| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
 Verfasst am: 27. Dez 2005 20:20 Titel: |
 |
|
Nee, mittlerweile nicht mehr so.
A) weil die Banner sich anscheinend immer ändern
B) weil mein Frau einige Tests gemacht hat  (und da sind garantiert einige ohne Inhalt rausgegangen aber mit Banner  )
Nehme hiermit erst mal alles zurück, behalte es aber trotzdem im Auge  .
also - nossing vor anguud
Gruß
TMS
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
 |
|
|
Thomas
Administrator
Anmeldungsdatum: 13.02.2005
Beiträge: 208
|
| Verfasst am: 28. Dez 2005 15:04 Titel: |
|
|
Hi,
Emails mit deinem Absender zu erstellen ist technisch keine Herausforderung... dagegen kannst du nichts machen.
Eine genauere Anaylse der Mail-Header sollte zeigen, dass die Mails keineswegs von dir stammen.
Gruß,
Thomas |
|
| Nach oben |
|
|
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
| Verfasst am: 03. Jan 2006 01:45 Titel: |
|
|
Hi,
das mit Freenet ist erst mal abgehakt – die Mails sind von meiner Frau gefeuert worden (werd rot).
Aber ich hab die letzen zwei Tage wieder damit verbracht, Malware aus einem System zu pulen (SpySheriff*). 109 Dateien waren mit 15 verschiedenen Trojanern und Backdoorprogrammen ausgestattet, aber auch Systemdateien werden jetzt wieder mehr ausgetauscht | Zitat: | | wenn ihr einen Task habt namens "service" schmeißt euren Virenscanner weg, wie z.B. Norton, es ist das dritte mal das versagt hat |
(ich dachte zuerst, das ist ein Hoax, aber die Datei war bei mir diesmal auch infiziert). Ich hab noch zusätzlich 3 weitere DLL’s und eine Exe gefunden die bis jetzt noch von keinem Scanner erkannt wurden -> sind eingeschickt zu Antivir. Diese Dateien gaben ständig Meldungen, dass das System infiziert ist und versuchten sich ins Internet einzuwählen „ um Updates zu holen“. Ich bin den Dateien auch nur auf die Spur gekommen, weil zum Infektionszeitpunkt neue Favoriten angelegt wurden und damit ein Zeitstempel vorhanden war. Die Dateien wurden immer wieder aus *.tmp und *.txt Dateien generiert. Hat wie gesagt fast zwei Tage gedauert, bis ich den Dropper hatte  .
Es überrascht mich immer wieder wie viele Möglichkeiten es gibt, Programme unter XP zu starten. Ich dachte wir könnten ja mal zusammenschmeißen und welche aufzählen. Ich fang mal mit den gängigsten an:
Einträge in die Autoexec.nt und config.nt
Einträge in der System.ini
Einträge in die winstart.bat
Das waren die alten.
Dann Einträge in die Registrierung (sehr ätzend) deshalb erst mal die einfachen, alles was hier eingetragen wird, wird auch ausgeführt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Für den IE:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security\Basic\Polices\ExplorerRun
… so long
Gruß
TMS
EDIT2: hab natürlich die einfachste Form eines Autostarts vergessen, nämlich über den Autostart-Ordner und über den Taskplaner  .
EDIT: * dieses Sauprogramm hat doch glatt den Administartorzugang gecanceld und den Taskmanager für jeden untersagt; wunderte mich ja, dass der Registrierungseditor noch ging.
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling..
Zuletzt bearbeitet von TMSearcher am 03. Jan 2006 19:11, insgesamt einmal bearbeitet |
|
| Nach oben |
|
|
Pathologe
Gast
|
| Verfasst am: 03. Jan 2006 12:10 Titel: |
|
|
Hallo.
Ich habe einen Task namens : services.exe
Ist der auch gefährlich?? Mein Virenscanner hat nämlich nichts gemeldet! |
|
| Nach oben |
|
|
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
| Verfasst am: 03. Jan 2006 19:05 Titel: |
|
|
Hi, no Panic!
