svxhost.exe und wincfg.exe / kompromittierte System neu aufsetzen? |
|
---|---|
23.08.2004, 17:38
...neu hier
Beiträge: 1 |
|
|
|
23.08.2004, 20:47
Member
Beiträge: 441 |
#2
Zitat svxhost.exe und wincfg.exe;wo ich nicht weiß was die machen bzw. für was die gut sind!Diese beiden Prozesse sind aktive Backdoor Trojaner. Dein System ist kompromittiert, es ist nicht mehr vertrauenswürdig für dich, daraus resultiert: Neuaufsetzen deines Systems! Alles andere ist reine Spekulation! http://oschad.de/wiki/index.php/Kompromittierung http://faq.underflow.de/#SECTION000120000000000000000 svxhost.exe => W32/Rbot-CT Zitat W32/Rbot-CT ist ein Wurm, der versucht, sich auf remote Netzwerkfreigaben zu verbreiten. Er verfügt außerdem über Backdoor-Funktionalität, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglicht, während er als Dienstprozess im Hintergrund aktiv ist.http://www.sophos.de/virusinfo/analyses/w32rbotct.html wincfg.exe => W32/Agobot-KP Zitat W32/Agobot-KP ist ein IRC-Backdoortrojaner und ein Netzwerkwurm.http://www.sophos.de/virusinfo/analyses/w32agobotkp.html Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 23.08.2004 um 20:49 Uhr von Cidre editiert.
|
|
|
23.08.2004, 21:22
Member
Beiträge: 1095 |
#3
@Cidre
Also ich bin dagegen wegen eines popligen "Bots" immer das System neu aufzuspielen . Natürlich ist das die Sicherste Methode aber wegen einem popligen Trojaner. UND man sollte sich deine 9 punkte zu Herzen nehmen Ich empfehle Rechner säubern und alle Passwörter danach änderen. Säubern: Lade dir Escan http://www.rokop-security.de/board/index.php?showtopic=3867 Installieren und updaten wie beschrieben Eigenen Virenscanner updaten Geh bitte in den Abgesichteren Modus http://www.bsi.de/av/texte/winsave.htm AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing) O4 - HKLM\..\Run: [Win32 Config] wincfg.exe O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe O4 - HKLM\..\RunServices: [Win32 Config] wincfg.exe O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe Dann mit EScan scannen wie oben angegeben Dann mit eigenem Virenscanner alle Platten scannen Das dauert eine Weile Dann normalen Neustart machen und nochmal HiJackThis Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
23.08.2004, 23:04
Member
Beiträge: 441 |
#4
Hi paff,
Zitat Also ich bin dagegen wegen eines popligen "Bots" immer das System neu aufzuspielen . Natürlich ist das die Sicherste Methode aber wegen einem popligen Trojaner.Das sehe ich anders. Dir traue ich es zu, mittels Prüfsummen oder digitale Signaturen das kompromittierte System zu überprüfen und zu bereinigen, aber der Normal-User ist dieser Situation nicht gewachsen, also kommt nur ein Neuaufzusetzen seines System in Frage um wieder einen sicheren und vertrauenswürdigen Zustand zu erhalten. Eine weitere Möglichkeit wäre, mittels TCPView gegenzuprüfen welche Verbindungen bei einer aktiven Online Sitzung aufgebaut werden, aber das hab ich hier noch nicht gesehen. Weitere Vorgehensweise: http://cert.uni-stuttgart.de/os/ms/windows-intruder-detection.php Und so poplig scheinen diese Backdoor Trojaner nicht zu sein, wenn sie eure viel gerühmte Sicherheitssoftware abschalten. Denke bloß an => - Online-Banking - Ebay - Online-Shoppen - Bewerbungen, Kreditkartennummern, - vertrauliche Dokumente und Emails - Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails) - Server für abgelegte Daten wie z.B. Kinderpornografie usw. - DDOS-Attacken usw. usw. Ich für meinen Teil kann den TO nicht garantieren welche Dateien manipuliert, welche Backdoors geöffnet, welche Passwörter ausgespäht usw usw wurden und du auch nicht, zumindest nicht per Ferndiagnose. Daher werde ich mich an diesen Spekulation nicht beteiligen! Du trägst als Helfender gegenüber den Hilfesuchenden eine große Verantwortung, das sollte dir schon bewußt sein. Was ist wenn der Hilfesuchende aufgrund deiner Einschätzung wirklich geschädigt wird? Kannst du das verantworten? Es wird hier immer fleißig geholfen, das ist auch lobenswert , aber - der TO wird nicht oder ganz selten über die Gefahren bzw. sein Problem aufgeklärt - es werden Symptome bekämpft, aber nicht die Ursache - der TO wird in Scheinsicherheit gewogen Meine Empfehlung bei Kompromittierung durch Backdoor Trojaner wird immer lauten: Neuaufsetzen des Systems. Im übrigen steh ich mit dieser Empfehlung nicht allein => Microsoft, Cert und anerkannte Sicherheitsexperten empfehlen dies. Ob der Hilfesuchende es dann tatsächlich umsetzt, das bleibt natürlich ihm überlassen bzw. muß er für sich selbst entscheiden. Ps. Was der Wunsch einiger Users angeht bei Kompromittierung nicht zu formatieren, dann muß er im Vorfeld versuchen sein System zu verstehen und dementsprechend absichern oder eben mit den Konsequenzen leben. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 23.08.2004 um 23:04 Uhr von Cidre editiert.
