|
TR-Vundo.gen | mal wieder... Moin, bin neuling hier, da ich bisher mit meinen viren immer klar gekommen bin. Ich darf jetzt den rechner von ner bekannten fixen, die leider ne dumme mail mit bösem anhang geöffnet hat^^ Naja wie dem acuh sei, ich hab versucht aus all den andern beiträgen über diesen trojaner schlau zu werden und dabei festgestellt, dass das wohl nur individuell geht. ich hoffe ich mache alles richtig, wenn ich hier erstmal schreibe was ich alles schon gemacht hab: Als erstes hab ich McAffe von ihrem rechner verbannt und Avira AV und Zonealarm drauf gemacht. Nexter schritt war MB AntiMalware im abgesicherten laufen lassen. Der konnte natürlich einige der zufällig generierten dlls (die offensichtlich jedem laufenden prozess zugewiesen werden :p) nich löschen, hab ich dann manuell mit nem BartPE-BootCDlein gemacht. 2 neustarts lang funzt das auch, danach is der gute aber wieder mit ner frisch generierten .dll zurück. Meine erste frage ist: soll ich erstaml eigenmächtig alles posten, was ich für wichtig halte (malwarebytes logs, HJT logs) oder step by step eure anweisungen ausführen (ich frage, weil mein halbwissen gerne mit echtem profiwissen probleme macht^^) Danke schonmal, sollte euch vorerst, das HJT log nich intressiern, ignorierts einfach^^ (alle datein anzeigen, ist natürlich an.) Zitat:
EDIT: hab grad nen paar links gefunden, die ich natürlich sofort geedited hab EDIT2: und noch mehr^^ EDIT3: bin übrigenz die nexten 6 stunden am rechner, also wenn was is einfach sagen ich drück alle paar sec F5 (jap, IE user aus überzeugung, solang man die updates macht^^) |
Du hast an dem System ja anscheinend schon rumgelöscht... falls nicht korrigiere mich. Ich glaube aber du surfst nicht über Deutschland O17 - HKLM\System\CCS\Services\Tcpip\..\{553B051D-A5BB-4F2B-A689-2943011645E4}: NameServer = 62.109.123.6 213.191.92.87 Ich glaube die Ukraine lässt grüßen. Kann aber auch ein Fehlalarm sein ich weiß nicht wo ich das zuverlässig prüfen kann! Vll kann mir mal ein Erfahrener User ne Quelle nennen wo ich solche Ips überprüfen kann. Habs nur grade über Google gesucht und dort seht das das nach Ukraine schreit. Das heißt deine Datenfluß könnte "abgehört" worden sein. Ändere alle wichtigen Onlinepasswörter von einem sauberen System. Warte auf weiter Posts. Ich muss mich mal erkundigen. Vll schreibt ja auch noch wer anderes. |
volkommen richtig, ich sitze an dem ding schon 3 tage^^ jop, alles von wert wurde über dritten rechner sofort geändert. nen komplettes backup (natürlich virenfrei) ist auch schon gezogen, für den format fall. Danke fürs schnelle reply (sucht ihr noch leute? :) ) |
Wofür suchen wir noch Leute? Kannste mal vorsichtshalber C:\WINDOWS\system32\dla\tfswshx.dll bei Virustotal.com prüfen. Und weißte noch was du alles gelöscht hast? Hast du davon ne Doku? Aber ich denke mal wenn der Rechner wirklich über die Urkaine läuft war der Befall so stark das man den Rechner formatieren sollte damit das System wieder komplett vertraunswürdig ist. Aber warte mal auf Posts von den Spezis hier... bin noch bissel unerfahren auf dem Gebiet, ich lerne aber gerne dazu. |