Such den Standort deiner Datei. Wenn sie im Ordner „windows\system32“ liegt und wirklich services.exe (das s ist wichtig) heißt, hast du sie eher mit dem XP SP2 bekommen. Es ist eine Datei die zum PlugAndPlay –System gehört. Mach die letzte Probe -> markier die Datei, dann rechte Mousetaste, Eigenschaften und Version -> dort müsste der Hersteller, der Name, die Versionsnummer usw. stehen. Ist die Datei dann noch um die 100 kB groß, dann ist wahrscheinlich alles Ok. Also nicht gleich löschen! Nur wenn keine Version angezeigt werden kann oder nichts drin steht, dann ist Vorsicht geboten.
Gruß
TMS
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
|
Thomas
Administrator
Anmeldungsdatum: 13.02.2005
Beiträge: 208
|
| Verfasst am: 04. Jan 2006 18:03 Titel: |
|
|
Hi TMSearcher,
du solltest auch mal Adaware und Hijackthis zur Malwareentfernung probieren.
Mit etwas Update-Moral, Nutzen von sicherer Software und gesundem Menschenverstand (nicht zu viel Neugier, was z.B. in aktuellen Sober Mails das BKA per Mail von einem will ) sollte es sich aber auch generell vermeiden lassen, sich Malware auf den Rechner zu holen.
Gruß,
Thomas |
|
| Nach oben |
|
|
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
| Verfasst am: 04. Jan 2006 19:13 Titel: |
|
|
Hi @Thomas,
was ist eigentlich aus deinem wurmverseuchten TFT geworden?
| Zitat: | | du solltest auch mal Adaware und Hijackthis zur Malwareentfernung probieren. |
He, he, he – das sind nicht meine Rechner, die ich wieder zum Leben erwecke, sondern die Rechner meiner Kunden. Viele kommen zu mir weil, andere eben nur die Möglichkeit sehen: mach platt, mach neu. Das kann bei einem Server oder einem Arbeitsrechner im Büro mitunter sehr aufwendig und mit Datenverlust behaftet sein. Deshalb versuch ich das eben anders, die Zeit bezahlt mir zwar oftmals keiner, aber man gewinnt Erfahrungen und findet oftmals sogar unbekannte Abarten.
Ich arbeite grundsätzlich erst mal mit unterschiedlichen Viren- und Spywarescannern (unter andern eben auch die von dir erwähnten). Wenn alle nicht fündig werden suche ich zu Fuß weiter. Werde ich, nach meiner Meinung nach fündig, schick ich die Dateien in der Regel nach Antivir ein, um mir eine Bestätigung zu holen und den Scanner zu verbessern.
Kennste den schon?
http://www.heise.de/security/dienste/browsercheck/demos/ie/wmf.shtml
wird auch vom BSI erwähnt
http://www.bsi.de/av/texte/windowswmf.htm
Und immer dran denken, das ist schon lange keine Amateurarbeit mehr!
| Zitat: | | Mit etwas Update-Moral, Nutzen von sicherer Software und gesundem Menschenverstand (nicht zu viel Neugier, was z.B. in aktuellen Sober Mails das BKA per Mail von einem will ) sollte es sich aber auch generell vermeiden lassen, sich Malware auf den Rechner zu holen. |
Sollte man meinen. Aber die Zielgruppen sind eben oftmals unbedarfte User, die in speziellen Bereichen, wie Kunst, Antik, oder Ihren speziellen Fachbereichen im Internet googlen und dann mit gefakten Metatags (ist zwar untersagt, aber...) in die Falle gehen. Da arbeiten sie wirklich gut – mit Fachbegriffen oder Namen von denen wir noch nie was gehört haben. Das ist der Köder, selbst die Beschreibung ist unverfänglich, bis sich die Seite aufgebaut hat und dann PENG. Kannst ja mal den Test von der ct machen.
Übrigens ich bekomme jetzt schon Bewerbungsschreiben mit fiesen Anhängen - ganz neue Masche. Die Schreiben selber sind ziemlich Aussagelos und es wird nur immer auf den Anhang verwiesen.
