trojaner/virus TR/Drop Banker

#1 hallo,

habe volgendes problem, habe internetcafe mit 10 computer, wenn 3-4 computer nur laufen dan ist alles inordnung, sobald es mehr sind, geht internet 5 sekunden super schnel und dann 15 sekunden versucht er seiten aufzubauen, habe einen computer techniker bei mir bestelt, und er hats im dos dann netstat geschrieben und sagte es ist ein trojaner der sicht einschleicht und befehle an den router schickt, er scant alle computer, und wenn es mehrer machen, dann schaft der router das nicht mehr, aber lokaliesieren könnte er in nicht, wir haben alles neu inst. und hat irgenwelche 5 windows patchs drauf gemacht, das war gestern, heute besteht das problem aber weiter

habe auf meinem haupt computer / server Ad-Aware SE Personal hats nichts geholfen, bei antivir findet er auch nichts, aber wenn er im hintergrund leuft kommt ab undzu meludng das er was findet


C:\WINDOWS\system32\mmf32.exe
TR/Drop.Banker.II.7

C:\Dokumente und Einstellungen\server\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CLDCEPYP\strefa[1]

C:\Dokumente und Einstellungen\server>netstat

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP server:1032 lloydstsb.co.uk:18350 HERGESTELLT
TCP server:2503 lloydstsb.co.uk:18350 HERGESTELLT
TCP server:18350 lloydstsb.co.uk:1032 HERGESTELLT
TCP server:18350 lloydstsb.co.uk:2503 HERGESTELLT
TCP server:2165 192.168.2.162:2146 SCHLIESSEN_
TCP server:3239 vs240026.vserver.de:http HERGESTE
TCP server:3242 vs240026.vserver.de:http SYN_GESE
TCP server:3243 192.168.2.59:8725 SYN_GESENDE
TCP server:8800 192.168.2.61:1038 HERGESTELLT
TCP server:8800 192.168.2.81:1031 HERGESTELLT
TCP server:8800 192.168.2.84:1051 HERGESTELLT
TCP server:8800 192.168.2.113:1034 HERGESTELLT
TCP server:8800 192.168.2.121:1033 HERGESTELLT
TCP server:8800 192.168.2.160:1041 HERGESTELLT
TCP server:8800 192.168.2.192:1032 HERGESTELLT
TCP server:8800 192.168.2.205:1030 HERGESTELLT

er hat firewal gemacht, hat nicht geholfen, und angeblich kommt dieses virus über netbios über tcp/ip, aber wenn wir das auschalten funk. mein internetsoftware nicht mehr

kann mir da jemand weiter helfen ?

danke

#2 darek72ks

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8401-9737

Verzeichnis von C:\WINDOWS\system32

26.02.2006 15:54 81.920 msvcp72.dll
26.02.2006 12:01 3 ICPrinterLang.dat
26.02.2006 11:41 2.278 wpa.dbl
15.02.2006 22:17 39.936 msqvc.exe --> ?
13.02.2006 20:15 28 xbccd.log
13.02.2006 20:14 0 bbot.exe.chech--> !!
18.01.2006 13:05 57.344 avsda.dll
02.01.2006 22:47 98.256 FNTCACHE.DAT
02.01.2006 11:26 380.350 perfh009.dat
02.01.2006 11:26 52.764 perfc009.dat
02.01.2006 11:26 391.000 perfh007.dat
02.01.2006 11:26 63.580 perfc007.dat
02.01.2006 11:26 786.220 PerfStringBackup.INI
29.12.2005 13:05 370 reset5.dat
29.12.2005 13:05 8.192 resetwpa.reg
29.12.2005 13:05 1.024 resetwpa.reg.LOG
29.12.2005 13:00 25.065 wmpscheme.xml
29.12.2005 12:57 261 $winnt$.inf
29.12.2005 12:54 2.951 CONFIG.NT
29.12.2005 12:54 16.832 amcompat.tlb
29.12.2005 12:54 23.392 nscompat.tlb
29.12.2005 12:52 488 logonui.exe.manifest
29.12.2005 12:52 488 WindowsLogon.manifest
29.12.2005 12:52 749 cdplayer.exe.manifest
29.12.2005 12:52 749 nwc.cpl.manifest
29.12.2005 12:52 749 wuaucpl.cpl.manifest
29.12.2005 12:52 749 sapi.cpl.manifest
29.12.2005 12:52 749 ncpa.cpl.manifest
29.12.2005 12:50 21.740 emptyregdb.dat
29.12.2005 12:44 0 h323log.txt
24.11.2005 11:53 831.562 IServerService.exe
12.10.2005 14:15 954.368 ICPrinter.exe
05.10.2005 09:03 77.824 SocketMaster.ocx