1) ob ihr noch staff sucht 2) hab noch alle logs, aber der rechner war sowas von im eimer, dass ich mir nich vorstelln kann dass ihr euch das alles ansehn wollt (über 500 funde, mindestenz 40 verschiedene sachen) 3) Ja, die neuaufsetzen befürchtung hab ich auch, is nur leider son dell laptop, wo das OS auf ner versteckten partition im rechner is und nich auf cd, und ob das virenfrei geblieben is ... |
Ja dann bleibt und ja nichts anderes über als die Möglichkeiten mal anzusehen aber ich glaube bei 500 Funden lohnt sich das gar nimmer xD Egal poste mal, interessiert mich! Bis ich das dann druchhabe dauert das aber etwas!xD Das mit dem neumachen wird aber immer wahrscheinlicher.... |
Wieso Ukraïne ist eine IP aus Deutschland Zitat:
Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei O2 - BHO: (no name) - {7998f598-4e28-4ab3-8a16-06f76fdbb58a} - C:\WINDOWS\system32\hizapego.dll O4 - HKUS\S-1-5-19\..\Run: [tiwiyigasu] Rundll32.exe "C:\WINDOWS\system32\yaponema.dll",s (User 'LOKALER DIENST') O20 - AppInit_DLLs: C:\WINDOWS\system32\nozahiti.dll c:\windows\system32\lipewedi.dll klicke: Fix checked Download ComboFix und speichert es auf den Desktop! Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein Starte combofix.exe Note: Wenn ComboFix schon eher benutzt worden ist, kann es sein das eine Meldung kommt das es ein Update gibt Lass es zu das ComboFix ge-updatet wird Klicke OK im "NirCmd") Fenster klicke ja um Combofix zu starten Folge den Instruktionen in das Fenster Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" zusammen mit ein neuen log von HijackThis |
danke, is in arbeit, brauchtr ihr das VirusTotal gecheckte noch? (vt analysiert wohl recht langsam ^^) und eine frage noch, sicher dasss ich den av guard ausmachen soll? ich mein, klar hab ich theoretisch die .dlls mit HJT gelöscht, defakto sind die aber noch an und laufen, aus meiner bisherigen erfahrung, verbreitet sich das dicng binnen millisekunden brutl, so wie ich av ausmache. soll ich die nich lieber per hand von nem andern betriebsys löschen bevor ich av ausmache ? |
@Argus: Woran seh ich das denn? Ich hab das nur bei google eingegeben und dort stand das es eine umleitung in die ukraine sei. Gibt das i-wo online sone liste wo man das prüfen kann? Wäre für eine Quelle dankbar |
so, ich hoffe mal, das ich tatsache alle links und so weiter gefunden und unkenntlich gemacht habe, falls nicht, weist mich drauf hin und ich werds umgehend ändern. hier das log: Zitat:
|
so, also es scheint als hätte combofix was auch immer es war beseitigt, ich bekomme auf jedenfall keine anzeichen von dem ding mehr obwohl ich schon mehrmals neugestartet hab =) falls ihr noch was entdeckt, lasst es mich wissen ^^ |
Hi, Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code: C:\WINDOWS\system32\yaponema.dll -> sollte faul sein -> http://www.prevx.com/filenames/2034997618338357937-0/YAPONEMA2EDLL.html
Also: Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mzi3ndg3nta0/aven.jpg 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: Registry values to replace with dummy: 4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. chris |