Gruß
TMS
PS.: ich guck noch mal nach, denn über die Shell (explorer.exe) können auch jede Menge Programme als Plugin gestartet werden ( meist sind das Dropper die immer wieder dafür sorgen, dass aus irgendwelchen .tmp, .txt, .sonstwas Dateien, die aktiven Trojaner gebastelt werden können). Einzeln geschickt verstümmelt und nicht zu identifizieren, aber zusammen voller Power und tödlich. Ein wirklich faszinierendes Feld, sehr fantasiereich und bösartig.
Ok, jetzt aber wirklich - so long..
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
|
Thomas
Administrator
Anmeldungsdatum: 13.02.2005
Beiträge: 208
|
| Verfasst am: 05. Jan 2006 16:28 Titel: |
|
|
| Zitat: | Hi @Thomas,
was ist eigentlich aus deinem wurmverseuchten TFT geworden? |
Hi,
gegen biologische Würmer und Viren bin / war ich erstmal machtlos  Der Hersteller war aber so freundlich, mir ein Neugerät zum Austausch zu senden.
| Zitat: | | Das kann bei einem Server oder einem Arbeitsrechner im Büro mitunter sehr aufwendig und mit Datenverlust behaftet sein. |
Backups sind ja immer so ätzend und blöd (Achtung, Ironie )...
Ja, aber als Nutzer von Firefox interessieren mich diese Lücken eher weniger.
| Zitat: | | Übrigens ich bekomme jetzt schon Bewerbungsschreiben mit fiesen Anhängen - ganz neue Masche. Die Schreiben selber sind ziemlich Aussagelos und es wird nur immer auf den Anhang verwiesen. |
Diese Emails sind doch aber richtig einfach als Virenmails zu identifizieren, nicht?
Gruß,
Thomas |
|
| Nach oben |
|
|
TMSearcher
Anmeldungsdatum: 19.05.2005
Beiträge: 270
Wohnort: Bremen
|
| Verfasst am: 09. Apr 2006 22:15 Titel: |
|
|
Hi,
| Zitat: | | Diese Emails sind doch aber richtig einfach als Virenmails zu identifizieren |
eigentlich ja, es sei denn man ist sehr im Stress, dann kann's passieren, dass der linke Zeigefinger zu fix ist.
Hihi...
Hab noch ne nette Geschichte. Habe letztens für einen jungen Bekannten seinen PC wieder fit gemacht. Er wollte mir allen ernstes weismachen, sein PC sei intelligent geworden und habe jetzt ein widerspenstiges Eigenleben. Er meinte, dass dies wahrscheinlich durch die vielen Spiele kommt die er installiert hatte und natürlich durchs spielen und durchs Internet*. Auf jeden Fall macht er (sein PC) jetzt was er will. Was zuerst ganz witzig war, meinte er, aber jetzt möchte er mal wieder was damit machen...
Naja das Ergebnis überrascht wohl keinen, sein PC wahr wirklich intelligent geworden, allerdings nicht KI (oder AI) sondern reine humane Intelligenz und Energie durchströmte den Rechner. Über 200 verschiedene Trojaner, Backdoorprogramme, Hijacker und RATs. Insgesamt über 1400 Funde beim scannen. Da half wirklich nur noch -> mach total platt, mach neu.
Gruß
TMS
*Da war auch lange nicht mit ihm zu reden
_________________
Intelligent life is so very rare,
the rarest thing in creation
and the most precious
This is Earth Calling.. |
|
| Nach oben |
|
|
ED209
Anmeldungsdatum: 30.05.2005
Beiträge: 122
|
| Verfasst am: 09. Mai 2006 09:31 Titel: |
|
|
Hat sich eigentlich schon jemand ueber die Schreibfehler in dem Threadtitel lustig gemacht? :D
_________________
+++++++++++++[>++++>+<<-]>.--.>---. |
|
| Nach oben |
|
|
|
|
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum nicht herunterladen
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