___________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8401-9737

Verzeichnis von C:\DOKUME~1\server\LOKALE~1\Temp

26.02.2006 12:05 147.456 ~DF3843.tmp
26.02.2006 12:01 16.384 ~DF5803.tmp
2 Datei(en) 163.840 Bytes
0 Verzeichnis(se), 7.214.186.496 Bytes frei

___________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8401-9737

Verzeichnis von C:\WINDOWS

26.02.2006 15:54 13 reset5.dt3
26.02.2006 12:01 3 ICPrinterLang.dat
26.02.2006 11:42 0 0.log
26.02.2006 11:41 13 reset5.dt1
26.02.2006 11:41 2.048 bootstat.dat
26.02.2006 00:21 16.880 SchedLgU.Txt
20.02.2006 14:43 62.054 dasetup.log
20.02.2006 14:43 4.161 ODBCINST.INI
20.02.2006 14:40 215.394 setupapi.log
20.02.2006 14:40 105 ODBC.INI
14.02.2006 10:19 4.915 hosts.sam
03.01.2006 17:39 4.700 Windows Update.log
02.01.2006 22:51 64 ui.INI
29.12.2005 13:06 81.310 ntbtlog.txt
29.12.2005 13:03 7.905 KB835732.log
29.12.2005 13:03 596 xpsp1hfm.log
29.12.2005 13:03 17.988 comsetup.log
29.12.2005 13:03 9.058 ntdtcsetup.log
29.12.2005 13:03 1.687 iis6.log
29.12.2005 13:03 10.691 tsoc.log
29.12.2005 13:03 1.393 imsins.log
29.12.2005 13:02 1.277 ocmsn.log
29.12.2005 13:02 18.543 ocgen.log
29.12.2005 13:02 1.177 msgsocm.log
29.12.2005 13:02 17.720 FaxSetup.log
29.12.2005 13:00 829 OEWABLog.txt
29.12.2005 13:00 697.034 setuplog.txt
29.12.2005 12:58 8.192 REGLOCS.OLD
29.12.2005 12:58 4.438 imsins.BAK
29.12.2005 12:58 183.096 setupact.log
29.12.2005 12:54 0 control.ini
29.12.2005 12:54 472 win.ini
29.12.2005 12:54 299.552 WMSysPrx.prx
29.12.2005 12:52 749 WindowsShell.Manifest
29.12.2005 12:50 37 vbaddin.ini
29.12.2005 12:50 36 vb.ini
29.12.2005 12:50 128 DtcInstall.log
29.12.2005 12:50 1.060 sessmgr.setup.log
29.12.2005 12:42 50 wiaservc.log
29.12.2005 12:42 507 wiadebug.log
29.12.2005 12:42 0 Sti_Trace.log
29.12.2005 12:40 1.348 regopt.log
29.12.2005 12:40 231 system.ini
29.12.2005 12:38 0 setuperr.log
12.10.2005 14:15 954.368 ICPrinter.exe

_______________________________________________________

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8401-9737

Verzeichnis von C:\

26.02.2006 16:25 0 sys.txt
26.02.2006 16:25 4.084 system.txt
26.02.2006 16:25 342 systemtemp.txt
26.02.2006 16:24 87.782 system32.txt
26.02.2006 11:41 267.964.416 hiberfil.sys
26.02.2006 11:41 402.653.184 pagefile.sys
29.12.2005 12:54 0 AUTOEXEC.BAT
29.12.2005 12:54 0 CONFIG.SYS
29.12.2005 12:54 0 IO.SYS
29.12.2005 12:54 0 MSDOS.SYS
29.12.2005 12:44 194 boot.ini
29.08.2002 13:00 4.952 bootfont.bin
29.08.2002 13:00 47.580 NTDETECT.COM
29.08.2002 13:00 235.296 ntldr
14 Datei(en) 670.997.830 Bytes
0 Verzeichnis(se), 7.214.178.304 Bytes frei

