meine tochter hat eine solche mail geöffnet bzw. diesen zip.anhang. sie sagt jedoch, dass sich daraufhin nicht getan hätte. jetzt weiss ich aber gar nicht, ob sich eine solche datei erst öffnen muss, um schaden anzurichten. hab jedenfalls mehrfach das virensuchprogramm durchlaufen lassen, aber f-secure findet nichts. trotzdem glaube ich, dass sich etwas auf dem pc findet, denn ich habe folgendes gefunden :
Troj/DwnLdr-GTK ist ein Trojaner für die Windows-Plattform. Troj/DwnLdr-GAK enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren. Der Trojaner enthält Funktionalität, um Dateien von einem remoten Speicherort herunterzuladen und auszuführen. Sobald er ausgeführt wird, kopiert sich Troj/DwnLdr-GTK nach <System>\isca.exe und erstellt die Datei <System>\drivers\qas.tx. Die Datei qas.tx ist harmlos und kann einfach gelöscht werden. Der folgende Registrierungseintrag wird erstellt, um isca.exe beim Start auszuführen: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run gtydf iscca.exe Der folgende Registrierungseintrag wird erstellt: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion wef 505
suche ich in der registrierung nun nach einträgen wie gtydf oder wef505, fährt der pc automatisch runter und anschließend wieder hoch und meldet mir einen schweren ausnahmefehler. da muss sich also noch was versteckt halten. nur, wo ? wie finde ich das heraus ?
hier mein hijack-logfile :
Logfile of HijackThis v1.99.1 Scan saved at 12:22:06, on 14.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Erst einmal sei gesagt dass Zip Archive nicht nur Dateien entpacken, sondern auch Anwendungen die sie beinhalten starten können. Das machen sogar die meisten Trojaner so, da es am unauffälligsten ist. Desweiteren kann es sein dass der Trojaner für dein Antivirenprogramm undetected gemacht wurde was ich hier eher nicht glaube da die Mail ja anscheinend nicht nur an dich gerichtet war. Undetected heißt eben dass dein Antivirenprogramm das ganze nicht erkennt (lässt sich über die Offsetpfade des Trojaners machen).
Generell solltest du im abgesicherten Modus nach Viren suchen (beim Hochfahren F8 drücken). Nach möglichkeit vllt noch ein zweites Antivirenprogramm benutzen oder am besten gleich etwas wie Knoppix benutzen. Knoppix ist ein linuxbasiertes System dass du von CD starten kannst und damit deine Festplatte nach Schädlingen durchsuchen kannst.
An deinem Logfile ist mir im Moment nichts wirklich bösartiges aufgefallen. Vllt glück gehabt? Bin aber noch müde also sei dir nicht so sicher und versuchs mal mit Knoppix
CPU-Auswertung --> Kann in manchen Fällen vllt darauf hindeuten. Ist aber kein verlass drauf. Bei Windows machen viele Dateien einfach was sie wollen
Fährt der Rechner nur runter wenn du nach genau diesen Begriffen in der Registry suchst oder passiert das auch sonst? Kannst du dich manuell durchklicken bis zu den passenden Einträgen? Hast du es schonmal im abgesicherten Modus versucht ?
In der Tat ist es so, dass manche Trojaner dem Urheber/Benutzer erlauben die Registry für Anwendungen zu sperren oder den Zugriff durch den Benutzer zu sperren. Sollte die Registry wirklich nur bei den Begriffen des besagten Trojaners Probleme machen kann es durchaus möglich sein.
Hallo, deine Theorie bezüglich der Registrysperrung durch Trojaner ist insoweit falsch,als das die ganze Registry "gesperrt" werden muß.Eine Sperre für einen einzigen Eintrag ist unmöglich und auch völlig zwecklos....
..und weil ich gerade beim "Geraderücken bin,das auch noch gleich...
Quote
der Trojaner für dein Antivirenprogramm undetected gemacht wurde
Das ist ** Netiquette! **. Wenn ein Trojaner nicht erkannt wird,dann deshalb weil ihn das AV-Proggi noch nicht kennt.Der Begriff "undetected machen" existiert nur in den Kleinhirnen von Möchtegernhackern und Scriptkiddys...
Quote
(lässt sich über die Offsetpfade des Trojaners machen).
Das wäre mir ganz neu.Schon der Begriff "offsetpfade" kenne ich nicht... Würdest du das näher ausführen können oder einen Link zur Verfügung stellen können,der mein Unwissen beseitigen kann ? Sir Reklov, der gerne mit den Geschichtchen der Superhacker aufräumt...
