Die Community PC-Techniker Portal IoT
Allgemeines Computer Forum => Internet => Thema gestartet von: kv-70 am Mai 31, 2007, 08:53:50
-
Hallo Leute
Ich habe ein Trojaner oder Wurm eingefangen . Güte Klasse 1 .
Mein Problem ist ,ich find den Wurm oder Trojaner nicht .
Der Trojaner hat mein Win Firewall Dekt. ,Virus Scanner vernichtet (alle exe Datein von Avast )
,Abgesichterter modus nicht zu ereichen und NeuInstallation nicht möglich vom Viren Scanner .
Msconfig alles Deaktiviert um überhaupt noch was machen zu können .
Kann mir jemand helfen . Wie ich den Wurm finden kann ?
Habe schon paar Trojaner Scanner ausprobiert .Entweder kein Tojaner gefunden oder das programm hat sich selbst gelöscht . Werde später format C. machen nur ich möchte gerne wissen was für ein ...... Trojaner das ist .
Danke vor ab .
-
Hallo,
unter Windows würde ich die Platte mal mit Avira AntiVir, Ad-Aware und Spybot Search & Destroy überprüfen. Mit den 3 Programmen habe ich bisher alles gefunden.
Wenn der Trojaner/Virus so fies sein sollte, dass er alle diese Programme außer Funktion setzt, hast Du nur noch die Möglichkeit, die Platte unter DOS zu testen. Wenn Du ein Diskettenlaufwerk hast, kannst Du den Rechner mit einer Startdiskette hochfahren und anschließen das kostenlose F-PROT Antivirus for DOS starten (unbedingt die neuste Virendefinition dazu herunterladen):
http://www.f-prot.com/products/home_use/dos/
Falls Du kein Diskettenlaufwerk mehr hast, kannst Du Dir alternativ die bootfähige "Ultimate Boot CD" herunterladen, auf CD brennen und damit den PC hochfahren:
http://ubcd.sourceforge.net/
Darauf befinden sich ebenfalls F-Prot Antivirus und McAfee Antivirus Scanner für DOS. Auch sonst ist diese CD ein wahres Meisterwerk, weil sie alle wichtigen DOS-Tools enthält, die man früher immer erst auf Disketten zusammensuchen musste... :-D
Viel Glück wünscht
Alex
-
Ja wie schon geschrieben, ist es am besten solche Viren und Würmer dann offline zu jagen.
Am besten mit ner CD, da gibt es komfortabelsten Möglichkeiten.
Bei <a href="http://www.pc-techniker.org/forum/index.php?topic=3668.0">MScan-0.3</a> gibt es zB. auch die Möglichkeit die Virensignatur direkt übers Internet zu aktualisieren. Bei vielen anderen Lösungen ist man leider oft auf den Ausgabestand angewiesen (also keine alten CDs ausgraben).
Ansonsten wenn es Probleme beim entfernen von Viren gibt, wirkt der abgesicherte Modus oft schon Wunder.
-
Hallo Leute
Werde es mal probieren unter dos .
Habe auch schon ein Wurm Name herausgefunden im Log datei von Avast .
Der Wurm nennt sich win32 Beagle-UU.
Spyware ,Adware,Spyboot und Virus Scanner nicht möglich zu Installieren .
Abgesicherter Modus würde mir schon eine menge helfen .
Nur wenn ich mit abgesicherter Modus starte dann komme ich nicht mehr auf den Desktop . Weill der Wurm die Funktion blockiert und es beim Anmelden nicht weiter geht .
-
Hallo,
nachdem Du jetzt weißt, welcher Wurm es ist, kannst Du ja mal den kostenlosen Avast Virus Cleaner darüber laufen lassen, der müsste alle Beagle-Viecher erkennen und entfernen:
http://www.avast.com/eng/avast-virus-cleaner.html
Solche kostenlosen Removal-Tools gibts z. T. auch bei Symantec auf der Support-Seite. Dort kannst Du auch einen Online-Check machen, aber wie gesagt: Unter Windows verhindern die Viecher oft erfolgreich ihre eigene Entfernung.
Gruß
Alex
-
Avast remove tool habe ich auch schon probiert . kein erfolg . Hat kein Virus gefunden . Habe im Internet scanner wird entweder geblockt . Habe jetzt Blacklight runtergeladen . Mal sehen was das bringt .
-
W32.Beagle.DZ . Das stand im Protokoll Blackli. .
Jetz suche ein Remove Tool .