moin, also ja ich weiß das diese datein nich gut sind^^ Hat antivir als besagten TR-Vundo.gen identifiziert. Da allerdings keins der mir bekannten programme (ob unlocker oder MB FA) in der lage waren sie zu löschen (die verknüpfen sich mit jedem aktiven programm) habe ich die alle schon lange manuell per BartPE gelöscht. Demnach kann ich davon auch keine auf dem rechner finden. Und ja ich hab versteckte datein anzeigen an ^^ auch sysdat und was es sonst so gibt. daher kann ich sie auch nich mit avanger bearbeiten. Die letzte (hizapego.dll) Habe ich nicht manuell gelöscht, sie war von meinem system verschwunden, nach dem ausführen von ComboFix. ich habe seit dem auch nur noch einmal eine virenwarnmeldung vom AVGuard bekommen über eine .tmp datei im SystemVolumeInformation ordner, auf den ich leider anscheinend garkeine zugreiffsrechte habe. Ideen? EDIT: kleiner fehler meinerseits, letzte fund war das hier C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP523\A0085863.dll keine .tmp file EDIT2: Ich sag euch mal was aus meiner bisherigen erfahrung der letzten 4 tage mit dem ding: so weit wie jetzt war ich schonmal, keine dlls in sys32 aber im systemvolumeinformation noch was. wenn ich wetten müsste, dann verbreitet sich der binnen der nexten 2 neustarts wieder in den sys32 ordner. Wie ich dieses ding jetzt schon liebe ^^ der oben genannte fund, kam übrigenz OHNE das ich am rechner war NACHDEM ich mehrmals nach dem durchlaufen lassen von ComboFix neugestartet hatte. |
Hi, wie sieht es mit den folgenden Dateien/Ordnern aus? c:\windows\system32\hnehakphsucy.dll-uninst.exe 2008-12-02 18:29 . 2008-12-02 18:45 2 --a------ C:\2093312714 2008-12-02 18:20 . 2008-12-02 18:22 47,584 --a------ c:\windows\system32\thhzycsourjaojb.exe 2008-12-02 18:19 . 2008-12-05 22:19 <DIR> d-------- c:\windows\system32\evp 2008-12-02 18:19 . 2008-12-05 22:18 <DIR> d-------- c:\windows\system32\AT c:\windows\system32\buyoyena.exe c:\windows\system32\thhzycsourjaojb.exe chris |
C:\2093312714 Zitat:
Zitat:
Zitat:
Zitat:
EDIT2: sind alles VT auszüge^^ |
Hi, nicht nötig, würde aber die Dateien versuchen alle auf *.vir umzubenennen... chris |
hat bei den datein problemlos geklappt, was soll ich mit den ordner machen ? |
Hallo erstmal und "Willkommen im Club" (besonders an sacastor gerichtet! hehe). Ich hab das Teil auch drauf. Seit dem 05.12. als ich eine "eigentlich Vertrauenswürdige Website (für Mapper)" besucht habe. Naja, jedenfalls war ich fleissig an Texturen designen ect. pp. und mein Browser war die ganze Zeit auf der Website offen (normalerweise passiert da nix -dh: ActivX pp. an). Nach einer Stunde bemerkte ich plötzlich, das sich eine Seite im Vordergrund öffnete und ich wurde auf einen Schlag "hellhörig" (denn normalerweise ist mein Browser so eingerichtet, das sich seiten nur im Hintergrun öffnen). Auf jedefall schnell reagiert, Seite weggeklickt, Sicherheitseinstellungen hoch ect. pp. Doch da war es wohl schon so spät! Seitdem plage ich mich mit dem gleichen Problem wie sacastor rum. Ich gebe euch mal einen kleinen Bericht darüber, was ich schon alles (in den 4 Tagen) Versucht und auch Festgestellt habe: Als erstes mal die Virenscanner betätigt (bei mir warns: COMODO und AntiVir). Dann noch mit AdAware auch hinterher. Die haben nicht wirklich was gefunden. Also auch gleich mal mit dem ProcessExplorer nachgeschaut, was so läuft und wo das Ding ist... nebenbei RegCleaner und CCleaner gestartet und mal alles Auffällige überprüft und entfernt. Ebenfalls die msconfig überprüft, damit sich nichts beim "Systemstart" mithochlädt. Und