![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() ![]() |
![]() |
Gast_NEUSTART_* |
![]()
Beitrag
#1
|
Gäste ![]() |
Hi Leute,
ich habe Euer Forum vor ein paar Monaten mehr durch Zufall entdeckt. Nun wurde mein Rechner heftigst von Trojanern befallen und hoffe das Ihr mir etwas helfen könnt. Gestern Nacht hat mein AVPersonal (kostenlose Privatlizenz) 187 Dateien gefuneden und gelöscht. Im Taskmanager meldet sich der unbekannte Dienst : winsys32.exe Heute bin ich fast vm Stuhl gefallen: Im Windows-Ordner auf C:\ habe ich ein Verzeichniß (c:\windows\data) entdeckt, das - festhalten - 7,6 Gigabyte an Screenshots enthält. Das sind ziemlich genau 52.700 Jpg-Bilder auf denen zu sehen ist, was ich auf dem Rechner gemacht habe... Also Screenshots die während des laufenden Betriebes gemacht wurden. Im Absztand von 5-6 Sekunden. Die Dateinamen haben alle Datums-Zeitstempel, die Aufzeichnung läuft seit dem 21.01.2005. Kann mir jemand von Euch weiterhelfen .... ??? PS: Leider ist es ausgerechnet meine Produktivmaschine die Befallen ist. Ich werde nun schnell einmal eine Log-Datei von Hi-Jack-This posten ... Braucht ihr noch andere Infos ... ?? Für Eure Antworten bedanke ich schon mal im Vorraus .....! Greetz Dennis ps: Mail und Browser sind eigentlich abgesichert. Ich hab den Gast also quasi hereingebeten .... ich denke ich hab mich mit einer üblen Software aus dem eDonkey-Netz infiziert. Nicht lachen: ich hab zufällig Generatoren für Kreditkartennummern gefunden, wusste gar nicht das es sowas gibt ... und die musste ich natürlich ausprobieren ;0) Tja ... und dann waren sie sogar bloß gefakte Virenschleudern ... shame on me .... ich weiß .... illegal obendrein .... helft ihr mir trotzdem? ;0) |
|
|
![]()
Beitrag
#2
|
|
![]() Wohnt schon fast hier ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 705 Mitglied seit: 12.11.2004 Wohnort: nähe Ulm Mitglieds-Nr.: 1.565 Betriebssystem: Win 7 x64 Virenscanner: Online Armor ++ Firewall: Online Armor ++ ![]() |
schau mal hier Link
Startup Name - Process Name - Details Config Loadr - winsys32.exe - Added by the AGOBOT-HN WORM! Microsoft Update - winsys32.exe -Added by a variant of the RBOT WORM! Windows Networking -winsys32.exe - Added by the GAOBOT.FL WORM! WinSys32 Winsys32.exe - Added by the CIGIVIP TROJAN or RECKUS WORM! winsys32 Driver - winsys32.exe -Added by the LOONY-O TROJAN! Der Beitrag wurde von Smoky bearbeitet: 26.01.2005, 15:22 |
|
|
![]()
Beitrag
#3
|
|
![]() Gehört zum Inventar ![]() Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 ![]() |
*rofl*
- björn |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#4
|
Threadersteller Gäste ![]() |
Hi Smoky .... erstmal danke für den Link ....
Was mich wundert ist, das Symantec gar nicht auf die Screenshots eingeht ... Ist das also eine fingierte Aktion, ausgelöst durch die Person die die Backdoor im Hintergrund Kontrolliert ??? ... sprich, das ist also kein symptom das der Trojaner von sich aus mitbringt ?? Danke für die prompte Antwort ..... Ich werd mal probieren was Symantec schreibt .... Was mich wundert ist das der Trojaner immer noch aktiv ist, obwohl ich ja gestern schon beim Viren-Scan 187 Files gelöscht habe ... Nach der Darstellung von Symantec ist das ein erkanntes Problem und wird nicht allzu ernst eingestuft, warum hat es AV-Personal also nicht hinbekommen ? Ach ... Smoky ... könntest Du noch mal genauer sagen was ich znoch so zu beachten habe .... Du hast ja ne Menge möglicher Quellen genannt ... @Lucky: was heißt *rofl* ...... ? ja ja ... ich weiß .... schrieb ich ja auch schon ..... ;0) bin halt nen spielkind. Deswegen hab ich ja auch ne WinDoze und kein Mac wie Du .... ![]() A propos ... was machst Du eigentlich hier auf dem Board ... windows-würmer gehen dich glücklicherweise doch gar nichts an ... greetz dennis Der Beitrag wurde von NEUSTART bearbeitet: 26.01.2005, 15:39 |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#5
|
Threadersteller Gäste ![]() |
Hi .... *alll ....
