|
Plagegeister aller Art und deren Bekämpfung: .swfWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.04.2004, 17:08 | #1 |
| Hallo, ich hab mal wieder ein problem [img]graemlins/headbang.gif[/img] heute habe ich eine querry im irc bekommen, von einer person die mir sehr bekannt ist und mit der ich schon lange kontakt habe. Der link führte mich auf eine seite mit einem flash pingpong game. später erfuhr ich dann, dass die seite zu einem irc wurm führt. er verbreitet sich indem er selbstständig querrys mit dem pingpong.swf verschickt. Ich habe keine Pobleme, mit programmen oder sonstigem. Es öffneten sich auch keine dosfenster oder sowas. Kann das was sehr böses sein, also etwas das irgendwas anderes ausser mein irc befällt? Mein OS ist windows xp, ungepatcht Vielen dank für Hilfe. P.S. Jedoch habe ich einen unbekannten Prozess: umcss Google hat kein ergebniss gebracht. [ 12. April 2004, 18:14: Beitrag editiert von: FaT ] |
12.04.2004, 17:25 | #2 |
| .swf So is gibt schon neue entwicklungen
__________________Bitdefender Online Scan hat folgendes gefunden: Trojan.Win32.Hotmail.dr er war in den temporären internet dateien. es wurde alle gelöscht. |
12.04.2004, 17:40 | #3 |
/// Mr. Schatten | .swf </font><blockquote>Zitat:</font><hr />Original erstellt von FaT:
__________________Kann das was sehr böses sein, </font>[/QUOTE]Ja </font><blockquote>Zitat:</font><hr />Original erstellt von FaT: also etwas das irgendwas anderes ausser mein irc befällt? </font>[/QUOTE]Ja </font><blockquote>Zitat:</font><hr />Original erstellt von FaT: Mein OS ist windows xp, ungepatcht</font>[/QUOTE]SEHR schlecht
__________________ |
12.04.2004, 17:51 | #4 |
| .swf thx für die antworten, was bedeutet jetzt der prozess umcss.exe? wie erkenne ich eine schwerwiegende vireninfektion? z.b. Einen keylogger :/ |
12.04.2004, 18:04 | #5 |
/// Mr. Schatten | .swf habe umcss bei mir nicht und auch nicht ergooglen können. Auch habe ich bei Bitdefender oder Google nichts über diese Malware gefunden. Wie erkennst Du einen Keylogger? Denke mal im "Normalfall" garnicht bis Du Dich wunderst warum alle Deine Passworte falsch sind und dein konto abgeräumt Ohne AV-Programm erkennt man eine schwerwiegende Vireninfektion an den schwerwiegenden Folgen. Nein im Ernst, die "Infektion" wird erst durch die Folgen schwerwiegend und ohne AV-Programme hast du keine Möglichkeit von vornherein die Folgen abzuschätzen. Also AV-Programm updaten! Eventuell einen Online-Virenscan mit "Konkurrenz"-Programmen machen: http://www.pandasoftware.com/actives..._principal.htm http://de.trendmicro-europe.com/ente...secall_pre.php http://us.mcafee.com/root/mfs/default.asp http://www3.ca.com/threatinfo/virusinfo/scan.aspx
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
12.04.2004, 18:07 | #6 |
| also anscheinend ist der prozess umcss der wurm ich habe auch die exe datei gefunden is 20kb gross, und im windows/system32 ordner. ich trau mich nur net löschen |
12.04.2004, 18:14 | #7 |
| .swf wie gesagt, die datei ist vorhanden UND in der Registry findet man auch einen Eintrag. Die EXE datei wurde exakt zur selben zeit erstellt als ich den link geklickt habe [img]graemlins/balla.gif[/img] den reg schlüssel kann ich löschen, nur die datei nicht, es kommt die fehlermeldung das die datei in verwendung ist, der prozess ist jedoch deaktiviert. |
12.04.2004, 18:20 | #8 |
/// Mr. Schatten | .swf Löschen dürfte Okay sein (trau Dich) *bg* Starte mal im Abgesicherten Modus und lösche dann. Schalte auch die Systemwiederherstellung aus, sonst bleibt das Stück vermutlich im _restore-Ordner als Kopie
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
12.04.2004, 18:26 | #9 |
| .swf ok thx also ich bin das ding glaub ich los ich bin so vorgegangen: (ich hatte keine systemwiederherstellung deaktiviert ..) prozess umcss beendet regedit und den eintrag umcss gelöscht. neustart ohne verbindung ins internet umcss.exe im system32 ordner gelöscht. DANACH systemwiederherstellung deaktiviert. Er findet keine umcss.exe mehr. Ich glaub ich habs geschafft [img]graemlins/kloppen.gif[/img] |
12.04.2004, 19:24 | #10 |
| .swf ne, ich habs net geschafft ;_; ich verschicke immer noch querrys mit inhalten wie "hey", mehr net. ich hab schon deeinstalliert und neu gemacht, weiss einer sonst noch ne lösung? |
12.04.2004, 19:37 | #11 |
| .swf Hallo! Die umcss.exe einfach zu löschen, ohne a) zu klären, um welche Malware es sich dabei handelt und b) ohne sie zu sichern, war ein Fehler (das System nicht zu patchen, aber noch ein größerer). Erstell bitte ein HijackThis-Logfile: http://www.trojaner-board.de/forum/u...c;f=6;t=004852 |