irgendwann war es ja mal Zeit für nen Neustart. Letzlich haben diese Massnahmen nur mäßigen Erfolg gehabt. Denn "das Teil" ist Intelligent (Schade das der Programmierer seine Fähigkeiten so vergeudet und nicht anders einsetzt), denn dann fiel mir im Process Explorer auf, das sich gewisse "kryptisch-geschriebene" dll's (bevorzugt an die rundll32.exe) dranhängen -> demzufolge muss es eine Quelle geben, die das tut. Also rein in die Diensteverwaltung von XP und geprüft ob dort etwas unerwünschtes beim Hochfahren mitlädt. Dort wurde ich fündig (hiess, glaube ich "Network Diagnostic" oder ähnlich) und hab das Teil eleminiert. Nebenbei habe ich meine Firewall angewiesen exact jede Anfrage ins Internet zu sperren, es sei denn, ich gebe eine Ausnahme! Bin dann auch gleich in "WINDOWS/system32"-Ordner rein und alle dll's ab dem Datum 05.12.2008 gelöscht. RegCleaner und CCLeaner auch nochmal abgecheckt. Doch nun kam das, was auch sacastor erleben durfte - es blieb immer eine dll-übrig. Auch wenn man im Abgesichrten Modus das Teil eleminieren wollte. Doch nun der Hammer ist (was leider auch sacastor erleben durfte): Das Teil legt neue dll's an. Wenn man also die dll's dauert es nicht lange, das neue dll's unter anderen "kryptischen Namen" da sind und mitgeladen werden. Gut, ok, dachte ich, dann muss ich mal janz hart an die Sache ran gehen. Ebefalls erstmal die dll's löschen und nun: die rundll32.exe eleminieren... huch... naja, nicht ganz, aber die Verknüpfungen zu rundll32.exe und sämtlichen dll's gelöscht. Neustart gemacht -> und leider zuviel gelöscht - Programme lassen sich nciht mehr starten... ich stand natürlich kurz vor dem Gau (Systemneu und son Kram). Jetzt schnell alle fragwürdigen dll's gelöscht, die mir den Mist eingebrockt haben (ups -> jetzt kann man sie entfernen hrhrhr). Und "Gott sei dank" hatte ich ja eine ZIP-Datei names exefix mit der ich die exe-Verknüpfungen wieder herstellen kann. Tja, so, ich habe mich also gestern schon als "der Sieger" gesehen und gedacht, das Ding ist nu erledigt. Aber Pustekuchen: Es entstand tatsächlich eine neue dll und 3x dürft ihr Raten - jaaa, sie hängt sich wieder an rundll32 und anderen exe-Dateien ran. *grml* Da macht man so viel und hat es immer noch nciht geschafft (bzw. es nur geschafft das Problem einzudämmen). Nun denn, jetzt kam endlich bei mir heute auch HiJack zum ersten mal zum Zug. Alles "Auffällige" gelöscht. Aber die Drecks-dll is immer noch da... Ok, jetzt der Tip von Chris4You mit dem Avenger -> der ist Gold wert!!! Daaaanköööö!!! Ok, Firewall meckerte bissl rum und musste ich immer wieder Zugang erlauben und auch hin und wieder "Weiter" ect. drücken, aber dann kam der Neustart. Und ich war erstaunt -> alle dll's sind wech! Ich hoffe nur, das bleibt auch so (dann bin ich Doch noch der Sieger... hrhrhr... Drecks-Programmierer -> Ich hab Gewonnen!!!). Aber mal ernst, ich befürchte nämlich das gleiche wie sacastor, das es wieder Auftauchen wird. Warum? -> Das beseitigen der dll's beseitigt nur die Symptome. Die Ursache bzw. Quelle des Problem's scheint verdammt gut Versteckt zu sein. Ich habe das dumpfe Gefühl, das die Sache noch nicht ausgestanden ist. Immer wieder die dll's zu löschen bringt ja insofern nichts (da ja neue dll's generiert werden) wenn wir nicht