svchost.exe lahmt das System - Virenscanner wird immer beendet

#16 Ja, wenn der Rechner nach dem neustart kein Problem aufweist, loesche sie...
Ich wuerde davon ausgehen, das alle Dinge "geklaut" wurden. Also aendere alle Passworte die bei dir gespeichert sind oder in dem Zeitraum eingegeben wurden!
__________
MfG Ralf
SEO-Spam Hunter

#17 Wie ist das mit den gespeicherten Passwörtern. Passwörter fürs Internet speichere ich nicht auf dem System. Dafür habe ich auch die Funktion im Firefox ausgeschaltet.

Welche Passwörter können denn dann noch geklaut worden sein?

#18 Dann nur die, die du bis zum Zeitpunkt der Desinfektion auf dem Rechner eingegeben hast. Also Forenpasswort. Providerzugangsdaten, sofern du keinen Router oder aehnliches nutzt.
__________
MfG Ralf
SEO-Spam Hunter

#19 ...verstehe ich richtig:

Es können dann die Passwörter und Login-ID geklaut worden sein, die ich z.B. für Foren usw. eingebe?

Werden diese dann ähnlich einem Key-Logger auf dem System gespeichert und der SDBOT verschickt die dann an den Täter oder wie muss ich mir das vorstellen.

Wie gelangen denn die Daten aus meinem Rechner raus?

Übrigens konntest du was mit der Datei anfangen, die ich dir geschickt hatte?

#20 Also die Datei war ein SDbot, die diese msw*.ocx Datei erzeugt hat. Diese wird der Wurm selber fuer seine Funktion benoetigen.

Das Problem ist halt, das man nicht genau weiss, mit welchen Funktionen gerade dieser Bot ausgestattet ist, aber er koennte alles enthalten, ueber Keylogger, Formgrabber, Fernsteuerung, Spamfunktion und andere Dinge.
Ansonsten ist es schon so, wie du beschrieben hast, sprich der Bot nimmt konntakt zu seinem "Meister" auf.

Ansonsten kannst du das auch einmal lesen...
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29
http://www.heise.de/newsticker/meldung/44869
http://www.heise.de/newsticker/meldung/51689
__________
MfG Ralf
SEO-Spam Hunter

#21 Super und vielen Dank für die Hilfe, werde ich mir mal durchlesen.

Da die *.ocx Datei ja wohl am 14.10.2007 erzeugt wurde, kann ich davon ausgehen, dass der Wurm erst ab dem 14.10.2007 mit seinen Aktivitäten starten wollte?

Kann ich irgendwo im System nachschauen was rein und raus ging und ob der Wurm Kontakt aufgenommen hat?

Kann man die *.ocx nicht decompilen um zu sehen, was die Datei alles machen sollte?

#22 Die Datei ist wohl eine "harmlose" Systemdatei, die nicht auf jedem System vorhanden sein muss. Da der Bot diese aber zum "normalen" ablauf braucht, bringt er sie halt mit! Die scvhost.exe ist der eigentlche Schaedling. Der wiederum ist themida gepackt, da ist ohne grossen Aufwand nichts zu machen...

Einige Bots speichern das, was sie versenden wollen auf die Festplatte zwischen, das scheint in diesem Fall aber nicht zu sein und selbst wenn, sind diese zwischengespeicherten Dateien meistens noch verschluesselt...
__________
MfG Ralf
SEO-Spam Hunter

#23 hallo ls2000,

grundsätzlich kannst du zu keinem schadhaften programmcode irgendwelche auskünfte geben, ohne ihre "funktion" analysiert zu haben... aber das wurde hier ja schon irgendwie erwähnt/festgehalten.
es steht den entwicklern dieses codes natuerlich frei, diesen nach besten wissen im infizierten system zu tarnen und nach belieben zu benennen.

gutes Bsp. sind diese "buchstabendreher" - prozesse die im taskmanager programmen, wenn man nicht genauer hinschaut untergehen.

