[HaBo]

sw33tlull4by · 26.07.10, 09:08

Hi!
Premiere!
Nach langer Zeit hat sich mein WindowsOS wieder einen schnutpfen eingefangen.
Bemerkt habe ich das nachdem zum wiederholten male,obwohl ich Linux nicht hochgefahren, und somit ein unsauberes Unmounten von den NTFS-Partition ausgeschlossen ist,chkdisk angesprungen war und windows lange brauchte um den login bereitzustellen,netzwerkkarte anzuwerfen etc.
Ich habe 3 Services gefunden.
2 sind komischer weise von www.sysinternals.com signiert.
Sie wurden als nicht laufend ausgegeben, als ich sie fand.
Unter msconfig sah man GUZFLA und WMGVVJSJ beide zum start angemeldet,aber nicht laufend und im Serviceeditor von Windows gab es noch XKHKYTEY ebenfalls als nicht laufend ausgewiesen und zum manuellen start vorgesehen.
GUZFLA und WMGVVJSJ suche ich gerade.
Für XKHKYTEY wurde der Pfad C:\Users\sw33t\AppData\Local\Temp\ angegeben.
Bis Googlesuche war erfolglos.
Der Grund wiso ich hier schreibe ist folgender:
Unter Windows fand ich im Temp-Verzeichniss die angegebene Exe nicht.
Unter linux finde ich sie aber auch nicht, dafür bekomme ich wenn ich das gesamte Temp-Verzeichniss löschen will folgende Meldung:

Code:

ls: cannot access ~DF34D5F868F9F773B0.TMP: Input/output error
ls: cannot access services.col: Input/output error
~DF34D5F868F9F773B0.TMP  ~DFFCC7526AE7E17410.TMP  services.col

-----------------------------------------------------------
$ clamscan -r *
WARNING: Can't access file ~DF34D5F868F9F773B0.TMP
~DF34D5F868F9F773B0.TMP: Input/output error
WARNING: Can't access file services.col
services.col: Input/output error

----------- SCAN SUMMARY -----------

Ich kann kein dd darauf ausführen nichts, file gibt die gleiche Fehlermeldung wieder,genauso wie clamscan.
Wiso ist das so und funktioniert auch unter Linux?
Und wie kriege ich die Dinger runter ohne neu installieren zu müssen, abgesehen davon das ich das sowiso mache.

Linuxsystem ist sauber rkhunter chkrootkit und unhide haben nichts verdächtiges ausgegeben.
Mfg

sw33t

Kuttengeier · 26.07.10, 10:54

Hi,

in meiner Firma hatte ich ein ähnliches Problem. Die Services sehen aus, als wenn sie von Conficker angelegt wären. Im Internet gibt es Webseiten, mit denen du das Testen kannst. Auf den Webseiten sind Bilder hinterlegt. Einige können nicht angezeigt werden, da Conficker den Zugriff auf einige Antivirenserver unterbindet.

Bei mir hat sich folgende Methode bewährt.

1. Download des Microsoft Security Bulletin MS08-0671
2. Installation des Patches
3. Download eines Conficker Removal Tools
4. Download des "Windows-Tools zum entfernen bösartiger Software"
5. Ausführen des Conficker Removal Tools
6. Ausführen des "Windows-Tools zum entfernen bösartiger Software"
7. Neustart

Wenn ich beide Tools getrennt voneinander ausgeführt habe, hat das Entfernen nicht geklappt. Ich vermute, dass das Removal Tool zuerst den Conficker Service beendet und dann erst der Wurm entfernt werden kann.

Mit freundlichem Gruß
Kuttengeier

HaBo Ads

xrayn · 26.07.10, 16:25

Ansonsten versuch es mal mit Rootkit Unhooker, damit kannste so ziemlich alles entfernen

GrafZahl · 26.07.10, 18:48

schau mal nach /var/log/messages ob da ggf. fehler der partition gemeldet werden ...

**lightsaver** · 26.07.10, 20:37

Zitat:

Zitat von xrayn

Ansonsten versuch es mal mit Rootkit Unhooker, damit kannste so ziemlich alles entfernen

Das dürfte nicht sehr viel bringen, da ein Windows-Rootkit unter Linux eh nicht laufen sollte.

r!ot · 26.07.10, 21:31

Ich bin mir jetzt nicht 100%ig sicher, aber ich glaube ihr schießt gerade mit Kanonen auf Spatzen.

Falls du unter Umständen mal mit dem RootkitRevealer von Sysinternals gearbeitet hast, ist es normal das dabei solche Dienste mit den entsprechenden exe-Dateien im Temp-Verzeichnis erstellt werden.

Falls das nicht der Fall ist, kann man evtl doch von einem Malware-Befall ausgehen.

sw33tlull4by · 27.07.10, 16:40

Hi!
Ja hab ich 1 oder 2 mal.
Vor 2 Wochen oder so,reine routine.
Habe mal die Dienste gelöscht, und neu gestartet.
Sind nicht mehr aufgetaucht.
Scheint wirklich am RKrevealer zu liegen.
Das Symatec-Programm zum entfernen von Conficker hat nichts gefunden,
Rkunhooker funktioniert bei mir nicht,
und das Programm "Malicious Software Removal Tool" von MS laeuft zZ noch
und braucht auch noch etwas,mache einen Intensivscann nur um sicherzugehen. Lasse euch wissen wie der Scann ausgeht.
Auf jeden Fall schon mal vielen dank für Eure Vorschläge.
mfg

sw33t

P.s.: Die Dateien welche ich in Temp nicht löschen konnte haben iw mit dem Dateisystem auf C:\ zu tun. Chkdisk hat sie neu angelegt.

//update:
War echt falscher Alarm.Aber danke nochmal.

Empfehlung

26.07.10, 09:08	#1 (permalink)
sw33tlull4by Senior Member Registriert seit: 12.06.07 Likes: 0	Hartnäckiger Malware-Befall Hi! Premiere! Nach langer Zeit hat sich mein WindowsOS wieder einen schnutpfen eingefangen. Bemerkt habe ich das nachdem zum wiederholten male,obwohl ich Linux nicht hochgefahren, und somit ein unsauberes Unmounten von den NTFS-Partition ausgeschlossen ist,chkdisk angesprungen war und windows lange brauchte um den login bereitzustellen,netzwerkkarte anzuwerfen etc. Ich habe 3 Services gefunden. 2 sind komischer weise von www.sysinternals.com signiert. Sie wurden als nicht laufend ausgegeben, als ich sie fand. Unter msconfig sah man GUZFLA und WMGVVJSJ beide zum start angemeldet,aber nicht laufend und im Serviceeditor von Windows gab es noch XKHKYTEY ebenfalls als nicht laufend ausgewiesen und zum manuellen start vorgesehen. GUZFLA und WMGVVJSJ suche ich gerade. Für XKHKYTEY wurde der Pfad C:\Users\sw33t\AppData\Local\Temp\ angegeben. Bis Googlesuche war erfolglos. Der Grund wiso ich hier schreibe ist folgender: Unter Windows fand ich im Temp-Verzeichniss die angegebene Exe nicht. Unter linux finde ich sie aber auch nicht, dafür bekomme ich wenn ich das gesamte Temp-Verzeichniss löschen will folgende Meldung: Code: ls: cannot access ~DF34D5F868F9F773B0.TMP: Input/output error ls: cannot access services.col: Input/output error ~DF34D5F868F9F773B0.TMP ~DFFCC7526AE7E17410.TMP services.col ----------------------------------------------------------- $ clamscan -r * WARNING: Can't access file ~DF34D5F868F9F773B0.TMP ~DF34D5F868F9F773B0.TMP: Input/output error WARNING: Can't access file services.col services.col: Input/output error ----------- SCAN SUMMARY ----------- Ich kann kein dd darauf ausführen nichts, file gibt die gleiche Fehlermeldung wieder,genauso wie clamscan. Wiso ist das so und funktioniert auch unter Linux? Und wie kriege ich die Dinger runter ohne neu installieren zu müssen, abgesehen davon das ich das sowiso mache. Linuxsystem ist sauber rkhunter chkrootkit und unhide haben nichts verdächtiges ausgegeben. Mfg sw33t __________________ Nur die Schwachen klammern sich an die Moral. Kill my daemons and my angels will follow them.