die Quelle eleminieren (auf den jeweiligen befallenen Rechner). Und schaut mal bitte auch in eure Systemwiederherstellung rein - denn ich gehe jede Wette ein, das dort Systemwiederherstellungspunkte sind (wie bei mir), die seit dem Befall gemacht wurden und ihr selber diese aber nicht angelegt habt. Löscht diese Wiederherstellungspunkte (und legt nachdem ihr Sicher seid, nachdem das System gesäubert habt einen eigenen Wiederherstelolungspunkt an)! Ebenfalls löscht alle Einträge bzgl. dll`s in der "System Volume Information" -> "_restoreXXXblablabla" -> "RPXXXblablabla" (Vorsicht beim Löschen: wer da zu grosszügig löscht, der macht wohlmöglich seine Verzeichnisstruktur der Partition kaputt -> schaut genau hin, wie die dll's heissen und vergleicht die Dateigrösse mit der "ehelmigen aktiven kryptischen" dll -bei mir war die 126 kb gross-). Bzgl. HiJack This: Eleminiert auch die "Umleitung" (NameServer = XXX.XXX.XXX.X). Im schlimmsten Fall kann es sein, das ihr nach einem Neustart keinen Kontakt mehr zum Internet habt (obwohl bei mir nur meine IP zum Router drin stand, habe ichs sie Sicherheitshalber trotzdem gelöscht - nicht das sich dahinter noch nen Trick versteckt und in wirklichkeit woanders zb. in die Ukraine Daten abgehorcht werden...). In dem Fall geht ihr auf eure Netzwerkverbindungen -> LAN-Verbindung und TCP/IP Protokoll und tragt bei DNS-Server die IP eures Router's ein -bei mir 192.168.178.1- Bzgl. Avanger achtet darauf, das ihr die dll-Namen des Script's korrekt austauscht (ergo: C:\WINDOWS\system32\yaponema.dll = name1blablub.dll / c:\windows\system32\lipewedi.dll = name1blablub.dll usw. usf.). So, ich hoffe das ich nun wirklich, das ich gewonnen habe - die nächsten Tage werden es zeigen... aber mal was anderes: Traurig das der Programmierer seine Kraft, Kenntnisse und Fähigkeiten nciht in nützliche Projekte reinsteckt. Denn der, der das Teil geschrieben hat, der war nciht doof. Es ist Traurig, das sein Talent so vergeudet wird. Scheisse ist das! *schnief* Ehrlich! Leider hat der echt ne starke Kriminelle Ader -> denn Werbung als Tarnung, um in Wirklichkeit die Daten abzuhorchen lässt nur eines zu: an Passwörter kommen, an ein Opfer zu kommen und um Geld abzusahnen. Naja, shit happens. Wir gewinnen eh! ;) Edit1: scastor - Nicht nur die Dateien löschen, schaue nach, ob sich """"Software"""" installiert hat und "deinstalliere" bzw. lösche die (notfalls zb. mit RegCleaner oder CCleaner und auch in die msconfig sowie bei den Diensten nachschauen! So hab ichs gemacht. Edit2: Tja, ich habe mir grad so die anderen Beiträge durchgelesen und stelle fest -> Das Teil wird demnächst sicher "noch gefragter" werden. Wir sind ja erstmal wohl nur die Testdummy's. Das wird ja noch lustig, wenn sich das Teil erstmal sooo richtig weiterverbreiten sollte... |
ok, erstmal ne frage, wie kann ich in system volume information was sehen/löschen, ich bekomm ne fehlermeldung, wenn ich den öffnen will^^ zu dem rest, hb ich alles durch reg gecleant, blabla prozesse software (achtung beim deinstallen von dem guten, wenn ihr seinen deinstaller verwendet, vervielfältigt der sich). Ich hab auch seine letztte instanz mittlerweile gefunden, komme allerdings nich gegen sie an (das was ich in meinem letzten post geschrieben hab bezüglich der .dll im system volume information ordner). ideen? |