Protokoll : http://www.hijackthis.de/#anl
(http://img53.imageshack.us/img53/4118/unbenannthf3.jpg) (http://imageshack.us)
05/31/07 15:52:22 [Info]: BlackLight Engine 1.0.61 initialized
05/31/07 15:52:22 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/31/07 15:52:22 [Note]: 7019 4
05/31/07 15:52:22 [Note]: 7005 0
05/31/07 15:52:27 [Note]: 7006 0
05/31/07 15:52:27 [Note]: 7011 532
05/31/07 15:52:27 [Note]: 7026 0
05/31/07 15:52:27 [Note]: 7026 0
05/31/07 15:52:29 [Note]: FSRAW library version 1.7.1021
05/31/07 15:52:30 [Info]: Hidden file: c:\Dokumente und Einstellungen\kv\Anwendungsdaten\hidires\hidr.exe
05/31/07 15:52:30 [Note]: 10002 2
05/31/07 15:52:30 [Info]: Hidden file: c:\Dokumente und Einstellungen\kv\Anwendungsdaten\hidires\m_hook.sys
05/31/07 15:52:30 [Note]: 10002 2
05/31/07 15:52:30 [Note]: 10002 3
05/31/07 15:52:30 [Note]: 10002 3
05/31/07 15:52:30 [Note]: 10002 2
05/31/07 15:52:30 [Note]: 10002 2
05/31/07 15:52:30 [Note]: 4013 2847
05/31/07 15:52:30 [Note]: 4020 10047 65536
05/31/07 15:52:30 [Note]: 4020 10047 65536
05/31/07 15:52:30 [Note]: 4018 10047 65536
05/31/07 15:52:30 [Note]: 4013 2850
05/31/07 15:52:30 [Note]: 4020 10047 65536
05/31/07 15:52:30 [Note]: 4018 10047 65536
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Empty.txt
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Filters.xml
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\news.png
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\paint.png
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Profiles\Blank.txt.ren
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample1.jpg.ren
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Info]: Hidden file: c:\Programme\Movie Maker\Shared\Sample2.jpg.ren
05/31/07 15:52:57 [Note]: 10002 3
05/31/07 15:52:57 [Note]: 10002 2
05/31/07 15:52:57 [Note]: 10002 2
05/31/07 15:54:53 [Note]: 10002 2
05/31/07 15:54:53 [Note]: 10002 2
05/31/07 15:55:20 [Note]: 7007 0
-
@kv-70
Versuch mal mit ewido
http://www.ewido.net/de/download/
-
Hi Kv-70 :-)
Hast du mal Konsolenstamm versucht ? um die Deaktivierten Proggys wieder zu Aktivieren?
Unter -Start -Ausführen-mmc eingeben oder gpedit.msc<--schnellzugriff
msconfig=Systemstart mal anschauen.
In der Windows Regiestierung abheften.Laufende oder getarnte sachen.
Start-ausführen-regedit.Dann HKEY_Local_Machine---Software-Microsoft-Windows-Current Version--RUn --->
oder runonce.Schau da mal ob da was drin ist.Dazu einmal auf run klicken,rechte sparte.
Im Taskmanager Prozzesse ansehen.Sollte dieser Deaktiviert sein ,via Konsolenstammbaum Aktivieren. Administrative vorlangen,hier kannst es wieder Aktivieren.
Sollten Div.Dienste Deaktiviert sein -gpedit.msc unter start -ausführen eingeben und wieder auf "ein" machen.Wenn dieser Befehl nicht geht, lass es mich wissen ,muss nun essen u Lernen dann Schreibe ich dir rein wie man diesen umgehen kann und trotzdem ans Ziel kommt.
Viel Glück.
mfg_logan
-
Aktivieren geht nicht . Die Exe Daten werden dabei gelöscht . Deswegen starteten die Programme nicht mehr . Regit Run ist nichts aufäliges zu sehen .
Julia : Das Programm hat zwar Paar Cokies gefunden aber ein Trojaner (Nein)
Das Update wurde gleich vom Trojaner geblockt .
Wenn ich irgend wie im abgesicherten Modus rein kommen würde .
-
@Kv-70
dann versuch mal mit Trojan Remover
http://www.chip.de/downloads/c1_downloads_13015091.html
guck doch auch mal hier nach
http://www.anti-trojan.net
-
Julia : Habe den Trojan Remover
getestet . Der Remover hat schon mal paar Trojaner entdeckt und gelöscht . :hail
Nur den win32 Beagle wurm noch nicht :kratz. Jedenfalls kann ich wieder mein
Avast Installieren .
Macht grade ein Scann . Werde nacher den Blacklight Scannen lassen wieviel Trojaner noch da
sind . Das Programm ist nicht schlecht . Das Dos Programm von www.anti-trojan.net
Funktioniert irgend wie nicht . :kratz Muss ich das unter cmd extra starten ?
-
Das Dos Programm von www.anti-trojan.net
Funktioniert irgend wie nicht . Kratz Muss ich das unter cmd extra starten ?
dann hier
http://www.pcwelt.de/index.cfm?pid=260&pk=8833&dl=9012&p=2
oder
http://www.emsisoft.com/en/software/download/
-
Danke Julia
:hail
Habe noch Spyware Doctor und Spybot installiert .
Spyware Doctor hat den w32 Beagle gelöscht und noch ein Trojaner Stufe 2 .
Spybot werde ich noch mal laufen lassen . Neu Installation werde ich auch noch machen . Habe zu viele Daten gelöscht und habe jetzt nur Caos auf den Rechner :-D .