___________________________________________


02/26/06 16:33:36 [Info]: BlackLight Engine 1.0.32 initialized
02/26/06 16:33:36 [Info]: OS: 5.1 build 2600 (Service Pack 1)
02/26/06 16:33:36 [Note]: 7019 4
02/26/06 16:33:36 [Note]: 7005 0
02/26/06 16:33:54 [Note]: 7006 0
02/26/06 16:33:54 [Note]: 7011 2712
02/26/06 16:33:55 [Note]: FSRAW library version 1.7.1015
02/26/06 16:34:24 [Note]: 7007 0

#4 Hallo.

Ich habe mir gestern zusammen mit darek die Rechner mal angeguckt. Das Problem war/ist halt, das sämtliche rechner trotz guter Anbindung nach einer gewissen Zeit anfangen lahm zu werden und teilweise die Verbindung zum Inet garnicht mehr aufbauen können. Die erste Vermutung von Darek ging Richtung Router. Neuer Router wurde daraufhin angeschlossen, allerdings hatte das Problem damit kein Ende gefunden. Nun habe ich mir mal die netstats angeguckt, da ich von einem Wurm mit integriertem Scanner ausgegangen bin. Und leider hat sich dies auch bewahrheitet. Die netstats haben eine Endlose Liste an syn an die komplette 192.*.*.* aufgelistet, jeweils gerichtet an epmap. Soweit so gut, der Weg der Verbreitung war damit klar. Nun habe ich mich versucht schlau zu machen "Wie schalte ich epmap aus". Ich selbst habe für meine Rechner eine kleine .bat geschrieben welche sich beim starten des Rechners selber ausführt und sämtlich "unnütze/ungebrauchte" Systemdiesnte sowie Freigaben beim Systemstart ausschaltet. Dummerweise kann ich diese .bat nicht auf seinen Systemen in den Autostart setzen, das Seine intercafe Software keine cmd zulässt.

Nun haben wir also versucht die Windows-Firewall zu nutzen, was aber auch nicht funktioniert hatte, da der intercafe Server nun nicht mehr auf die Clients zugreifen konnte bzw umgedreht. Auch nach Freigabe des nötigen Ports (8800 extern, 1035 intern, TCP) konnte keine Verbindung mehr zum Server/Client aufgenommen werden. Dann habe ich versucht netbios auszuschalten, auch das mit wenig erfolg, da die intercafe Software netbios nutzt und somit dann ebenfalls keine Verbing zwischen Client und Server aufgebaut werden kann.

Unser Problem nun: Wie bekommen wir die Rechner gegen diesen "Banker" Trojaner/Wurm sicher. Die Wege die er zur Verbreitung nutzt lassen sich nur schwer bzw garnicht schliessen (wegen der intercafe Software). Die aktuellen Patches von MS sind drauf...

Wie bekommen wir diesen Troj/Wurm aus dem Netzwerk und wie können wir es dauerhaft dagegen sichern ?

Edit:

Ich wollte noch dazusagen das die netstats die darek oben gepostet hat soweit ok sind, aber nicht stellvertretend für die infizierten Rechner sind auf denen der Trojaner gerade aktiv ist. Möglicherweise ist der Wurm, einmal aktiv, nur sporadisch am scannen. Es ist dann wie gesagt einen ellenlange Liste mit syn_gesendet auf epmap im netstat auf die komplette 192.*.*.* Range, welche natürlich das Netzwerk früher oder später überlastet und für die Ausfälle sorgt. Vielleicht gibt es ja eine weitere Möglichkeit epmap auszuschalten, ich habe in einem Board nur eine Anleitung gefunden epmap über "Netzwerkverbindungen - Lan1 - Eigenschaften - Eigenschaften von TCP/IP - erweitert - WINS - netbios deaktivieren", nur funzt wie gesagt dann die intercafe Software nocht mehr.

Mfg, danbra

#5 Hallo@

1.Schritt:
http://virus-protect.org/hjtkurz.html
*öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager -> poste, was dort steht

HijackThis
http://computercops.biz/zx/Merijn/hijackthis.zip
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
--> None of the above just start the program --> Save--> Savelog -->es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


2.Schritt:
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msvcp72.dll
C:\WINDOWS\system32\msqvc.exe
C:\WINDOWS\system32\bbot.exe.chech

-----------
ps.

