Neuer Rechnung.pdf.exe / T-com-Rechnung.pdf.exe TrojanerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
14.09.2005, 10:23
Ehrenmitglied
Beiträge: 29434 |
||
|
||
15.09.2005, 20:02
Member
Beiträge: 4730 |
#17
Also, da wären noch eine ganze Menge anderer Dateien mit genau derselben Zeit (14:00 am 02.04.2003), die aber auf einem sauberen Windows auch vorhanden sind. Ich vermute, dass damit vorgetäuscht werden soll, die Dateien seien original von der Windows-CD.
Nachtrag: Die Änderungen an der Registry sind bei Trendmicro dokumentiert: Zitat Removing Added Entries from the Registryhttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FGOLDUN%2EA&VSect=Sn __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 15.09.2005 um 20:05 Uhr von Managor editiert.
|
|
|
||
15.09.2005, 20:40
Member
Beiträge: 1132 |
#18
Das beantwortet aber die Frage von Sabina nicht, wie diese Dateien mit gefaketem Installationsdatum aufgespürt werden können (die Antwort würde mich auch interessieren), wenn nicht mit datfind.bat.
Habe eine ganze Weile mit Win-Explorer herumprobiert, um zu einer Lösung zu kommen, bisher aber mit mäßigem Erfolg. Mit einem DOS-Befehl geht das ja wohl auch nicht !? Hat jemand eine Idee? Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
15.09.2005, 23:11
Ehrenmitglied
Beiträge: 29434 |
#19
eine Idee:
http://virus-protect.org/Artikel/Tools/worc.html installieren vor der Verseuchung, scannen (Registry mit anhaken) und dann danach -->Vergleich Zitat Also, da wären noch eine ganze Menge anderer Dateien mit genau derselben Zeit (14:00 am 02.04.2003), die aber auf einem sauberen Windows auch vorhanden sind. Ich vermute, dass damit vorgetäuscht werden soll, die Dateien seien original von der Windows-CD.welche Dateien sind das ? Kannst du eine vollstaendige Dokumentation machen? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.09.2005, 04:28
Member
Beiträge: 4730 |
#20
Die dürftest Du eigentlich auch haben, Sabina.
http://managor.de/security/dateien.txt Jetzt müsste man nur noch ein PHP-Script schreiben, welches Formulareingaben mit der TXT vergleicht und ungleiche Einträge meldet. Hab aber gerade keine Idee, wie man das machen könnte. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 16.09.2005 um 05:06 Uhr von Managor editiert.
|
|
|
||
16.09.2005, 12:49
Ehrenmitglied
Beiträge: 29434 |
||
|
||
16.09.2005, 18:11
Member
Beiträge: 4730 |
#22
Für die Lesbarkeit hab ich das Posting editiert und den Report hochgeladen:
http://managor.de/security/diff1.txt __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser Dieser Beitrag wurde am 17.09.2005 um 16:41 Uhr von Managor editiert.
|
|
|
||
16.09.2005, 19:05
Member
Beiträge: 4730 |
#23
Was mich jetzt etwas verwundert, die mcfCC4.dll ist nicht vorhanden. Allerdings die mcfdrv.sys (die ich manuell löschen konnte).
Nachdem ich mal die Verzeichnisse durchforstet habe, ist mir folgende Datei aufgefallen: C:\Dokumente und Einstellungen\{Profil}\newwspreadz.exe Dateigröße: 6,2 KB MD5-Summe: a10f1b4a2941bfccf5c800b4761d2f1b UPX: negativ Virustotal: no virus found Jotti: Found nothing Allerdings weiß ich nicht, ob sie mit der Rechnung einhergegangen ist oder von einem vorigen Schadprogramm übriggelassen wurde. Ich werde es gleich nochmal probieren und melde mich dann wieder. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
16.09.2005, 21:07
Member
Beiträge: 1132 |
#24
Ich glaube nicht, dass die Methode Worc bei den hier ihre Probleme postenden Usern greift, da sie ja mit hoher Wahrscheinlichkeit kein Worc-Abbild ihres unverseuchten Systems haben.