Werde aber noch bis morgen abend warten um zu sehen ob sich der W32 Beagle sich wieder Aktiviert . Wenn alles ok ist werde ich hier eine genaue beschreibung rein schreiben wie man den Virus mit welche Software zu finden ist und wie man den Trojaner vernichten kann .
Das war echt eine ganz schwere Geburt . Habe jetzt genau 37 Stunden gebraucht und wäre fast verückt geworden .
-
Hier mein Bericht
Name : W32.Beagle.DZ
Betriebsysteme :
• alle Windows
Infiezierung durch :
• E-Mail und Download .Den Wurm Bekommt man Hauptsächlich von eine E-Mail die von Ea Games geschickt wird
Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Erstellt eine potentiell gefährliche Datei
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Folgende Dateien werden gelöscht:
• a2guard.exe
• aavshield.exe
• AckWin32.exe
• ADVCHK.EXE
• AhnSD.exe
• airdefense.exe
• ALERTSVC.EXE
• ALMon.exe
• ALOGSERV.EXE
• ALsvc.exe
• amon.exe
• Anti-Trojan.exe
• AntiVirScheduler
• AntiVirService
• ANTS.EXE
• APVXDWIN.EXE
• Armor2net.exe
• ashAvast.exe
• ashDisp.exe
• ashEnhcd.exe
• ashMaiSv.exe
• ashPopWz.exe
• ashServ.exe
• ashSimpl.exe
• ashSkPck.exe
• ashWebSv.exe
• aswUpdSv.exe
• ATCON.EXE
• ATUPDATER.EXE
• ATWATCH.EXE
• AUPDATE.EXE
• AUTODOWN.EXE
• AUTOTRACE.EXE
• AUTOUPDATE.EXE
• avciman.exe
• Avconsol.exe
• AVENGINE.EXE
• avgamsvr.exe
• avgcc.exe
• AVGCC32.EXE
• AVGCTRL.EXE
• avgemc.exe
• avgfwsrv.exe
• AVGNT.EXE
• avgntdd
• avgntmgr
• AVGSERV.EXE
• AVGUARD.EXE
• avgupsvc.exe
• avinitnt.exe
• AvkServ.exe
• AVKService.exe
• AVKWCtl.exe
• AVP.EXE
• AVP32.EXE
• avpcc.exe
• avpm.exe
• AVPUPD.EXE
• AVSCHED32.EXE
• avsynmgr.exe
• AVWUPD32.EXE
• AVWUPSRV.EXE
• AVXMONITOR9X.EXE
• AVXMONITORNT.EXE
• AVXQUAR.EXE
• BackWeb-4476822.exe
• bdmcon.exe
• bdnews.exe
• bdoesrv.exe
• bdss.exe
• bdsubmit.exe
• bdswitch.exe
• blackd.exe
• blackice.exe
• cafix.exe
• ccApp.exe
• ccEvtMgr.exe
• ccProxy.exe
• ccSetMgr.exe
• CFIAUDIT.EXE
• ClamTray.exe
• ClamWin.exe
• Claw95.exe
• Claw95cf.exe
• cleaner.exe
• cleaner3.exe
• CliSvc.exe
• CMGrdian.exe
• cpd.exe
• DefWatch.exe
• DOORS.EXE
• DrVirus.exe
• drwadins.exe
• drweb32w.exe
• drwebscd.exe
• DRWEBUPW.EXE
• ESCANH95.EXE
• ESCANHNT.EXE
• ewidoctrl.exe
• EzAntivirusRegistrationCheck.exe
• F-AGNT95.EXE
• F-PROT95.EXE
• F-Sched.exe
• F-StopW.EXE
• FAMEH32.EXE
• FAST.EXE
• FCH32.EXE
• FireSvc.exe
• FireTray.exe
• FIREWALL.EXE
• fpavupdm.exe
• freshclam.exe
• FRW.EXE
• fsav32.exe
• fsavgui.exe
• fsbwsys.exe
• fsdfwd.exe
• FSGK32.EXE
• fsgk32st.exe
• fsguiexe.exe
• FSM32.EXE
• FSMA32.EXE
• FSMB32.EXE
• fspex.exe
• fssm32.exe
• gcasDtServ.exe
• gcasServ.exe
• GIANTAntiSpywareMain.exe
• GIANTAntiSpywareUpdater.exe
• GUARD.EXE
• GUARDGUI.EXE
• GuardNT.exe
• HRegMon.exe
• Hrres.exe
• HSockPE.exe
• HUpdate.EXE
• iamapp.exe
• iamserv.exe
• ICLOAD95.EXE
• ICLOADNT.EXE
• ICMON.EXE
• ICSSUPPNT.EXE
• ICSUPP95.EXE
• ICSUPPNT.EXE
• IFACE.EXE
• INETUPD.EXE
• InocIT.exe
• InoRpc.exe
• InoRT.exe
• InoTask.exe
• InoUpTNG.exe
• IOMON98.EXE
• isafe.exe
• ISATRAY.EXE
• ISRV95.EXE
• ISSVC.exe
• JEDI.EXE
• KAV.exe
• kavmm.exe
• KAVPF.exe