12.04.2004, 21:26 | #12 |
| .swf Hi, die umcss wurde genau heute um 17.51 Uhr erstellt, als ich den link angeklickt haben, ausserdem hatten alle die mit dem virus infiziert sind, diese datei und den Hintergrundprozess. Darum bin ich mir jetzt recht sicher das es sich dabei um den Virus gehandelt haben muss! Ich habe mir jetzt den McAfee draufgemacht, den ich hier noch hatte, alle updates gemacht und er hat prompt das hier gefunden: C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\zeqrb.exe => zeqrb.exe auch bei dieser exe datei finde ich den registry eintrag. es wurde als morphine erkannt. Es kann nicht gelöscht oder gesäubert werden. Was soll ich nun mit zeqrb.exe machen? Logfile of HijackThis v1.97.7 Scan saved at 22:28:49, on 12.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\SystemTools\Gamers.IRC\mirc.exe C:\SpieleTools\Teamspeak2_RC2\TeamSpeak.exe C:\WINDOWS\System32\msiexec.exe C:\SystemTools\Network Associates\Common Framework\FrameworkService.exe C:\SystemTools\Network Associates\VirusScan\Mcshield.exe C:\SystemTools\Network Associates\VirusScan\VsTskMgr.exe C:\SystemTools\Network Associates\Common Framework\UpdaterUI.exe C:\SystemTools\Network Associates\VirusScan\shstat.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\SystemTools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.k-clan.de/ O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ShStatEXE] "C:\SystemTools\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\SystemTools\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\SystemTools\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...46/mcfscan.cab hier noch die logfile [ 12. April 2004, 22:50: Beitrag editiert von: FaT ] |
13.04.2004, 16:47 | #13 |
/// Mr. Schatten | .swf </font><blockquote>Zitat:</font><hr />Original erstellt von FaT: zeqrb.exe ... Es kann nicht gelöscht oder gesäubert werden. </font>[/QUOTE]Auch nicht bei Start im abgesicherten Modus? Welches FileSystem benutzt Du? NTFS oder FAT32?
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
19.04.2004, 16:52 | #14 |
| .swf Hi, nachdem mich heute ZoneAlarm gefragt hab, ob ich umcss.exe den Zugang zum Internet gewähren möchte, wird mein Rechner wohl auch von diesem Ding befallen sein. Nachdem ich ein bisschen gegoogelt habe, habe ich umcss.exe den Zugang zum Internet verwehrt, sowie den Task beendet und konnte die Datei (C:\Windows\system32\umcss.exe) ohne Probleme verschieben. In der Registry fand ich noch einen Schlüssel unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run angelegt, der den Wert 'umcss.exe' hatte. => umcss.exe würde mit Windows gestartet werden. Ansonsten konnte ich auf Anhieb keine weiteren Spuren feststellen und da ich - wenn ich mich recht erinnere - den Link mit Mozilla geöffnet habe, sollte auch von den Temporären Dateien keine Gefahr ausgehen.. Auf http://text.broadbandreports.com/forum/remark,9966962 habe ich noch folgendes gelesen: </font><blockquote>Zitat:</font><hr /> [...] The exececutable spawns a connection to a irc-server called apollo.uplinkearth.com at port 6667. [...] it also adds a line in mirc.ini telling it to load a script called custom1.mrc, which adds a "on join" to remote, sending several messages to channel visitors, including one with the URL above. [...] </font>[/QUOTE]Als ich den Link empfangen habe, hatte ich auch mIRC verwendet, konnte jedoch kein neues mIRC-Script finden. (Liegt vielleicht daran, dass ich mIRC auf Laufwerk D: installiert habe) Auf jeden Fall wäre das ein möglicher Grund für das Versenden der Nachrichten. @FaT Es wundert mich ein bisschen, dass ZoneAlarm mich erst heute wegen umcss.exe gefragt hat, trotzdem ich den Link schon vor gut einer Woche angeklickt habe und seitdem meinen Rechner seitdem schon mehrfach rauf- und runtergefahren habe. Außerdem wundert es mich, dass bei ZoneAlarm stand: "This Program has accessed the internet before". (Habe ich ihm aber sicher nicht erlaubt und sonst nutzt keiner meinen PC) Ich hoffe, dass ich ein bisschen weiterhelfen konnte und würde mich freuen, hier über eventuelle neue Erkenntnisse (vor allem zu den Schäden..) zu lesen. gruß uru [ 19. April 2004, 20:06: Beitrag editiert von: URU ] |
19.04.2004, 18:53 | #15 |
Gast | .swf umcss.exe ist ein Backdoor namens IRCBot.gen Infos findest du bei google.de Bitte löschen deinen Link zum Download. |
Themen zu .swf |
anderes, april, ausser, befällt, beitrag, bekannte, editiert, flash, führte, irc, kontakt, lange, link, problem, programme, programmen, prozess, seite, selbstständig, unbekannte, unbekannten, verbreitet, windows, windows xp, wurm |