[HaBo]

schmidtl_dd

Anzeige

Hi

Ich hab hier nen Win2k PC, der nach Virenbefall nach Aussage aller Tools (HighjackThis, AdAware, AntiVir) sauber ist.

Jedoch läuft die winlogon.exe mit voller last, permanent. Und nun hab ich auch rausgefunden was die tut, da sie sofort aufhört, wenn ich die LAN Verbindung kappe: der Schlingel sendet Daten...

netstat -a hat 3 IP verbindungen nach außen: nach yh.mx.aol.com (2 mal) und mail1.ozhosting.com, jeweils Port 25

Hmm...jetzt weiß ich aber aus mangelnder Windowskenntniss nich weiter: Wie gewöhne ich dem das ab? Ne firewall installieren damit nix mehr rauskommt mag ich nich, kann ich den Übeltäter irgendwie anders finden?
Is tatsächlich die winlog.exe manipuliert?

fast_killer

Geh mal auf Start -> suchen
Such nach der winlogon.exe, versteckte dateien miteinbeziehen.
Wenn die Datei ausser im system32 Ordner noch irgendwo ist, kannst du dir sicher sein, dass du dir etwas eingefangen hast.

Zu deiner Aussage:

Soll das heissen, du hast gar keine Firewall installiert? Ich glaube ich seh schon, wo das Problem liegt

Mfg

ivegotmail

wie schon in deinem anderen thread geschrieben: system komplett neu aufsetzen!
selbst wenn du das problem mit winlogon.exe löst, kannst du nicht sicher sein, dass im hintergrund nicht noch mehr auf deinem rechner läuft. und wer weiß wozu dein rechner gerade misbraucht wird ...

__________________
http://livehabo.hackerboard.de | http://livebb.sourceforge.net

+++ATH0

Du bist der Meinung, dass eine Kompromittierung unvermeidbar ist, wenn man keine Firewall hat?

--> http://malte-wetz.cjb.net/index.php?...ompromise.html

OnTopic:

Ack @ ivegotmail

Und wenn du dich fragst: "Warum neuinstallieren? Ist doch so anstrengend..."

--> http://www.mathematik.uni-marburg.de...c-removal.html

schmidtl_dd

Das System plattmachen ist zu einfach Ne firewall brauch ich nicht, da ich keine Dienste nach aussen anbiete (Windows Dienste sind abgeschaltet). Ich halte sowieso nix von Desktopfirewalls...

Eine weitere winlogon.exe existiert nicht, es gibt nur die Windowseigene (sollte eine zweite existieren hätte ich auch zwei in der Prozessliste, da die Windowseigene ja immer läuft)

Über kurz oder lang wird das System eh neu aufgesetzt, es geht mir auch eher um den Lerneffekt. Kann ich mit windows Bordmitteln herrausfinden welcher Prozess grad das Netzwerkinterface nutzt?

heinzelJacKy

mit netstat -a -b kannst du rausfinden welche verbindung zu welchem prozess gehört..
allerdings kann es trotzdem sein, dass du eine infizierte winlogon hast, es gibt genug viren die es noch nicht zu ner antivir-signatur geschafft haben, also wuerde ich mich auf deine scanner nicht verlassen, könnte genauso gut dein nachbar gecodet haben ;-)
weiß zwar nicht genau, was ad-aware und hijackthis alles checken, aber sicher sein kann man sich da nicht. eventuell hilfts auch, mal mit nem packetsniffer wie ethereal mal zu schnueffeln, was denn eigentlich alles so verschickt wird und was zurueckkommt, welches protokoll das ist etc..
evtl einfach mal nen neue winlogon.exe von der install-cd reinkopieren und schauen ob sich was ändert..

Lesco

Oder der Virus ist polymorph, oder es ist noch ein Schädling aktiv, der seinen Code zum Kommunizieren in den Internet Explorer o.ä. injected, oder die Dateien des Schädlings werden mittels rootkit getarnt, oder offene Ports werden mittels kernel-modul versteckt, oder....
Ich glaube man braucht nicht weitermachen mit der Aufzählung, du kannst dir nie sicher sein, dass dein System je wieder 100% sauber wird ohne Formatierung, man findet wahrscheinlich eh nicht alle Schädlinge.

+++ATH0

Glaube ich dir nicht. Ich glaube eher es ist dir zu aufwändig. Kannst du ruhig zugeben. Ist mir dann auch egal, was mit deinem System los ist...

schmidtl_dd

weiter unten hab ich doch eh geschrieben das ich das früher oder später tun werde... is na sache von 2-3 h. Mein kernsystem hab ich als image hier, danach noch backup einspielen und fertig... Aufwand is das wirklich nich...Lerneffekt hats aber auch keinen

+++ATH0

Was willst du denn lernen?
Infiziere doch ein emuliertes System. Aber bitte getrennt vom Internet. Solange du infiziert bist, bist du ne Virenschleuder und gefährdest andere.

end4win

Hallo,
also wovor +++Atho euch ständig zu warnen versucht ist dies!


Ganzer Artikel unter http://www.heise.de/security/artikel/68243/0

Was du und viele andere hier mit ihren Tools versuchen ist die Vordertür verzweifelt wieder
zu schliessen. Dabei stehen Hintertür und Fenster bereits weit offen!
Wenn ihr euch die Mühe macht und den Artikel ganz durchlest werdet ihr hoffentlich endlich einsehen,
dass es sich nicht lohnt die Vordertür wieder zu schliessen.
Eure ganzen Tools sagen euch nur wann es Zeit ist neu zu installieren!
Statt zu lernen wie ihr die Vordertür wieder schliesst, lernt lieber wie ihr sie schützt und wie ihr
euer System schnell und sicher neu aufsetzen könnt.

Gruss
@+++ATHO ich bewundere deine Ausdauer!

__________________