Zitat

Der Wurm versucht, eine Datei namens mmf32.exe von einer remoten Website über FTP herunterzuladen.
Zum jetzigen Zeitpunkt erkennen die Antiviren-Produkte von Sophos die Datei mmf32.exe als W32/Kassbot-D.

ich finde keinen TFTP ...vielleicht postest du noch die datfidbat von anderen Rechnern

Zitat

Der Wurm verbreitet sich über Netzwerkfreigaben mit Hilfe der RPC-DCOM-Schwachstelle. Das folgende Patch für die Betriebssystemschwachstelle, die von W32/DcomDl-A ausgenutzt wird, steht auf der Microsoft-Website zur Verfügung:
MS04-012

Bei Microsoft gibt es ein Update zum Schließen dieser Sicherheitslücke:
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

Zitat

Erzeugt werden die folgenden Dateien unter "C:\Windows\system32":
mmsvc32.exe
mmsvc32.chk
mmf32.exe
spools.exe
bbot.exe
bbot[1].exe
http://products.antivir.de/de/threats/Worm_Nanspy_D_details.html

__________
MfG Sabina

rund um die PC-Sicherheit

#6 Logfile of HijackThis v1.99.1
Scan saved at 17:14:03, on 26.02.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\WebBlock Proxy\WebBlock Proxy.exe
D:\Programme\INTERCAFE\Intercafe.exe
C:\WINDOWS\System32\iServerAsync.exe
D:\Programme\INTERCAFE\PagePoller.exe
D:\Programme\INTERCAFE\MemberDataManager.exe
C:\Dokumente und Einstellungen\server\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://strefa.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.2.59:8080;https=192.168.2.59:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [msqvc.exe] C:\WINDOWS\system32\msqvc.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe






This is a report processed by VirusTotal on 02/26/2006 at 17:19:50 (CET) after scanning the file "msvcp72.dll" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.25.2006 no virus found
Avast 4.6.695.0 02.20.2006 no virus found
AVG 718 02.24.2006 no virus found
Avira 6.33.1.50 02.25.2006 no virus found
BitDefender 7.2 02.26.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.26.2006 no virus found
DrWeb 4.33 02.26.2006 no virus found
eTrust-InoculateIT 23.71.87 02.26.2006 no virus found
eTrust-Vet 12.4.2095 02.24.2006 no virus found
Ewido 3.5 02.26.2006 no virus found
Fortinet 2.71.0.0 02.26.2006 no virus found
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.26.2006 no virus found
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1419 02.26.2006 no virus found
Norman 5.70.10 02.24.2006 no virus found
Panda 9.0.0.4 02.26.2006 no virus found
Sophos 4.02.0 02.26.2006 no virus found
Symantec 8.0 02.26.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 no virus found
UNA 1.83 02.24.2006 no virus found
VBA32 3.10.5 02.26.2006 no virus found


This is a report processed by VirusTotal on 02/26/2006 at 17:22:18 (CET) after scanning the file "msqvc.exe" file.
Antivirus Version Update Result
AntiVir 6.33.1.50 02.25.2006 no virus found
Avast 4.6.695.0 02.23.2006 no virus found
AVG 718 02.24.2006 no virus found
Avira 6.33.1.50 02.25.2006 no virus found
BitDefender 7.2 02.26.2006 no virus found
CAT-QuickHeal 8.00 02.25.2006 no virus found
ClamAV devel-20060126 02.26.2006 no virus found
DrWeb 4.33 02.26.2006 no virus found
eTrust-InoculateIT 23.71.87 02.26.2006 no virus found
eTrust-Vet 12.4.2095 02.24.2006 no virus found
Ewido 3.5 02.26.2006 no virus found
Fortinet 2.71.0.0 02.26.2006 suspicious
F-Prot 3.16c 02.25.2006 no virus found
Ikarus 0.2.59.0 02.24.2006 no virus found
Kaspersky 4.0.2.24 02.26.2006 no virus found
McAfee 4705 02.24.2006 no virus found
NOD32v2 1.1419 02.26.2006 probably unknown NewHeur_PE virus
Norman 5.70.10 02.24.2006 no virus found
Panda 9.0.0.4 02.26.2006 no virus found
Sophos 4.02.0 02.26.2006 no virus found
Symantec 8.0 02.26.2006 no virus found
TheHacker 5.9.4.102 02.24.2006 no virus found
UNA 1.83 02.24.2006 no virus found
VBA32 3.10.5 02.26.2006 no virus found



die 3 datei geht net
C:\WINDOWS\system32\bbot.exe.chech

File size can't be more than 10 Megabytes.
You can't try compressing it.
Thanks you.