|
|
|
23.08.2004, 23:36
Member
Beiträge: 1095 |
#5
Zitat Und so poplig scheinen diese Backdoor Trojaner nicht zu sein, wenn sie eure viel gerühmte Sicherheitssoftware abschalten.Welche Sicherheitssoftware hab ich den "vielgerühmt"? Zitat Was der Wunsch einiger Users angeht bei Kompromittierung nicht zu formatieren, dann muß er im Vorfeld versuchen sein System zu verstehen und dementsprechend absichern oder eben mit den Konsequenzen leben.Hier kommen wir der Sache schon näher. Genau das ist es. Nur haben wir's hier mit schon kompromittierten Systeme zu tun. Hier kommen Leute her, die gerade mal den Mausführerschein haben. Denen kannst du 20 mal erzählen System neu aufsetzen, die wissen nichtmal was das ist. Das ist kein Vorwurf, sondern eine Feststellung. Und wenn Sie's neu aufsetzen erwischt, Sie sowieso beim ersten Surfen wieder was, weil keine SP's drauf sind. Dann lieber ein System gut reinigen und auf vorhandenen Secruity-Sachen aufbauen. Außerdem kann in diesem Fall gut sein, das der AntiVir den Bot schon erwischt hat und nur noch die Einträge in der Registry vorhanden sind. Dafür formatieren. NEIN. Mit BackUp machen, Hälfte der Daten vergessen, SP's aufspielen für ungeübte 1 1/2 Tage Arbeit. Dann ist jeder Benutzer von Computern die Hälfte der Zeit mit Neuaufspielen Beschäftigt. Und das Bloß weil ein paar Scriptkiddies einen Bot zusammengeklickt haben, von dem niemand weiß ob er wirklich gefährlich ist. Nein........................ Was ist ein TO? TrojanerOpfer? Gruß paff P.S.Hannsi Das alles hat nichts mit dir zu tun, ist nur ein Meinungsaustausch mit Cidre __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 23.08.2004 um 23:43 Uhr von paff editiert.
|
|
|
24.08.2004, 00:40
Member
Beiträge: 441 |
#6
Zitat Welche Sicherheitssoftware hab ich den "vielgerühmt"?Das hab ich verallgemeinert, war nicht auf dich speziell bezogen. Zitat Hier kommen Leute her, die gerade mal den Mausführerschein haben.Das ist richtig und sehe ich selbst jeden Tag. Gerade dann sollte man sie aber diesbezüglich erst recht aufklären. Da sind wir wieder beim Thema Verantwortung. Allerdings sollten wir dann die TO´s =ThreadOpener=Themenersteller zur Eigenverantwortung und Eigeninitiative bringen und dementsprechend Links posten, daß sie es nachlesen können. Zitat Denen kannst du 20 mal erzählen System neu aufsetzen, die wissen nichtmal was das ist. Das ist kein Vorwurf, sondern eine Feststellung.Dafür poste ich Links mit bebilderten Anleitungen extra DAU-freundlich (ich benutzte dieses Wort ungern). Wenn dann derjenige immer noch nicht durchblickt, dann sollte er besser den Netzstecker ziehen und seinen PC verkaufen. Zitat Und wenn Sie's neu aufsetzen erwischt, Sie sowieso beim ersten Surfen wieder was, weil keine SP's drauf sind. Dann lieber ein System gut reinigen und auf vorhandenen Secruity-Sachen aufbauen.In einem sind wir uns einig: Es gibt keine 100% Sicherheit! Aber wenn der TO meine Punkte abarbeitet, sein Hirn benutzt und zeitnahes aufspielen diverser Sicherheitspatches nicht nur für Windows auch für andere Software, dann ist er sehr gut geschützt. Wenn du mit Security Sachen Antivirenscanner meinst, dann weißt du ja, daß du immer unterlegen bist. Damit die Malware erkannt wird, vergehen in der Regel 1 bis 12 Stunden. Über eine Desktop Firewall brauchen wir eh nicht reden. Zitat Außerdem kann in diesem Fall gut sein, das der AntiVir den Bot schon erwischt hat und nur noch die Einträge in der Registry vorhanden sind.Merkst du was, du spekulierst. Wenn das der Fall wäre, dann wäre der Prozess nicht aktiv bzw. Autostart Eintrag würde (file missing) aufweisen. Zitat Mit BackUp machen, Hälfte der Daten