Hallo

Ich kenne mich leider nicht so besonders aus, deswegen hätte ich gerne mal ein paar Meinungen zu meinen logs hier

Ich hab nach dem Auftauchen eines verdächtigen Prozesses mit der Kaspersky Personal 5 Trial im abgesicherten Modus gescannt und eben ein paar Delf-Varianten gefunden. Über diesen Trojandownloader selbst hab ich leider noch nicht so viel brauchbares gefunden.

Beim scannen wurden ein paar infizierte executables im windir gelöscht und ein verweis in der registry, sonst wurde nichts gefunden.

Seltsamerweise unterscheidet sich mein HijackThis-Log vom 2. Scan vom Log des ersten Scans. Ich hab keine Ahnung warum, oder "soll" das so sein? Es betrifft scheinbar aber auch nur ein paar Einträge über Browser Startpages etc.

Log 1:

Logfile of HijackThis v1.98.2
Scan saved at 15:44:49, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97




Log 2:


Logfile of HijackThis v1.98.2
Scan saved at 15:45:01, on 21.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\SCARDS32.EXE
D:\Programme\WinGate\WinGate.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.EXE
D:\Programme\WinGate\wgengmon.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.faz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [KAVPersonal50] D:\Programme\KAV5TR\kav.exe /minimize
O4 - Global Startup: WinGate Engine Monitor.lnk = D:\Programme\WinGate\wgengmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E657DBDE-180A-49A2-9603-A6CEFF03DD84}: NameServer = 217.237.150.141 217.237.150.97



Was meint ihr dazu?

Mfg Waldbaum

Hallo Waldbaum,

ich finde es seltsam, dass Du in zwei aufeinanderfolgenden Scans mit Hijack This verschiedene Startseiteneinträge hast, aber sie sind nicht auffällig.

Bitte überprüfe mit virusscan.jotti.dhs.org:

D:\WINNT\System32\SCardSvr.exe
D:\Programme\WinGate\WinGate.exe

teile uns das Ergebnis der Überprüfung mit.

Deaktiviere die Systemwiederherstellung und beende:
wgengmon.exe

lösche:
D:\Programme\WinGate\wgengmon.exe

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Zitat:

Ich hab nach dem Auftauchen eines verdächtigen Prozesses mit der Kaspersky Personal 5 Trial im abgesicherten Modus gescannt und eben ein paar Delf-Varianten gefunden. Über diesen Trojandownloader selbst hab ich leider noch nicht so viel brauchbares gefunden.

Hier nun Information zu den Ablegern der Familie Troj/Delf-.., von SOPHOS. Bitte auch unter "Erläuterung" und "Erweitert" nachlesen:

einige dieser Trojaner sind Backdoor-Trojaner mit folgenden Funktionen (Die Sophos Virus-Information zitiert):

# Ermöglicht Dritten den Zugriff auf den Computer
# Stiehlt Daten
# Legt Malware ab
# Speichert Tastenfolgen
# Installiert sich in der Registrierung

Bei Anwesenheit dieser Trojaner auf einem System muss man davon ausgehen, dass das System kompromittiert ist. Es ist also zu empfehlen, die Festplatte zu formatieren und dabei Lutz Rat zur Datensicherung und Cidre's Rat zu beachten:

Cidre zitiert:

[..] Setze das System neu auf, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artco...sp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html[Zitatende]

[edit] Ich hätte gerne noch weitere Meinungen der Kollegen zu diesem Problem. [/edit]

SD

Hallo,

entschuldigt bitte die etwas verspätete Antwort, aber ich hatte mit ein paar Problemen an der RL-Front zu kämpfen.

Ich habe auf virusscan.jotti.dhs.org (sehr nützliche site btw.) die von dir genannten Dateien überprüft und alle Scanner haben "no viruses found" gemeldet.

