glaubhauft??

Re(4): glaubhauft??

reVen — Thu, 20 Nov 2003 21:49:04 GMT

reply?? kommt nix :[

Re(3): glaubhauft??

reVen — Fri, 14 Nov 2003 16:41:54 GMT

windows version...hm...windows xp pro mit servicepack 1, hab einen router, anti virus hat was..^^

hab norton ant virus 2003, emailblocker --> fehler, auto detect --> aus (kann nimmer an machen)... bei system überprüfung findet er keine viren or else... hab schon updates gemacht (für norton)

nichts besser geworden...mein windows media player geht auch, kommt ein fehler sound (windows default sound) wenn ich ihn starten will, irc kann nichtmehr connecten, irc account war weg(bzw ist weg) naja, ...

kann ich etwas am pc haben??

Re(2): glaubhauft??

Tom@33 — Fri, 14 Nov 2003 16:33:14 GMT

Der Text, den du auf deinem Rechner "bekommen" hast ALLEIN ist noch kein Anzeichen, daß du auch wirklich einen Trojaner hast!

Solche Texte kann man einspielen indem man Schwachstellen im browser oder generell von Windows ausnutzt.

Welche WIndows-version hast du?

Vorgehensweise:
Firewall installieren und/oder Hardwarefirewall (Router) kaufen
Virenscanner installieren und IMMER aktuell halten

Das, was dir in dem Text "geraten" wird ist imho schmafu

Re: glaubhauft??

reVen — Fri, 14 Nov 2003 16:22:30 GMT

Nun der autostart eintrag:
Start -> Ausführen -> regedit
Dies ist der Windows Registrierungseditor,
alle Schlüssel sind hier in einer Baumstruktur angeordnet.
Klick dich bis hier hin durch.
HKEY_LOCAL_MACHINE
           Software
                    Microsoft
                            Windows
                                    CurrentVersion
                                          Run

Wenn du den "run" ordner angeklickt hast siehst auf
der rechten Seite jede menge Zeugs.
Irgendwo da drinne steht eine Zeile die in etwa so aussieht:

I-Services      "C:\Windows\System32\Os2\svchost.exe"

Diese (und nur diese) Zeile musst du löschen.

----- Media Player Abschnitt, nur für die Version mit Totenkopf icon -----
Da es sich allerdings bei dir installiert hatte indem
es den Windows Media Player im Programme Order überschrieben hat,
musst du diesen eventuell auch löschen wenn er nicht von
windows automatisch wiederhergestellt wurde.

Der original MediaPlayer von WinXP (wmplayer.exe)
ist ca. 508kb groß. Ist die Datei dort deutlich kleiner
ist es vermutlich die Backdoor. Es sei denn du hast den
Media Player 9 installiert, der ist nur 72kb.
Wenn das Teil so ein schwarzes Icon hat ist der Fall eh klar,
wenn nicht:
Um sicherzugehen kannst du das recht einfach testen:
Start das Ding. Geht der Media Player auf hast du Glück gehabt.
Geht er nicht auf musst du die Anleitung nochmal durchgehen
weil du wieder infiziert bist, und danach auch den Media Player
löschen.
Auf mehrfache Nachfrage: NUR die .exe, nicht das Verzeichnis !

Eventuell funkt auch die WinXP Systemwiederherstellung dazwischen
und stellt die Backdoor wieder her, die musst du falls das der Fall
ist vorher abschalten.

Viele der user meinten dass sie weiterhin den infizierten Link
verschickt haben. Anscheinend wurde noch ein script in euerem mirc
ordner abgelegt.
Datei müsste "worm.txt" heissen, und ganz unten in der mirc.ini
müsste ein Eintrag damit sein.
Beides entfernen (also nicht die mirc.ini, sondern den einen eintrag).
Ausführliche info hier: http://www.eggdrop.ch/texts/ircwurm/index.htm

Da du dir das Teil per Internet Explorer eingefangen hast,
und das beim klicken auf einen Link wieder passieren kann:
Hier mal ein sicherer Browser (ja, kostenlos, spywarefrei etc ist er auch):
http://www.mozilla.org/projects/firebird

----- Ende vom Media Player Abschnitt ---------------------------

Hier noch nen gratis Antivirus Proggi, die sind inzwischen so
weit sind dass sie das Teil erkennen, die aktuelle Version der Backdoor
sollte mit dem Update das am Freitagabend oder Samstag rauskommt erkannt werden:
http://www.free-av.de/
Es macht allgemein diesen Virenscanner durchlaufen zu lassen
da viele mit mehr als nur diesem einen infiziert sind.