Dieser Videopatch könnte deine Kiste völlig überfordern... Abhilfe wäre deinstallieren und den alten reiber zurück holen. Dann versuche mal ,ob dein Problem noch existiert... Sir Reklov
Du meinst demnächst ,oder ? Selbst für das Erstsemester sollte man schon mehr drauf haben....
Quote
Es erkennt bestimmte Signaturen des Trojaners die wir hier als Offset bezeichnen
Den Begriff "Offsetdatei"habt ihr trotzdem ganz exklusiv...selbst Google kann damit nix anfangen...
Quote
herausfinden welche Bereiche (die sogenannten Offsets) das Antivirenprogramm erkennt und diese dann verändern.
Mir ist kein AV-Proggi bekannt das zur Signaturerkennung den "Hex-Code" nutzt.Veränderst du diesen mit dem Hexeditor hast du auch den Trojaner verändert,meistens(fast nur) in Hinsicht auf seine Funktinalität.Du machst ihn also kaputt...
Quote
aber gleichzeitig der Pfad so geändert wird
Kein Scanner guggt nach einem Pfad,er vergleicht nur Nullen und Einsen auf eine bestimmte Reihenfolge... Könnte es sein das du davon sprichst,eine Datei vor "Hijackthis" zu verstecken ? Dann hättest du recht,das wäre ein zwar komplizierter aber gangbarer Weg. Allerdings sind doch Informatikstudenten es gewohnt sich korrekt auszudrücken... Für gewöhnlich braucht man den Hexadezimalcode zur Anpassung von Farbwerten an den Monitor.Damit du auch drucken kannst was du siehst... Das ist was für ambitionierte Hobbyfotografen und wird vorwiegend in deren "Photoshop".Programmen verwendet. Natürlich ist es nicht die einzige Verwendung,aber die Gebräuchlichste....
PS. Es ist schon eine Weile her,da habe ich so einen wie dich auch schon rasiert... Der hatte die gleichen Geheimwissentschaften "studiert"...
Quote
ob du wirklich so ein Supergenie bist wie du sagst
Das ist übrigens von meiner Seite so nie gefallen,wenn es aber dein subjektiver Eindruck ist...so danke ich dafür...
Quote
solltest du erstmal darüber nachdenken
Dito... Ich schreib mal schnell ein Hex und du veränderst mir den ,ja ? Ich machs dir auch nicht alzu schwer.... Sir Reklov
Jetzt habe ich geschnallt was du meinst wenn du Offsetdatei sagst...
Du sprichst dabei von einem geöffneten Hexeditor und redest von den Zahlen ganz links..... Das nennt man "offset" ? Okay ,das wäre mir neu,wenn dem so ist.....da habe ich wohl gepennt als das dran war... Zu meiner Zeit hieß das noch Dateibeginn oder Dateianfang,aber ohne Gewähr.... Aber die "Verenglischung" der Sprache scheint nicht aufzuhalten zu sein... Sir Reklov
Gott bist du arrogant Arrogant und dumm. ^^ Mit solchen Leuten rede ich normalerweise gar nicht ^^ Als Offset bez. man tatsächlich die Stelle und von einem Offset zum nächsten nenn ich Pfad Tolle Bezeichung gell? Kannst du ohne Google nicht leben ? Google ist nicht allwissend und hat vllt auch viele Seiten die über solche Sachen diskutieren gesperrt? Schonmal drüber nachgedacht Sir Butterblume?
Und ja es funktioniert wirklich ich hab es mit Antivir getestet und es hat prima geklappt. Da staunste was? Und ja es kann sein dass man durch ändern eines Wertes die Funktionalität ändert Deswegen hatte ich ja geschrieben dass man rumprobieren muss gelle Mr. Helle ? Ich hab auch nie "Offsetdatei" gesagt. Anscheinend kannst du weder denken noch lesen. Deswegen lass ich das jetzt hier.
PS. Es ist schon eine Weile her,da habe ich so einen wie dich auch schon rasiert... Der hatte die gleichen Geheimwissentschaften "studiert"...
