• Herzlich Willkommen!

    Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.

    Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.

trojaner vom forum verteilt

Status
Für weitere Antworten geschlossen.
[RoMa] schrieb:
Das ist jedenfalls aufgrund des bekannten Schädlingsbildes und der Dateipfade leider nicht richtig. Aber um letztlich wirklich eine Aussage machen zu können, müsste man sich die Kiste genau ansehen.
Zum Vergrößern anklicken....
Was heist hier bekanntes Schädlingsbild?.
So richtig weis keiner was hier passiert ist. Nais beschreibung passt haargenau zu meinem Problem.
Keine Adminrechte und auf einmal einen unauffindbaren Mailserver auf dem Rechner der mopsfidel seine Viagra-Werbung raus-Spamt.
 
@Don Krawallo
Bredolab und dessen Payload ist, wenn man sich mit der Materie etwas beschäftigt, eigentlich recht bekannt. Mal sehen, was diese neue Variante so kann. vermutlich aber nichts großartiges Neues.

Bitte um etwas Geduld.
 
nikosx schrieb:
*hust* sorry .. der schuldige ist eindeutig der typ der das ding ins indiablonetz gelassen hat. Wenn man nur auf vertrauenswürdigen Seiten surft, sollte man keine Befürchtungen haben. Wenn ich auf Seiten gehe, wo ich mir nicht sicher bin was dahinter ist, stell ich immer Java & Co aus.
Zum Vergrößern anklicken....
Du konntest Dir vor geraumer Zeit sogar auf heise.de was einfangen und auf anderen (sehr) "Vertrauenswürdigen" Seiten. Erzählt bitte nicht immer, das es nicht möglich wäre sich was einzufangen, wenn man auf "sauberen" Seiten surft.

90% surfen "unsicher" und wissen nichtmal was Java überhaupt ist, aber es ist natürlich einfach jetzt "den einen" an´s Bein pinkeln zu wollen, der nun mal grade in die Scheisse gegriffen hat.

Echt... überlegt doch bitte mal was ihr sagt und damit bei "L33t-08/15-Usern" bewirkt.
 
Ich war auch gestern im Forum unterwegs und hab ich noch gewundert, warum mein Avira plötzlich abgeschmiert ist :eek:
Zu beachte dabei war: Ich surfe generell nicht als Admin, sondern immer nur als gewöhnlicher User. Gerade hab ich alle Verzeichnisse und die Registry geprüft, aber keine Anzeichen für den Virus gefunden. Er scheint also nicht die Sicherheitsmechanismen von WinXP aushebeln zu können.
Ach ja, Avira hat bei mir aber einen Virus gefunden, dürfte aber nicht der von hier gewesen sein.
Auf jeden Fall kommt bei mir jetzt Windows neu drauf, das war eh mal wieder Zeit ;)
 
Hmmm.... sollte ich vielleicht auch tun.... :(
Aber eigentlich keine Lust. Weiß jemand ob sich das Ding in MP3s / Videos festsetzt?
 
Shihatsu schrieb:
grosser schnickschnack, der hier steht. wie schon erwähnt stören sich mehrere virenscanner nicht, wenn man sie gescheit konfiguriert...
Zum Vergrößern anklicken....

Sorry for Doppelpost :D

Shiha, ich weiss, das wir da (wohl) nicht grün miteinander werden, aber der Punkt dabei ist ganz, ganz einfach:

90% aller User/PC-Nutzer (ja, ich liebe 90%) können sich rein Verständnistechnisch nicht mit der Wechselwirkung diverser Scanengines, ihrer evtl. parallel genutzten Routinen/Prozesse, etc. auseinandersetzen.

Warum also soll ich (Du) jemanden suggerieren es wäre sinnvoll mehrere AV-Programme zu installieren ? Für die aller, aller, allermeisten ist es das eben nicht.

Ich (aber wer bin ich schon) halte es für verkehrt Wein zu predigen, wenn doch nur Wasser aus dem Topf kommt -> Siehe (Bsp.) die diversen "Avast hilft garantiert"-Aussagen, die ebenso oft widerlegt wurden, weil Avast eben nicht geholfen hat... weil WAS falsch lief ? Selbst bei Leuten (siehe Caligula, u.a.) die zumindest nicht ungeschickt sind ;)

Nicht böse sein Shihatsu, ich weiss, Du kannst auch lieb sein :D, aber dieser Fall hier zeigt doch ganz klar, das selbst "geschützte" Systeme von "Pros" ausgehebelt wurden.

