| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: dreve.exe rasmed.exe alrs.exeWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
08.10.2006, 11:07
| #1 |
 |  dreve.exe rasmed.exe alrs.exe Hallo Forengemeinde, nachdem ich zu meinen Backdoors (siehe Threadüberschrift) kaum etwas im Netz gefunden habe, möchte ich kurz meine Erfahrung dazu berichten (zu alrs.exe steht noch überhaupt nichts im WWW). Also, das inzwischen schon von mehreren Benutzern altbekannte Spiel ging auch bei mir los. Das AV-Proggie erkannte, dass rasmed.exe und dreve.exe böse sind und wollte sie löschen. Der Delete-Befehl griff aber ins Leere. Nur die zu den Progs dazugehörige install.bat (WinNT/System32/Com/install.bat) konnte ich ausfindig machen. Alle bisher bekannten Gegenmaßnahmen (Cleanup, datfindbat) bescheinigten mir ein sauberes System. Nix mit "die letzten 3 Monate kopieren" - sondern alle Partitionen waren clean (nach Ausführung von Cleanup). Auch ein scan durch Ad-Aware brachte nichts. Die/das Backdoor griffen immer wieder auf meine Netzverbindung zum Internet zu und ich konnte nur noch das Netzwerkkabel aus meinem Router entfernen. Auch ein AV-Scan von einem anderen gestarteten Betriebssystem, brachte zwar 2 verdächtige Dateien aber diese beiden hatten nichts mit meinem Problem zu tun. Also Handarbeit war angesagt (eine Neuinstallation schließe ich erstmal aus - ehrlich gesagt kann ich diesen Angriff auch nicht so richtig einschätzen -> gefährlich / oder Kids hatten Langeweile). ...also habe ich mein letztes Image (gesichert auf externer Festplatte) mal mit meinem jetzigen OS verglichen. Ich hätte nicht gedacht, dass das so einfach wäre. Nach 5 Minuten suchen, war Ruhe im Karton. Habe nur die neuesten angelegten Files mit meinem Backup verglichen - und siehe da: alrs.exe (Eigenschaften: schreibgeschützt, Archivbit, Systemdatei, versteckt) war der Übeltäter. In der Registrie hat er sich verewigt unter "Windows Als Service". Habe das Teil erst mal nur umbenannt und ich hatte nach Neustart wieder Ruhe. ...was ich absolut nicht verstehen: Die AV-Progs finden Backdoors mit irgendetwas von Crypt (also verschlüsselt), aber die alrs.exe finden sie nicht. Sind die echt so naiv, und man braucht nur das Versteckt-Bit setzen und hat damit jedes AV-Prog ausgehebelt? In der alrs.exe steht nämlich volgendes drin "This programm protected with UNREGISTERED copy of EXECryptor". Also ich kenn kein normales Prog, welches den Inhalt seiner Dateien verschlüsselt. Und schon gar nicht mit einer "Demoversion" von einem Cryptproggi. ..naja lange Rede - kurzer Sinn: Ich bin den Plagegeist los. Ich wollte nur zu dem alrs.exe mal etwas schreiben, weil ich dazu im Netz noch überhaupt nichts gefunden hab. Und da dies ein grosses Board ist, hoffe ich anderen damit ein wenig geholfen zu haben (falls sie auch mal dieses Prob haben und nach dreve.exe und rasmed.exe googlen). PS: An der Misere bin ich selber schuld. Habe durch einen Fehler meinen Router weit offen gelassen. Port 22 bis 10022 waren freigegeben (habe vergessen die 100 auch vor den ersten Eintrag zu setzten). Binnen 4 std. war ich infiziert. -volker- |
| Themen zu dreve.exe rasmed.exe alrs.exe |
| 5 minuten, ad-aware, angriff, betriebssystem, crypt, dateien, fehler, festplatte, gefährlich, gegenmaßnahmen, google, image, immer wieder, internet, kopieren, maßnahme, mehrere, neues, neuinstallation, neustart, port, problem, programm, router, scan, suche, this, win, windows |
Baum-Darstellung