Trojaner-Board - Mein kleines Spybot-Tutorial

Ich hab ein Problem, was nun ... Version 0.0.4
Kurzübersicht.
---------------
[1] Neueste Spybot Version
[2] Aktuelle Updates herunterladen
[3] Computer überprüfen
[4] Spybot Report (Text) erstellen.
Verdächtige URL/Dateien
Nützliche Tools
- Suspicious File Locator
- Suspicious File Packer
[5] Betreff + Problembeschreibung bei eMails

================================================
Changelog
----------
22.10.2004 [1] Neuste Spybot Version (Punkt 3)
[2] Aktuelle Updates herunterladen
26.10.2004 Kurzübersicht.
[4] Suspicious File Locator
27.10.2004 [1] Neuste Spybot Version (Punkt 2)
================================================
[1] Neueste Spybot Version installieren

Als erstes sollte man sich die neuste Version von Spybot installieren.

Warum ist das so wichtig?
Einerseits gibt es natürlich Programmierfehler, andererseits entwickelt
sich auch die Spyware weiter und fordert somit zwangsläufig
Neuererungen in der Bekämpfung.

Fangen wir mal ganz von vorne an.

1. Man installiert erstmal die Spybot 1.3.
http://www.safer-networking.org/de/download/index.html

2. Die Version ist momentan nicht verfügbar.
http://www.safer-networking.org/files/spybotsd131tx.exe

Bei dem Download ("spybotsd131txt.exe") handelt es sich um ein
Installationsprogramm, welches das Hauptprogramm (.exe) ersetzt.

3. Nachdem die "spybotsd131tx.exe" heruntergeladen ist, muss man diese
einfach ausführen. Das Installationsprogramm fragt nach, wo sich Ihr bereits
auf dem Computer bestehendes Spybot S&D - Verzeichnis
befindet. Prüft bitte nach, ob der angegebene Pfad korrekt ist.

Sollte die folgende Fehlermeldung erscheinen
=====================================================
C:\Programme\spybot-search&destroy\spybotSD.exe
An error occurred while trying to replace the existing fiel:
deleteFile failed; code5.
Zugriff verweigert.
======================================================
laeuft noch das Hauptprogramm von Spybot im Hintergrund, und damit
kann das Installtionsprogramm die alte Datei nicht ueberschreiben, weil in
Benutzung ist.

4. Abschliessende Installation und starten von Spybot.

================================================

[2] Aktuelle Updates herunterladen

Hier gilt es eigentlich wie bei dem Hauptprogramm, man muss auf
einem aktuellen Stand sein.

Sollte die folgende Fehlermeldung erscheinen
================================================
Englisch:

- Dialog: Warning
The external update application has been corrupted.
Please make sure you download the "Updater" update to replace it!

Dialog: Error
Cannot create file "C:\....\Spybot - Search und Destroy\Updates\downloaded.ini".
Das System kann den angegebenen Pfad nicht finden
================================================

wurde die Spybot 1.3.1TX nicht korrekt installiert (falsches Verzeichnis) .

Daher sollte man ab dem Punkt [1]-3 alles noch einmal wiederholen
und darauf achten den richtige Verzeichnis angegeben wird.

================================================

[3] Computer überprüfen

Dadurch wird nun im Spybot Report direkt das Ergebnis der Überprüfung mit
aufgeführt, was sehr hilfreich sein kann, wenn man sieht, was Spybot so
gefunden hat.

================================================

[4] Spybot report erstellen.

Ab der Spybot 1.3.1TX ist es jetzt möglich im Ausgabefenster direkt
mit der rechten Maustaste ein Spybot Report zu erstellen.
Verdächtige URL/Dateien

Jeder Hinweis kann wichtig sein, ob Webadressen oder Datein.
Damit das mit den Datein etwas einfach geht, wurde auf die
schnelle ein kleines Tool geschrieben "Suspicious File Packer".
http://www.safer-networking.org/de/tools/tools_ads.html

Suspicious File Packer

Jemand möchte gerne den unteren Block von Euch bekommen,
dazu geht Ihr einfach mit der Maus auf den Block und markierst
diesen, drückst entweder rechte Maustaste -> kopieren oder
STRG-C. Damit wird diese Textblock in den Zwischenspeicher
kopiert. Als nächstes startet Ihr den Suspicious File Packer und
fügt den Text mit Hilfe der rechten Maustaste -> einfügen
oder STRG-V aus dem Zwischenspeicher in das Textfeld.

Zum Abschluss müsst Ihr nur noch auf den Button drücken, und
auf dem Desktop erscheint die Datei in der alles gepackt wird.

=[DIESE ZEILE NICHT MITKOPIEREN] =======
C:\WINDOWS\cep1dun.exe
C:\WINDOWS\Q9169280.exe
C:\WINDOWS\Q7547499.exe
C:\WINDOWS\SYSTEM\EGCOMLIB_1031.dll
C:\WINDOWS\SYSTEM\EGCOMLIB2.
=[DIESE ZEILE NICHT MITKOPIEREN] =======
-------
Wenn Ihr z.B. ein HijackThis Logfile habt, braucht Ihr nur
den Pfad rauskopieren und in das Eingabefenster von
"Suspicious File Packer" zu kopieren.
Also
O3 - Toolbar: - {8E7....2467} - C:\WINDOWS\System32\msdxm.ocx

Einfach C:\WINDOWS\System32\msdxm.ocx

Habt Ihr alle Datein die Ihr uns schicken möchtet eintragen, braucht
Ihr nur noch auf den Button zu drücken und auf dem Desktop taucht
dann eine result-Datei auf.
-------
Selbiges gilt fuer ein Spybot Report
Path: C:\winnt\Downloaded Program Files\
Long name: Si.dll

muss man nur C:\winnt\Downloaded Program Files\Si.dll eintragen.
-------

Suspicious File Locator

War anfänglich zum auffinden neuer CoolWWWSearch DLLs gedacht,
wurde aber um die Funktion erweitert, ADS Streams zu durchsuchen
(interessierte seinen auf http://www.heise.de/security/artikel/52139
verwiesen).
Führt das Programm aus, drückt die rechte Maustaste auf dem
"Scan"-Button und wählt "Scan ADS" aus, falls etwas gefunden wird,
wird eine "suspicious-file-ads.cab" auf dem Desktop abgelegt.

Hinweis : Auch normale Programme legen in diesem ADS Bereich
Informationen ab, also nicht erschrecken, wenn etwas gefunden wird.

[5] Betreff+Problembeschreibung bei eMails

Man sollte etwas sinnvolles im Betreff schreiben und am Ende
"-TBOARD" anfügen. Weiter eine kurze Beschreibung des Problems,
damit man in etwa sehen können wonach man suchen muss.
Gegebenfalls noch zusätzlich den Link auf den Thread hier von Euch.

Jetzt schnell den Spybot Report und vielleicht noch die Datein
an die eMail anfügen und ab an detections@spybot.info

Gruss
Michael zZzzz
:headbang: