[HaBo]

proxy · 21.10.07, 17:51

Habe mal die Windows Services angeschaut, und da stehen ein Haufen Services drin, die allesamt auf

C:\DOCUME~1\admin\LOCALS~1\Temp\

verweisen. Unter anderem:

EMWV.exe
HZNVBEY.exe
JUJPIBMOA.exe
JZORXFEDDLL.exe

Insgesamt 10 Stück mit teilweise sehr kryptischen Namen und ohne Beschreibung. Startup Type "Manual". Im Autostart ist auch nichts davon.

Ich habe jetzt den Temp Ordner gelöscht, aber aus der Windows Service Liste kann ich die Teile nicht löschen. Was soll der Müll da und wie kommt er dahin?

**Mackz** · 21.10.07, 21:07

Zitat:

Original von proxy
Was soll der Müll da und wie kommt er dahin?

Kurze Antwort, du hast dir Malware eingefangen.
Wie man Malware fachgerecht entfernt, erfährst du über die Boardsuche oder Google.
Ein einfaches löschen der Dateien aus dem Temp-Verzeichnis wird dir jedenfalls wahrscheinlich nichts bringen, wenn das Zeug bereits in der Lage war deine Registry/Services zu kompromittieren.

Zitat:

Ich habe jetzt den Temp Ordner gelöscht, aber aus der Windows Service Liste kann ich die Teile nicht löschen

Zur Info, die Dienste findest du in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ und HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00<Nummer>\Ser vices\

... und dort kannst du sie löschen.

Anzeige

- Anzeige -

proxy · 21.10.07, 21:37

Danke für die Antwort.
Sieht in der Tat nach Malware aus, ich wundere mich nur, dass Spybot u.ä. Programme nie etwas gefunden haben und woher das kommt, da ich eigentlich sehr auf sowas achte.

Hier im Netzwerk ist ein zu 100% mit allem möglichen infizierter PC, kann es sich hierbei um einen Wurm handeln?

Dann habe ich noch eine grundsätzliche Frage:
Auf meinem Linux System läuft ein FTP Server, der aber nicht mit dem Internet verbunden ist (wenn ich Daten übertragen will, tue ich das über ein crossover Kabel).
Wie sicher ist das Linux System im lokalen Netzwerk, wenn es nur über den FTP Client erreichbar ist (Windows Netzwerkunterstützung, Jamba o.ä. ist nicht installiert)?

21.10.07, 21:50

Zitat:

Auf meinem Linux System läuft ein FTP Server, der aber nicht mit dem Internet verbunden ist (wenn ich Daten übertragen will, tue ich das über ein crossover Kabel).
Wie sicher ist das Linux System im lokalen Netzwerk, wenn es nur über den FTP Client erreichbar ist (Windows Netzwerkunterstützung, Jamba o.ä. ist nicht installiert)?

Kommt auf deine Netzwerkkonstellation drauf an:

Wenn der "verseuchte" PC in deinem LAN ist, wäre es für die Malware einfach deinen FTP Server zu "verseuchen": Sie braucht lediglich darauf zu warten, bis du dich mal auf dem FTP Server einloggst. Dann kann die Malware durch eine MITM-Attacke (Seit ich mich mit ARP Spoofing beschäftige, poste ich das jetzt in fast jeden Thread

) sämtliche Plaintext Protokolle in deinem LAN abfangen d.h. auslesen. Danach könnte sie sich ohne weiteres auf deinen FTP-Server einloggen und dort wüten. Abhilfe schaffen verschlüsselte Protokolle. SFTP z.B.

Das ist jetzt nur eine von vielen Möglichkeiten. Eine infizierter Rechern im LAN ist ziemlich gefährlich und du solltest dort ansetzten...

Ansonsten gibt es natürlich noch div. Exploits. Kommt dann halt auf die (FTP) Server Software an und was auf deinem Linux Server sonst noch für Server-Dienste laufen.

proxy · 21.10.07, 22:15

Auf dem Linux System laufen sonst keine Serverdienste. Das ist halt ganz normal zum arbeiten eingerichtet und als FTP Programm läuft vsftpd, was eigentlich als sehr sicher gilt.

Zitat:

Original von IsNull
Das ist jetzt nur eine von vielen Möglichkeiten. Eine infizierter Rechern im LAN ist ziemlich gefährlich und du solltest dort ansetzten...

Dazu müsste ich beim User anfangen, und der will sein System sicher nicht neu installieren, weil ihm das egal ist und er es auch nicht hinbekommen würde. Auch wenn ich das selber machen würde, sähe es nach einem Monat ohne Sicherheitsupdates usw.wieder so aus, das ist den Aufwand nicht wert.
Die einzige Möglichkeit wäre, dem Benutzer die Finger zu brechen, so dass er den PC nicht mehr bedienen kann...

**CDW** · 21.10.07, 23:54

Mit http://www.microsoft.com/germany/tec.../Autoruns.mspx dürften sich die Dienste "entfernen" lassen. Nur dass es wohl damit (wie schon mehrfach erwähnt) nicht getan ist. Sehr wahrscheinlich überwachen die sich gegenseitig.

Abgesicherter Modus und dann Entfernen bringt nur etwas, wenn der Malwareautor verpasst hat, sich im HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot
zu verewigen. Was man machen könnte, wäre eine BootCD, mit der man die Registry bearbeiten kann - und dann alle "komischen" Einträge sowohl aus "Services" wie "SafeBoot" entfernen (im Regedit auf "Datei->Struktur laden" gehen, um "fremde" Registryabschnitte zu laden). Da Du aber nicht weißt, welche es sind und ob es nicht noch mehr "versteckte" Autorun-Einträge gibt, wie z.B infizierte/ersetzte Systemfiles, ist es imho eher hoffnungslos. Auf lange Sicht wäre es schneller, das System neu aufzusetzen, zu konfigurieren, davon ein Image zu ziehen und es dann im Ernstfall wieder zurückzuspielen.
Ein Kompromiss wäre es, von einer BootCD aus die "System" Datei aus dem X:\WINDOWS\repair Ordner in den x:\WINDOWS\system32\config Ordner zu schieben. Dann sollten zumindest die Dienste und Treiber auf dem "Neuinstallationsniveau" sein. Man wird danach die Treiber neuinstallieren müssen und systemspezifische Sachen konfigurieren (k.A ob Netzwerkkonfiguration auch darunter fällt). Bleiben wiederum die Einträge im User-Bereich der Registry, in der sich die Malware verewigen könnte. Die kann man durch eine Kopie von "Software" aus dem Repair in den Config Ordner sowie Überschreiben der "NTUSER.DAT" im Benutzerprofil durch irgendeine Standarddatei (Defaultkonto X:\Dokumente und Einstellungen\Default User) vielleicht fixen. Danach ist aber Neuinstallation sämtlicher Programme sowie Desktop-Konfiguration fällig - und alles vielleicht umsonst, weil irgendeine Systemdatei ersetzt/infiziert wurde.

PS: ich glaube zwar nicht, dass ein Win-Wurm irgendwelche Linux-FTP-Dienst Exploits parat hält. Aber in Zeiten von komerzieller Malware sollte man diese nicht mehr unterschätzen.

proxy · 22.10.07, 01:02

Ich habe alle Einträge aus den von Mackz genannten Ordnern gelöscht (in Safeboot war nichts verdächtiges) und neu gestartet. Bei services.msc sind die Sachen nicht wieder aufgetaucht.
"Looks clear", ich denke mal das ist der beste Zustand den ich erreichen kann, solange sich der unsichere Computer im Netzwerk befindet.

Bevor ich hier anfange zu reparieren, würde ich eher irgendwann formatieren... schade drum, aber ist wohl die einzige saubere Lösung, wenn auch nur vorübergehend. Vielleicht teste ich dann mal Windows Vista.

Danke für die Hilfe.
Wenn noch jemand was hinzuzufügen hat oder genauere Informationen über die Art der Malware, immer her damit

PS: Es hat sich herausgestellt, dass diese Einträge wahrscheinlich von dem Tool Rootkit Revealer stammen

Anzeige

- Anzeige -

21.10.07, 17:51	#1 (permalink)
proxy Registriert seit: 02.10.07 Likes: 0	Services mit komischen Namen Anzeige Habe mal die Windows Services angeschaut, und da stehen ein Haufen Services drin, die allesamt auf C:\DOCUME~1\admin\LOCALS~1\Temp\ verweisen. Unter anderem: EMWV.exe HZNVBEY.exe JUJPIBMOA.exe JZORXFEDDLL.exe Insgesamt 10 Stück mit teilweise sehr kryptischen Namen und ohne Beschreibung. Startup Type "Manual". Im Autostart ist auch nichts davon. Ich habe jetzt den Temp Ordner gelöscht, aber aus der Windows Service Liste kann ich die Teile nicht löschen. Was soll der Müll da und wie kommt er dahin?