Hier hab ich noch mal die Log-Datei von HiJack-This .... Diese Log wurde erstellt, nachdem ich ... - winsys32.exe - wdfmng.exe .... im Taskmanager beendet habe, falls das einen Einfluß auf die Erkennung hat. Vielen Dank fürs angucken ! ___________________________________________ Logfile of HijackThis v1.99.0 Scan saved at 15:44:43, on 26.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = F2 - REG:system.ini: Shell=Explorer.exe winsys32.exe F3 - REG:win.ini: run=winsys32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [Alcohol.exe Autorun] C:\Programme\AlcoholSoft\Alcohol 120\Alcohol.exe /startup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [systemdll.dll] winsys32.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\RunServices: [systemdll.dll] winsys32.exe O4 - HKLM\..\RunServices: [] winsys32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: booom[1].exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O15 - Trusted Zone: *.od2.com O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O17 - HKLM\System\CCS\Services\Tcpip\..\{3C8BD834-92C3-4938-8F78-F97F308DD6CB}: NameServer = 213.191.92.87 213.191.74.18 O17 - HKLM\System\CS1\Services\Tcpip\..\{3C8BD834-92C3-4938-8F78-F97F308DD6CB}: NameServer = 213.191.92.87 213.191.74.18 O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: InCD Helper - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe Der Beitrag wurde von NEUSTART bearbeitet: 26.01.2005, 15:46 |
|
|
![]()
Beitrag
#6
|
|
![]() Salmei, Dalmei, Adonei ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 ![]() |
Hallo, wie fit bist du im Umgang mit dem Computer ?
Wenn du dich auskennst kannst du dir das mal herunterladen, und dein System damit scannen. Aber auf eigene Gefahr !!! Hallo, wie währe es hier mit ---> Knoppicillin.3.1-HEiSE, FTP download ftp://212.112.234.57/Tools/Knoppicillin.3.1-HEiSE/ Infos dazu: http://www.heise.de/ct/aktuell/meldung/54852 Bitte sorgfähltig lesen, und anwenden ! ROFL ----> http://www.stino.ch/driver/sonstiges/emoticon.htm Catweazle Der Beitrag wurde von Catweazle bearbeitet: 26.01.2005, 15:54 -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#7
|
Threadersteller Gäste ![]() |
Hi Catweazle,
ich bin *relativ fit ... also kein Netz-Admin, aber auch kein ComputerBild-Leser ... arbeite übrigens als Web-Grafiker und HTMLer ... *g* ... Die Knoppix-Cd habe ich heute morgen gleich als erstes reingelegt ... Leider konnten zwei der drei Virenscanner die Signaturen nicht automatisch aktualisieren ... (glaub Sophos und F-Prot warens) Kapersky hat dann auch eine Backdoor gefunden ..... Hab den Scanner nicht über alle Laufwerke laufen lassen .... nur über C:\ ... Beim Hochfahren danach hatte ich prompt wieder winsys32.exe im Taskmanager und das System lahmte .... Zb kann ich den Rechner nicht runterfahren wenn winsys32.exe noch aktiv ist ... wenn ich es beende dann kann ich plötzlich nicht mehr den "Arbeitsplatz" öffnen, einen beliebigen anderen Ordner schon .... ________________________ ich werde jetzt mal den Rechner im Safe-Modus neustarten und dann die Symantec Anleitung ausprobieren ... ich vermute aber das es damit nicht gatan ist ..... Kann mir jemand einen Rat geben, wie ich sonst noch den oder die mehreren Trojaner identifizieren kann ? Passiert mir in den letzten 4 Jahren zum ersten mal ..... jedenfalls so dick .... greetz dennis |
|
|
![]()
Beitrag
#8
|
|
![]() Salmei, Dalmei, Adonei ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 ![]() |
Hm, mit Knoppix geht das auch ?