• KavPFW.exe
• KAVStart.exe
• KAVSvc.exe
• KAVSvcUI.EXE
• KMailMon.EXE
• KPfwSvc.EXE
• KWatch.EXE
• livesrv.exe
• LOCKDOWN2000.EXE
• LogWatNT.exe
• lpfw.exe
• LUALL.EXE
• LUCOMSERVER.EXE
• Luupdate.exe
• MCAGENT.EXE
• mcmnhdlr.exe
• mcregwiz.exe
• Mcshield.exe
• MCUPDATE.EXE
• mcvsshld.exe
• MINILOG.EXE
• MONITOR.EXE
• MonSysNT.exe
• MOOLIVE.EXE
• MpEng.exe
• mpssvc.exe
• MSMPSVC.exe
• myAgtSvc.exe
• myagttry.exe
• navapsvc.exe
• NAVAPW32.EXE
• NavLu32.exe
• NAVW32.EXE
• NDD32.EXE
• NeoWatchLog.exe
• NeoWatchTray.exe
• NISSERV
• NISUM.EXE
• NMAIN.EXE
• nod32.exe
• nod32krn.exe
• nod32kui.exe
• NORMIST.EXE
• notstart.exe
• npavtray.exe
• NPFMNTOR.EXE
• npfmsg.exe
• NPROTECT.EXE
• NSCHED32.EXE
• NSMdtr.exe
• NssServ.exe
• NssTray.exe
• ntrtscan.exe
• NTXconfig.exe
• NUPGRADE.EXE
• NVC95.EXE
• Nvcod.exe
• Nvcte.exe
• Nvcut.exe
• NWService.exe
• OfcPfwSvc.exe
• OUTPOST.EXE
• PAV.EXE
• PavFires.exe
• PavFnSvr.exe
• Pavkre.exe
• PavProt.exe
• pavProxy.exe
• pavprsrv.exe
• pavsrv51.exe
• PAVSS.EXE
• pccguide.exe
• PCCIOMON.EXE
• pccntmon.exe
• PCCPFW.exe
• PcCtlCom.exe
• PCTAV.exe
• PERSFW.EXE
• pertsk.exe
• PERVAC.EXE
• PNMSRV.EXE
• POP3TRAP.EXE
• POPROXY.EXE
• prevsrv.exe
• PsImSvc.exe
• QHM32.EXE
• QHONLINE.EXE
• QHONSVC.EXE
• QHPF.EXE
• qhwscsvc.exe
• RavMon.exe
• RavTimer.exe
• Realmon.exe
• REALMON95.EXE
• Rescue.exe
• rfwmain.exe
• Rtvscan.exe
• RTVSCN95.EXE
• RuLaunch.exe
• SAVAdminService.exe
• SAVMain.exe
• savprogress.exe
• SAVScan.exe
• SCAN32.EXE
• ScanningProcess.exe
• sched.exe
• sdhelp.exe
• SERVIC~1.EXE
• SHSTAT.EXE
• SiteCli.exe
• smc.exe
• SNDSrvc.exe
• SPBBCSvc.exe
• SPHINX.EXE
• spiderml.exe
• spidernt.exe
• Spiderui.exe
• SpybotSD.exe
• SPYXX.EXE
• SS3EDIT.EXE
• stopsignav.exe
• swAgent.exe
• swdoctor.exe
• SWNETSUP.EXE
• symlcsvc.exe
• SymProxySvc.exe
• SymSPort.exe
• SymWSC.exe
• SYNMGR.EXE
• TAUMON.EXE
• TBMon.exe
• TC.EXE
• tca.exe
• TCM.EXE
• TDS-3.EXE
• TeaTimer.exe
• TFAK.EXE
• THAV.EXE
• THSM.EXE
• Tmas.exe
• tmlisten.exe
• Tmntsrv.exe
• TmPfw.exe
• tmproxy.exe
• TNBUtil.exe
• TRJSCAN.EXE
• Up2Date.exe
• UPDATE.EXE
• UpdaterUI.exe
• upgrepl.exe
• Vba32ECM.exe
• Vba32ifs.exe
• vba32ldr.exe
• Vba32PP3.exe
• VBSNTW.exe
• vchk.exe
• vcrmon.exe
• VetTray.exe
• VirusKeeper.exe
• VPTRAY.EXE
• vrfwsvc.exe
• VRMONNT.EXE
• vrmonsvc.exe
• vrrw32.exe
• VSECOMR.EXE
• Vshwin32.exe
• vsmon.exe
• vsserv.exe
• VsStat.exe
• WATCHDOG.EXE
• WebProxy.exe
• Webscanx.exe
• WEBTRAP.EXE
• WGFE95.EXE
• Winaw32.exe
• winroute.exe
• winss.exe
• winssnotify.exe
• WRADMIN.EXE
• WRCTRL.EXE
• xcommsvr.exe
• zatutor.exe
• ZAUINST.EXE
• zlclient.exe
• zonealarm.exe
• _AVP32.EXE
• _AVPCC.EXE
• _AVPM.EXE
Es wird folgende Datei erstellt:
• – %home%\Application Data\hidires\m_hook.sys Weitere Untersuchungen haben ergeben,dass diese Datei auch Malware ist. Erkannt als: TR/Proxy.Mitglieder.EA
Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• drvsyskit = %home%\Application Data\hidires\hidr.exe
Die folgenden Registryschlüssel werden hinzugefügt um den Service nach einem Neustart des Systems erneut zu laden.
