte anzuschliesen, dorthin Daten zu überspielen und mit dieser Festplatte dann so zu verfahren, wie Lutz es für die CDs empfielt. Vielleicht liese sich auch etwas über Netzwer machen, dass wäre auch vorhanden. Willst du jetzt eigenlich die Vierendateien so weit ich sie nun habe? Vielleicht ergänzt sich der Rest ja übers Internet ganz alleine. ;) |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
|
Zitat:
Zitat:
Cobra [1] Ja, das war purer Sarkasmus. |
Wow, hier brennt der Baum.:teufel1: @ luxor Ich denke, dass wir die Malware Dateien nicht mehr brauchen, da ja zwei unserer Member bereits im Besitz dieser sind. Dein Vorhaben bezüglich Datensicherung ist sehr waghalsig. Du kannst es zwar probieren, aber letztendlich sehe ich da keinen Sinn, die Daten von A nach B zu schubsen, denn sonst kannst du ja gleich dein System mit einem AV Scanner bereinigen, imho sinnlos. Ich halte es wie dieses Zitat: Zitat:
@ Cobra Was hat die Boardleitung bis jetzt unternommen? btw: Warum kannst du eigentlich keinen User sperren? |
Zitat:
Zitat:
Cobra |
@ Cidre die Boardleitung hat genau das getan, was zu tun war. *Fernglas rüberreicht* ... sowas aber auch, vor kurzem habe ich Dich hier vehement verteidigt, nun bist Du selbst von einer vorübergehenden Sehschwäche befallen ... :D Ausserdem halte ich es immer noch für besser, wenn wir - das heisst die Virenspezialisten unter uns - die Originalbestände aus den Temporary Internet Files und dem Download-Ordner bekommen könnten ... aber Ihr könnt mir ja widersprechen. @ Cobra herzlichen Dank für Deine Anwesenheit und Unterstützung in dieser Sache. SD |
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Übrigens nochmal Danke für die Hilfe und ich wollte hier bestimmt niemanden angreifen, war nur genervt, weil mich hier jeder wie ein Kleinkind behandelt. |
@ luxor Zitat:
@ SD Das Fernglas nehme ich dankend an. ;) Bin grad eben erst heimgekommen und leider war dies in diesem Thread nicht ersichtlich, das CyberStriker gesperrt worden ist. Natürlich hätte ich im Benutzerprofil erst nachschauen können... |
@ luxor wie ich gerade erfahren habe, kann man im Ordner c:\windows\download program files mit dem Explorer nicht sehen was drin ist. Das geht nur mit einem 'Total Commander' ... Wenn ich in diesem Thread die Formulierung "Ihr" verwende, dann deswegen, weil ich mich mit den Kollegen hier an Board berate, wir helfen einander gegenseitig. Die Virus-Mail-Addis bekommst Du gleich. ----------- Und hier nun ein Posting im Auftrag von Warhawk (Mitarbeiter von Spybot Search & Destroy), der sich derzeit im Urlaub befindet und nicht selbst posten kann, da er das PW zum TB nicht mitgenommen hat ... er wollte eigentlich Urlaub machen ... :blabla: Warhawk zitiert [22:04]: Hey Leute, ich persoenlich wuerde Dir das Programm "Total Commander" ans Herz legen, da der Explorer z.B. das ActiveX Verzeichnis nur in einer virtuellen Umgebung anzeigt (C:\Windows\Download Program Files), das andere Verzeichnis in Dokumente Einstellungen\... ist VERSTECKT. Dazu musst Du dann einfach den Total Commander in den Einstellungen : Experten Ansicht einschalten. [22:05] Warhawk: schoene Gruesse aus dem fernen Italien ;) [22:06] Warhawk: p.s. und ein frohes neues jahr ;) [22:07] Warhawk: ich denk mal an etwas, was die virtuelle Umgebung anzeigt (...) im Gegensatz zum Total Commander wo man die gesuchten Datein finden kann. [22:17] Warhawk: noch einfacher geht es mit dem Suspicious Files Packer (link) von der Spybot Seite... Du brauchst nur das Programm starten und im dem Textfeld einfach die Datein mit Pfad angeben: Suspicious File Locator bzw. hier zum Download mit Beschreibung: Suspicious File Locator ----------- Sende bitte die Dateien passwortgeschützt (mit Angabe des Passworts in der Mail) an detections@spybot.info und partytime-germany.ice@web.de mit Hinweis auf diesen Thread und dem Kennwort "Backdoor.Win32.Ciadoor.13". SD |