Also, vielleicht mal die Einstellungen des Windows Explorer's ändern (Extras -> Ordneroptionen -> [ Ansicht ]. Hierbei sind folgende Einstellungen besonders wichtig: Hacken weg -> Geschützte Systemdateien ausblenden, Hacken setzen -> Inhalte von Systemordnern anzeigen, Punkt setzen -> Alle Dateien und Ordner anzeigen. Tja, ich weiss mittlerweile auch nicht mehr weiter. Ich habe gerade beim Neustarten meines Systems gemerkt (dank Process Explorer gesehen), das sich wieder eine dll (nun heist sie bei mir: nhymnl.dll = 126 kb / Exakte Grösse: 129.024 Bytes, grösse auf Datenträger: 131.072 Bytes) an die rundll32.exe ranhängen wollte. Das komische war allerdings, das sie nur ein paar Sekunden lebte und genauso schnell wieder "entladen" wurde. Andere Programme bzw. exe-Dateien sind sauber, Registry Sauber, lt. HiJack alles Sauber, keine "unerwünschter Wiederherstellungspunkt" also Sauber. Habe auch schnell mal Autostart, die Systemstart mit msconfig und in den Windows-Diensten nachgeschaut ob wieder was dazugekommen ist -> nüscht's - "sieht" sauber aus. Für mich heisst das: Das Problem ist zwar nun Eingedämmt, aber leider immer noch nicht beseitigt (besiegt). Wie gesagt, irgendwo muss die Quelle sein. Die dll's zu beseitigen wird nicht reichen. Ich an meiner Stelle habe alles getan, was ich kann und Register gezogen. Wenn das Teil schlimmer wird und ich nciht mehr eindämmen kann (was ich nicht hoffe), dann sehe ich "fröhlicherweise" wohl einer Neuinstallation von Windows entgegen. Korrektur/Update: Doch, sie ist wieder da. Ich habe mir mal alle Prozesse mit ProcessExplorer genauer angeschaut. Die "kurze Zeit" hat gereicht, das sich nun die nhymnl.dll (09.12.08), eine ljJccayY.dll (05.12.08, 296 kb, Grösse: 302.592 Bytes, Datenträger: 303.104 Bytes), eine hgGwWQiI.dll (05.12.08, 32 kb, Grösse: 32.768 Bytes, Datenträger: 32.768 Bytes) dranhängen. Und jetzt nicht irgendwo (ich meine rundll32.exe ist schlimm genug) sondern sich direkt bei explorer.exe einnisten. Ironischerweise findet/listet Hijack die nicht auf. Ich frage mich, wie die das schaffen... Naaaaa Supaaaa... Dabei waren die Dinger alle entfernt. Ich kann nur nochmal betonen nicht die Symptome, sondern die Quelle zu eleminieren. Update2: Grad einfach mal ProcessExplorer beobachtet. Plötzlich sehe ich, die AcroRd32Info.exe des AcrobatReader startet. Ratet mal was dabei war: Natürlich eine dll und zwar: ljJccayY.dll. Das waren nur wenige Sekunden und AcroRd32Info.exe war wieder weg. Daraufhin mal alle Prozesse durchgegangen. Und siehe da: ljJccayY.dll hat sich in der lsass.exe eingenistet (lsass = Geschützer Speicher, Sicherheitskontenverwaltung... na hahaha... danke M$!). Auf jedenfall steht damit fest, das man "gegen die Zeit" kämpft. Wahrscheinlich werden so Stück für Stück alle Prozesse infiltriert. Das ist, wie gegen Windmühlen kämpfen... Update3: 10 Minuten später atitray.exe auch befallen (in der Zeit wo ich "Update2" geschrieben habe). loool - sogar ProcessExplorer selber... loool |
also erstmal: des geht so weit, dass jede einzelnle .dll sich an ALLE prozesse hängt ^^ wie gesagt, ich hab es jetz nurnoch alle paar zig minuten mit einer dll im system volume bla zu tun, die ich auch wenn ich ein anderes OS starte (in dem fall BartPE) löschen kann. kommt aber nach n paar reboots wieder (unter neuem namen natürlich). wo in drei teufels namen, hat der gute seine quelle... ich werd einfach nur feiern, wenn mir jemand sagt wies geht^^ |
