|
Hallo, Ich habe ein Trojaner-Problem Mein Virus-Scanner (Norton Anti-Virus) meldete mir nen IRC TROJAN unter c:\winnt\system32\incs.bat. Ich habe daraufhin incs.bat gelöscht (war vielleicht nicht so günstig? ). Die Sache scheint aber nicht erledigt zu sein. Jedesmal wenn ich mein System (Win2000) boote, startet nach dem Start eine Anwendung "Update", die sich offensichtlich zu nem IRC-Server verbinden will, der zugehörige Prozess ist explorer.exe. Kann mir jemand nen Tipp geben, wie ich hier weiterverfahren soll? Danke Peter999 |
Lade dir mal TrojanHunter runter und lasse den über dein System laufen. Und sag uns dann am besten mal welcher Trojaner gefunden wird. www.trojanhunter.com |
Trojan.IRC.KarmaHotel This trojan program consists of two scripts in HTML file. When an infected HTML page is opened, the VBS part of trojan is written to disk. The VBS part, in turn, creates another part (INI file), finds and modifies the initialization file of mIRC client, so that it allows mIRC client to respond to remote commands issued by other users, and turns off all Mirc warnings. Then mIRC is given a special initialization file that allows others to control the infected PC, download and upload files to it, read private messages in Mirc, etc. © Kaspersky Lab |
Danke erstmal, also, der Trojan Hunter hat nichts gefunden außer ein paar Warnings wegen Files mit Double Extension.... ich hab mit dem Norton alle beteiligten Files entfernen lassen, aber dennoch, jedesmal wenn ich das System starte, startet "Update" - mittlerweile habe ich irc deinstalliert. Ich habe in einem Forum, wo man Attachments anfügen kann, einen Screenshot ausgestellt. Vielleicht sagt euch das was? http://www.rollenspiele-undmehr.de/viewtopic.php?t=2425 |
den selben scheiss hab ich auch seit ein paar wochen. werde immer wieder von viren attackiert. bei mir öfftet sich das selbe fenster, wie bei dir. habe auch alles gelöscht, aber es kommt immer wieder. VERDAMMT [img]graemlins/kloppen.gif[/img] hoffe du hast abhilfe [img]graemlins/balla.gif[/img] bye! |
Dann ladet euch mal ne Testversion von KAV runter scannt damit euer System, Vieleicht findet der ja was. ciao P.S. Ansonsten mal mit Trojancheck 6 die Registry Run-Sektionen nach komisch aussehenden Dateien abklappern [img]graemlins/daumenhoch.gif[/img] |
is keiner druff. hmmm... :confused: |
um zu deinen Problem zu kommen ich habe auch seit einiger zeit ca. 2 Wochen einige Probs IRC Trojanern gehabt mein Antivirustool schlug Ständig an es entfernte die infizierten Dateien und nach einiger Zeit bekamm Ich Wieder eine Meldung das der gleiche Trojaner auf meinem system shon wieder vorhanden sei es handelte sich dabei um die Trojaner Backdoor.IRC.Zcrew Backdoor.Sdbot Downloader.Trojan Backdoor.Dvldr W32.HLLW.Deloder nachdem ich das System mit 3 Verschiedenen Antivirus Programmen durchsucht habe und es immernoch zu den meldungen gekommen war versuchte ich es mit einigen Anti-Trojaner Programmen die versuche scheiterten jedoch daran das die Folgen zwar angezeigt wurden jedoch die ursachen nicht behoben Also machte ich mich selbst auf die suche nach dem Verursacher und Dabei entdeckte ich in meinem wIN2000 Verzeichnissen Verschiedene Infizierte Dateien welche ich manuell in Quarantine gesteckt hatte dann machte ich mich auf mir die Ports mal genauer anzusehen und dabei entdeckte ich 2 dateien welche ports