Hier noch nen topic zum thema (irgendwo mittendrin isses auch deutsch):
http://www.quakenet.org/phpBB2/viewtopic.php?t=4115

Weitere Fragen:
Falls du gerade auf irc.quakenet.org bist: /join #hilfe.zur.selbsthilfe
Da sammel ich (ex)infizierte damit die sich gegenseitig helfen können.
Falls das gerade nicht der Fall ist: Mail an: drones.20.chromix@spamgourmet.com

So... ich hoffe das hat geholfen.

Achja, C:\drone.txt kannst du auch löschen wenn du sie nicht mehr brauchst,

------------ende--------

musste 2 posts machen, wegen der maximal länge von 6000 zeichen^^
ist dieser Text

glaubhauft??

reVen — Fri, 14 Nov 2003 16:21:56 GMT

wie ich den pc eingeschlatet habe, öffnet sich der editor (von alleine^^) mit folgeldem text...

------------------ANFANG---------------------

Du siehst das hier, weil auf deinem PC eine Hintertür installiert wurde.
Die hast du dir irgendwie auf deinen Rechner geholt als
du auf einen ominösen Link (/rofl.txt, rofllogs/morgenlatte.jpg, http://www.lachschon -bilder oder p2p-sms )
geklickt hast.

Du fragst dich jetzt sicher wie der Text hier auf deinen Rechner kommt...
ich habe einen kleinen Designfehler im dem Ding ausgenutzt
um dir so zu helfen.

Erster Schritt: Internetverbindung trennen !!!
Nur so kannst du vorerst sicher sein.

Nun der erste Versuch einer Anleitung den zu entfernen...
Falls irgendetwas hier unverständlich ist / nicht funktioniert
bitte Rückmeldung an Kontaktinfo (siehe unten) damit ich den Text
hier aktualisieren kann.

Und so gehts los:

Da du den Taskmanager nicht mehr aufbekommst musst du einen alternativen
runterladen.
Falls du keine Lust dazu hast: Windows im "Abgesicherten Modus"
neustarten (beim start auf F8 rumdrücken) und dann diesen Abschnitt überspringen.

Link: http://www.sysinternals.com/ntw2k/freeware/procexp.shtml
DL link ist ganz unten auf der seite...
Den entpacken (irgendwohin wo platz ist) und starten.

Auf den "process" header klicken um alle nach name zu sortieren.
"svchost.exe" suche, sollte mindestens 3x da sein.
Ein paar davon sind die "echten", also nen wichtiger Systemprozess, nicht anfassen.
Und einer davon ist die Backdoor.
Rechts auf "Path" schauen. System32\svchost.exe ist der echte.
System32\Os2\svchost.exe ist die backdoor die nur 1x da ist.
Rechtsklick drauf, und "suspend" auswählen.

Nun ist bei einigen noch eine "nav.exe" (nein, nicht EUER norton anti virus)
Da auch rechtklick drauf und "suspend".

Nachdem nun alle suspended sind nochmal rechtsklick die 2 drauf und "kill".

Die svchost.exe ist übrigens NICHT die die für das System
wichtig ist. Das Ding nennt sich nur so.
Fragt einfach wen der sich damit auskennt. Der kann euch sagen
dass in DIESES Verzeichnis (os2) keine Datei mit dem Namen gehört.

Nun da das Ding beendet ist kannst du es löschen:
In das Verzeichnis vom Path gehen, also z.B.
C:\Windows\System32\Os2\
Dort findest du deine svchost.exe die so ein schwarzes
Totenkopf icon (oder in der neueren Version auch ein "zip" icon) hat.
Diese löschen, dann bist du das Ding auch schon fast los.
Die "nav.exe" kannst du dabei auch gleich entfernen wenn sie da ist.

------------------ENDE teil 1---------------------

ist das glaubwürdig?? ich habs noch nicht ausprobiert.... was haltet ihr davon?