Ich finds eigentlich nur Traurig, das der Programmierer von diesem Misst sein Talent total Vergeutet. Der hätte nen Wahnsinns-Potenzial vernünftige Dinge zu schreiben... aber neee, der muss son Misst Programmieren. Also: Ich sehe es also eher Sportlich - wer gewinnt: Wir oder der der den Dreck geschrieben hat. Und für den Notfall sind meine Daten eh alle schon lange als Backup vorhanden. So, aber mal ernst. Ich bin einem anderen Lösungsansatz vorrangegangen: Und zwar folgende Gedankenschritte. Die dll's werden scheinbar immer wieder nach einem bestimmten Schema neu erstellt. Zuerst wird eine dll mit dem heutigen Datum "generiert". Die wiederum "erweckt" andere "versteckte Scripte od. Programme" zum Leben, welche wiederrum neue dll's erstellen, die sich wiederum an "exe-Dateien" hängen. Aufgefallen ist mir dabei, das zuerst eine dll mit aktuellen Datum und Erstellungszeit erstellt wird. Die anderen dll's sind erhalten scheinbar das Datum und die Erstellungszeit der "ersten Infiltration". Das ist mir nämlich Vorhin beim Vergleichen der dll's aufgefallen. Ich gehe davon aus, das der Programmierer in diesem Punkt nicht aufgepasst hat (er hätte besser ein "Zufalldatum" wählen sollen. Ergo ergiebt sich daraus, das die Quelle (der netten dll`s) zwangsläufig ebenfalls das Datum der ersten Erstellungzeit tragen. Das gibt uns wiederum die Möglichkeit an die Hand, alles zu Durchsuchen mit dem Datum des ersten Befalls (bei mir der 05.12.2008). Das habe ich getan. Damit Dummys angelegt werden und alles unschädlich gemacht wird, habe ich dann den Avenger benutzt und Haufenweise Pfade inkl. Dateinamen eingetragen (natürlich habe ich mir jede einzelne Datei und jeden einzelnen Pfad vorher angeschaut, damit ich keine Systemrelevante Daten lösche). Als ich fertig war, Avenger ausführen lassen und am besten nach Löschung der Dateien (aber vor Beendigung von Avanger -Reboot-), gleich auch die Pfade per Hand gelöscht. So, System läuft ja, wie du siehst (sonst könnte ich nicht schreiben) und Jetzt werde ich abwarten und schauen was passiert... PS: Ich weiss, ist ne Sauarbeit, aber vielleicht klappts ja. Men lernt gleich etwas und ist immernoch besser, als ein ganzes System völlig neu aufzusetzen (und vorher Backup von Daten zu machen -wo man nur Hoffen kann, das man nichts wieder reinschleppt!!!-). Ach ja, noch PS: So verrückt es klingt - versuche mal die Dateien im System-Volume mit Hilfe des Avenger zu löschen (zb. C:\System Volume Information\_restore{blablabla}\RP174\dateiblablub.horror). Wie gesagt -> sei Vorsichtig dabei - sehr, sehr Vorsichtig!!! |
So, erfreuliche Nachrichten: Wenn man meine "zwar eine Harte, Brutale und auch tw. ne manuelle Methode" anwendet (die Kombi - Avanger, Dateidatum insbesondere) wird man das Teil los! Nun ist nen Tag vergangen und mehrere Neustart's und mein System ist immernoch sauber. Ich hoffe, lieber sacastor, das hilt dir und auch anderen dieses Teil los zu werden (wenn eure Scanner das Teil nciht finden und erlegen können). |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board