--> Rasierer wurden dafür gemacht dass jeder Dummkopf sie bedienen kann Danke für das praktische Beispiel
Am besten verkriechst du dich in deinen Keller zurück denn den Thread hier hat jemand aufgemacht der Hilfe braucht und deswegen wollen wir ihm helfen. Ich werd dir nicht mehr antworten egal was für nen geistigen Dünnschiss du nun fabrizierst War lustig dich kennen gelernt zu haben
Ich weiß nicht was du gelernt hast aber mit Computern scheints nicht viel zu tun zu haben
uuuh, also ich habe nicht beabsichtigt, dass sich aufgrund meines problems andere in die haare kriegen...
nun zur sache...
antiVir findet auch nichts. im abgesicherten modus in der registry gesucht...die selbe macke. pc fährt munter runter und rauf, wenn ich nach wef505, nurech oder gtydf suche...
er hat dies aber auch gemacht, als ich nach $sys$cor.sys gesucht habe. hatte beim suchen nämlich auch $sys$aries-einträge gefunden, die aus einer infektion durch das SONY-rootkit entstanden sind. hatte dies jedoch damals mit deren tool gelöscht und auch das ensprechende tool von lavasoft hat mir bestätigt dbzgl. sorgenfrei zu sein. trotzdem kann ich jedoch einige systemtreiber-registryeinträge nicht löschen (u.a. HKLM\SYSTEM\CurrentControlSet\Enum\oot\Legacy_$Sys$Oct bzw.$Sys$Lim), aber das ist dann wohl ein anderes problem...
deine Meldung ganz oben sieht aus wie die "erweiterte Erklärung" bei Sophos beispielsweise... Hast du denn eine Meldung bekommen,direkt von Antivir ? So in der Art "in Datei soundso wurde diesunddas gefunden" "In Qurantäne verschieben?" Sollte dieser Trojaner bei dir Zugang gefunden haben(gestartet/ausgeführt),so ist das von Übel.... Deine obige Meldung besagt nämlich das daß ein Backdoortrojaner ist.Ein zuverlässiges Entfernen kann dann nur durch eine Neuinstallation gewährleistet werden. Er müßte allerdings von so ziemlich jedem Scanner erkannt werden,neu isser nämlich nicht. Antivir schreibt doch ein Log,über die Vorkomnisse,oder ? Schau da mal rein...
Dein Registryabsturz ist doch recht merkwürdig..... Passiert der nur im abgesicherten Modus ? Registry besuchen,geht auch im Normalmodus.Dort das gleiche Problem ? Gibt die Ereignisanzeige was her ? Hat der Gerätemanager was zu meckern ? Sir Reklov
"deine Meldung ganz oben sieht aus wie die "erweiterte Erklärung" bei Sophos beispielsweise..." --> genau. das ist das, was ich über google dazu gefunden habe. und zwar, wie du richtig vermutest, von sophos. diese infos gaben den ausschlag, nach diesen einträgen in der registry zu suchen, um gewissheit zu erlangen, ob sich etwas eingeschlichen hat.
"Hast du denn eine Meldung bekommen,direkt von Antivir ? So in der Art "in Datei soundso wurde diesunddas gefunden" "In Qurantäne verschieben?"" --> nein, weder von F-Secure, noch vom (zusätzlich) neuinstallierten AntiVir. Auch der HijackThis-log scheint ja eher unverdächtig zu sein.
"Sollte dieser Trojaner bei dir Zugang gefunden haben(gestartet/ausgeführt),so ist das von Übel.... Deine obige Meldung besagt nämlich das daß ein Backdoortrojaner ist" --> Das ist es ja...Ich wäre ja froh, wenn ich glücklich davongekommen wäre, andererseits macht es mich kribbelig, dass ich nichts finde...
"Er müßte allerdings von so ziemlich jedem Scanner erkannt werden,neu isser nämlich nicht. Antivir schreibt doch ein Log,über die Vorkomnisse,oder ? Schau da mal rein..." -->Nichts auffälliges.
"Dein Registryabsturz ist doch recht merkwürdig....." --> Das ist ja uach der Grund, der mich weiter suchen lässt. Wäre dies nicht der Fall, hätte ich die Sache bereits ad acta gelegt.
"Passiert der nur im abgesicherten Modus ? Registry besuchen,geht auch im Normalmodus.Dort das gleiche Problem ?" --> Problem besteht in beiden Modi.
"Gibt die Ereignisanzeige was her ? Hat der Gerätemanager was zu meckern ?" --> Soweit ich das beurteilen kann : alles unauffällig. Bin aber nicht der PC-Profi. Insofern fehlt mir die Erfahrung, dass evtl richtig zu deuten.Muss da nochmal näher hinschauen. Habe mir diesbezüglich schon die Tools ProcessExplorer, PrcView und Taskmanager runtergeladen...(und auch angewendet, aber auf den ersten Blick wird die Hijack-Analyse bestätigt)
Logged
und von einem Offset zum nächsten nenn ich Pfad 
Bookmark:
