Hilfe! Ich bin ein Spamversender. ANALYSE

christian1982 · 08.03.2006, 19:38

Hi, ich bin neu hier.
Ich stelle mich mal kurz vor. Ich bin der Christian B. und bin Fachinformatiker. Aber ich komme mit den Trojaner trotzdem net klar.

Also zum Problem:
Mein Nachbar hat mal wieder einen Schädling.
Gestartet wird eine Datei namens ##modulap.exe (## ist eine zufällige Nummer) die im Profil TEMP-Ordner gespeichert werden.
Wenn man den Inhalt des TEMP-Ordner löscht wird nach einer Neuanmeldung eine neue ##modulap.exe erstellt.

Die Datei lädt erst von http://out.catchonlife.com/nw/r2.txt?jacx-1_7902_1477 eine datei

http://seekb.lootseek.com/d/s3.2.txt
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gaa
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gab
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gac
http://seekv.lootseek.com/img/seek.cgi?lin=100&db=gad
(und noch mehr….)

Die Datei s3.2.txt ist das template das sich alle paar Sekunden ändert:

Message-ID: <000001c642df$18528800$1a97a8c0@hnq65>
Reply-To: "{%NAME_FROM}" <{%MAIL_FROM}>
From: "{%NAME_FROM}" <{%MAIL_FROM}>
To: {%MAIL_TO}
Subject: Re: PfGaramcy news
Date: Wed, 8 Mar 2006 13:35:37 -0500
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0001_01C642B5.2F7C8000"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

This is a multi-part message in MIME format.

------=_NextPart_000_0001_01C642B5.2F7C8000
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

OV=20
sVdiravgirla $ 6 m 9,95 (10 aV tabIet AT s)
gVnavIbidulm $ 1 e 05,45 (3 9Q 0 tabI vj ets)
aCwixauIbics $ h 99,95 (10 jQ tabI NI ets)
20=20
And m 41 any other http://wyt25.obosome.com

------=_NextPart_000_0001_01C642B5.2F7C8000
Content-Type: text/html;
charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=3DContent-Type content=3D"text/html; =
charset=3Dus-ascii">
<META content=3D"MSHTML 6.00.2800.1106" name=3DGENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=3D#ffffff>
<DIV>  =
OV </DIV>
<DIV>sVdiravgirla $ 6 m 9,95 (10 aV  tabIet AT =
s)</DIV>
<DIV>gVnavIbidulm $ 1 e 05,45 (3 9Q 0 tabI vj =
ets)</DIV>
<DIV>aCwixauIbics $ h 99,95 (10 jQ  tabI NI =
ets)</DIV>
<DIV>  =
20 </DIV>
<DIV>And m =
41 any other <A =
href=3D"http://wyt25.obosome.com">http://wyt25.obosome.com</A></DI=
V></BODY></HTML>
------=_NextPart_000_0001_01C642B5.2F7C8000--

Und die anderen Links die Adressen:

|Lucile Wigley|lucili@derol.com|Ermolai Ledesma|alfred_62@t-online.de|
|Maya Nakata|nakatamaya@engagenet.com|Caradog Deshaies|alfred_62yahoo.de@t-online.de|
|Agnese Patman|patmanuagnese@bicnet.net|Dareia Muth|alfred_630@dc.rr.com|
|Mica Rieder|riederimica@recoletos.es|Vilhelms Schaar|alfred_638@bizwi.rr.com|
|Jodene Patman|patman@ee007.com|Wenzel Nathanson|alfred_63@web.de|
|Petteri Durgan|petterii@lagmand.dk|Fannie Mozee|alfred_641@comcast.com|
|Yasu Beckwith|yas@citycouncil.org|Hartwig Johanson|alfred_6427@yahoo.com|
|Xenocrates Lescarbeau|lesca@tennessee.com|Quidel Sun|alfred_643@bizwi.rr.com|
|Hadyn Berkman|hadu@sccs.com.au|Augusto Mongiello|alfred_645@bizwi.rr.com|
|Shakuntala Whittlesey|shakunta@frametastik.com|Mira Rizer|alfred_651@yahoo.com|
|Mikhaila Collette|colleumik@hrs.forthnet.gr|Leda Haakenson|alfred_658@biz.rr.com|
|Colum Carboni|columcarboni@list.be|Evfemia Thresher|alfred_65@yahoo.com|
|Nima Leggett|nimaa@cmg.com|Dagny Prime|alfred_660@biz.rr.com|
|Alicia Kohout|alici@incube8.com|Kerri Soderberg|alfred_662@biz.rr.com|
|Huffie Tell|huffe@gcmhp.net|Theodosius Mcadoo|alfred_663@biz.rr.com|
|Yseult Merck|yseultmer@tnad.sk|Donalda Loan|alfred_664@biz.rr.com|
|Ghjuvan Victoria|ghjuy@forpresident.com|Femie Mountain|alfred_666@t-online.de|
|Jasmyn Nail|jasmonai@lrw-la.com|Wlodzimierz Townson|alfred_666yahoo.de@t-online.de|
|Aroldo Kirkley|aroldo@ky-in.bbb.org|Laurentiu Gothard|alfred_667@biz.rr.com|
|Noe Caffey|noee@hmtel.com|Adamo Kenner|alfred_668@biz.rr.com|
|Imam Hallberg|halimam@trumpetguild.org|Sylvaine Brew|alfred_671@biz.rr.com|

Was ist das für ein Schädling und wie bekomm ich ihn weg.

BataAlexander · 09.03.2006, 00:27

Hallo,

so wie ich das hier
http://forum.antivir-pe.de/thread.ph...f13a91cd221b97
lese gar nicht wirklich.
Welche AV Anwendungen laufen auf dem Rechner? Ist eventuell ein Scan im abgesichteren Modus möglich um das Problem näher zu idenifizieren?
Ansonsten erst mal der Rat die Kiste vom Netz nu nehmen!

Gruß

Schrulli

Yopie · 09.03.2006, 00:37

Wenn mein Nachbar mir so eine Spamschleuder hinstellen würde, und ich Fachinformatiker wäre, dann würde ich die Kiste schnellstens formatieren, neu aufsetzen und sicher einrichten. Alles andere ist doch nur herumdoktorn an Symptomen. Hinweise zum Neuaufsetzen in meiner Signatur, bitte beachten!

Gruß

Yopie

MightyMarc · 09.03.2006, 01:02

Bleibt anzumerken, dass diese Dateien meist auf einen Backdoor hinweisen. Guter Kandidat für einen Scan bei jotti ist zB

%windir%\system32\nvsvcd.exe

BataAlexander · 09.03.2006, 01:11

Hallo,

wie im AV Forum zu lesen

Zitat:

Der Onlinescan hat locker 'ne Hand voll Backdoor.IRCBot.nw gefunden.

Gruß

Schrulli

09.03.2006, 00:37	#3
Yopie Moderator, a.D.	Hilfe! Ich bin ein Spamversender. ANALYSE Wenn mein Nachbar mir so eine Spamschleuder hinstellen würde, und ich Fachinformatiker wäre, dann würde ich die Kiste schnellstens formatieren, neu aufsetzen und sicher einrichten. Alles andere ist doch nur herumdoktorn an Symptomen. Hinweise zum Neuaufsetzen in meiner Signatur, bitte beachten! Gruß Yopie __________________

Hilfe! Ich bin ein Spamversender. ANALYSE

Plagegeister aller Art und deren Bekämpfung: Hilfe! Ich bin ein Spamversender. ANALYSE