C:\WINDOWS\system32\scvhost.exe (nicht gut)
C:\WINDOWS\system32\svchost.exe (Windows Systemprozess - Ok)

ich selbst habe mir vor einiger zeit eine "scvhost.exe" eingefangen und wurde darauf aufmerksam, weil mein system gelegentlich "laggte" und immer für einen kurzen augeblick "ruckelte" und "stockte".
ich habe dann einen sniffer angeschmissen und mir angesehen, welche "netzwerkaktivitäten" zu verzeichnen sind.

ja, ich hatte mir also einen keylogger eingefangen, der in regelmässigen abständen einen aktuellen screenshot und eine webseite via http zu einem webserver hochgeladen hat (http = klartext)... im ersten moment erschreckend.

das funktionsprinzip ist einfach... die malware schreibt "bilddatei(screenshot)" oder "alle tastenanschläge" in eine datei, diese wird dann in einem normalen "http post" zu irgendweinem webserver hochgeladen.
scriptkiddys sag ich da nur.
sie holen sich dann bei irgendwelchen providern kostenlosen webspace, auf dem auch z.b. php läuft und lassen dort "deine" hochgeschickten daten auswerten und schreiben sie dann in dateien... funktioniert wunderbar, einfach und absolut nachvollziehbar.
ich habe das ganze szenario selbst nachstellen können, da sogar anleitungen im inet existieren... spielwiese für scriptkids.

da man "hinterher" nicht genau weiss, wann sein system infiziert wurde, kannst du auch nicht genau wissen, wieviel deiner daten "passwörter" nun auch einer "zweiten" person bekannt sind.

passwörter die via passwortmanger oder tokens in eingabefelder gepflegt werden, werden naturlich nich key-geloggt...
screenshots... is sone sache... 80-99% unbrauchbar für den "angreifer" ...könnten jedoch andere, sensible informationen enthalten... "eingescannte tan liste" ...ich will nicht hoffen das einer soetwas macht...

die entscheidung liegt letztenendes bei dir, ...auf der sichersten seite bist du, wenn du alle anmeldedaten änderst, da du den angreifer und dessen intension nicht kennst.
scriptkiddys tun dies um in der schule anzugeben, ..."hier schau her -- wieder nen typen gehackt"... der sollte sich für deine technischen forenpasswörter wenig interessieren... zumal das datenaufkommen sehr hoch ist in abhängigkeit der "infzierten opfer" ...da kann ein upload schon in wenigen minuten megabyte gross sein...

was du machen sollts kann dir letzten endes keiner sagen... dazu muss man eben auch immer wissen, was der schädling auf deinem system veranstaltet... aber keyloggging ist schon so ziemlich das hässlichste was geht...

mfg

#24 Danke lucy für den Hinweis,

klingt plausibel und ich werd das System sowieso neu aufsetzen.

Eine Frage noch, wie oder kann ich überhaupt herausbekommen seit wann der BOT aktiv ist?

Ich habe die Befürchtung, dass ich ihn mir am 12.,13. oder 14.10.2007 eingefangen habe und nicht früher. Die *.ocx Datei wurde ja auch am 14.10. erzeugt.

Wenn das so wäre, weiss ich z.B. wo ich mich eingeloggt habe und wo ganz sicher nicht.

#25 DAs infektionsdatum 14.10.2007 08:59 koenntepassen.Ich denke den Bot hast du durch eine Sicherheitsluecke untergeschoben bekommen. Wichtig ist das System auf dem neusten Stand zu halten...

Vieleicht kannst du dich ja erinnern, was du zu obigen Zeitpunkt gemacht hast? Dieser Bot wartet nicht lange, sobald er gestartet wird, setzt er seine Schadfunktionen in Betrieb.
__________
MfG Ralf
SEO-Spam Hunter

#26 könnte sein, dass ich eine Datei, die ich zuvor runtergeladen hatte, gestartet habe und so hat der BOT sich aktiviert?

Der Virenscanner hatte ja vorher nicht gemuckt und so war ich auf der sicheren Seite.