vergessen, SP's aufspielen für ungeübte 1 1/2 Tage Arbeit.Schadet doch nicht! Der TO lernt was über sein System, beschäftigt sich damit und lernt einen verantwortungsvolleren Umgang für die Zukunft. Er muß sich vor Augen halten, daß er nicht allein im I-net ist, sondern ein Teil, sowie du und ich, eines riesigen Netzwerkes ist. Zitat Und das Bloß weil ein paar Scriptkiddies einen Bot zusammengeklickt haben, von dem niemand weiß ob er wirklich gefährlich ist.Gerade da sehe ich die größste Gefahr, die modifizierten Würmer mit Backdoor Funktionalität, die diese Scriptkiddies mit frei erhältlichen Kits zusammen basteln. Denn sie wissen nicht was sie tun..... Zitat Du trägst als Helfender gegenüber den Hilfesuchenden eine große Verantwortung, das sollte dir schon bewußt sein.Diese Frage hast du noch nciht beantwortet. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
24.08.2004, 01:28
Member
Beiträge: 1095 |
#7
Zitat TO = ThreadOpener. Da bin ich nicht draufgekommen MIST Wie war das in der alten chinesischen Wahrheit. Wenn du einem das Leben rettest, bist du für den Rest seines Lebens für ihn verantwortlich. Ich kann's verantworten. In diesem Forum wurde sovielen Leuten Leuten geholfen da können oder müssen sogar manchmal Leute durch den "Rost" fallen. Ich hab hier von Leuten gelesen ,die haben alle Einträge in HJT gefixt. Natürlich aus Unwissenheit nicht weils jemand geraten hat. Und was ist passiert, nichts. Rechner läuft. Soviel zum Kaputtmachen Aus den paar Angaben die man hier bekommt, kann man garnicht abschätzen ob manche Tools / Scanner Schaden anrichten. Aber Sie richten sicher nicht mehr Schaden an, als eine Formatierung bei der die Hälfte der Daten nicht gesichert wurden oder die von einem Unkunduigen gemacht wurde. Sieh es so, es postet einer Neuer ein Problem. Du siehts sein Log und sche..se 20 HiJacker Dem kannst du viele Punkte aufzählen, was er besser machen kann und das Neuformatieren wichtig wäre. Der ließt das, denkt sich , ach schau ich mal in ein anderes Forum. Vielleciht haben die noch ne Idee. Der kommt nie wieder. Da helf ich lieber demjenigen, der Merkt sich das, ihn interessierts vielleicht sogar. Dann besucht der das Forum immer wieder und lernt so auch mal ein bißchen Security. Spätestens wenn er den 5.ten HiJacker hatte. Das soll jetzt nicht heißen das ich die Leute unbedingt in diesem Forum halten will. Nicht falschverstehen. Ich schreib hier nur Das mach ich auf rokop-security.de oder trojaner-info.de genauso. .. deiner Einschätzung wirklich geschädigt wird? Kannst du das verantworten.. Nochmal zur Schädigung. Was kann passieren. Fixen in HJT -> ungefährlich Außer O10 Einträge (wegen InetZugang) Scannen mit EScan/Virenscanner. -> Kann wichtige Dateien löschen, aber eher unwahrscheinlich. Ich lass niemanden die Heuristik hochdrehen Mehr mach ich eigentlich nicht. Wenn's dann jemand die Kiste , die ja deiner Meinung nach eh schon formattierungswürdig war, zerlegt. Na und, er muß ja eh Formattieren Es hat aber noch keinem die Kiste zerlegt soweit ich's mitgekriegt habe. So genug, es ist 01:25 Lass uns den Dialog aber fortsetzen, ich glaube die Lösung liegt wohl irgendwo zwischen unseren beiden Polen. Gruß und gute Nacht paff P.S. Gutes Wort im anderen Thread "Es dient alles der Sache" Das sollten wir zu unserem Motto machen __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
24.08.2004, 01:45
Member
Beiträge: 441 |
#8
Zitat Gruß und gute NachtGute Nacht, werd mich morgen wieder einklinken. Gruß __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
24.08.2004, 09:20
Member
Beiträge: 1095 |
#9
Gut dann schreib ich noch was damit du dann wieder was schreiben kannst .
Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
24.08.2004, 10:20
Member
Beiträge: 38 |
#10
Hallo,
interessante Diskussion, die ich als Newbie hier auch nicht nachdrücklich stören möchte. Mir stellt sich lediglich folgende grundsätzliche Frage: Was will man mit Foren wie diesem wirklich erreichen? Oder provokant formuliert: Geht es darum, möglichst viele HJT-Puzzles zu lösen oder geht es darum, dem Hilfesuchenden möglichst objektiv zu helfen? Wer die Erfüllung in der 1. Alternative sieht, wird nach dem obligatorischen "Fix mal dies und das"-Beitrag einen zunächst zufriedenen User zurücklassen, der jedoch schlimmstenfalls nichts dazugelernt hat und bald mit dem nächsten Befall auf der Matte steht - abgesehen davon, dass gerade bei einem Bot-Befall die Gefahr besteht, dass nur Symptome kuriert werden. Das Selbstverständnis der 2. Alternative ist. m.E. anspruchsvoller. Zu einer wirklichen Hilfe gehört 1. möglichst umfassend auf den akuten Befall zu reagieren und 2. Prophylaxe zu betreiben, damit der User gerade nicht wiederkommen muss. Wenn sich ein "popliger Trojaner" findet, gibt es nur eine objektiv richtige Reaktion und zwar das Neuaufsetzen des Systems. Die Gründe hat Cidre bereits genannt, die Gegenargumente überzeugen mich nicht: Den "Popeligkeitsgrad" kann man nicht abschätzen, da man in aller Regel nicht weiß, inwieweit das System bereits korrumpiert wurde. Die unbestreitbare Tatsache, dass es für einen Betroffenen mühselig sein kann, das System neu aufzusetzen, ändert nichts an der Richtigkeit dieses Schritts. Wenn der Betroffene dann meint, in einem anderen Forum nach einer bequemeren, aber schlechteren Lösung suchen zu müssen, dann ist das seine Sache. Auch für Punkt 2: Prophylaxe ist das Neuaufsetzen hilfreich. Was Paff damit meint, es sei sinnvoller, nach einer gründlichen Reinigung "auf vorhandene Security-Sachen aufzubauen" habe ich nicht verstanden. Der Umstand, dass der Hilfesuchende überhaupt hier ist, zeigt doch, dass die "vorhandenen Security-Sachen" gerade nicht ausreichten. Die beste Vorbeugung besteht darin, dass man dazulernt, zumindest im Ansatz die Funktionsweise der Schädlinge erkennt und ein Sicherheitskonzept entwickelt. Das kann auch ein Anfänger, wenn man ihm die entsprechenden Hilfestellungen gibt (s. die obligatorischen Tipps von Cidre). Ein bereits kompromittiertes System zuverlässig zu reparieren ist viel schwieriger. Denn, wie Paff richtig sagt, niemand weiß, ob z. B. der Bot wirklich gefährlich ist |
|
|
24.08.2004, 18:45
Member
Beiträge: 441 |
#11
@ MobyDuck
Zitat die ich als Newbie hier auch nicht nachdrücklich stören möchteDu und Newbie, jetzt wäre ich beinahe vom Stuhl geflogen, vor lauter Lachen. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
24.08.2004, 19:33
Member
Beiträge: 1095 |
#12
@MobyDuck
Nicht das hier ein falscher Eindruck entsteht. Ich bin nicht hier um viele HJT Puzzels zu lösen. Ich will den Leuten helfen, aber auch mit vernüftigen Einsatz der Mittel. Wenn ich mal Cidres Meinung geht, muß jeder der Hier ein Log postet und man entdeckt man einen Virus/Trojaner/Malware/HiJacker sofort formatieren. Weil das System ist kompromittiert sobald, ein Stückchen "böser" Code gelaufen ist. Also egal ob DLL-Injection, Exe im autostart. Sofort ist basta. Das kann's doch nicht sein. Außerdem kann man nur was neues entdecken wenn man die TO's mal alles Säubern läßt und schaut ob wirklich alles weg ist. Wenn ich gleich Formatiere werde ich nie neue HiJacker erkennen !! Dann können wir das HiJackerForum zumachen und nur kurz aus Log schauen und sagen Formatiere. Dadurch lernt niemand was. Ich seh's wirklich nicht ein vor diesen Malware/Bot usw. schreibern zu kapitulieren Zu deiner Ausgangsfrage: Worum gehts bei diesem Forum? 