Neue Festplatte -> istbar, sidefind, VX2, Powerscan |
||
---|---|---|
#0
| ||
06.09.2004, 19:23
...neu hier
Beiträge: 2 |
||
|
||
06.09.2004, 19:42
Member
Beiträge: 441 |
#2
Hallo,
Zitat Vllt wäre es auch von Nöten, oder einfacher wieder einmal zu formatieren. Was sollte ich dann zuerst machen? Bestimmte Software runterladen? WindowsUpdates? :/Das sicherste wäre ein Neuaufsetzen (formatieren + XP neu aufspielen) deines Systems, da es durch diverse Backdoor Trojaner kompromittiert wurde. Dein Problem ist einfach, du_sicherst_dein System_nicht_ensprechend_VOR_dem_ersten _Online_Gang_ab, daher die erneute Infizierung nach dem Formatieren. http://faq.underflow.de/#SECTION000120000000000000000 http://oschad.de/wiki/index.php/Kompromittierung Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken Weitere Lektüre: http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html btw: Die Übeltäter: explore32.exe => ? winupdate.exe => W32/Spybot-BX winsysi.exe => ? Überprüfe diese drei Dateien sofern vorhanden bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 06.09.2004 um 19:49 Uhr von Cidre editiert.
|
|
|
||
06.09.2004, 19:52
...neu hier
Themenstarter Beiträge: 2 |
#3
Zitat Cidre posteteNaja, ich denke mein Surfverhalten is einigermaßen sicher. Ich habe bisher immer Firefox benutzt, zudem surfe ich eigentlich nur auf einigen wenigen Seiten. (ich denke kaum das Seiten wie wikipedia oder sport1 Gefahren birgen ) Aber sei es drum, irgendwo müssen diese "Viecher" ja herkommen, wobei ich vllt. wie schon gesagt gerade mal 1-2 Stunden online war Vielen Dank für die ausführliche Antwort, werde mir die Lektüre zu Genüge führen. Bye bye jet |
|
|
||
06.09.2004, 20:11
Member
Beiträge: 441 |
#4
Dabei geht es nicht nur um die Seiten die du ansurfst, sondern
daß du dein Brain einschalten und dich darüber informieren sollst, bevor du irgendetwas ausführst. Downloads sollten immer mittels aktualisierten AV Scanner gegengeprüft werden. by the way: Wenn du dir also die Schädlinge selbst installierst, ist jeder AV Scanner machtlos, sowie alle anderen getroffenen Sicherheitsmaßnahmen für die Katz. Zitat Aber sei es drum, irgendwo müssen diese "Viecher" ja herkommen, wobei ich vllt. wie schon gesagt gerade mal 1-2 Stunden online warWie gesagt, dein System ist nach dem Neuaufsetzen total ungesichert und enthält etliche Sicherheitslücken, diese mußt du natürlich mit Patches schließen. Es genügen bereits wenige Sekunden um dein ungeschütztes System zu kompromittieren. Lese dir die Links durch, dort wird nochmal alles genau erklärt. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
06.09.2004, 20:17
Member
Beiträge: 1095 |
#5
@jet
Sehr hilfreich auch diese Anleitung zum "Sicheren" Installieren von Win XP. http://dieschis-welt.de/wbboard/thread.php?threadid=4597&boardid=25&styleid=1&sid=6eaff64afcba421db643ebfd06fd85d9 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
06.09.2004, 21:01
Member
Beiträge: 441 |
#6
Zitat Sehr hilfreich auch diese Anleitung zum "Sicheren" Installieren von Win XP.Momentan leider außer Betrieb zwecks neuer Forum-Software. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
Ich bin dem Weinkrampf schon sehr nahe ;/ Erst eine kurz Einleitung. (Hijackthis log + andere logs am Ende)
Am Freitag kamen meine bestellten HW-Teile an [alles fabrikneu: mobo (epox), ram (corsair), Festplatte (Seagate), Prozi, Nezteil etc) Bis auf mein alten CPU Lüfter und DVD-Brenner ist also alles neu.
Alles installiert und XP Pro neu drauf.
Und innerhalb von paar Minuten/Stunden hatte ich diverse Würmer/Trojaner etc drauf. Das obwohl ich nur Driver für meine Hardware gezogen hab.
Meine Probleme sehen wie folgt aus.
Wenn ich für ca. ne halbe Stunde online bin, fängt mein IE an zu spinnen. Ich kann nur mit ca. 3-5 kb/s surfen, dementsprechend auch nur langsam downloaden.
Hab dann zuerst "ad aware" (plus plvx2cleaner) laufen lassen. Gefunden:
- istbar
- sidefind
- 180 Solutions
- VX2
- Powerscan
- IP insigh
-> Gelöscht. Nach neuboot und kurzem surfen waren aber wieder einige dieser Würmer drauf. Windosupdate gemacht. Neu gebootet, alle Würmer entfernt, neu booten. Kurz online, wieder Würmer drauf.
Formatiert. Diesmal SOFORT alle Sicherheitsupdates von MS geladen. Neu gestartet, kurz online, alles wieder von vorne. Nur das jetzt teilweise PC-Neustart nötig ist damit ich überhaupt irgend ne Seite aufrufen kann.
Diesmal alles benutzt was ich finden konnte.
AntiVir Guard (findet bei jedem Durchlauf eigentlich was...)
Spybot (kommt immer wieder DSO Exploit (5 Einträge))
Hijackthis (teilweise, sofern verstanden, selbst Einträge gelöscht)
Pandasoft Online Scan (wenn er mal geht findet er auch immer wieder was)
cwshredder (hat bisher am wenigsten gefunden)
Gerade mal SpyHunter v1.1.30 laufen lassen:
- 2 x 180 Solutions Registry Eintrag
- Creative Labs (Werbung...)
- NewsUpd.exe (wohl auch ein File fon Creative Labs)
Soeben neuer Lauf von Spybot (erkennt diesmal mehr als vor 15 Minuten...)
- NewsUpdate (7 Entries)
- DSO Exploit (5 Entries)
- eAccleration (4 Entries - scheinen vom SpyHunter zu sein)
Zum Finale die Hijackthis log:
Logfile of HijackThis v1.98.2
Scan saved at 19:21:38, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\mIRC\mirc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\jethro\Desktop\hijackthis1982\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\RunServices: [Microsoft Update 32] explore32.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] winupdate.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsRegKey update] winupdate.exe
O4 - HKCU\..\Run: [Microsoft Update 32] explore32.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: SATARaid.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094399095883
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C545CBFF-E5C4-43EE-B845-0CDBC093BF16}: NameServer = 217.237.151.161 194.25.2.129
Zusatz:
Vllt wäre es auch von Nöten, oder einfacher wieder einmal zu formatieren. Was sollte ich dann zuerst machen? Bestimmte Software runterladen? WindowsUpdates? :/
jet