#27 re again,...

meine erfahrungen und recherchen sagen mir, das du eigentlich nicht herausbekommst, wann du infizierst oder seid wann" ein "keylogg" bot läuft...

auf deinem system werden alle dateien mit jeder aktivität erneut "überschrieben", also siehst du bestenfalls wann das letzte mal etwas geschickt wurde...

alles andere macht auch keinen sinn, deine festplatte wäre dann iregndwann voll. du siehst also nur das datum der letzen änderung, ...auf deiner festplatte läge also immer nur der "aktuelle" screenshot oder/und die "aktuelle" keylogg datei und ich bin mir jetzt nichteinmal sicher, ob dieser nicht sogar nur zur laufzeit erzeugt werden, temporär gecached und dann sogleich verschickt werden.

schütze dich auch zukünftig damit, das du nie unter einem account der hauptbenutzer oder administrative rechte auf deinem system hat, dann haben schon viele bots keine chance mehr... sich überhaupt auf deinem system einzunisten...
klar oder? ...nur lokale systembenutzer mit besonderen rechten dürfen z.b. in das systemroot verzeichnis %systemroot%, %systemroot%/system32 ...etc. schreiben.
stellt sich mir also die frage, wie dann
> C:\WINDOWS\system32\scvhost.exe (nicht gut)
bei dir auf die festplatte gelangt ist... (nur als kleiner tip am rande)

ein gutes datum also um herauszufinden wann "in etwa" die infektion statt fand, ist in etwa der tag, als du die "systemunregelmässigkeit" bemerkt hast...
ging mir leider nicht anders...
ist manchmal alles schon echt ärgerlich was einem "selbst" versierterem user passieren kann...

unter umständen könntest du bei einigen sachen auch über "virtualisierung" nachdenken, ...und nach beendigung deiner arbeiten, ...den systemreset (unverseuchter zustand) vornehmen...

mfg

#28 Das mit dem infektionsdatum 14.10.2007 08:59 passt in deinem Fall schon.
__________
MfG Ralf
SEO-Spam Hunter

#29 achja, da ich gerade die sache mit dem virenscanner gelesen habe...

vergiss das ganz schnell !!! die kleinste änderung am programm code des bots verhindert, das dein aktuelles virenupdate diesen dann erkennt... das ist leider so.
selbst ich hatte eine "ganz frische" version des in VB programmierten bots drauf, ...hab diesen bei avira gemeldet und einen - 2 tage später wurde er erkannt... nunja so ist das nunmal.

warte dann noch 5 tage ab und der entwickler hat den neuen code entworfen... denn sie testen ihre "programme" mit den gängigsten antivier programmen und sehen, wann dieser erkannt wird... und sone scriptkiddy community kann sehr gross sein, auch sie informieren ihre "oberen" das ihr toller bot nicht mehr funktioniert und sie von ihrem opfern nichts mehr hören...

es wird dann vielleicht nur eine funktion innerhalb des codes geändert oder baun eine unsinnige schleife hinein und das wars... keylogger version 1.2 ist auffn markt... muss allerdings neu verteilt werden.
interessant ist dann natürlich, was hast du gemacht? um dir den einzufangen?...
ich selbst kann das bei mir auch nicht nachverfolgen, ...aber ich denke iregndwelche ominösen shareware programme, spieleaddons, dateianhänge in "lustigen" emails (die wirklich lustig sein können, aber den code mit drann haben) etc. ...eben alles worüber sich soetwas gut verteilen lässt...

mfg

#30 Vielen dank für euren ganzen Hinweise und Erläuterungen.

Überall liest man es und denkt sich, ja du machst das auch so, dass du nur mit einem normalen Account surfst und dann vergisst man es bis man sich was eingefangen hat.

Wird irgendwo protokolliert mit welcher IP Adresse mein Rechner Verbindung hatte?

was bedeutet eigentlich folgender Eintrag im Combofix Log:

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{E08D6D0A-C0D9-E3EB-E478-D900E25F10A0}]
C:\WINDOWS\system32\scvhost.exe
.
Inhalt des "geplante Tasks" Ordners
"2007-10-14 06:59:34 C:\WINDOWS\Tasks\PMTask.job"