[HaBo]
| Virenschutz · Tools & Aggressive Software Tips zum Kampf gegen gegen Viren, Trojaner, CryptoSoft und Programme, die erstellt wurden um Schaden anzurichten, werden hier behandelt. Aber auch Tools aus dem Security Bereich sind hier richtig. |
Virus eingefangen [?]
Diskussion: Virus eingefangen [?] im Forum Virenschutz · Tools & Aggressive Software, in der Kategorie Security Area; Hi, ich glaube ich hab mir etwas eingefangen, mir sind letztens Script Fehler vom IE aufgefallen die sich "von selbst" ...
 |
15.02.10, 01:11
| #1 (permalink) |
 Registriert seit: 20.04.06  Likes: 0 |  Virus eingefangen [?] Hi, ich glaube ich hab mir etwas eingefangen, mir sind letztens Script Fehler vom IE aufgefallen die sich "von selbst" geöffnet haben. Da ich kein IE benutze fand ich das seltsam hatte mich aber nicht weiter gekümmert. Jetzt surfte ich grade so im Inet als sich plötzlich die Seite http://www.gegen-tierquaeler.de/ einfach öffnete. Dies ist die gleiche Seite die auch schon in den Fehlermeldungen drin war. Wenn man sich http://ipcounter.de/stats/62248436 ansieht dann sieht das für mich sehr komisch aus. 245 Hits im Vormonat nun fast 12k. Ist sowas schon bekannt und kann mir jemand nen Tipp geben? Habe KIS2010 drauf aber er findet momentan nichts... |
|  |
|
15.02.10, 01:30
| #2 (permalink) |
 Registriert seit: 02.10.07  Likes: 0 |  Benutzt du ICQ oder MSN? Ich glaube die benutzen beide die IE Engine und Sicherheitslücken sind in den Programmen auch nicht gerade selten. Dann kannst du noch ein HiJackThis-Log posten, vielleicht erkennt man da etwas. |
|
| |
| HaBOT | |
|
|
15.02.10, 01:36
| #3 (permalink) | |
| Themenstarter Registriert seit: 20.04.06 Likes: 0 | Zitat:
Ich habe grad mal mein bisschen selbst gesucht da mein Virenscanner ja nichts findet und habe in der msconfig sehr seltsame einträge für c:/windows/system32/install/microsoft.exe gefunden. Geiler Name auf jeden fall  Virustotal meint:http://www.virustotal.com/de/analisi...707-1266193957 ich hoffe das war der übeltäter... | |
|
| |
|
15.02.10, 01:56
| #4 (permalink) |
 Registriert seit: 30.01.10 Likes: 1 | Ich hab gerade mal etwas über den Besitzer besagter Webseite gegoogelt und er hat noch diverse andere Webseiten am Laufen. Entweder haben sie was mit "Hacken" oder mit "Tierschutz" zu tun... aber beides wird eher weniger professionell behandelt. Eine ehemalige Seite von ihm ist sogar bei ohost gesperrt wegen der Verbreitung von Malware (siehe Bild).  Auffällig ist auch, dass es auf all seinen Seiten im April-Mai 2009 einen rapiden Besucher-Anstieg gab. Er scheint also absichtlich oder unwissentlich öfters mal Malware zu verteilen. 
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
|
15.02.10, 02:18
| #5 (permalink) |
| Themenstarter Registriert seit: 20.04.06 Likes: 0 | Scheint das "er" sowas öfter macht. Hab mal ne Infomail zu Strato geschickt die sollen da mal was gegen tun. Danke auf jeden Fall für eure Hilfe  |
|
| |
|
15.02.10, 13:47
| #6 (permalink) |
| Themenstarter Registriert seit: 20.04.06 Likes: 0 | Ok Problem... diese Microsoft.exe erstellt sich sofort neu wenn man sie löscht. KIS2010 und Spybot S&D finden beide nichts. In der registry gabs ein paar einträge für diese .exe aber anscheinend hats nichts gebracht diese zu löschen. Jetzt bin ich ratlos  hijackthis.txt Mir ist grad auch diese firefox.exe aufgefallen mit 9,5k Ram verbrauch. Die kommt auch immer neu.... oh mann.. Geändert von Alitis (15.02.10 um 13:59 Uhr) |
|
| |
|
15.02.10, 14:18
| #7 (permalink) |
| Registriert seit: 30.01.10 Likes: 1 | Da dein Rechner ja augenscheinlich mit Malware infiziert ist, und weder du noch die gängigen AV-Scanner den wahren Schädling finden können, würde ich dir empfehlen das System komplett neu aufzusetzen.
