trojaner vom forum verteilt

[Tomi_mm]

ich habe auch win7 drauf, bei mir wurde bsiher nur java/agent.s durch avira gefunden. ansonsten keinerlei einträge. spybot hat bisher auch nichts gefunden und selbst die liste die caligula oben gequotet hab bin ich durchgegangen, keine treffer.

hab auch win7, aber bei mir kam null meldung o.o

habs nur diesen thread erst gemerkt, antivir hab ich schon drüberlaufen lassen (nichts), aber such mir jetzt mal n paar von den programmen die in dem thread gennannt wurden und lass die noch drüber suchen


€ von den bisher bekannten symptomen hab ich übrigens auch noch keins gefunden/bemerkt

 

[DonKrawallo]

Ich habe gerade eben von der T-Com eine Warn-EMail erhalten,
von meinem PC aus sei Spam-EMail verteilt worden.
Kann es sein, daß das mit diesem Hack-Angriff zusammenhängt ?
Ich habe bei mir den AVG Anti-Virus installiert, und der hat gestern keinerlei Funde gemeldet.
Lediglich FireFox ist mehrmals abgestürzt, als ich hier im Forum war.

 

[bigAl2]

AVG hat den trojaner anscheinend passieren lassen.

lies bitte mal seite 3 durch.

cheers

alex

 

[ZAG]

Schön wäre auch der genaue Zeitraum zu wissen, wann die Bedrohung von der Seite hier akut war oder zumindest ab wann genau es behoben wurde. Damit könnte ich eingrenzen, welche Rechner ich einer genaueren Untersuchung unterziehen muss.

 

[Kobra331]

ALso bei mir ist der virus in Quarantäne.... Wie krieg ich den dort jetzt gelöscht?

 

[Aki-Akw]

Rechtsklick -> löschen ?

Dein Antivirenprogramm sollte eine Hilfe eingebaut haben, in der diese Frage behandelt wird.

 

[Nai]

es war ein trojaner der verteilt wurde, leider kann ich nicht genau nachfragen was genau der tut, da ich derzeit kein irc habe und per irc die schnellsten infos kommen - ich weiß also nicht, was meine mitstaffis bereits erfahren haben, ich sitze etwas abgeschnitten da, ich hoffe auch darauf, dass jemand mit aktuelleren informationen postet. aber mir ist nichts davon bekannt, dass es was mit spammails zu tun hat, bisher wurde das auch nicht berichtet.

die erste meldung kam um 15:58, die zweite um 16:02, das müßte also ziemlich genau der zeitpunkt gewesen sein.

zum thema virenscanner:
mir wurde gestern gesagt, avira sei in diesem fall nicht die optimale wahl (zumindest nicht die kostenlose version), avast sei da sehr viel zuverlässiger. also nach möglichkeit damit scannen.

 

[BingoBongo]

mir wurde gestern gesagt, avira sei in diesem fall nicht die optimale wahl (zumindest nicht die kostenlose version)

Avira Premium Security Suite hat bei mir prima geblockt. Für die Kostenlosversion kann ich da aber leider nicht sprechen. Scan hab ich gerade durchgeführt (1 1/2 Sunden) und die Liste abgearbeitet. Und Platten sind zum Glück sauber.

Aus meinem Log gehen irgendwie 2 verschiedene Adressen hervor auf die der Virus umleiten wollte:

BTW... War das ein reines India-Problem oder hat das noch andere Ingame-Seiten zerhauen?

 

[Kobra331]

naja wenn ich bei quarantäne auf löschen klicke kommt ne warnung ---> wirklich aus quarantäne rauslassen? das heisst ja der rennt wieder frei rum ..
evtl dnan mit spy doctor einfangen?

 

[theParasite]

Scan hab ich gerade durchgeführt (1 1/2 Sunden)

Meiner läuft seit über 5 Stunden und ist noch nicht fertig.

Ist der 'JAVA/Agent.S' eigentlich der einzige, der da instaliert wurde? Den hat avira eigentlich gesten schon bemerkt, aber irgendwas stimmt bei mir immernoch nicht.
Ich hab mir jetzt auch mal avast runtergeladen, mal schaun ob der was findet.