1. Leuten helfen Ich kann Leuten helfen ihren Rechner zu säubern. Wenn Sie interessiert sind kann man Tipps geben wie sich spätere Infektionen Vermeiden lassen. Prob1: Viele Leute wollen oder können nicht Windowsupdate machen. Da ist dann Hopfen und Malz verloren und es hilft auch kein Formatieren. Cidre hatte da letzt einen Kandidaten Prob2: Die Menge die hier an HJT gepostet wird. Vorallem auch noch wild durcheinander. Da muß du Prob3: Pseudo- Wisser Denen kannst du dann viel erzäheln, die tun so als kapieren Sie alles und machen dann einfach nichts. Außerdem , schreib jemanden mehr als 10-15 Zeilen Text, dann 50% schalten ab. 2. Neue HiJacker Ich find's spannend wenn dann mal Leute mit Prob kommen die sich nicht einfach lösen lassen. Denen kann ich auch sagen, Formatiere Aber eine Lösung für andere hab ich dann auch nicht. So 2 Halbzeit im Handball Bis nachher : Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 24.08.2004 um 21:52 Uhr von paff editiert.
|
|
|
24.08.2004, 20:25
Member
Beiträge: 441 |
#13
@ paff
Ich glaube, daß du meine Posts weder hier noch in anderen Foren nicht richtig liest oder einfach nur falsch interpretierst. Zitat Wenn ich mal Cidres Meinung geht, muß jeder der Hier ein Log postet und man entdeckt man einen Virus/Trojaner/Malware/HiJacker sofort formatieren.Du redest am Thema vorbei. Du verallgemeinerst das jetzt und kannst dies mit Sicherheit nicht belegen! Ich habe nie, diese Empfehlung abgegeben wenn ein System mit einen Browser Hijacker infiziert worden ist, da hier die Verhältnismäßigkeit nicht gegeben ist. Auch nicht bei sonstiger Ad-/Spy- oder Foistware. Für mich ist die Art der Kompromittierung bzw. deren Gefährlichkeit wichtig und das sollte gegenüber den TO erläutert werden! Wir reden hier über Backdoor Trojaner und sonst nichts anderes und da lautet meine Empfehlung: Neuaufsetzen! Zitat Das kann's doch nicht sein.Unsinnig, siehe oben! Was und wie willst du den analysieren, wenn du nicht vor Ort bist. Per Ferndiagnose, ein schwieriges Unterfangen. by the way. Bei einen HiJacker ist der Infektionsweg klar: - Unsicherheitsbrowser IE in Kombination mit falscher oder fehlender Konfiguration. Zitat 1. Leuten helfenDas bestreitet ja auch niemand, aber diese Tipps sollten nicht erst erfolgen, wenn jemand speziell danach fragt. Hilfe sollte so aussehen: Erläuterung des Problems -> Abwägung bzw. persönliche Einschätzung -> Symptome bekämpfen -> Ursache beseitigen Wie gesagt wir, weil wir uns auskennen bzw. jeden Tag damit beschäftigen, übernehmen Verantwortung gegenüber den TO´s. Zitat Prob1: Viele Leute wollen oder können nicht Windowsupdate machen.Das Problem wurde kurzzeitig mit aufspielen des SP2 von der Heft CD (Compterbild) behoben und ist bis zum Anfang September derweil auf Eis gelegt (Diplomarbeit). Zitat Prob3: Pseudo- WisserDas trifft in einigen Fällen zu, aber dies kannst du nicht verallgemeinern. Man merkt sehr wohl ob jemand was verstanden hat oder nicht. by the way: Postest du dann nur das, was die Leute hören wollen oder vertrittst du deine Prinzipien. Sollte ersteres zutreffen, dann wäre es reine Zeitverschwendung und du würdest dich selbst belügen, da du es besser weißt. Damit ist keinem geholfen. Zitat 2. Neue HiJackerMit den Hijacker stimme ich dir zu, aber um es nochmal klarzustellen: Es geht in diesen Thread um Backdoors! by the way: Das Problem mit den wiederkehrenden Hijacker bei virus-infected hast du gut gelöst. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 24.08.2004 um 20:28 Uhr von Cidre editiert.