#7 wau...da ist er:

O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [msqvc.exe] C:\WINDOWS\system32\msqvc.exe

poste noch den inhalt der Host ..

http://virus-protect.org/hjtkurz.html
*öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager -> poste, was dort steht

ich stelle eine Reinigung zusammen........
__________
MfG Sabina

rund um die PC-Sicherheit

#8 # System Hosts File
# DO NOT REMOVE IT !
127.0.0.1 lloydstsb.co.uk
127.0.0.1 online.lloydstsb.co.uk
127.0.0.1 www.lloydstsb.co.uk
127.0.0.1 www.lloydstsb.com
127.0.0.1 personal.barclays.co.uk
127.0.0.1 barclays.co.uk
127.0.0.1 ibank.barclays.co.uk
127.0.0.1 www.barclays.co.uk
127.0.0.1 www.nwolb.com
127.0.0.1 nwolb.com
127.0.0.1 hsbc.co.uk
127.0.0.1 www.hsbc.co.uk
127.0.0.1 abbey.com
127.0.0.1 www.abbey.com
127.0.0.1 www.abbey.co.uk
127.0.0.1 abbey.co.uk
127.0.0.1 cahoot.com
127.0.0.1 www.cahoot.com
127.0.0.1 www.cahoot.co.uk
127.0.0.1 cahoot.co.uk
127.0.0.1 www.co-operativebank.co.uk
127.0.0.1 co-operativebank.co.uk
127.0.0.1 www.co-operativebank.com
127.0.0.1 co-operativebank.com
127.0.0.1 welcome2.co-operativebankonline.co.uk
127.0.0.1 welcome6.co-operativebankonline.co.uk
127.0.0.1 welcome8.co-operativebankonline.co.uk
127.0.0.1 welcome10.co-operativebankonline.co.uk
127.0.0.1 www.smile.co.uk
127.0.0.1 smile.co.uk
127.0.0.1 www.cajamar.es
127.0.0.1 cajamar.es
127.0.0.1 www.cajamar.com
127.0.0.1 cajamar.com
127.0.0.1 www.unicaja.es
127.0.0.1 unicaja.es
127.0.0.1 www.unicaja.com
127.0.0.1 unicaja.com
127.0.0.1 www.caixagalicia.es
127.0.0.1 caixagalicia.es
127.0.0.1 www.caixagalicia.com
127.0.0.1 caixagalicia.com
127.0.0.1 activa.caixagalicia.es
127.0.0.1 www.caixapenedes.es
127.0.0.1 caixapenedes.es
127.0.0.1 www.caixapenedes.com
127.0.0.1 caixapenedes.com
127.0.0.1 bancae.caixapenedes.com
127.0.0.1 www.caixasabadell.es
127.0.0.1 caixasabadell.es
127.0.0.1 www.caixasabadell.net
127.0.0.1 caixasabadell.net
127.0.0.1 www.cajamadrid.es
127.0.0.1 cajamadrid.es
127.0.0.1 www.cajamadrid.com
127.0.0.1 cajamadrid.com
127.0.0.1 oi.cajamadrid.es
127.0.0.1 www.ccm.es
127.0.0.1 ccm.es
127.0.0.1 www.haspa.de
127.0.0.1 haspa.de