– [HKLM\SYSTEM\CurrentControlSet\Services\m_hook]
• Type = dword:00000001
• Start = dword:00000003
• ErrorControl = dword:00000000
• ImagePath = \??\%home%\Application Data\hidires\m_hook.sys
• DisplayName = Empty
– [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Security]
• Security = %Hex Werte%
– [HKLM\SYSTEM\CurrentControlSet\Services\m_hook\Enum]
• 0 = Root\\LEGACY_M_HOOK\\0000
• Count = dword:00000001
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]
• NextInstance = dword:00000001
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000]
• Service = m_hook
• Legacy = dword:00000001
• ConfigFlags = dword:00000000
• Class = LegacyDriver
• ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
• DeviceDesc = Empty
– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK\0000\
Control]
• *NewlyCreated* = dword:00000000
• ActiveService = m_hook
Liste der Prozesse die beendet werden:
• a2guard.exe; aavshield.exe; AckWin32.exe; ADVCHK.EXE; AhnSD.exe;
airdefense.exe; ALERTSVC.EXE; ALMon.exe; ALOGSERV.EXE; ALsvc.exe;
amon.exe; Anti-Trojan.exe; AntiVirScheduler; AntiVirService; ANTS.EXE;
APVXDWIN.EXE; Armor2net.exe; ashAvast.exe; ashDisp.exe; ashEnhcd.exe;
ashMaiSv.exe; ashPopWz.exe; ashServ.exe; ashSimpl.exe; ashSkPck.exe;
ashWebSv.exe; aswUpdSv.exe; ATCON.EXE; ATUPDATER.EXE; ATWATCH.EXE;
AUPDATE.EXE; AUTODOWN.EXE; AUTOTRACE.EXE; AUTOUPDATE.EXE; avciman.exe;
Avconsol.exe; AVENGINE.EXE; avgamsvr.exe; avgcc.exe; AVGCC32.EXE;
AVGCTRL.EXE; avgemc.exe; avgfwsrv.exe; AVGNT.EXE; avgntdd; avgntmgr;
AVGSERV.EXE; AVGUARD.EXE; avgupsvc.exe; avinitnt.exe; AvkServ.exe;
AVKService.exe; AVKWCtl.exe; AVP.EXE; AVP32.EXE; avpcc.exe; avpm.exe;
AVPUPD.EXE; AVSCHED32.EXE; avsynmgr.exe; AVWUPD32.EXE; AVWUPSRV.EXE;
AVXMONITOR9X.EXE; AVXMONITORNT.EXE; AVXQUAR.EXE; BackWeb-4476822.exe;
bdmcon.exe; bdnews.exe; bdoesrv.exe; bdss.exe; bdsubmit.exe;
bdswitch.exe; blackd.exe; blackice.exe; cafix.exe; ccApp.exe;
ccEvtMgr.exe; ccProxy.exe; ccSetMgr.exe; CFIAUDIT.EXE; ClamTray.exe;
ClamWin.exe; Claw95.exe; Claw95cf.exe; cleaner.exe; cleaner3.exe;
CliSvc.exe; CMGrdian.exe; cpd.exe; DefWatch.exe; DOORS.EXE;
DrVirus.exe; drwadins.exe; drweb32w.exe; drwebscd.exe; DRWEBUPW.EXE;
ESCANH95.EXE; ESCANHNT.EXE; ewidoctrl.exe;
EzAntivirusRegistrationCheck.exe; F-AGNT95.EXE; F-PROT95.EXE;
F-Sched.exe; F-StopW.EXE; FAMEH32.EXE; FAST.EXE; FCH32.EXE;
FireSvc.exe; FireTray.exe; FIREWALL.EXE; fpavupdm.exe; freshclam.exe;
FRW.EXE; fsav32.exe; fsavgui.exe; fsbwsys.exe; fsdfwd.exe; FSGK32.EXE;
fsgk32st.exe; fsguiexe.exe; FSM32.EXE; FSMA32.EXE; FSMB32.EXE;
fspex.exe; fssm32.exe; gcasDtServ.exe; gcasServ.exe;
GIANTAntiSpywareMain.exe; GIANTAntiSpywareUpdater.exe; GUARD.EXE;
GUARDGUI.EXE; GuardNT.exe; HRegMon.exe; Hrres.exe; HSockPE.exe;
HUpdate.EXE; iamapp.exe; iamserv.exe; ICLOAD95.EXE; ICLOADNT.EXE;
ICMON.EXE; ICSSUPPNT.EXE; ICSUPP95.EXE; ICSUPPNT.EXE; IFACE.EXE;