Ich hätte da so eine Idee. Bei aktiver Malware müssen die entsprechenden Dateien ja jedesmal geöffnet werden, sonst kann die Malware nicht wirksam werden, und erscheinen dann in der Letzten-Zugriffs-Liste, unabhängig von dem echten oder gefaketen Installationsdatum, ganz oben bei entsprechender Sortierung. Habe mal, als Beispiel für C:/windows/system32, ein kleines DOS-Programmchen geschrieben, das die Dateien geordnet nach dem Datum neueste zuerst) ihres letzten Zugriffs durch das System auflistet. Suchergebnisse könnte man ja, analog zu datfind.bat, in eine Datei umleiten und die User könnten die dann posten. Für die anderen Ordner wäre dann analog zu verfahren und das Ganze in Form einer Batch-Datei zur Verfügung zu stellen. cd\ cd %windir%\system32 dir /t:a /a:-d /o:-d pause cls exit Wäre das ein Weg, Eure Probleme mit dem gefaketen Installations-Datum zu beheben? Gruß Heron edit: irgendwie stimmt das Seitenformat nicht mehr. Erleichtert nicht gerade das Lesen der Texte. __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 16.09.2005 um 23:27 Uhr von Heron editiert.
|
|
|
||
16.09.2005, 23:16
Ehrenmitglied
Beiträge: 29434 |
#25
natuerlich ist das nicht fuer die User gedacht, sondern nur fuer uns...ich finde es einfach Klasse managor
arbeite weiter mit diesem Tool ...andere Sachen , wenn du Zeit und Nerven hast Hallo@Heron wir werden es ausprobieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.09.2005, 16:40
Member
Beiträge: 4730 |
#26
"/t:a" funktioniert allerdings nur auf NTFS-Systemen. Bei FAT und FAT32 kann man es vergessen. Außerdem wird die Liste tatsächlich nur nach dem letzten Zugriff sortiert, das Dateidatum wird nicht angezeigt und leider ist der letzte Zugriff auch kein Anhaltspunkt. Man müsste also auch hier selbst nachschauen, welche Dateien böse sein könnten.
Die newwspreadz.exe wurde nicht von der Ebay.pdf.exe erstellt. Hier nochmal der Unterschied vom sauberen zum infizierten System: http://managor.de/security/diff2.txt __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
21.09.2005, 09:10
Ehrenmitglied
Beiträge: 29434 |
#27
wie waere es mit dem , @Managor
Zitat http://www.securitymanager.de/magazin/news_h13364.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.09.2005, 19:24
Member
Beiträge: 4730 |
#28
Hab ich noch nicht, würde ich gern ausprobieren, aber derzeit hab ich Probleme mit meinem virtuellen PC *grml*
Das Emulations-Programm startet nicht mehr. Also muss ich wohl demnächst mal neuinstallieren oder so (muss ich eh, wenn ich neue Graka, MB, Proz etc. bekomme). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
22.09.2005, 00:49
Ehrenmitglied
Beiträge: 29434 |
#29
Zitat Managor posteteGeduld ist eine Tugend... die Mail wird auch dich heimsuchen oder jemand von uns hier schickt sie dir (ordentlich bezeichnet hoffentlich) Ich nicht, da ich sicher in Portugal hocke, ich bekomme andere.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.10.2005, 10:06
Member
Beiträge: 14 |
#30
Sorry,
daß ich hier die absoluten PC-Profis störe, abermein G-Data Virenscanner packt es nicht, den hier beschreibenen Trojaner zu entsorgen... Könnte mir jemand (für den Laien verständlich) mailen, was ich machen muß um den Trojaner zu löschen.... mich nervt jedesmal die Meldung meines Virenprogramms, daß ich was in Quarantäne schieben soll, was dann doch nicht klappt. MfG Jörg MercedesVC@aol.com |
|
|
||
Zitat
das ist interessant, denn nun muessen wir immer ALLE Dateien anfordern oder?Wie wird denn das dargestellt..unter den Daten von 2003 ? oder zwischen den von 2005 , also in Reihenfolge der Installationszeit?
die Veraenderungen in der Registry waeren auch interessant.....
__________
MfG Sabina
rund um die PC-Sicherheit