@ luxor, ich wünsche Dir, dass Du diesen Rechner zur Zufriedenheit aller Beteiligten baldmöglichst aus dem Netz nehmen und formatieren kannst. @ TB-Support-Team ich muss diese Angelegenheit nun an Euch übertragen. Ich denke, sie ist bei Euch @ liebe Kollegen im Online TB-Support in besten Händen. Danke an alle, die hier mitgemacht haben. Ich muss offline, aus familiären Gründen. Lieben Gruss Shadowdance |
So, Leute, die Sache scheint erst zu sein und es scheint wirklich der Baum zu brennen, ich benutze den Konjunktiv, weil ich mich auch schon manchmal verrannt habe, mir also nicht sicher bin. Ich habe das Teil versucht zu testen, bin aber wirklich noch nicht richtig weiter, ich weiß leider nur, dass das Teil, dass OS zum schlafen bringt, habe schon ein Image benutzen müssen. Liebe Grüße, Charlie |
Ja, so schaut ein HJT, nach einer Infizierung aus! Logfile of HijackThis v1.99.0 Scan saved at 23:54:00, on 01.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\WINDOWS\System32\ctfmon.exe D:\WINDOWS\System32\cisvc.exe D:\Programme\ewido\security suite\ewidoctrl.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\ZONELABS\vsmon.exe D:\WINDOWS\System32\wuauclt.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\Mozilla Firefox\firefox.exe D:\WINDOWS\System32\cidaemon.exe D:\Programme\internet explorer\iexplore.exe D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX01.552\HijackThis.exe D:\WINDOWS\system32\NOTEPAD.EXE D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX00.761\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\System32\scvhost.exe F3 - REG:win.ini: load=D:\WINDOWS\System32\scvhost.exe F3 - REG:win.ini: run=D:\WINDOWS\System32\scvhost.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [Generic Host Process] D:\WINDOWS\System32\scvhost.exe O4 - HKLM\..\RunServices: [Generic Host Process] D:\WINDOWS\System32\scvhost.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358 O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe Also, nicht ganz sauber und in ca einer Stunde, weiß ich wie man das Ding killt! LG, Charlie |
Interessant find ich das hier: F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\System32\scvhost.exe F3 - REG:win.ini: load=D:\WINDOWS\System32\scvhost.exe F3 - REG:win.ini: run=D:\WINDOWS\System32\scvhost.exe Könnte mir bitte jemand den Server mal zukommen lassen? Frohes Neues übrigens an alle! :juul: |
Was ist daran interessant? Das ist das typische Muster von Agobot. Oder Gaobot. Oder.... Es mag ja von akademischen Interesse sein, nachzuweisen, daß Ciadoor eine Variante von Agobot ist oder auch nicht. Aber um Himmels Willen, man sollte doch aufgrund dieses akademischen Interesses nicht die gegenwärtige Situation vergessen. Der Rechner gehört neu aufgesetzt, und zwar jetzt, und nicht in zwei Wochen. Cobra |
Das Schlimmste an der Sache ist, dass das erste Logfile bis auf die Startseite sauber war. :mad: |
Aber das erste Log-File wurde ja auch zuvor erstellt und danach kam erst die Zweitinfektion durch CyberStriker sprich Ciadoor wurde erst später aktiv. |