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
|
15.02.10, 15:55
| #8 (permalink) |
| Moderator   Registriert seit: 19.06.06 Likes: 42 | Also eine auffällige firefox.exe sehe ich in dem Log erstmal nicht, aber das muss ja nichts heißen, da die auch von der microsoft.exe erstellt werden kann. Also zum Säubern: Idealerweise das System von einer Live-CD oder einem 2. Betriebssystem aus starten und die Datei C:\Windows\System32\install\Microsoft.exe und ggf. auch die von dir erwähnte firefox.exe löschen (aber natürlich nicht die von deinem Browser  )Wenn das mit der Live-CD nicht möglich ist, dann probiere es im abgesicherten Modus. Nach dem Löschen dann im abgesicherten Modus starten, Hijackthis laufen lassen und dort die folgenden Einträge markieren und fixen: O4 - HKLM\..\Run: [HKLM] C:\Windows\System32\install\Microsoft.exe O4 - HKCU\..\Run: [HKCU] C:\Windows\System32\install\Microsoft.exe O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\install\Microsoft.exe O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\install\Microsoft.exe Danach Windows wieder normal starten. Wenn das dann noch immer wieder zurückkommt, rate ich dir auch ganz dringend, das System neu zu installieren, aber ich denke, nach der Bereinigung ist zumindest dieses Problem behoben. |
|
| |
|
15.02.10, 18:13
| #9 (permalink) | ||
| Registriert seit: 30.01.10 Likes: 1 | Also, der TE war so nett mir die Datei zukommen zu lassen und ich konnte die Datei grob untersuchen. Das Programm ist sehr fleißig. Es kopiert sich, falls möglich, von c:\microsoft.exe nach c:\windows\system32\install\ und erstellt u.a. die oben genannten Registry-Keys zum automatischen Startup. Danach läd es so gut wie jede System-DLL und klinkt sich in den Adressraum des IE ein. Zudem liest es haufenweise ini-Files, Registry-Keys und sonstigen Krempel aus (IE, Outlook, zuletzt geöffnete Dokumente, usw). Und allem Anschein nach ist es neben einem Trojaner auch noch ein Passwort-Grabber. Darauf deuten zumindest einige Variablen-Namen und angelegte Dateien hin. Zum Versenden der angelegten Logs startet die Malware eine neue Explorer-Instanz und injeziert sich dort mit fast identischer Programm-Funktionalität, erstellt ein TCP-Socket und sendet die Daten. Danach löscht es alle angelegten Log-Files und erstellt ggf. die microsoft.exe neu. Die Malware legt noch u.U. noch folgende Registry-Keys und Log-Dateien an, also bitte löschen: Zitat:
Log-Dateien: Zitat:
EDIT: Ich habe ganz vergessen zu erwähnen, dass du nach erfolgreicher Desinfektion bzw. Neuinstallation ALLE deine Passwörter ändern solltest!
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - Geändert von Dresko (15.02.10 um 18:19 Uhr) | ||
|
| |
|
15.02.10, 18:36
| #10 (permalink) |
| Member of Honour   Registriert seit: 22.02.07  Likes: 75 | @Dresko: good job! @Alitis: falls du dich zur Anzeige entscheidest, wäre es toll, wenn du uns auf dem Laufenden halten könntest! (also nicht, dass ich neugierig wäre, aber es würde zumindestens bei positivem Ausgang diejenigen bestärken, die sich nicht sicher sind, ob es was bringt...) |
|
| |
|
15.02.10, 18:48
| #11 (permalink) |
| Registriert seit: 30.01.10 Likes: 1 | Naja, in dem Fall ist es eine Telekom-IP und der DynDNS-Name fängt schon mit 1337h4xx0r an. Von daher stehen die Chancen nicht schlecht...
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
|
| Stichworte |
| gegen, kis2010, tierquaeler, virus |
| | |
|
|
[HaBo] » Security Area » Virenschutz · Tools & Aggressive Software » Virus eingefangen [?]
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