Da hilft es mehr für allgemein-User sinnvolle Tipps zu geben, als zu erwarten jemand würde auf einmal mehr können als den PC anschalten, gamen und surfen... denn sehr viel mehr kann der Grossteil nicht und das ist nicht böse gemeint.
 
dass BIOS/CMOS unverändert sind?
Zum Vergrößern anklicken....

ja desweitern kann bei neurer Hardware die Software keine Schäden hervorufen hast also nichts zu befürchten aber dein Drucker musst du schon entsorgen um sicher zu gehen!^^
 
Burn_me schrieb:
ja desweitern kann bei neurer Hardware die Software keine Schäden hervorufen hast also nichts zu befürchten aber dein Drucker musst du schon entsorgen um sicher zu gehen!^^
Zum Vergrößern anklicken....
Hallo Burn_me!

Vielen Dank für deine Antwort.
Ich habe deinen Rat umgehend befolgt und meinen Drucker mithilfe eines Brandbeschleunigers entzündet.
Leider steht jetzt mein Arbeitszimmer in Flammen, so dass ich bereits gezwungen war, selbiges mitsammt Laptop zu verlassen.
Was kann ich tun?
Bitte hilf mir!


Edit 1:
Nein ehrlich... danke für die Antwort!
Hab halt auch nicht wirklich ne Ahnung und bin in dem Bereich wohl etwas übervorsichtig.
:keks:


Edit 2:
@Caligula
So ähnlich gehts mir auch^^
 
Zuletzt bearbeitet:
Trotz frisch formatierter Partition und ganz frisch aufgesetztem Windows werde ich eine gewisse Unsicherheit nicht los, ob das Rootkit nicht doch irgendwie irgendwo überlebt haben kann und mir nun erfolgreich vorgaukelt, dass mein System wieder in Ordnung ist...
nach allem, was ich gelesen habe, scheint das aber nicht möglich zu sein (zumindest in einem Artikel der c't wird das Neuaufsetzen des Systems als Lösung gegegen solchen Befall genannt) - oder täusche ich mich da?
 
Nein kann nichts mehr passieren, wo soll er sich denn verankert haben.
Er kann sich sicher nicht mehr ausführen und dein System sollte clean sein.
Solltest du noch andere Partitionen haben, lass da noch mal nen Scan drüberlaufen damit eventuelle Reste sicher entfernt sind.
 
[RoMa] schrieb:
Das ist jedenfalls aufgrund des bekannten Schädlingsbildes und der Dateipfade leider nicht richtig. Aber um letztlich wirklich eine Aussage machen zu können, müsste man sich die Kiste genau ansehen.
Zum Vergrößern anklicken....

doch, das ist richtig.
die dateipfade des wurms, der das ausgelöst hat, kennst du doch gar nicht. was hier bekannt ist, sind die pfade des trojaners, der verteilt wurde, soweit ich das verstanden habe, ist das ganz was anderes.
die kiste wurde jedenfalls von nem techniker unter die lupe genommen und adminrechte hatte der wirklich nicht.

und wenn ich hier lese, dass diverse leute schaden abbekommen haben die ohne adminrechte unterwegs waren, weiß ich nicht, wieso die alle lügen sollen :>
 
Bezüglich der zugesandten Schädlinge (Vielen Dank EdgeOfSanity an dieser Stelle) dauert es leider länger als erwartet.

Befallene Rechner sollten, wie bereits geschrieben, offline genommen und von einem sauberen System aus ausnahmslos alle Passwörter geändert werden.
Dazu gehören auch und gerade die Bnet-Accounts. Insbesondere die von WoW, schließlich werden letztere in den bekannten Kreisen höher gehandelt als z.B. gestohlene Kreditkartennummern.

- Vernünftige Leute machen ihr System platt oder spielen ein sauberes Image zurück.
- Unvernünftige verpassen ihren Kisten die übliche Kur aus Combofix, Mbam, Gmer und sonstigem Kram, und sollten hoffen, dass es das war.
- Danach sollte man seine bisherige Absicherungsstrategie hinterfragen und ggf. verbessern. Bitte nicht als "Von oben herab" verstehen, darauf will ich nicht hinaus. Wen es interessiert: http://www.techsupportforum.com/security-center/general-computer-security/
http://www.bleepingcomputer.com/forums/forum25.html
und die bekannten deutschsprachigen Foren wie Trojanerboard, Chip, Winfuture usw.


Ich melde mich später nochmal zurück, wenn ich brauchbare Antworten genau diese Variante betreffend gefunden habe.
 
Tach,

nur mal so interessenhalber (und weil ich nicht den ganzen Thread durchlesen möchte):

Hat sich jemand den Trojaner mit Win 7 samt höchster Sicherheitsstufe bei der UAC (Benutzerkontensteuerung) eingefangen?
Das würde mich jetzt wirklich interessieren.

