Delayvirus mit Win boot datei ausgetauscht ?

#0
16.01.2003, 12:01
Lillith
zu Gast
#1 Hallo all zusammen,

Zunächst mal sorry an die Admins ich hab das Post im Falschen Boardteil abgelegt =(

Habe folgendes Problem: Jemand drohte mir(über ICQ), eine meiner Windows boot Dateien durch einen DelayVirus ausgetauscht zu haben, der sich wohl in 4 oder 5 tagen bemerkbar machen soll.

Als der Betreffende das hacken ankündigte wurde mein rechner auch tatsächlich für ein oder zwei minuten lahm
Dazu muss ich allerdings sagen, das mein e-nule (der jede Menge an Ressourcen frisst) schon über 24 stunden lief ,nur mit kurzer reconnect pause und ich mir deshalb nicht so sicher bin wegen des kurzen lahmens

Black Ice meine Firewall Protokollierte jede Menge TCP- Port -Scans von ein und der selben DNS zu der Zeit, aber hat nichts weiter auffälliges gemeldet ( Exe Datei- ausgelöst etc.) nur eine "malformed DNS" meldung .
Heute morgen waren in der Black Ice log-file jede Menge meldungen wie des typs ftp command line overflow, ebenfalls von jener DNS
Der Systemcheck mit dem ? Norton/Symantec ? - Virusscanner blieb auch völlig Ergebnislos.

Nun und jetzt mache ich mir eigentlich nur Sorgen, ob so etwas tatsächlich geht und wenn ja was ich dagegen unternehmen kann.

Vielen Dank schon im Vorraus für Eure Antworten.

MfG Lil
Seitenanfang Seitenende
16.01.2003, 12:23
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 mmh, recht seltsam. Welches BS? Delay - Verzögerung. Das der Rechner lahm wurde, hängt damit zusammen, daß der dich mit Paketen bombardiert hat. - Deny of Service Attack

Schau Dir mal folgende Dateien an:

win.ini
system.ini
boot.ini
autoexec.bat
config.sys

Des Weiteren mal an den üblichen Autostartstellen schauen, ob was ungewöhnliches drin steht.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
16.01.2003, 13:34
Member

Themenstarter

Beiträge: 12
#3 Hallo ich again...also BS : Win2k Prof.

Leider begrenzt mein völliges Unwissen meine Möglichkeiten ;)

Welche anderen Autostartstellen meinst du ?

MfG Lil
Seitenanfang Seitenende
16.01.2003, 13:45
Member

Beiträge: 1516
#4 Was für server hast du den auf dein pc?

vielleicht hilft das weiter http://www.lab1.de/prod/autostartmanager/index.htm
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Dieser Beitrag wurde am 16.01.2003 um 13:54 Uhr von spunki editiert.
Seitenanfang Seitenende
16.01.2003, 14:57
Member

Themenstarter

Beiträge: 12
#5 Hallo spunki,

Mein Pc ist eigentlich kein Server, nur ein eMule-Client, deswegen ununterbrochen am laufen und online (ausser dem oligatorischen 24 h reconnect).

Danke für den Link, ein nützliches Tool

Öhm ihr haltet mich vielleicht für doof aber ich fange mit der "internat.exe" und "nwiz.exe/install" nichts an, was sind das für Dateien ?


ok nwiz habe ich rausgefunden, die gehört zur nvidia graka
omg ich hab inzwischen auch internat enttarnt das ist die umschaltung zwischen den tastaturlayouts.... ich lass das mal hier drin für all die, die genau so unwissen sind wie ich

Trotzdem nochmal die frage ist der Austausch einer solchen Boot datei gegen einen Virus mit Zeitverzögerung eigentlich möglich angsichts meiner Firewall und des Virenfinders ?
Dieser Beitrag wurde am 16.01.2003 um 15:46 Uhr von Lillith editiert.
Seitenanfang Seitenende
16.01.2003, 16:12
Member

Beiträge: 3306
#6 Sicher ist das möglich, wenn deine Firewall schlecht konfiguriert ist und der Virenscanner versagt.
Norton hat z. B. große Probleme mit gepackten bzw. gecrypteten Viren. Vielleicht sind auch deine Virendefinitionen nicht auf dem neuesten Stand.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
16.01.2003, 18:59
Member

Themenstarter

Beiträge: 12
#7 Also die Firewall ist Standartmässig konfiguriert , die Virendefinitionen auf dem neuesten Stand
Seitenanfang Seitenende
16.01.2003, 19:16
Member

Beiträge: 1516
#8 mh wenn du keinen server hast hätte er dich wohl nur noch über icq angreifen können.
Falls diese Attacken weiter da sind würd ich einfach meine Icq nummer wechseln
sodass er nichtmehr an meine Ip kommt.

http://www.ceruleanstudios.com/trillian/index.html ein sicherer Icq client

Ich würd mir da keine großen sorgen machen das deinen pc etwas passiert, aber
Daten sichern kann ja nicht schaden
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}
Seitenanfang Seitenende
16.01.2003, 22:19
Member
Avatar Evil

Beiträge: 209
#9 @Lillith
Erstmal die Standardkonfig ändern, wie gesagt die enstrechenden Dateien genauer ansehen, nochmal scanen und ansonsten ...naja... ich persönlich würde nich all zu viel Aufmerksamkeit schenken. Da die meisten "Angriffe" ohne Vorwarnung stat finden...
__________
/* whitehouse.css */
#GeorgeWBush { position:absolute; bottom: -6ft; }
Seitenanfang Seitenende
27.01.2003, 08:15
Member

Themenstarter

Beiträge: 12
#10 Hehe ich nochmal ..also der Spruch mit dem Virus alles nur Bullshit, der Knilch der mir gedroht hat ist doch nur ein jämmerliches Scriptkiddie
Trotzdem vielen Dank für Eure Hilfe ,es war doch beruhigend zu lesen, dass es ein paar Leute gibt die sich ein wenig auskennen
naja kurzum der Rechner läuft heute noch und es hat sich kein Virus bemerkbar gemacht ;)
Seitenanfang Seitenende