127.0.0.1 ssl2.haspa.de
127.0.0.1 www.dresdner-bank.de
127.0.0.1 dresdner-bank.de
127.0.0.1 www.dresdner-privat.de
127.0.0.1 postbank.de
127.0.0.1 www.postbank.de
127.0.0.1 banking.postbank.de
127.0.0.1 www.sparda-b.de
127.0.0.1 sparda-b.de
127.0.0.1 www.bankingonline.de
127.0.0.1 www.raiffeisenbank-erding.de
127.0.0.1 raiffeisenbank-erding.de
127.0.0.1 www.vr-networld-ebanking.de
127.0.0.1 vr-networld-ebanking.de
127.0.0.1 www.bnhof.de
127.0.0.1 bnhof.de
127.0.0.1 www.deutsche-bank.de
127.0.0.1 deutsche-bank.de
127.0.0.1 meine.deutsche-bank.de
127.0.0.1 www.citibank.de
127.0.0.1 citibank.de
127.0.0.1 www.dkb.de
127.0.0.1 dkb.de
127.0.0.1 www.sparkasse-regensburg.de
127.0.0.1 sparkasse-regensburg.de
127.0.0.1 www.berliner-bank.de
127.0.0.1 berliner-bank.de
127.0.0.1 www.berliner-sparkasse.de
127.0.0.1 berliner-sparkasse.de
127.0.0.1 www.wellsfargo.com
127.0.0.1 wellsfargo.com
127.0.0.1 www.bankofamerica.com
127.0.0.1 bankofamerica.com
127.0.0.1 www.usbank.com
127.0.0.1 usbank.com
127.0.0.1 www.bankone.com
127.0.0.1 bankone.com
127.0.0.1 www.citibank.com
127.0.0.1 citibank.com
127.0.0.1 www.capitalone.co.uk
127.0.0.1 capitalone.co.uk
127.0.0.1 www.banesto.es
127.0.0.1 banesto.es
127.0.0.1 www.bancagenerali.it
127.0.0.1 bancagenerali.it
127.0.0.1 www.bancaintesa.it
127.0.0.1 bancaintesa.it
127.0.0.1 www.bbvanet.com
127.0.0.1 bbvanet.com
127.0.0.1 www.fineco.it
127.0.0.1 fineco.it
127.0.0.1 www.unicredit.it
127.0.0.1 unicredit.it
127.0.0.1 www.sanpaolo.com
127.0.0.1 sanpaolo.com
127.0.0.1 www.halifax.co.uk
127.0.0.1 halifax.co.uk
127.0.0.1 bankofscotlandhalifax.co.uk
127.0.0.1 www.bankofscotlandhalifax-online.co.uk
127.0.0.1 www.woolwich.co.uk
127.0.0.1 woolwich.co.uk
127.0.0.1 www.hsbc.com
127.0.0.1 hsbc.com
127.0.0.1 interactif.creditlyonnais.fr
127.0.0.1 creditlyonnais.fr
127.0.0.1 www.creditlyonnais.fr
127.0.0.1 www.secure.bnpparibas.net
127.0.0.1 secure.bnpparibas.net
127.0.0.1 bnpparibas.net
127.0.0.1 www.bnpparibas.net
127.0.0.1 www.poste.it
127.0.0.1 poste.it
127.0.0.1 bancopostaonline.poste.it
127.0.0.1 www.bancopostaonline.poste.it
127.0.0.1 www.bancamediolanum.it
127.0.0.1 bancamediolanum.it

