| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: TROJ_CONSPY.C / waol.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.02.2004, 06:41
| #1 |
 |  TROJ_CONSPY.C / waol.exe Habe mir kürzlich diesen Trojaner eingefangen. Stichwortsuche auf TB brachte leider kein Ergebnis  ,daher dieser Kurzbericht:Bemerkt habe ich zuerst eine veränderte IE-Startseite (irgendeine Suchseite), sowie diverse unerwünschte Neueinträge unter Favoriten (Gratis mp3, gratis sex etc.). Der process viewer zeigt eine ominöse winrar.exe, die sich aber problemlos killen ließ. Zusätzlich fand ich eine waol.exe in den Temporary Internet Files.  Habe mit HijackThis mal nachgesehen und auch einige Einträge gefunden. Liessen sich auch problemlos fixen (ein großes Lob an DerBilk für die gut verständliche Hijackthis-Übersetzung auf trojaner-info.com), aber leider waren nach dem Neustart all diese Einträge wieder da. Ein Onlinescan bei Trendmicro brachte dann die Lösung, sprich Entfernung des Trojaners. Sicherheitshalber sämtliche Passwörter geändert, die in den ca. 48 Stunden, die der Trojaner auf meinem System war, verwendet wurden. Weiß jemand mehr über diesen Trojaner (abgesehen von den trendmicro- und sophos-Meldungen)? Spezielle "Nachsorge"?
__________________ mfg<br />Hypnopedia<br />_ ______________________________ _ <br /><br />With the lights out it's less dangerous<br />Here we are now, entertain us... |
|
09.02.2004, 15:52
| #2 |
| Gast |  TROJ_CONSPY.C / waol.exe http://vil.nai.com/vil/content/v_10477.htm
__________________http://uk.trendmicro-europe.com/ente...=TROJ_CONSPY.C Ansonsten hilft dir www.google.de weiter. |
|
09.02.2004, 20:50
| #3 |
| | TROJ_CONSPY.C / waol.exe winrar.exe ist ein zip proggi nichts schlimmes
__________________borg22 |
|
10.02.2004, 01:26
| #4 |
| Gast | TROJ_CONSPY.C / waol.exe Bei uns waren auch schon ein paar Anfragen hierzu. Habe die Diskussionen allerdings nicht verfolgen können: Links bei Rokop Security |
|
10.02.2004, 07:18
| #5 |
| | TROJ_CONSPY.C / waol.exe Bo Derek, diesen Rokop-thread habe ich vor 2 Tagen beim googeln gelesen, dort fand ich auch die ersten brauchbaren Beschreibungen, die auf den Trojaner passten. Und den Hinweis, daß man ihn mit trendmicro sicher entfernen kann. War sehr hilfreich. mmk, leider kann ich kein logfile posten, da ich bei HijackThis direkt ge"fixed" hab, ohne savelog. Allerdings _was_ ich entfernt hab, hat HijackThis protokolliert: R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = h**p://searchmyrequest.com/hp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchmyrequest.com/sp.php 01 - Hosts: 64.237.53.4 doubleclick.net 01 - Hosts: 64.237.53.4 ad.doubleclick.net O1 - Hosts: 64.237.53.4 my.search O1 - Hosts: 64.237.53.4 aff.weatherbug.com O1 - Hosts: 209.87.155.230 date.com O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe O4 - HKCU\..\Run: [quicken] C:\WINDOWS\WAOL.EXE Die winrar.exe hatte ich schon vor dem "fixing" manuell aus c:\WINDOWS und der registry rausgelöscht. Ich nutze W98 / IE 5.0. Brauchst Du mehr Infos?
__________________ mfg<br />Hypnopedia<br />_ ______________________________ _ <br /><br />With the lights out it's less dangerous<br />Here we are now, entertain us... |
|
10.02.2004, 12:50
| #6 |
| |  TROJ_CONSPY.C / waol.exe *christian*, auf google hab ich schon gesucht, und auch entsprechend viele Einträge gefunden (auch die beiden links von Dir), darum hats mich ja auch so gewundert, daß hier im TB noch nichts über diesen Trojaner zu lesen war. Trotzdem danke! borg22, </font><blockquote>Zitat:</font><hr /> winrar.exe ist ein zip proggi nichts schlimmes </font>[/QUOTE]eben nicht!  Es ist eine von 3 exes, die TROJ_CONSPY.C benutzt. Sie ist nur 20 KB groß und hat ein IE-Icon. Was Du meinst, ist WinRAR.exe, 785 KB groß und hat das RAR-Icon. Das ist ja gerade das Fiese, daß man beide so leicht verwechseln kann.
__________________ --> TROJ_CONSPY.C / waol.exe |
|
10.02.2004, 12:57
| #7 |
  |  TROJ_CONSPY.C / waol.exe Poste doch mal bitte ein Logfile! |
|
10.02.2004, 14:58
| #8 |
| |  TROJ_CONSPY.C / waol.exe Wenn das Problem weiterhin fortbesteht, dann erstelle bitte ein neues Logfile! |
|
10.02.2004, 15:32
| #9 |
| | TROJ_CONSPY.C / waol.exe ic hab noch was gefunden zu der winrar.exe http://securityresponse.symantec.com...lw.bandie.html borg22 |
|
| Themen zu TROJ_CONSPY.C / waol.exe |
| 48 stunden, confused, diverse, entfernung, ergebnis, escan, favoriten, geändert, gratis, großes, hijack, hijackthis, internet, lösung, meinem, mp3, neustart, onlinescan, passwörter, problemlos, process, seite, sicherheitshalber, suche, suchseite, system, temporary, trojaner, träge, unerwünschte, unter |
Linear-Darstellung