26.07.10, 18:48	#4 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 191	schau mal nach /var/log/messages ob da ggf. fehler der partition gemeldet werden ... __________________ Code: :(){ :\|:& };: Veritas Aequitas

27.07.10, 16:40	#7 (permalink)
sw33tlull4by Senior Member Themenstarter Registriert seit: 12.06.07 Likes: 0	Hi! Ja hab ich 1 oder 2 mal. Vor 2 Wochen oder so,reine routine. Habe mal die Dienste gelöscht, und neu gestartet. Sind nicht mehr aufgetaucht. Scheint wirklich am RKrevealer zu liegen. Das Symatec-Programm zum entfernen von Conficker hat nichts gefunden, Rkunhooker funktioniert bei mir nicht, und das Programm "Malicious Software Removal Tool" von MS laeuft zZ noch und braucht auch noch etwas,mache einen Intensivscann nur um sicherzugehen. Lasse euch wissen wie der Scann ausgeht. Auf jeden Fall schon mal vielen dank für Eure Vorschläge. mfg sw33t P.s.: Die Dateien welche ich in Temp nicht löschen konnte haben iw mit dem Dateisystem auf C:\ zu tun. Chkdisk hat sie neu angelegt. //update: War echt falscher Alarm.Aber danke nochmal. __________________ Nur die Schwachen klammern sich an die Moral. Kill my daemons and my angels will follow them. Geändert von sw33tlull4by (28.07.10 um 16:48 Uhr) Grund: Js war ausgeschaltet und die Formatierung nicht gut

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

26.07.10, 10:54	#2 (permalink)
Kuttengeier Registriert seit: 21.06.07 Likes: 3	Hi, in meiner Firma hatte ich ein ähnliches Problem. Die Services sehen aus, als wenn sie von Conficker angelegt wären. Im Internet gibt es Webseiten, mit denen du das Testen kannst. Auf den Webseiten sind Bilder hinterlegt. Einige können nicht angezeigt werden, da Conficker den Zugriff auf einige Antivirenserver unterbindet. Bei mir hat sich folgende Methode bewährt. 1. Download des Microsoft Security Bulletin MS08-0671 2. Installation des Patches 3. Download eines Conficker Removal Tools 4. Download des "Windows-Tools zum entfernen bösartiger Software" 5. Ausführen des Conficker Removal Tools 6. Ausführen des "Windows-Tools zum entfernen bösartiger Software" 7. Neustart Wenn ich beide Tools getrennt voneinander ausgeführt habe, hat das Entfernen nicht geklappt. Ich vermute, dass das Removal Tool zuerst den Conficker Service beendet und dann erst der Wurm entfernt werden kann. Mit freundlichem Gruß Kuttengeier

26.07.10, 16:25	#3 (permalink)
xrayn Member of Honour Registriert seit: 05.03.08 Likes: 185	Ansonsten versuch es mal mit Rootkit Unhooker, damit kannste so ziemlich alles entfernen

26.07.10, 21:31	#6 (permalink)
r!ot Registriert seit: 19.01.09 Likes: 0	Ich bin mir jetzt nicht 100%ig sicher, aber ich glaube ihr schießt gerade mit Kanonen auf Spatzen. Falls du unter Umständen mal mit dem RootkitRevealer von Sysinternals gearbeitet hast, ist es normal das dabei solche Dienste mit den entsprechenden exe-Dateien im Temp-Verzeichnis erstellt werden. Falls das nicht der Fall ist, kann man evtl doch von einem Malware-Befall ausgehen.


HaBo Ads HaBOT

[HaBo]

Hartnäckiger Malware-Befall