geöffnet hielten es handelte sich dabei um die ports 6667 und den port 445 es hat mich 2 Tage gekostet bis ich mein ganzes System durchforstet hatte und alle Dateien enndlich entfernen konnte welche das ganze Verursacht haben hier möchte ich die Verzeichnisse mit den Dateien nennen die dabei entdeckt wurden 1 Verzeichnis C:\WINNT\system32 Libparse.exe coldbot.exe 77463279.INS 37224256.INS 86102025.INS 46602466.INS 7058408.INS wget.exe reader.w kill.exe moo.dll servers.ini crs32.dll rconnect.conf remote.ini PipeCmdSrv.exe stde9.bat eleet.exe bootdrv.dll psexec.exe web.swf explore.DAT CRS.EXE svchost32.exe rconnect.log dms.exe crs32.old a.a STDE9.exe soulja.exe Km.a regsvc32.exe fControl.a IfControl.a Sa.exe zxtt.exe incs.bat inst.exe sb.bat sh.bat rb.bat 2 Verzeichnis C:\WINNT\Web\printers\images ipp_0003.gif ipp_0005.gif hidden32.exe svchost32.exe boywonder.dat Libparse.exe psexec.exe commands.txt navdb.dbx win32.vxd wget.exe eleet.exe explore.DAT regkeyadd.reg bootdrv.dll server.txt moo.dll 3 Verzeichnis C:\WINNT\win32 kill.exe abc.dll a.dll b.dll identd.exe attrib.exe moo.dll abc2.dll remote.ini ntsys.exe.tc3 4 Verzeichnis Das Verzeichniss ist ein Windows Standardverzeichnis wo allerdings diese Dateien nichts drin Verloren haben C:\WINNT\Fonts AImIRC.ini STDE9.exe Explorer.exe rundll32.exe bootdrv.dll Libparse.exe r.ini rconnect.log 5 Verzeichnis C:\WINNT\system32\fsys rconnect.log svchost32.exe web.swf 6 Verzeichnis C:\WINNT\system32\www MDX.DLL moo.dll VIEWS.MDX webserv.mrc so jetzt Müsste ich alle aufgezählt haben hoffe das der eine oder andere von euch dadurch ein paar lästige zeitgenossen loswerden kann auf jeden fall sollte man nicht vergessen noch die autostart einträge wegzulöschen an welche ihr gelangt in dem ihr auf Start/ Ausführen dann regedit eintippt danach sucht ihr nach dem verzeichnissen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices und löscht dort die einträge zu den obengenannten dateien falls vorhanden Viele Grüsse von August euren neuen member im Board :) p.s bevor ich es vergesse für alle die es interesiert wie diese dateien aufgebaut sind die .bat dateien könnt ihr euch mit dem editor ansehen zudem kann man mit winrar in die datei eleet.exe und noch einige andere hineinsehen da es selbstextrahierende Dateien sind ihr werdet dort auch noch einige zusätzliche infos dazu finden zb wohin die dateien entpoackt werden und woraus sie bestehen eine kleine suche in einigen suchmascheienen dürfte dann genau aufklären wozu diese dateien da sind |
Hallo, willkommen im Trojaner-Board! </font><blockquote>Zitat:</font><hr />Original erstellt von AUGUST: um zu deinen Problem zu kommen ich habe auch seit einiger zeit ca. 2 Wochen einige Probs IRC Trojanern gehabt</font>[/QUOTE]Mein lieber August ;) , das ist aber eine Liste, die fast ihresgleichen sucht. Besorge dir mal einen vernünftigen AV-/Trojanerschutz - wenn sich all das bei laufendem Hintergrundscanner installieren ließ... ei, ei, ei. Und vor allem: Starte keine _ausführbaren_ Dateien aus unseriösen Quellen wie eben Dateitauschbörsen! Hier geht's zum AV-Scanner: http://datsec.de/frame.asp?b=b5&p=p2 |
|