Mein Fehler, ich hätte erwähnen sollen, dass an dem Rechner ein Chipkartenleser von Towitoko angeschlossen ist, zu dem der Prozess D:\WINNT\SCARDS32.EXE und der Windowsdienst "Smartcard" (D:\WINNT\System32\SCardSvr.exe) gehören.

Und WinGate ist ein "Software-Router" von Qbik Software (www.wingate.com), den ich nun schon etwas länger zu Testzwecken einsetze.
WinGate.exe ist die als Dienst laufende "Engine", und wgengmon.exe das mitgelieferte "Monitorprogramm" zur Überwachung, das ganz normal im Autostartordner eingetragen ist.

Diese Backdoor-Trojaner aus der Delf-Familie sind wirklich ziemlich übel. Da bekommt man ja schon vom Lesen der Beschreibung Angst. Ich bin mir leider nicht mehr ganz sicher, aber ich glaube alle bei meinem Scan gefundenen Dateien waren mit Delf.cq infiziert, oder Delf.c-irgendwas. Da bin ich mir relativ sicher.

Es scheint also die Hoffnung zu bestehen, eine etwas harmlosere Delf-Variante erwischt zu haben, die "nur" versucht weiteren Müll von irgendwelchen Servern zu ziehen. Delf.cq selbst hab ich jedoch in dieser Sophos-Datenbank noch nicht gefunden.

Ich habe mir die ganzen Links von dir zum Thema Kompromittierung durchgelesen und gleich mal alle Passwörter geändert. Wenn sich das alles bestätigen sollte, kommt wohl einiges an Arbeit auf mich zu...

Gibt es einen praktikablen Weg (außer Virenscannern, die evt. ja nicht alle kennen) Backdoors aufzuspüren? Vielleicht durch Überwachung des Traffics per TCPView oder Ethereal oder was weiß ich noch..

Wenn ich das alles richtig verstanden habe, ist ein Virenscan auf einem kompromittiertem System nicht aussagekräftig, da im Prinzip fundamentale Systemdateien und/oder der Scanner selbst kompromittert sein könnten und somit das Ergebnis manipuliert wäre, oder nicht?

Aber ein Scan von einem nicht kompromittiertem Medium müsste doch funktionieren. Ich habe nämlich vorhin meine c't 20/04 entdeckt, bei der die neue Knoppicilin-CD (schreibt man das so?) dabei war. Das ist im Wesentlichen ja nichts anderes als ein modifiziertes Knoppix zum Aufspüren von Malware. Das könnte doch klappen, wenigstens hätte ich dann Gewissheit, oder?

Gruss
Waldbaum

P.s.

Nochmal Danke für die brauchbaren Links, ich fand die Informationen sehr nützlich.

Hallo,

Zitat:

Nochmal Danke für die brauchbaren Links, ich fand die Informationen sehr nützlich.

Erstmal Hut ab. Ich glaube, das du der einzige seit langer Zeit bist, der die ganzen Links wirklich gelesen, verstanden und darüber nachgedacht hat.

Zitat:

Gibt es einen praktikablen Weg (außer Virenscannern, die evt. ja nicht alle kennen) Backdoors aufzuspüren? Vielleicht durch Überwachung des Traffics per TCPView oder Ethereal oder was weiß ich noch..

Richtig, damit hast du bereits zwei mögliche Programme genannt. Weitere Infos kannst du hier entnehmen:
http://cert.uni-stuttgart.de/os/ms/w...-detection.php

Zitat:

Wenn ich das alles richtig verstanden habe, ist ein Virenscan auf einem kompromittiertem System nicht aussagekräftig, da im Prinzip fundamentale Systemdateien und/oder der Scanner selbst kompromittert sein könnten und somit das Ergebnis manipuliert wäre, oder nicht?

Auch das hast du richtig verstanden.

Zitat:

Aber ein Scan von einem nicht kompromittiertem Medium müsste doch funktionieren.

Wäre anzuraten.

Jetzt würde mich aber interessieren, wo KAV den TrojanDownloader Delf entdeckt hat (genaue Pfadangabe)?