Gruß Sala
 
Nai schrieb:
doch, das ist richtig.
die dateipfade des wurms, der das ausgelöst hat, kennst du doch gar nicht. was hier bekannt ist, sind die pfade des trojaners, der verteilt wurde, soweit ich das verstanden habe, ist das ganz was anderes.
Zum Vergrößern anklicken....
Alles was sich im Benutzerprofil abspielt ist letztlich uninteressant. Problem: Bredolab versucht so einige Lücken zu triggern, und ohne die Kiste genau untersucht zu haben, kann man hier schlicht keine Aussage machen.

- Waren alle Anwendungen und Windows zum Infektionszeitpunkt wirklich aktuell? Das schließt auch Plugins wie Flash, Java usw. mit ein.
- Hatte sonst noch jemand (administrativen) Zugriff auf das System bzw. kann das sicher ausgeschlossen werden?
- Wird und wurde unter dem Benutzeraccount mit Geschichten wie "Ausführen als" gearbeitet?
- Wurde ein starkes (sicheres) Adminpasswort verwendet?

Wie du siehst, kann man da so pauschal leider nichts sagen.

Hat sich jemand den Trojaner mit Win 7 samt höchster Sicherheitsstufe bei der UAC (Benutzerkontensteuerung) eingefangen?
Zum Vergrößern anklicken....
Ist zwar Vista, aber nein. Dazu allerdings ein tiefer gelegter Firefox mit Noscript und starken Passwörtern für den Windows-Adminaccount.
 
Caligula schrieb:
Trotz frisch formatierter Partition und ganz frisch aufgesetztem Windows werde ich eine gewisse Unsicherheit nicht los, ob das Rootkit nicht doch irgendwie irgendwo überlebt haben kann und mir nun erfolgreich vorgaukelt, dass mein System wieder in Ordnung ist...
nach allem, was ich gelesen habe, scheint das aber nicht möglich zu sein (zumindest in einem Artikel der c't wird das Neuaufsetzen des Systems als Lösung gegegen solchen Befall genannt) - oder täusche ich mich da?
Zum Vergrößern anklicken....

Siehe hierzu Posts von mir
Post1
Post2
Post3

Ich hab immer noch keine Idee, was ich falsch gemacht habe
 
So, wer es sich antun möchte, darf sich das Malheur hier ansehen: http://anubis.iseclab.org/?action=result&task_id=1d7b199d27872ad8445110d66f3545a92&format=html

Der Schädling setzt eine Fülle von Prozessen in Gang, injiziert seinen Code in zwei Windowskomponenten, telefoniert dabei an installierten Firewalls vorbei nach hause und legt mindestens die unten verlinkten Schädlinge(und weiteren bisher nicht identifizierten Kram) auf dem Rechner ab:
http://www.virustotal.com/analisis/...21e128e2116d4ea40a065beb098f789c81-1262784260
http://www.virustotal.com/analisis/...3ba7b81aac07753e8666b93e243e7f5991-1262888051

Hier handelt es sich aber nur um den Arbeitsnachweis einer Datei, die mir zugesandt wurde. Da ist durchaus noch mehr in der Leitung, wenn man weiß, dass Bredolab in direktem Zusammenhang mit Sachen wie RENOS (File-Downloader), FakeAV (anhand der VT-Ergebnisse oben zu sehen), Rootkits und Spambots wie Cutwail steht.

Nachtrag: Bei Threatexpert sieht das ganze dann so aus: http://www.threatexpert.com/report.aspx?md5=4e9b5c592f4c5e71d658247bedf4e0eb
Was sagt uns das? Dass der Schädling leider schlauer ist als die Sandbox von TE....er erkennt die Sandbox und stellt sich schlicht tot (Ein weiteres Feature von Bredolab).


Weiteres Hintergrundwissen dazu: http://www.viruslist.com/de/analysis?pubid=200883669
 
Zuletzt bearbeitet:
Don Krawallo schrieb:
Ich hab immer noch keine Idee, was ich falsch gemacht habe
Zum Vergrößern anklicken....
Lassen wir mal das direkte Installieren von Malware als Admin außen vor....das wären ein paar Möglichkeiten:

- Waren alle Anwendungen und Windows zum Infektionszeitpunkt wirklich aktuell? Das schließt auch Plugins wie Flash, Java usw. mit ein. Test hier möglich: http://www.heise.de/security/dienste/Update-Check-843063.html
- Hatte sonst noch jemand (administrativen) Zugriff auf das System bzw. kann das sicher ausgeschlossen werden?
- Wird und wurde unter dem Benutzeraccount mit Geschichten wie "Ausführen als" gearbeitet?
- Wurde ein starkes (sicheres) Adminpasswort verwendet?
 
Status
Für weitere Antworten geschlossen.
Zurück
Oben