[HaBo]

Janschi

Anzeige

Hallo Leute,
Da ich direkt zum Punkt kommen will fange ich an:
Shark ist eine .exe die Leute mit gefährlichen trojanern infiziert mit dem man sämtliche Passwörter von anderen Computer herausbekommt.
Ich wurde infiziert und wollte fragen was man dagegen machen kann auser Festplatte zu formatiern. Denn ein Irrer läuft damit Amok. Ich habe mich schon etwas Informiert dieses Programm legt dll an. Eine davon ist zlib.dll(im Ordner System32) und ein Prozzes namens SVHOST(NICHT SVCHOST).Zone Alarm, Norten, Antivir und Kaspersky finden nur Shark aber nicht die Trojaner die die Passwörter herausbekommen nicht deshalb ist man nicht sicher.
Sobald ich neue Infos habe werde ich sie hier Posten.
Wie bekomme ich es wieder weg?

MfG
Janschi

CDW

Neuaufsetzen.
Warum?
http://morph3us.org/security/windoze...e-removal.html

Alle Daten sichern (dazu ein frisches System verwenden - Knoppix CD oder BartPE
Wenn Du formatieren kannst - dann gleich die Festplatte in mehrere Partitionen aufteilen - eine fürs System, eine für Programme und eine für Daten.
Nach der Neuinstallation aller benötigten Programme installieren, System konfigureieren und dann Backup des Systems erstellen (am besten ein Image) - so dass man im Notfall nur die BackUp DVD einlegt und in 20 Minuten wieder ein frisches, konfiguriertes System hat.

Für tägliches Arbeiten/surfen im Internet ein Account mit eingeschränkten Rechten nutzen. Falls mal ein wiederspenstiges, wichtiges Programm nicht mitmachen will und auf Adminrechten besteht, kann man dieses über Rechtsklick->"ausführen als" mit Adminrechten starten. Grundsätzlich nur vertrauenswürdige Programme ausführen.
Um etwas Neues auszuprobieren, emfielt es sich das Ganze in einer virtuellen Umgebung zu machen: http://de.wikipedia.org/wiki/Microsoft_Virtual_PC, so dass nur das virtuelle System verseucht werden kann (und dieses kann man innerhalb von Sekunden wieder zurücksetzen ).
Der Vorteil liegt darin, dass die meisten Schädlinge Administratorrechte brauchen, um Unfug zu veranstalten und das System zu infizieren. Mit eingeschränkten Rechten kann sich Malware kaum im System festsetzen oder andere Programme infizieren.
ein guter Leitfaden wäre auch:
http://board.protecus.de/t13020.htm
http://www.pc-magazin.de/praxis/cm/p...ble=pg&id=3594

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

RUIMASTER

Ladet euch bitte Shark runter, macht euch nen Trojaner, infiziert euch selbst und schaut euch an was es kann. Shark ist ein -vom Betriebsystem her gesehen- "legales" Programm, das heißt kein Antivir etc wird es finden denn Shark tut nichts was irgendwie gegen die Regeln verstösst. Leider kann man Shark so aber auch ausnutzen und zu etwas sehr gefährlichem machen. Das Problem ist die Tatsache das man damit sehr gut und ohne es zu bemerken gesteuert werden kann, der Täter sozusagen hat soviel Zugriff auf den Rechner wie das dumme Opfer, wenn nciht sogar noch mehr.

Wie gesagt wieso sollte ein legales Remote Administrationtool als Wurm o.ä. indentifiziert werden... ich bin leider genauso hilflos gewesen

Zu den "eingeschränkten Rechten" ich habs zwar schon erwähnt, aber mit Shark hast du mehr Rechte als das Opfer selbst... lad dir das Tool und versuchs mal ;-)

----->>> format c: <<<-----

PS: den Prozess zu beenden und die zlib.dll zu löschen war bei mir erfolglos, aus welchen Grund auch immer, beides stellte sich erneut wieder her.

CDW

dann versuch es mal mit eingeschränkten Rechten zu installieren und sag mir dann, wie das Tool sich mehr Rechte verschaffen kann
Als Nichtadmin hat man per Default keinen Zugriff auf Systemordner/Einträge. Und wenn man ein bisschen herumkonfiguriert und dem Surfuser noch mehr Rechte entzieht (Zugriff nur auf bestimmte Verzeichnisse/Laufwerke) dann muss die Malware schon einiges mehr aufbieten.
Und ja, man sollte nicht alles anklicken - insbesondere wenn es von "Freunden" kommt. Wenn irgendwas ankommt, nach dem Muster "schau mal, cooles Prog/Spiel" kann man immer nach einer offiziellen Seite fragen, ansonsten auf nem VirtualPC oder gar nicht ausführen.

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

SUID:root

Mir ist ein Trojaner bekannt, der sich prima unter Gast-Rechten installieren lies und dann sogar mit Systemrechten lief. Wege gibts da schon. Zum Glück ist das aber nicht die Regel.

Zu dem eigentlichen Problem:
Versuche es wirklich mit einer Neuinstallation, alles andere ist zu unsicher. Möglicherweise gibt es auch die Möglichkeit, die DLLs umzubenennen, dann suchst du dich schwarz. Das ist alles zu unsicher.

root

Janschi

Eine Idee hätte ich noch zB sich das Programm loaden und dann sich selber zu infizieren vielleicht bekommt man dan raus wo und welche daten es anlegt.

Chakky

davon würde ich abraten maximal den client dazu besorgen und selbst connecten aber ich denk mal da wird wohl ein pw drauf sein ->sprich connect schlägt fehl

__________________
cu
Chakky

we are dreaming in digital
we are living in realtime
we are thinking in binary
we are talking in IP
welcome to our world