Ich schrieb von Knoppicillin ?! Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#9
|
Threadersteller Gäste ![]() |
Hi ....
Hab grad den Heise-Link probiert ... da stehts ja ... ein versehentlicher Bug verhindert die aktualisierung von sophos .... es gibt aber ein update .... ich lass die scanner dann noch mal durchlaufen .... und melde mich gegebenenfalls ... warscheinlich .... ____________ Sagt mal ... kann ich rausbekommen wer diese Screenshots im Hintergrund anfertigt ? Wer also quasi am anderen Ende sitzt ? Die Screenshots wurden doch bestimmt versendet ... eine IP wird es doch geben ??? Hab ein log-file meiner firewall ..... Was sagt ihr übrigens dazu ... ?? ich finde das schon von der menge der screenshots ganz schön heftig .... 53.000 tausend stück .... das sind mehr als 7,6 Gigabyte ..... thnx! |
|
|
![]()
Beitrag
#10
|
|
![]() Wohnt schon fast hier ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 705 Mitglied seit: 12.11.2004 Wohnort: nähe Ulm Mitglieds-Nr.: 1.565 Betriebssystem: Win 7 x64 Virenscanner: Online Armor ++ Firewall: Online Armor ++ ![]() |
also fixen solltest du auf jedenfall folgendes :
F2 - REG:system.ini: Shell=Explorer.exe winsys32.exe F3 - REG:win.ini: run=winsys32.exe O4 - HKLM\..\Run: [systemdll.dll] winsys32.exe O4 - HKLM\..\RunServices: [] winsys32.exe O4 - HKLM\..\RunServices: [systemdll.dll] winsys32.exe diese evt. falls sie dir nichts sagen O15 - Trusted Zone: *.od2.com O4 - Startup: booom[1].exe Der Beitrag wurde von Smoky bearbeitet: 26.01.2005, 16:09 |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#11
|
Threadersteller Gäste ![]() |
@catweazle ....
mhh .... ja .... aufmerksam wie ich generell bin habe ich überlesen das es die knoppilicin war ... nicht die knoppix .... ;0) aber danke ! greetz dennis ps: seit ihr später auch noch da ???? es dauert ne weile bis die scanner durch sind .... hab insgesamt 240 Gig zu durchforsten ..... |
|
|
![]()
Beitrag
#12
|
|
![]() Salmei, Dalmei, Adonei ![]() ![]() ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 4.871 Mitglied seit: 28.05.2003 Mitglieds-Nr.: 95 ![]() |
Oh das kann dauern.....
Ja es sind immer Hilfreiche User hier Tag und Nacht ![]() Fixe erstmal was dir Smoky geschrieben hat ! Catweazle -------------------- Ich habe keine Homepage, wers nicht glaubt:
http://catweazle.hat-gar-keine-homepage.de/ Spend most of my time in a state of Dementa wondering where I am. |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#13
|
Threadersteller Gäste ![]() |
@smoky ....