|
|
|
24.08.2004, 21:11
Member
Beiträge: 1095 |
#14
@Cidre
Wir bauen zuviel Streitpunkte auf. Eigentlich will ich mich nicht streiten. Anstatt dies zu tun, sollen wir villeicht festlegen, wann formatiert werden sollte und wann nicht. Mein Problem ist villeicht das ich nie selbst formatieren würde, wegen eines "popligen" oder hartnäckigen Trojaners. Das wäre ein Eingeständnis der Überlegenheit des Angreifers. Außerdem traue ich mir nicht zu, jemandem der keine Ahnung hat, blind zu erklären, wie er seine Rechner neu Aufzusetzen hat. Vorallem bei unerfahrenen Usern. Bleibt das Problem der Unmengen von HiJackThises Nicht nur hier es gibt auch noch die Englischen Boards Nachtrag: Zähl du mal die Vorteile der Formatierung auf, ich mach dann die Vorteile der "Nicht Formatierung". Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 24.08.2004 um 21:13 Uhr von paff editiert.
|
|
|
24.08.2004, 21:59
Member
Beiträge: 38 |
#15
@ Paff
soweit du mich angesprochen hast: Zunächst ist klarzustellen, dass ich dich nicht persönlich kritisieren wollte. Mir geht es um die grundsätzliche Frage, was zu tun ist, wenn ein Backdoor Troj auf dem System ist. > Dann können wir das HiJackerForum zumachen und nur kurz aus Log schauen und sagen Formatiere Nö, es bleiben genug Fälle übrig, bei denen kein Trojaner entdeckt wird. > Ich seh's wirklich nicht ein vor diesen Malware/Bot usw. schreibern zu kapitulieren Du kapitulierst, wenn du nur an Symptomen rumdockterst und die Ursache entweder nicht erkennst oder nicht beseitigst. In deiner Einschätzung der Malware-Autoren schimmert so ein wenig Geringschätzung durch, so nach dem Motto "vor diesen Script-Kiddies kapituliere ich doch nicht". Vor dieser Fehleinschätzung möchte ich warnen. Natürlich gibt es die Kiddies, die sich ihren Bot zusammenklicken, wobei man gerade wegen der Unberechenbarkeit dieser Versuche die Gefährlichkeit nicht einfach abtun kann. Du mußt aber sehen, dass die Entwicklung von Malware immer mehr zu einem knallharten Geschäft wird, an dem Profis beteiligt sind, die mehr von der Materie verstehen als uns lieb sein kann. Zu deinem letzten Beitrag: > Zähl du mal die Vorteile der Formatierung auf, ich mach dann die Vorteile der "Nicht Formatierung". Das ist ein sinnloses Unterfangen. Wenn ein Trojaner auf dem System ist und Anhaltspunkte bestehen, dass er ausgeführt wurde, gibt es nunmal nur eine saubere Lösung. Man kann auch einem unerfahrenen User erklären, wie er sein System formatieren und sicher aufsetzen kann. So schwierig ist das nun auch wieder nicht. Und - das ist meine persönliche Meinung - schadet auch ein wenig Erziehung nichts. Wenn der Betroffene z.b. nach einem Trojaner-Befall formatieren muss, lernt er by doing. Dieser Beitrag wurde am 24.08.2004 um 22:07 Uhr von MobyDuck editiert.
|
|
|
Ich hoffe ihr könnt mir helfen!
Logfile of HijackThis v1.98.2
Scan saved at 17:01:37, on 23.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wincfg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\ICQLite\ICQLite.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
C:\Dokumente und Einstellungen\Hanns-Peter\Eigene Dateien\download\HijackThis.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PinnacleDriverCheck] c:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [PinnacleRemote] c:\Programme\Pinnacle\Shared Files\remoterm.exe
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win32 Config] wincfg.exe
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Win32 Config] wincfg.exe
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{09E46E7E-A951-45D7-80F1-C3B833A6F6F4}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{47B16DD4-ECE7-40CD-9739-425A88C876F2}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC3CE2AC-00E9-4125-95B3-9BBD5BA5E132}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{09E46E7E-A951-45D7-80F1-C3B833A6F6F4}: NameServer = 217.237.150.33 194.25.2.129