21.10.07, 23:54	#6 (permalink)
CDW Moderator Registriert seit: 20.07.05 Likes: 202	Mit http://www.microsoft.com/germany/tec.../Autoruns.mspx dürften sich die Dienste "entfernen" lassen. Nur dass es wohl damit (wie schon mehrfach erwähnt) nicht getan ist. Sehr wahrscheinlich überwachen die sich gegenseitig. Abgesicherter Modus und dann Entfernen bringt nur etwas, wenn der Malwareautor verpasst hat, sich im HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Sa feBoot zu verewigen. Was man machen könnte, wäre eine BootCD, mit der man die Registry bearbeiten kann - und dann alle "komischen" Einträge sowohl aus "Services" wie "SafeBoot" entfernen (im Regedit auf "Datei->Struktur laden" gehen, um "fremde" Registryabschnitte zu laden). Da Du aber nicht weißt, welche es sind und ob es nicht noch mehr "versteckte" Autorun-Einträge gibt, wie z.B infizierte/ersetzte Systemfiles, ist es imho eher hoffnungslos. Auf lange Sicht wäre es schneller, das System neu aufzusetzen, zu konfigurieren, davon ein Image zu ziehen und es dann im Ernstfall wieder zurückzuspielen. Ein Kompromiss wäre es, von einer BootCD aus die "System" Datei aus dem X:\WINDOWS\repair Ordner in den x:\WINDOWS\system32\config Ordner zu schieben. Dann sollten zumindest die Dienste und Treiber auf dem "Neuinstallationsniveau" sein. Man wird danach die Treiber neuinstallieren müssen und systemspezifische Sachen konfigurieren (k.A ob Netzwerkkonfiguration auch darunter fällt). Bleiben wiederum die Einträge im User-Bereich der Registry, in der sich die Malware verewigen könnte. Die kann man durch eine Kopie von "Software" aus dem Repair in den Config Ordner sowie Überschreiben der "NTUSER.DAT" im Benutzerprofil durch irgendeine Standarddatei (Defaultkonto X:\Dokumente und Einstellungen\Default User) vielleicht fixen. Danach ist aber Neuinstallation sämtlicher Programme sowie Desktop-Konfiguration fällig - und alles vielleicht umsonst, weil irgendeine Systemdatei ersetzt/infiziert wurde. PS: ich glaube zwar nicht, dass ein Win-Wurm irgendwelche Linux-FTP-Dienst Exploits parat hält. Aber in Zeiten von komerzieller Malware sollte man diese nicht mehr unterschätzen. __________________ Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf! Selig, wer nichts zu sagen hat und trotzdem schweigt.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Problem mit Windows Services for UNIX	kingminni	Windows	0	27.11.06 15:46
SYSTEM und SERVICES wollen www-Verbindung	TheNoOne	Die Problemzone	3	03.01.05 22:30
services.exe	Nitro78	Die Problemzone	1	08.08.04 10:54
tool für services	cara	Windows	3	02.04.04 16:35
IRC Services für Linux	antcool	Linux/UNIX	5	11.06.03 20:37

21.10.07, 21:37	#3 (permalink)
proxy Themenstarter Registriert seit: 02.10.07 Likes: 0	Danke für die Antwort. Sieht in der Tat nach Malware aus, ich wundere mich nur, dass Spybot u.ä. Programme nie etwas gefunden haben und woher das kommt, da ich eigentlich sehr auf sowas achte. Hier im Netzwerk ist ein zu 100% mit allem möglichen infizierter PC, kann es sich hierbei um einen Wurm handeln? Dann habe ich noch eine grundsätzliche Frage: Auf meinem Linux System läuft ein FTP Server, der aber nicht mit dem Internet verbunden ist (wenn ich Daten übertragen will, tue ich das über ein crossover Kabel). Wie sicher ist das Linux System im lokalen Netzwerk, wenn es nur über den FTP Client erreichbar ist (Windows Netzwerkunterstützung, Jamba o.ä. ist nicht installiert)?

22.10.07, 01:02	#7 (permalink)
proxy Themenstarter Registriert seit: 02.10.07 Likes: 0	Ich habe alle Einträge aus den von Mackz genannten Ordnern gelöscht (in Safeboot war nichts verdächtiges) und neu gestartet. Bei services.msc sind die Sachen nicht wieder aufgetaucht. "Looks clear", ich denke mal das ist der beste Zustand den ich erreichen kann, solange sich der unsichere Computer im Netzwerk befindet. Bevor ich hier anfange zu reparieren, würde ich eher irgendwann formatieren... schade drum, aber ist wohl die einzige saubere Lösung, wenn auch nur vorübergehend. Vielleicht teste ich dann mal Windows Vista. Danke für die Hilfe. Wenn noch jemand was hinzuzufügen hat oder genauere Informationen über die Art der Malware, immer her damit PS: Es hat sich herausgestellt, dass diese Einträge wahrscheinlich von dem Tool Rootkit Revealer stammen

[HaBo]

Services mit komischen Namen