 

[Kazgaroth]

also bei mir liefen antivir und spybot drüber, da wurde der agent.s gefunden.

zZ läuft noch avast und das hat nochmal eine meldungausgespuckt (was es war weiß ich grad nimmer, evtl krieg ich noch n abschlussbericht)

 

[EdgeOfSanity]

Erstmal: es scheint sich um ein sehr aktuelles Problem zu handeln.
Siehe z.B.:

[1] Thread im HijackThis-Forum vom 29.12.2009:
http://www.hijackthis-forum.de/hija...zpack-gen-cpu-auslastung-100-bitte-hilfe.html

[2] Und darin insbesondere diesen Post:
http://www.hijackthis-forum.de/hija...pu-auslastung-100-bitte-hilfe.html#post287241

[3] Info von Sophos dazu:
http://www.sophos.com/security/analyses/viruses-and-spyware/trojagentlvn.html
(speziell unter dem Reiter "More Information")

[4] Thread bei gulli (30.12.2009):
http://board.gulli.com/thread/1498829-siszyd32-exe-trojaner-eingefangen-weiss-nicht-weiter/

[5] Informativer Post daraus:
http://board.gulli.com/thread/1498829-siszyd32-exe-trojaner-eingefangen-weiss-nicht-weiter/#7



Wichtig: alles von einem nicht infizierten System aus machen und mit dem befallenen System keinesfalls online gehen!



---



Ich kann hier nur für mich sprechen und deshalb:
- verwendetes Betriebssystem: XP ServicePack 3
- verwendeter Browser: Opera (Version leider grad nicht im Kopf)
- verwendeter Virenscanner: AntiVir Personal Edition (die kostenlose halt)

Die "siszyd32.exe" und den Pfad, unter dem sie gespeichert war, hab ich folgendermaßen gefunden:
Start -> Ausführen -> msconfig
Dann unter Systemstart nach neuen/ungewöhnlichen Einträgen ausschau halten. Aber bitte nicht einfach irgendwelche Häckchen raus oder rein machen, wenn man nicht weiß, was man macht. Es nützt sowieso nichts, die "siszyd32.exe" hier rauszunehmen, wenn das System noch nicht sauber ist.
Dort sollte man aber auch diese "irgendwas.tmp" finden, welche unter "C:\Windows\Temp" gespeichert ist. Hier kann das Häckchen raus.



---

C:\Dokumente und Einstellungen\user\Startmenü\Programme\Autostart\siszyd32.exe kann ich auch bestätigen, das war ein hartnäckiges Biest, ich habe es erst mit freefixer geschafft, das zu eliminieren.

Von dem Freefixer hab ich auch nur positives gelesen. Wers also anderweitig nicht gelöscht bekommt, sollte es mal damit versuchen.

Bei mir war noch C:\Dokumente und Einstellungen\user\Anwendungsdaten\security tool.exe zu finden, die auch eine Verknüpfung auf dem Desktop abgelegt hat.

Die hab ich nicht. Allerdings hab ich ja auch relativ schnell die Internetverbindung physikalisch getrennt, so dass keine weiteren Schädlinge heruntergeladen werden konnten.
Siehe auch: http://en.wikipedia.org/wiki/Security_Tool

Registry-Befall: Local Machine/ Software/ Windows/ Current Version/ Run/ (eine ca. zehnstellige Zahlenkolonne, Zahlen nach jedem Neustart anders) - die bezogen sich auf eine *.exe, die ich entweder noch nicht gefunden oder schon gelöscht habe

An der Registry hab ich mich noch nicht zu schaffen gemacht. Wer weiss, ob das was du gefunden hast schon alles war?

Ist es angebracht, alle Passwörter zu ändern und das System neu aufzusetzen?

Die Passwörter in jedem Fall.
Hab jetzt erstmal die wichtigsten geändert (Email, Amazon, Ebay, etc...). Wer Online-Banking betreibt, sollte dingend überprüfen, ob bereits auf sein Konto zugegriffen wurde und sich gegebenenfalls mit seiner Bank in Verbindung setzen.
Ich werd wohl die Platte formatieren und XP neu installieren. Sicher ist sicher und ich hab da auch ein paar sensible Daten rumliegen.
Zum Thema siehe auch den obigen Link [2].

alle die keinen virus angezeigt bekommen haben: hattet ihr javascript aktiviert oder nicht?
deaktiviert = keine gefahr

Ja, aber wie bereits von dir angemerkt: bitte nicht JavaScript und Java verwechseln! Hat nichts miteinander zu tun.
Jeder, der sich nicht sicher ist, sollte sein System gründlich untersuchen (lassen). Siehe auch den obigen Link [2].

