|
C:\WINDOWS:MicrosoftOfficeUpdate.cmd Hi, habe hier eine Rechner von einem Kollegen, der meint hätte sich einen Trojaner eingefangen... Jetzt gibt es 2 Dinge, die die Sache ein bisschen verkomplizieren: 1. er hat das System selber schon soweit bearbeitet, dass sowohl sophos, als auch spybot nichts verdächtiges mehr findet. Das macht das ganze schwer nachvollziehbar. 2. Ich selber bin nicht unbedingt ein Windows Nutzer, bin daher nicht so erfahren in der Materie. Ich habe jetzt selber noch ein bisschen geschaut, z.B. mit dem security task manager und bin dabei auf den im topic genannten Prozess gestossen. Allerdings wird der wohl nicht über eine Datei gestartet, sondern als alternativer Datenstrom vom ntfs... registry Einträge gibt es dazu auch... Habe mir Programme wie gmer, catchme, dss, fsbl besorgt , kann damit aber nicht viel anfangen, daher wollte ich erstmal fragen (bevor ich wild alle möglichen lofs poste) wie ich am besten vorgehen soll und was Ihr von mir braucht um mir helfen zu können, sofern Ihr das wollt. Gruß & Dank im voraus zoid |
C:\WINDOWS:MicrosoftOfficeUpdate.cmd ist die korrekte Schreibweise? Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Laufwerken. GMER - Rootkit Detection * Lade Gmer von hier * entpacke es auf den Dektop * Dopperlklicke die gmer.exe * Der Reiter Rootkit oben ist schon angewählt * Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries http://img464.imageshack.us/img464/9996/gmerzj1.jpg * Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern * nach Beendigung des Scan, drücke "Copy" * nun kannst Du das Ergebnis hier posten * Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden. |
Hallo, danke erstmal für die schnelle Meldung. Ja, die Bezeichnung ist genau so (siehe u.a. letzte Zeile gmer-log :(), google lieferte mir _keinen_ Treffer. Hier die logs: (Hatte mir dss.exe ja schon mal angesehen, ist das normal, dass die nur beim allerersten scan eine extra.txt liefert (eine moved.txt war auch noch dabei)? Ich hänge die extra.txt vom ersten scan an, die main.txt ist demnach etwas neuer, weil nochmal gescannt) main.txt: Code: Deckard's System Scanner v20071014.68 |
extra.txt: Code: Deckard's System Scanner v20071014.68 |
gmer: Code: GMER 1.0.14.14116 - http://www.gmer.net |
Ergänzung: Habe nen scan mit eScan gemacht, hier das Ergebnis der find.bat: Identifiziert wär's damit wohl... ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.6.9 Sprache: German Virus-Datenbank Datum: 1/31/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS:MicrosoftOfficeUpdate.cmd infiziert von "Backdoor.Win32.IRCBot.bei" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS:MicrosoftOfficeUpdate.cmd infiziert von "Backdoor.Win32.IRCBot.bei" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 658 Gefundene Viren: 2 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 2 Dauer des Scans bisher: 00:02:10 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Aktiviert Überprüfung aller Festplatten :Deaktiviert Batchstart: 17:33:41,12 Batchende: 17:33:45,28 |
Ist natürlich fies einen irc bot im ADS von %systemroot% zu verstecken. Theoretisch könnte mal die Sache auch rausoperieren, was aber keine gute Idee ist (Backdoor). Sicher Deine Dateien, formatiere C: (richtig, keine Schnellformatierung) und installiere Windows neu. |
... ja, finde ich auch! Wenigstens war die Vermutung richtig, ein schwacher Trost. :lmaa: Naja, ich habe den stream zumindest mal überschrieben, aber das vertrauen in's System ist natürlich hin. |
Für BackupZwecke können wir das löschen, aber mehr auch nicht! Es gilt: Rechner vom Netz und ihn neu Installieren, dannach alle Zugangsdaten ändern! 1. Starte das Notepad (Start / Ausführen / notepad[Enter]) 2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein. Code: Collect::3. Speichere im Notepad als CFScript.txt auf dem Dektop. 4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet. http://users.pandora.be/bluepatchy/m...s/CFScript.gif 5. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien: Combofix.txt 6. Nachdem das Log im Notepad aufgegangen ist, wird ein Fenster aufpoppen (Submit files for further analysis), dieses Fenster mit OK wegklicken, die Webseite dann aber schließen, das Formular nicht ausfüllen. Auf Deinem Desktop ist eine neue .Zip Datei vorhanden ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip). Diese Datei auf dem Desktop an http://img341.imageshack.us/img341/1485/emailvy0.th.gif mailen. Dann das Archiv und die CF-Submit.htm löschen und den Papierkorb leeren. Hinweis: Das obige Scipt ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann |
Hi, hab den ads schon "leer" überschrieben, bringt dann wohl nix mehr, oder? Könnte noch das archiv, mit dem Verursacher anbieten... thanx Zoid |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board