INETUPD.EXE; InocIT.exe; InoRpc.exe; InoRT.exe; InoTask.exe;
InoUpTNG.exe; IOMON98.EXE; isafe.exe; ISATRAY.EXE; ISRV95.EXE;
ISSVC.exe; JEDI.EXE; KAV.exe; kavmm.exe; KAVPF.exe; KavPFW.exe;
KAVStart.exe; KAVSvc.exe; KAVSvcUI.EXE; KMailMon.EXE; KPfwSvc.EXE;
KWatch.EXE; livesrv.exe; LOCKDOWN2000.EXE; LogWatNT.exe; lpfw.exe;
LUALL.EXE; LUCOMSERVER.EXE; Luupdate.exe; MCAGENT.EXE; mcmnhdlr.exe;
mcregwiz.exe; Mcshield.exe; MCUPDATE.EXE; mcvsshld.exe; MINILOG.EXE;
MONITOR.EXE; MonSysNT.exe; MOOLIVE.EXE; MpEng.exe; mpssvc.exe;
MSMPSVC.exe; myAgtSvc.exe; myagttry.exe; navapsvc.exe; NAVAPW32.EXE;
NavLu32.exe; NAVW32.EXE; NDD32.EXE; NeoWatchLog.exe; NeoWatchTray.exe;
NISSERV; NISUM.EXE; NMAIN.EXE; nod32.exe; nod32krn.exe; nod32kui.exe;
NORMIST.EXE; notstart.exe; npavtray.exe; NPFMNTOR.EXE; npfmsg.exe;
NPROTECT.EXE; NSCHED32.EXE; NSMdtr.exe; NssServ.exe; NssTray.exe;
ntrtscan.exe; NTXconfig.exe; NUPGRADE.EXE; NVC95.EXE; Nvcod.exe;
Nvcte.exe; Nvcut.exe; NWService.exe; OfcPfwSvc.exe; OUTPOST.EXE;
PAV.EXE; PavFires.exe; PavFnSvr.exe; Pavkre.exe; PavProt.exe;
pavProxy.exe; pavprsrv.exe; pavsrv51.exe; PAVSS.EXE; pccguide.exe;
PCCIOMON.EXE; pccntmon.exe; PCCPFW.exe; PcCtlCom.exe; PCTAV.exe;
PERSFW.EXE; pertsk.exe; PERVAC.EXE; PNMSRV.EXE; POP3TRAP.EXE;
POPROXY.EXE; prevsrv.exe; PsImSvc.exe; QHM32.EXE; QHONLINE.EXE;
QHONSVC.EXE; QHPF.EXE; qhwscsvc.exe; RavMon.exe; RavTimer.exe;
Realmon.exe; REALMON95.EXE; Rescue.exe; rfwmain.exe; Rtvscan.exe;
RTVSCN95.EXE; RuLaunch.exe; SAVAdminService.exe; SAVMain.exe;
savprogress.exe; SAVScan.exe; SCAN32.EXE; ScanningProcess.exe;
sched.exe; sdhelp.exe; SERVIC~1.EXE; SHSTAT.EXE; SiteCli.exe; smc.exe;
SNDSrvc.exe; SPBBCSvc.exe; SPHINX.EXE; spiderml.exe; spidernt.exe;
Spiderui.exe; SpybotSD.exe; SPYXX.EXE; SS3EDIT.EXE; stopsignav.exe;
swAgent.exe; swdoctor.exe; SWNETSUP.EXE; symlcsvc.exe;
SymProxySvc.exe; SymSPort.exe; SymWSC.exe; SYNMGR.EXE; TAUMON.EXE;
TBMon.exe; TC.EXE; tca.exe; TCM.EXE; TDS-3.EXE; TeaTimer.exe;
TFAK.EXE; THAV.EXE; THSM.EXE; Tmas.exe; tmlisten.exe; Tmntsrv.exe;
TmPfw.exe; tmproxy.exe; TNBUtil.exe; TRJSCAN.EXE; Up2Date.exe;
UPDATE.EXE; UpdaterUI.exe; upgrepl.exe; Vba32ECM.exe; Vba32ifs.exe;
vba32ldr.exe; Vba32PP3.exe; VBSNTW.exe; vchk.exe; vcrmon.exe;
VetTray.exe; VirusKeeper.exe; VPTRAY.EXE; vrfwsvc.exe; VRMONNT.EXE;
vrmonsvc.exe; vrrw32.exe; VSECOMR.EXE; Vshwin32.exe; vsmon.exe;
vsserv.exe; VsStat.exe; WATCHDOG.EXE; WebProxy.exe; Webscanx.exe;
WEBTRAP.EXE; WGFE95.EXE; Winaw32.exe; winroute.exe; winss.exe;
winssnotify.exe; WRADMIN.EXE; WRCTRL.EXE; xcommsvr.exe; zatutor.exe;
ZAUINST.EXE; zlclient.exe; zonealarm.exe; _AVP32.EXE; _AVPCC.EXE;
_AVPM.EXE
Liste der Dienste die beendet werden:
• Aavmker4; ABVPN2K; ADBLOCK.DLL; ADFirewall; AFWMCL; Ahnlab task
Scheduler; alerter; AlertManger; AntiVir Service; AntiyFirewall;
ARP.DLL; aswMon2; aswRdr; aswTdi; aswUpdSv; Ati HotKey Poller; avast!