Genau das meine ich. Ohne "Cyberstriker" wäre das Problem wahrscheinlich mit wenige Handgriffen gelöst gewesen. Man kann sagen, dass er die gesamte Installation versaut hat! |
Zitat:
Er hatte heute Nachmittag nur den Thread verfolgt,und eben um die Frage gebeten!Mehr nicht! ;) Zitat:
|
So ist es Haui ;), aber wenn man wie schuh an das gute im Menschen glaubt und an die falschen Personen gerät... |
Es wäre ja auch mal interessant, ob Cyberstriker in folgendem Thread jmh was untergejubelt hat: http://www.trojaner-board.de/showthread.php?t=11343 |
Eigentlich müsste man ihn ganz einfach ausfindig machen können, wenn das seine "Homepage" ist. Ich kann mir auch nicht vorstellen, dass Arcor es gerne sieht, wenn die Kunden auf ihren Seiten Malware zum Download anbieten... |
@ Haui45 Steh grad am Schlauch: Welche Homepage? btw: Anhand der abgespeicherten IP´s bei seinen Posts ist er ebenso leicht ausfindig zu machen. |
Arcor-Kunden haben je nach Tarif auch Free-Webspace. Die Adresse lautet dann eigentlich immer home.arcor.de/NAME. Bei dem besagten Link war es eben auch so: home.arcor.de/Name/fix.exe => er ist wahrscheinlich Arcor-Kunde. Homepage extra in Anführungszeichen, weil unter dem Verzeichnis home.arcor.de/Name nicht wirklich viel zu finden ist. Den echten Link hab ich übrigens noch, falls er dich interessiert. mfg Haui PS: das mit den IP's scheint mir aber ein kleines bisschen aufwändiger zu sein. |
Ah, jetzt hab ich es verstanden. ;) Lass gut sein mit dem Link. Natürlich ist es mit den gespeicherten IP´s aufwendiger, aber sollte es einen legalen Weg gehen sprich rechtliche Schritte nach sich ziehen, dann ist dies zwingend notwendig. Aber da kann Paranoia bestimmt mehr dazu schreiben. |
Also bei arcor kann jeder Free Webspace haben,nicht arcor Kunden haben 25 MB pro Account/email Addy,und Arcor Kunden haben 50 MB,war nämlich da mal Kunde :-) |
Sollte ja auch nur ein kleiner Denkanstoß sein ;) Da ich kein Jurist bin, hab ich bzgl. der rechtlichen Situation auch keine Anhnung... edit: dass jeder Webspace bekommt, wusste ich nicht. Ich weiß nur, dass ich als Kunde 50mb hab :D |
So, schöne Sch****, Das Teil ist nicht "ohne" Man bekommt es weg, aber nicht ganz einfach! Meiner Meinung sollte der PC, da platt gemacht werden, habt ihr ja schon gepostet, habe selbts geschwitzt, aber nun ist das Teil weg, es geht zu Fuß! Beweiß: Logfile of HijackThis v1.99.0 Scan saved at 01:33:19, on 02.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\Explorer.exe D:\WINDOWS\System32\cisvc.exe D:\Programme\ewido\security suite\ewidoctrl.exe D:\WINDOWS\System32\svchost.exe D:\Programme\internet explorer\iexplore.exe D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe D:\WINDOWS\System32\ctfmon.exe D:\WINDOWS\system32\ZONELABS\vsmon.exe D:\WINDOWS\System32\wuauclt.exe D:\WINDOWS\System32\cidaemon.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Programme\WinRAR\WinRAR.exe D:\DOKUME~1\charlie\LOKALE~1\Temp\Rar$EX01.431\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096188294358 O23 - Service: ewido security suite control - ewido networks - D:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe PS; Und noch was Kerl, das Teil hast du dir nur geklaut, nicht einmal selbst programmiert und falls du hier noch mitlesen kannst, deine richtige Adresse, habe ich auch, Dank Arcor!!! LG, Charlie |