Hallo mmk Es ist ja nicht so das meine Antivirenprogramme nichts gesagt hätten sondern das sie es zwar gemeldet haben jedoch die ursachen nicht behoben haben zumindest die standardeinträge wie es sie bei allen namenhaften herstellern von Antivirussoftware zu dem Trojaner zu sehen gibt waren nicht vorhanden statdessen alle in abgeänderten formen und ein hintergrundwächter würde mir auch nur die änderungen in der Registry aufzeigen das waren gerade mal 2 Einträge allerdings die kettenreaktion welche diese verursachen ist fenomenal und gut gescriptet was die installation des ganzen betrifft so stell dir vor sind nur 2 dateien für alle diese Dateinamen die ich oben genannt habe verantwortlich in denen alles schön sauber verpackt gewesen ist nach den entpacken der dateien haben die restlichen scripte wie zb für das iroffer und das mybot xdcc usw. den rest erledigt den download die anderen dateien Übrigens die Antivirenprogramme waren Norton Antivirus Prof 2003 /PCillin 2003/MC AFFEE Werde auch mal einige andere Testen falls jemand noch eine gute Idee hat |
So KAV habe ich nun auch noch 2 mal über den PC laufen lassen und er konnte auch nichts entdecken habe den Norton wieder drauf und siehe da bekomme eine meldung das er eine datei gefunden hat es handelt sich dabei wieder um die im verzeichniss anbelegte C:\WINNT\System32\inst.exe Datei verbringe jetzt shon fast den ganzen tag Daran nach den verursacher im system zu suchen anscheinend reproduziert sich die Datei immernoch selbst in der Registry finde ich auch keinen verweis auf die datei irgendwo muss noch eine befehlszeile auf dem PC liegen welche zuständig ist die Datei zu reproduzieren vieleicht hat ja jemand noch eine idee wonach man auschau halten könnte eine verbindung nach draussen besteht nicht mehr nur noch das was ich auch erlaube es muss irgendwo von innen kommen aus einer .bat oder änlichen datei Mfg AUGUST |
Hallo, nutze bitte Trojancheck 6 ( http://trojancheck.de ), und poste hier dann den Bericht über die Registry-Einträge sowie alle laufenden Prozesse. |
|
Hallo mmk habe mir jetzt ein neues Prog mal gesaugt was eventuell aufschluss über die anwendungen im Hintergrund liefern wird es handelt sich dabei um REGRUN Control Center bin ganz zuversichtlich das ich noch das Fehlende teilchen des Puzzels herausfinden werde den zumindest nach aussen geht nichts mehr es ist jetzt nur noch eine Reproduktionsache innerhalb des Netzwerkes allerding schlagen die Antivir sofort Alarm sobald sich die Datei die inst.exe in ihre Ordner entpacken will Norton erkennt es als Backdoor.Dvldr an jetzt muss ich nur noch herausfinden welche Datei und in welchen fällen versucht wird den Trojaner zu installieren es kommt aber mit 99% sicherheit irgendwo aus dem internen netzwerk Danke auch an dich Cassandra der Link hatte mich auf eine Idee gebracht habe alle anderen PCS in meinen Netzwerk überprüft auf die gleichen Dateien und Infektionen weil die Vermutung nahe lag das eventuell innerhalb des Netzwerkes sich der Trojaner Regeneriert allerdings erfolglos falls jemand interesse haben sollte mal zu sehen wie solch eine befehlsdatei des trojaners ausieht würde ich einiges Posten was ich hier herausgefunden habe bei meinen nachforschungen Mfg. August |
Jo, gerne, jeder Zeit! Man lernt ja gerne dazu [img]smile.gif[/img] Du könntest alternativ (sofern noch vorhanden) auch mal die betreffenden Dateien an meine E-Mail-Adresse schicken (steht im Profil), dann kann ich selber mal schauen. Außerdem würde der Kandidat noch in meiner Sammlung fehlen. Wäre jedenfalls nett von Dir [img]smile.gif[/img] . Gruß, Cassandra |