#9 ------------------------------------------------------------

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

O4 - HKLM\..\Run: [Microsoft Network Services Controller] C:\WINDOWS\System32\mmsvc32.exe
O4 - HKLM\..\Run: [Spools Service Controller] C:\WINDOWS\System32\spools.exe
O4 - HKLM\..\Run: [msqvc.exe] C:\WINDOWS\system32\msqvc.exe

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren:

C:\WINDOWS\System32\mmsvc32.exe
C:\WINDOWS\System32\mmsvc32.chk
C:\WINDOWS\System32\spools.exe
C:\WINDOWS\system32\msqvc.exe
C:\WINDOWS\system32\bbot[1].exe
C:\WINDOWS\system32\bbot.exe
C:\WINDOWS\system32\bbot.exe.chech
C:\WINDOWS\hosts.sam

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

scanne mit allen 4 Scannern
http://virus-protect.org/multiavtool.html
falls etwas gefunden wurde--> C:\AV-CLS ....kopiere es dort ab

scanne mit Kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ja, tftp und ftp.exe habe ich ersetzt. Das mache ich grundsätzlich als Sicherheitsmassnahme um den Würmern und Trojaner ein wenig die Möglichkeit sich zu vermehren zu nehmen.

Desweiteren habe ich auch gestern den HiJackthis genutzt und die nötigen Einträge gefunden. Den Virus zu entfernen ist also kein grosses Problem, leider schafft er es immer wieder reinzukommen.

Ich bin leider gerade nicht vor Ort und auf ein paar Testrechnern könnten diese Massnahmen bereits gefruchtet haben. Der Trojaner kann sich nun nicht mehr "fortpflanzen" sobald er einmal auf dem System ist. Nun gibt es ja noch die Möglichkeiten durch fremdeinwirken per http oder ähnliches auf den Rechner zu kommen.

Er kann sich nun möglicherweise nicht mehr verbreiten über das lokale Netwerk (nicht mehr über tftp und ftp), er kann aber immernoch das Netzwerk durch die Scanns lahmlegen. Wir brauchen also noch eine Möglichkeit um diesen Wurm komplett aus dem Netzwerk zu entfernen und fernzuhalten. Nicht nur Ihm die Möglichkeit der Vermehrung zu nehmen.

Das Netzwerk ist jedenfalls immernoch instabil somit sind die Würmer trotz der gestrigen Massnahmen noch oder wieder auf einigen Rechnern aktiv.

Meine bisherigen Massnahmen auf 2 Testsystemen:

- Den XP Home Clients über den abgesicherten Modus ein Administrator Passwort zugewiesen (Wieso hat man bei Home nicht die Möglichkeit bei der Installation ein Admin PW zu vergeben wie auch beim Pro ?! Und dann kann man sich nichtmal einloggen in den Admin Account ohne vorher in den abgesicherten Modus zu gehen ?! Naja, bissl gemecker am Rande, mal wieder eine eingebaute Sicherheitslücke von MS *g*)

- tftp.exe sowie ftp.exe mit einr kleinen .bat durch ungefährliche Toolz (wie zb ping.exe) ersetzt. Würmer haben nun nicht mehr die Möglichkeit über das MS eigene tftp oder ftp einzudringen.

- Nachrichtendienst und RPC ausgeschaltet.

- Aktuelle MS Updates/Patches installiert


Diese 2 Massnahmen wollte ich einleiten, allerdings ist intercafe dann nicht mehr einsatzfähig:

- Firewall an mit Freigabe für intercafe (Intern 1035, Extern 8800, TCP)
- netbios deaktiviert

Edit:
Ich sollte wohl öfters mal F5 drücken *g* Bin leider grad ein bissl lahm beim posten, sry.

Mfg

#11

Zitat

MSIE: Internet Explorer v6.00 SP1

die Rechner sollten SP2 haben oder wenigstens:
Bei Microsoft gibt es ein Update zum Schließen dieser Sicherheitslücke
http://www.microsoft.com/technet/security/bulletin/MS04-012.mspx

und diesen Rechner (oben) wuerde ich formatieren....oder alles loeschen, was ich geschrieben hatte und die Host-Datei saeubern, Systemwiederherstellung deaktivieren/dann wieder aktivieren und mit Kaspersky drueberbuegeln

ja..und wie du schon geschrieben hattest...eingeschraenkte Benutzerkonten einrichten........
Netbios scheint kein Problem zu sein. Das Problem ist eine Sicherheitsluecke bei RPC/DCOM...die Rechner sind alle ungepatcht ? So scheint es..
http://virus-protect.org/windsdoorcleaner.html
.
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Service Pack 2 macht mit einigen Programmen die die Internetcafe Kunden nutzen Schwierigkeiten, daher sind alle Rechner nur mit SP1 ausgestattet. Desweiteren nutzen wir ein Image für alle Rechner ( alle Rechner sind gleiche, Motherboard usw.) Bei der neuinstallation sind daher alle Rechner erstmal ungepatched. Die aktuellen Patches kommen dann im nachhinein rein, zufälligerweise hat darek gerade den Rechner geposted auf dem die Patches noch nicht drauf sind. Den Patch den Du da geposted hast haben wir allerdings noch nicht im Patchimage, dies wird nun hinzugefügt.

Vielen Dank schonmal für die Hilfe, wir werden nun nach und nach alle Rechner säubern und mit dem zusätzlichem Patch versehen. Falls sich dieser Wurm/Trojaner wieder einschleicht werden wir uns nochmal melden.

Mit freundlichen Grüssen, danbra