re @ Cidre, Du hast mir was voraus .. ich stehe immer noch auf dem Schlauch. Aber @ Haui45 poste den Link bitte nicht hier an Board .. nur .. war das Posting, auf das er in den Beiträgen hingewiesen hat von ihm? Wie verhindert man sowas? Wie schaffen wir es, zu verhindern, dass User einander in PN's Müll schicken oder ihn posten? Vielleicht müssen wir unsere Boardleitung bitten, uns zu einem Erkennungszeichen zu verhelfen .. dass wir das TB-Support-Team sind .. und irgendwo in den Foren anfügen, dass von Nicht-Support-Leuten Logfile-Ausarbeitungen nicht beachtet werden sollen. Das ist auch wieder blöd, weil wir dauernd neue Leute dazu bekommen, denen es auch Spass macht zu helfen, die gut sind oder sich langsam einarbeiten. Warum gibt es bloss so viele ... auf der Welt? SD |
hehe, hätte ja sein können,dass es manch einer nich weiss,ich hab da 2 Accounts laufen :pfui: :crazy: aber ich denke über die IP würde man ihn schneller bekommen. Ich werd arcor aber mal einen netten Hinweis schicken,ich denke schon,dass die dann die gewissen Maßnahmen in so einem Fall einleiten! Hast du die mal den Index angeschaut?Frag mich was das für ne Type ist,ganz dicht kann er ja nich sein! Kaspersky hat eben übrigens bei dem Rechner sofort angeschlagen :zzwhip: |
Zitat:
Zitat:
Zitat:
Zitat:
@charlie1 Jetz frag ich mich aber wirklich woher du seine Adresse hast :confused: mfg Haui |
Hmm, eigentlich ganz einfach, denn wenn man sich bei einem legalen Anbieter, was Arcor ja ist, um „Speicheplatz“ bemüht, muss, man seine Daten angeben, sonst wir das nichts und Rest kennst du ja. Liebe Grüße, Charlie |
Ihr seid lustig. Der hat hier auch mal kurz gepostet und ist dann in ein anderes Forum abgewandert, nachdem er gesperrt wurde. Die HP ist nicht mehr vollständig- nur noch rudimentär. http://mitglied.lycos.de/donquijano/s1.jpg http://mitglied.lycos.de/donquijano/s2.jpg http://mitglied.lycos.de/donquijano/s3.jpg Gut finde ich das Bewerbungsscheiben mittendrin. :aplaus: |
@ Haui45 Siehe http://www.denic.de/servlet/Whois oder http://sunny.nic.com/cgi-bin/whois @ DonQuijano In welchem Forum war er noch als Malware Verbreiter unterwegs? |
"nette Frücht'chen" ... Das erinnert mich an die drei Gymnasiasten, die letzte Woche aus der Schule geflogen sind, weil sie die Codes einer Bank gehackt haben. @ Haui45 ... dieser ... hatte immer wieder auf HJT-Logfiles hingewiesen in seinen Postings, aber da die HJT' Logfiles nur 5 Tage bewahrt werden, geht sein Link ins Leere. Ich dachte, dass Du diese Postings gemeint hattest. |
Die HP ist nicht mehr vollständig- nur noch rudimentär. Hmm, eigentlich komisch ;) LG, Liebe Grüße, Charlie |
Na gut, ich kann nicht mehr alle Seiten aufrufen- ohne Passwort ;) . |
Kaspersky hat eben übrigens bei dem Rechner sofort angeschlagen @ HerrKautz, bei welchem? LG, Charlie |
Zitat:
Kaspersky nennt ihn übrigens Backdoor.Ciadoor.13 |
Ja, schön und gut, wie man das Teil drauf und wieder runter bekommt, weiß ich schon, Aber, was gibt es Neues? Ich bin da wirklich ein wenig Ratlos??? Liebe Grüße, Charlie |
Kann er dann morgen,bzw heute :huepp: selber berichten, .exe ist jedenfalls ausgeführt und läuft,er will sich den Server morgen anschauen,ich werde den Teufel tun,und an den Rechner gehn :nixda: Allerdings existieren die F Einträge wie bei dir "noch" nicht,allerdings ist das w2k,weiss jetzt nicht ob das einen Unterschied macht. Gruss |
Zitat:
Zitat:
Zitat:
|
Danke, Lutz für die Beratung. Ich denke, ich versuch die Sache mit einer neu angelegten, formatierten Partition mal. Den Rest werd ich dann brennen oder auf eine zusätzliche, formatierte Festplatte überspielen. Werde ja danach sehen, ob es hingehauen hat, wenn ich das System nochmal escan und hijackthis überprüfe. Allerdings muss ich erst mit Schuh klähren welche seiner Daten unbedingt gesichert werden müsssen. Werde den Rechner dann demnächst bis Schuh wieder da ist vom Netz nehmen. |