Ich frag mal gerade heraus: wie "fixe" ich die .... ini-dateien mit dem Editor ändern ... klar ... aber was ändere ich da .... einfach den eintrag löschen ??? die Reg.Einträge lösche ich auf jedenfall einfach oder ? greetz dennis |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#14
|
Threadersteller Gäste ![]() |
... mögt ihr nochmal nen kommentar zu den screenshots geben ?
auch wenn ich da nicht in Panik verfalle, mich irritiert das doch sehr .... auch aus neugierde .... Habt ihr Hintergrund-Infos zu sowas ??? Da wird versucht herauszubekommen was für Passwörter ich verwende oder was ? im system werden doch passwörter gar nicht im klartext angezeigt ... warum also diese "überwachung" ....??? greetz dennis |
|
|
![]()
Beitrag
#15
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Das Problem ist natuerlih, das du das auf deine Kappe nehmen musst. Man sollte "unsichere"2 Software wie Edonkey nicht nutzen, bzw schon gar nicht auf einer "Produktivmaschine". Dir bleibt eigentlich nur Neu aufsetzen und alle Passworte usw zu aendern.
Das ist was passendes dazu:What is public isn't safe -------------------- MfG Ralf
|
|
|
![]()
Beitrag
#16
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
Teste deine Verdaechtigen Dateien mal hier:
http://virusscan.jotti.org/ und schreib, was gefunden wurde. vieleicht laesst sich so eine Brauchbarere Beschreibung finden. Diese "Screenshots" ist wohl nur ein Teil der Schadroutine. Wer weiss, ob da nicht ein Keylogger mitgelaufen ist. -------------------- MfG Ralf
|
|
|
![]()
Beitrag
#17
|
|
![]() Gehört zum Inventar ![]() Gruppe: Freunde Beiträge: 3.252 Mitglied seit: 21.04.2003 Mitglieds-Nr.: 51 ![]() |
*rofl* Erklärung oder warum ich das schrieb? Ich schrieb es weil du auf nem Produktivsystem sowas machst.
Bei 187 gelöschten Files, kann man nur noch zum formatieren raten, wie raman schon anmerkte. Versuchen irgendwas zu retten würde ich nicht mehr, da man nicht weiß wie weit das System schon kompromitiert ist. - björn |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#18
|
Threadersteller Gäste ![]() |
... ja ... logisch ...
ich hoffe es kam raus das ich mir bewusst bin, das ich das selbst verschuldet hab .... ich begegne dem irgendwie mit einer gewissen faszination und neugierd,e wenn ich ehrlich bin .... Ich bin Freelancer, hab hier also nur einen Client stehen und gefährde dadurch nicht etwa ein Netzwerk oder Server, von Online-Banking halte ich sowieso nichts .... in den seltensten Fällen heutzutage werden willkürlich daten gelöscht ... so wie früher Bei allem Ärger .... die ganze Mühe hat sich mein Gegenüber ziemlich umsonst gemacht ... jedenfalls gabs bei mir nicht viel zu holen .... ausser ein bischen Privacy und bunte Bilder .... Dank erst mal an euch beide ! greetz & bis später (vielleicht) dennis |
|
|
![]()
Beitrag
#19
|
|
![]() Wohnt schon fast hier ![]() ![]() ![]() ![]() ![]() Gruppe: Mitglieder Beiträge: 705 Mitglied seit: 12.11.2004 Wohnort: nähe Ulm Mitglieds-Nr.: 1.565 Betriebssystem: Win 7 x64 Virenscanner: Online Armor ++ Firewall: Online Armor ++ ![]() |
ich meinte damit im hijack this diese einträge markieren und dann fix checked drücken
![]() |
|
|
Gast_NEUSTART_* |
![]()
Beitrag
#20
|
Threadersteller Gäste ![]() |
.
ok ... da kam während ich schrieb ja noch was ..... ich werd mal gucken das ich mit den Tipps bisher zurande komme .... Warscheinlich habt ihr recht und ich werd am ende neu aufsetzen müssen .... Inwiefern muss ich denn befürchten, das meine archivirten Dateien nicht auch infiziert wurden ..? Also sich mein System nach einer Neuinstallation wieder infiziert .... Ich denke die ursprüngliche lokale Quelle ist schnell eleminiert, aber kann sowas auch andere, zuvor unberührte Dateien "irgendwie impfen" ... ? Kann also aus dem beispielsweise vertrauten "Urlaubsbilder.rar" plötzlich eine neue Virenfalle entstehen? thnx ! greetz dennis |
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 17.06.2024, 01:10 |