|
Plagegeister aller Art und deren Bekämpfung: Buffer Overflow durch Exploit ??Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.08.2007, 12:15 | #1 |
| Buffer Overflow durch Exploit ?? Hallo zusammen Hab ein Problem und zwar , kann ich mit dem tool ProzessMonitor von Sysinternals feststellen das einige Processe einen Buffer Overflow aufweisen Ich dachte zuerst an ein exploit, und setzte das komplette System neu auf (Raid Adapter neu , Platte formatiert Windows neu Jetzt meine Frage , kann z.B. ein KERNEL EXPLOIT das neuinstallieren überleben? hab bereits nach verschiedenen RootKit-Tool´s gesucht ( Sophos Anti-Rootkit , F-Secure Anti-Rootkit BlackLight ,McAfeeRootKitDetective) , konnte aber nichts finden. ......und so langsam kommt mir das Leider weiß ich ganz gut , wie einfach die "Herstellung" von Exploit´s ist Im Allgemeinen , sollte man die miesen RootKit´s ..... Ich würde mich echt freuen wenn jemand ne Idee dazu hat. PS : Das Problem des Buffer Overflow besteht leider auch nach dem neuinstallieren .. Geändert von Coffee Fan (02.08.2007 um 12:34 Uhr) |
02.08.2007, 12:44 | #2 | |
| Buffer Overflow durch Exploit ?? @Coffee Fan
__________________Zitat:
|
02.08.2007, 12:51 | #3 |
Gesperrt | Buffer Overflow durch Exploit ?? Was genau ist eigentlich ein Exploit
__________________Bin halt doof |
02.08.2007, 12:56 | #4 |
| Buffer Overflow durch Exploit ?? hier das Log.. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:52:31, on 02.08.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Analog Devices\Core\smax4pnp.exe C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe C:\Programme\Opera\Opera.exe C:\WINDOWS\system32\msiexec.exe C:\Programme\Tenable\Nessus\nessusd.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XI.SP4a\RpcSandraSrv.exe O23 - Service: Tenable Nessus - Tenable Network Security - C:\Programme\Tenable\Nessus\nessusd.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 4314 bytes Danke für deine Zeit,und deine Hilfe Geändert von Coffee Fan (02.08.2007 um 13:04 Uhr) |
02.08.2007, 13:00 | #5 |
| Buffer Overflow durch Exploit ??hat mit doof nicht´s zu tun.. Exploit´s braucht kein "normaler" User Exploit´s sind für deinen Rechensklaven das gleiche , was C4 für einen Banktresor ist ... Ich hoffe das klingt einigermaßen logisch.. |
02.08.2007, 14:15 | #6 |
/// TB-Ausbilder | Buffer Overflow durch Exploit ?? Ich bin die Stimme des gepeinigten Apostrophs. Nicht nur, dass der Arme andauernd für irgendwelche kruden Verunglimpfungen der deutschen Sprache durch un's herhalten muss, nein, wenn du ihn benutzt, bevorzugst du auch noch den Akzent `. Der Apostroph befindet sich auf der #-Taste, ganz leicht mit Shift zu bedienen. Bitte mach ihn glücklich und benutzte ihn in Zukunft. In diesem Fall braucht aber weder der Negationspartikel "nichts" noch die Mehrzahl von exploit "exploits" einen Akzent. Anschauliche Beispiele unter Deppenapostroph lg myrtille Geändert von myrtille (02.08.2007 um 14:20 Uhr) |
02.08.2007, 14:21 | #7 | |
| Buffer Overflow durch Exploit ??Zitat:
:aplaus: Super !! Danke Dir Kannste mir auch bei meinem eigentlichen Problem Helfen?? |
02.08.2007, 14:34 | #8 |
/// TB-Ausbilder | Buffer Overflow durch Exploit ?? Och komm schon, ich hab mich schon bei deinem ersten Beitrag zurückgehalten. Du hast mich doch provoziert. Dein Log ist übrigens soweit sauber. lg myrtille |
02.08.2007, 16:34 | #9 |
| Buffer Overflow durch Exploit ?? Kann mir denn niemand einen Tipp geben.. evt. wie man der Software/Treiber auf die Spur kommt die für den Buffer Overflow verantwortlich ist ? |
02.08.2007, 18:35 | #10 | |
> MalwareDB | Buffer Overflow durch Exploit ??Zitat:
Weiß grad nicht wie Du das meinst. Wenn Du es selber nicht weißt, einfach Precess Explorer nicht mehr verwenden Bata
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
02.08.2007, 18:43 | #11 |
| Buffer Overflow durch Exploit ?? Idee, aber nicht meine : Marks Blog Ich glaube nicht, dass du ein Problem hast, denn nicht überall, wo "buffer overflow" drauf steht, ist auch ein Pufferüberlauf drin. Ein Rechtsklick auf den fraglichen Prozeß im Process monitor zeigt dir die Eigenschaften an, inkl. benutzter dlls und stack und zip und zap. Flaschenhals dabei ist meist der Nutzer, der das Zeugs interpretieren muß. Die vom Prozeß geladenen dlls kann du mittels des Process explorers verifizieren lassen. Solltest du noch immer nicht ruhig schlafen können, hake mal im Forum von Sysinternals bei den Spezls nach (mit präzisen Angaben). Gruß |
02.08.2007, 18:54 | #12 | |
Gesperrt | Buffer Overflow durch Exploit ??Zitat:
Unser Mathelehrer erklärt uns Mate auch immer mit C4 und Banktresoren ("Jetzt stellt euch vor, ihr steht in der Bank vorm Tresor und könnt euch nicht ausrechnen wieviel C4 ihr braucht um den Tresor wegzupusten, aber nicht die ganze Stadt":aplaus: :aplaus: :aplaus: ) |
02.08.2007, 19:22 | #13 | |
| Buffer Overflow durch Exploit ??Zitat:
Auf meinen ruhigen Schlaf hat das keine Auswirkung, mich hätte eben nur interessiert woher das kommen könnte. Die Lösung :“ aha ,da ist etwas das ich nicht verstehe , also kümmere ich mich nicht mehr darum „ erscheint mir doch etwas dürftig . Aber trotzdem Danke . Wenigstens konnte ich etwas über die Verwendung des Apostrophs lernen |
02.08.2007, 19:34 | #14 |
| Buffer Overflow durch Exploit ?? @ inFiniTY >>>„Unser Mathelehrer erklärt uns Mate auch immer mit C4 und Banktresoren ("Jetzt stellt euch vor, ihr steht in der Bank vorm Tresor und könnt euch nicht ausrechnen wieviel C4 ihr braucht um den Tresor wegzupusten, aber nicht die ganze Stadt"<<< Ihr Mathelehrer setzt eben große Hoffnung in Ihre Zukunft . Und so unrecht hat er ja auch nicht ,mit C4 und einem Tresor muss man vorsichtig sein .... |
02.08.2007, 20:12 | #15 |
| Buffer Overflow durch Exploit ?? Hab ich auf die Bundesgartenschau verlinkt? Hast du überhaupt gelesen? Für mich EOD. |
Themen zu Buffer Overflow durch Exploit ?? |
adapter, allgemeine, allgemeinen, einfach, ellung, exploit, f-secure, frage, gesuch, gesucht, hallo zusammen, heulen, kernel, komplette, langsam, neu, neuinstallieren, nichts, platte, problem, sophos, sophos anti-rootkit, stelle, system, system neu, tool, verschiedene, windows, würde, zusammen |