Hallo an Board, @ Charlie? Komm doch mal in Deine PN ;-) SD |
@Shadowdance, ich habe mit dem Suspicious File Locator die Dateien gesucht und auch die Überordner gescannt. Das Programm hat aber nichts gefunden. Ich dachte Charlie1 hat das Ding auch und sogar schon untersucht, vielleicht kann er es ja auch weitergeben. |
Ja, hab ich, um was geht es denn, muß erst mal die PN lesen, bis gleich. LG, Charlie |
@ luxor Zitat:
|
Zwischenbericht, Ewido scheint das Teil komplett zu killen, muss aber noch bis zur nullten Ebene runter um ganz sicher zu dein, was die anderen AVs machen weiß ich noch nicht, dass kostet alles sehr viel Zeit wenn man es gründlich macht, also, noch ca. eine Stunde bis ich wirklich weiß, ob Ewido wirklich alles aufräumt. Bis bald, Charlie |
Hi, kann die "Berichterstattung" von dem Teil hier erfolgen,oder sollte man das ggf. per PM machen. @ Charlie Das ist zwar ein Ciadoor,aber lt.meinem Bekannten wurde der Server nochmal im Nachhinein bearbeitet,so dass nicht nur die bisher bekannten Registery Einträge erstellt werden: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Services Controller = "<Windows-Ordner>\services.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run Services\ Services Controller = "<Windows-Ordner>\services.exe" HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run\ Services Controller = "<Windows-Ordner>\services.exe" HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run Services\ Services Controller = "<Windows-Ordner>\services.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Services Controller = "<Windows-Ordner>\services.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\Run Services\ Services Controller = "<Windows-Ordner>\services.exe" HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ Services Controller = "<Windows-Ordner>\services.exe" HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\ load = "<Windows-Ordner>\services.exe" ein Keylogger hat das Teil auch noch anscheinend: %Windows System%\wininv.dll %Windows System%\winkey.dll Er ist noch fleissig dran,später dann ggf mehr... |
@ luxor, es gibt noch ein Progrämmchen mit dem man Files einlesen kann .. Suspicious File Packer, vielleicht geht's damit. |
Ja, das Ding wurde mit einem Hexeditor bearbeitet und gepackt und wenn es ganz dumm kommt, ist es ein persistant Server und dann ist Trauer angesagt. So Leute, nun muss ich arbeiten, bis bald, Charlie |
So, persistant ist das Teil erst mal nicht, sonst hätte es sich nachgeladen, hat es aber nicht! Ewido, killt das Ding ganz, da bin ich mir jetzt wirklich sicher, kannst du ja schon mal drüberschicken, es kann sein, dass Ewido etwas zappelt, weil der Server versucht Ewido zu killen, schafft er aber nicht. Kann das Ding mal wer mit a² scannen, würde mich interessieren, ich kann es im Moment nicht, denn ich habe schon Zwei Rechner infiziert, den Dritten möchte ich sauber halten und Tests dauern halt lange. Ach so, noch was nichts mit PNs, dass sollte alles öffentlich gemacht werden, denn nur Aufklärung schützt dauerhaft vor solchen Sachen, je mehr man darüber weiß umso besser kann man sich schützen! Bis in ca. zwei Stunden, Charlie |
@ shadowdance, ich hab die Dateien, wie gewünscht, verschickt. Das Programm konnte die Dinger zwar nicht finden. Konnte sie aber jetzt mit der Hilfe eines Freundes ausfindig machen. |
Hast du jetzt schon formatiert, oder bist du immer noch mit dem kompromittierten System unterwegs? |
Charlie, ich weiß nicht seit wann du den Server hast,aber ich glaube wir haben hier einen anderen,b.z.w kann sein,dass er nochmals geändert wurde,wir haben ihn erst seit gestern. Zitat:
Edit: Den hat er nachgezogen,einwandfrei! http://www.sophos.de/virusinfo/analyses/w32rbotsd.html |
Ich habe die Version vom: 31.12.2004, 17:52, da, lädt sich nichts nach, grübel. LG, Charlie |
Zitat:
|
@Haui45, hab noch nicht formatiert. |
Zitat:
|
.. liest sich sehr spannend. @ Luxor, um die Frage von Haui45 zu wiederholen, mit welchem Rechner bist Du hier? Ist es immer noch der Rechner mit dem verseuchten System? Ich hoffe, Du schreibst damit keine Mails .... Ist Dir eigentlich bekannt, dass derjenige der den Rechner gekapert hat, mit diesem Rechner tun und lassen kann, was er will? Ist Dir bekannt, dass alles was auf diesem Rechner steht, ausspioniert und von Dritten betrachtet wird? Ist Dir bekannt, dass der verseuchte Rechner zu fremden Zwecken eingesetzt werden kann, ohne dass Du es verhindern kannst? Es gibt nur eine Möglichkeit für Dich ... formatieren. Da niemand von unseren Virenexperten an Deinem Rechner sitzt, gibt es leider keine andere Möglichkeit. |
Zitat:
Du solltest das SOFORT machen! Wie du sicherlich gelesen hast,laufen hier gerade mehrere Rechner mit dem Backdoor,und was wir hier zur Zeit sehen,lässt auf garnichts gutes schliessen!! Verstehe Dich da überhaupt nicht!! :headbang: |
Hmm, könnte ich die Version haben, wenn ja, dann bitte gepackt und mit PW, sonst mach das Teil Web. de schon kalt. an: prochaskakh@web.de LG, Charlie Und schon mal Danke. Nachtrag; OT, endlich mal was los in dem Laden. :D |
Charlie, reicht dir das morgen? Mein Bekannter ist auf dem Heimweg,er wird sich dann auch noch hier morgen zu Wort melden,es gibt da noch einiges interessantes zu vermelden,bezüglich IP,Server etc.! Ich schick dir seine email Addy per PM,ggf. liest er sie heute noch! Nochwas,...anscheinend hat da jemand kalte Füsse bekommen,die .exe ist nicht mehr runterzuladen! |
So, Leute, also, dass Teil, dass ich habe –Entwarnung -, wenn man den Wächter von Ewido laufen hat, wird der Server sofort zerschossen!(Danke Peter, gute Arbeit), dann noch mal die HD ganz scannen und es ist alles weg, wirklich! Ein „Glück“, dass ich den Server noch extern hatte, sonst könnte ich nicht mal weiter basteln. Was machen denn eigentlich die anderen Scanner? Und wer arbeitet eigentlich noch, außer HerrKautz, an der Sache? Mich kann man auch über Skype charlie115 erreichen, Schnelligkeit ist alles!!! LG, Charlie |
Zitat:
So, nun wollen wir mal nicht mit Kanonen auf Spatzen schießen, also, cool runter! Er kann ja nur das Teil haben, was ich habe, denn ich habe es ja von seinem Link und das Ding ist entschärft, selbst ZA fragt, bei richtiger Einstellung, ob der Server nach Hause telefonieren darf, also, geht von seinem Rechner keine Gefahr aus, falls er es nicht erlaubt! Was der andere Server kann, den HerrKautz hat, weiß ich nicht, denn den habe ich noch nicht. LG, Charlie |
Zitat:
|
Charlie, Zitat:
Ich denke mal,du kannst einen Server genauso undetected machen wie ich,und wir wissen beide was das bedeutet! Was ich hier heute live und in Farbe miterleben durfte,war schon heftig. Das Teil ist,egal in welcher Form,gefährlich ohne Ende! Aber wie gesagt,warte den Server ab,den wir hatten! Gruss |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board