Antivirus; avast! Mail Scanner; avast! Web Scanner; AVEService;
AVExch32Service; AvFlt; Avg7Alrt; Avg7Core; Avg7RsW; Avg7RsXP;
Avg7UpdSvc; AvgCore; AvgFsh; AVGFwSrv; AvgFwSvr; AvgServ; AvgTdi;
AVIRAMailService; AVIRAService; avpcc; AVUPDService; AVWUpSrv; AvxIni;
awhost32; backweb client - 4476822; BackWeb Client - 7681197; backweb
client-4476822; Bdfndisf; bdftdif; bdss; BlackICE; BsFileSpy;
BsFirewall; BsMailProxy; CAISafe; ccEvtMgr; ccPwdSvc; ccSetMgr;
ccSetMgr.exe; CONTENT.DLL; DefWatch; DNSCACHE.DLL; drwebnet; dvpapi;
dvpinit; ewido security suite control; ewido security suite driver;
ewido security suite guard; F-Prot Antivirus Update Monitor; F-Secure
Gatekeeper Handler Starter; firewall; fsbwsys; FSDFWD; FSFW; FSMA;
FTPFILT.DLL; FwcAgent; fwdrv; Guard NT; HSnSFW; HSnSPro; HTMLFILT.DLL;
HTTPFILT.DLL; IMAPFILT.DLL; InoRPC; InoRT; InoTask; Ip6Fw; Ip6FwHlp;
KAVMonitorService; KAVSvc; KLBLMain; KPfwSvc; KWatch3; KWatchSvc;
MAILFILT.DLL; McAfee Firewall; McAfeeFramework; McShield;
McTaskManager; mcupdmgr.exe; MCVSRte; Microsoft NetWork FireWall
Services; MonSvcNT; MpfService; navapsvc; Ndisuio; NDIS_RD; Network
Associates Log Service; nipsvc; NISSERV; NISUM; NNTPFILT.DLL;
NOD32ControlCenter; NOD32krn; NOD32Service; Norman NJeeves; Norman
Type-R; Norman ZANDA; Norton AntiVirus Server; NPDriver; NPFMntor;
NProtectService; NSCTOP; nvcoas; NVCScheduler; nwclntc; nwclntd;
nwclnte; nwclntf; nwclntg; nwclnth; NWService; OfcPfwSvc; Outbreak
Manager; Outpost Firewall; OutpostFirewall; PASSRV; PAVAGENTE;
PavAtScheduler; PAVDRV; PAVFIRES; PAVFNSVR; Pavkre; PavProc; PavProt;
PavPrSrv; PavReport; PAVSRV; PCCPFW; PCC_PFW; PersFW; Personal
Firewall; POP3FILT.DLL; PREVSRV; PROTECT.DLL; PSIMSVC; qhwscsvc; Quick
Heal Online Protection; ravmon8; RfwService; SAVFMSE; SAVScan;
SBService; schscnt; SECRET.DLL; SharedAccess; SmcService; SNDSrvc;
SPBBCSvc; SpiderNT; SweepNet; SWEEPSRV.SYS; Symantec AntiVirus Client;
Symantec Core LC; The_Hacker_Antivirus; Tmntsrv; TmPfw; tmproxy;
tmtdi; tm_cfw; T_H_S_M; V3MonNT; V3MonSvc; Vba32ECM; Vba32ifs;
Vba32Ldr; Vba32PP3; VBCompManService; VexiraAntivirus; VFILT; VisNetic
AntiVirus Plug-in; vrfwsvc; vsmon; VSSERV; WinAntivirus; WinRoute;
wuauserv; xcomm
Rootkit Technologie Ist eine Technoloie die eine bestimmte Art von Malware beschreibt. Diese versteckt sich vor Systemprogrammen, Sicherheitsprogrammen und letztendlich dem Benutzer.
Versteckt folgendes:
– Eigene Dateien
– Eigener Prozess
– Eigene Registryschlüssel
– Die folgenden Dateien:
• filesnames001.exe
• filesnames002.exe
• filesnames003.exe
• filesnames004.exe
• filesnames005.exe
• filesnames006.exe
– Die folgenden Prozesse:
• filesnamec001.exe
• filesnamec002.exe
• filesnamec003.exe
• filesnamec004.exe
• filesnamec005.exe
• filesnamec006.exe
– Die folgenden Registryschlüssel:
• nkeyjej1
• nkeyjej2
– Die folgende Registrywerte:
• key000s01
• key000s02
• key000s03
• key000s04
• key000s05
Eingesetzte Methode:
• Unsichtbar von Windows API
Klinkt sich in folgende API-Funktionen ein:
• NtCreateFile/ZwCreateFile
• NtEnumerateKey/ZwEnumerateKey
• NtEnumerateValueKey/ZwEnumerateValueKey
• NtQueryDirectoryFile/ZwQueryDirectoryFile
• NtQueryKey/ZwQueryKey
• NtQuerySystemInformation/ZwQuerySystemInformation
• NtQueryValueKey/ZwQueryValueKey
Datei Einzelheiten Laufzeitpacker:
• Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.
Remove Tool : Noch nicht bekannt
------------------------------------------------------------------------------------------------------------------------------------
Löschung und auspüren des Wurmes :
Das Aufspüren kann man in der look Datei vom Virusscanner nachschauen oder
Mann ladet das Programm von der Seite : http://www.f-secure.de/blacklight/
und erstellt eine Log Datei und kann es auf der Seite : http://www.hijackthis.de/ nach sehen.
Diese Log Datei beinhaltel die Prozesse die grade ausgeführt sind . Der Wurm steht dann als X Makiert .
Entfernung des Wurmes :
Erst mal Systemwiederherstellung deaktivieren .
Nächste Schritt: Start – Ausführen – msconfig .
2 Schritt: Dienste – Alle Microsoft Dienst ausblenden und den
Rest deaktivieren.
Systemstart – Alle deaktivieren und Neustart
3 Schritt: dann denn Trojan Remover von Julia runter laden
Und Installieren.
http://www.chip.de/downloads/c1_downloads_13015091.html
4 Schritt: Mit dem Programm Trojan Remover alle Trojaner löschen
5 Schritt: Norten Adware (Spyware Doktor) runterladen und Installieren (Achtung
Kosten pflichtig )
http://www.chip.de/downloads/c1_downloads_16990636.html
(Sehr gutes Programm)
6 Schritt: Mit Spyware Doktor den Wurm W32.Beagle.DZ löschen
7 Schritt: Virus Programm Installieren und Windows Firewall Aktivieren .
8 Schritt: Schritt 2 und alles wieder Aktivieren .
Vielen Dank : Julia ,Logan,Musikdrama und Baldrian
Mfg M.Pooschke
-
Moin, schöner Bericht, und sehr gut gelöst,
alle Achtung aber auch vor dem Beagle, was der alles kann ... :wink:
ich persönlich bevorzuge es aber lieber möglichst keine Würmer und
dergleichen auf dem Rechner
zu haben, aber das kann leider immer mal vorkommen,
mit einigen Maßnahmen kann man dem aber weitgehend vorbeugen,
Dazu hier ein Link:
http://www.heise.de/security/dienste/antivirus/
Und ich find ja die "HijackThis" Logfileauswertung
http://www.hijackthis.de/
sehr hilfreich, dazu Antivir und Spybot.
Gruß, Ben
-
Hallo,
eine beeindruckende Auswertung! Wenn ich das so lese, denke ich mir immer: Mensch, wer so etwas programmieren kann, der sollte seine Zeit mit etwas besserem zubringen! Also wenn ich Microsoft wäre, dann würde ich diesen Beagle-Programmierer sofort engagieren, damit der Windows XP mal so sicher macht, dass diese Dinge nicht mehr möglich sind.
Mich würde mal interessieren, ob Vista in dieser Hinsicht wirklich besser ist; man muss ja zumindestens bei jeder Änderung im Systembereich das Admin-Passwort eingeben. Wäre mal interessant zu wissen, ob das schon einer geknackt hat...
Gruß Alex
-
Betriebsysteme :
• alle
Windows :wink:
-
zu Baldrian : Oh hast recht mein Fehler :-D
Den Wurm Bekommt man Hauptsächlich von eine E-Mail die von Ea Games geschickt wird .
Avast ,Ativir und Avira haben noch kein Updade für den Wurm zu Blocken . Das gleiche in grün bei
Spybot . Update wir bald verfügbar sein . Habe die mir so gesagt .
E-mail schutz gibt es nur die ein Mail Eingäng online haben .
-
@kv-70
Warum versuchst du nicht mit ubuntu? es ist Windows ähnlich, wirst du auch keine Probleme mehr mit Viren haben.
-
Julia das hört sich alles super an ,nur ich bleibe bei Xp . Vieles Wissen wird einfach über Xp gelernt .Würde ich kein Xp haben dann würde ich warscheinlich nicht so meine Kunden helfen können .
Vielen Dank noch mal für den Link
-
E-mail schutz gibt es nur die ein Mail Eingäng online haben .
Ein lokaler Filter würde aber wohl auch helfen.
Vieles Wissen wird einfach über Xp gelernt .Würde ich kein Xp haben dann würde ich warscheinlich nicht so meine Kunden helfen können .
Mann kann ja auch beides haben .... , aber es ist natürlich auch Geschmackssache.
-
@kv-70
Naja, aber XP ist auch schon bald Geschichte, dann kommt Vista.
Dann musst du dich entscheiden bist du Vista Sklave? Oder arbeitest du mit Linux :-D
-
Würde ich kein Xp haben dann würde ich warscheinlich nicht so meine Kunden helfen können .
Du kannst immer unter linux in VM Windows laden