Ich habe gerade eben von der T-Com eine Warn-EMail erhalten,
von meinem PC aus sei Spam-EMail verteilt worden.
Kann es sein, daß das mit diesem Hack-Angriff zusammenhängt ?

Ja.
Du (und wohl auch einige andere) bist jetzt anscheinend Teil eines Botnetzes. Siehe auch den obigen Link [5].



---



Falls jemand noch weiter Infos hat, bitte mitteilen.
Ich wäre sehr dankbar, wenn mir jemand glaubhaft versichern kann, dass ich das Teil auch ohne Neuinstallation von XP komplett loswerde (die XP-Treiber für meinen Laptop zu finden dürfte sehr sehr lang dauern).

Grüße

 

[Kc-KillaKatze]

hab jetzt
anti vir
spy bot
und avast laufen lassen,
nur avast hat ne trojaner meldung ausgespuckt, habs direkt gelöscht

Registry-Befall: Local Machine/ Software/ Windows/ Current Version/ Run/

wo finde ich die registry?

 

[Kazgaroth]

mein avast-scan ist auch durch

neben den agent.s wurde noch JS:Illredir-B gefunden und beseitigt.
der hatte sich im mozilla cahe verzeichnis versteckt.
laut google scheint der in mehreren seite aufgetaucht zu sein über die letzten tage.

 

[DonKrawallo]

Einen riesen Dank an EdgeOfSanity

Also anscheinend ist diese SPAM Attacke mit großer Warscheinlichkeit auf diesen Trojanerbefall zurückzuführen.
Ich habe jetzt folgende Aktionen durchgeführt.
Über einen Boot-Stick ein hoffentlich sauberes Notfallsystem gebootet
Format C:
FIXMBR
FIXBOOT
copy NTLDR C:
copy NTDETECT.COM C:
Fallback der gesamten C-Partition auf Stand 13 Dez 2009
Die auf D: installierten Programme habe ich nur auf Viren gescannt; das ist eine Lücke, die ich in kauf nehme, da ich bisher keine Informationen habe, daß Programme infiziert wurden.

 

[Caligula]

Hier noch ein Screenshot:

Die 8-stellige Zahlenkolonne änderte sich nach jedem missglückten Entfernungsversuch & Neustart, aber nach entsprechenden Ordnern an dieser Stelle kann ja jeder mal schauen, der Angst hat, auch befallen zu sein.
Denen zugehörig waren auch die Registry-Einträge, von denen ich in meinem letzten Beitrag berichtet habe.

Bis jetzt habe ich keinen Befall außerhalb der C:/ Partition gefunden... hat jemand anders andere Erfahrungen?

Betriebssystem Windows XP, Service Pack 3, alle Updates aktuell
Browser Opera 10.10 (Firefox und Internet Explorer sind auch installiert, scheinen aber nicht betroffen gewesen zu sein)
Schutzmaßnahmen (außer der Firewall vpm Router): AVG Anti-Virus (aktuell), Adaware (free version)
Java war aus, Java Script an

Mein vertrauen in AVG und Adaware habe ich vollständig verloren, die haben beide nichts gefunden, ich habe bis auf eine Ausnahme alles manuell gemacht. Welche Programme könnt ihr denn empfehlen für maximal mögliche Sicherheit? Kasersky? Search and destroy? Ganz andere?

Bin seit gestern sehr verunsichert... dumm von mir war nach dem Befall nicht sofort den Netzwerkstecker zu ziehen... bin ich in meiner Aufregung gar nicht drauf gekommen (fast ein Jahrzehnt ohne unliebsame Besucher ist eine trügerische Sicherheit).

 

[KaitoKid]

Ist der Trojaner jetzt eigentlich Entfernt ohne gibt es dazu noch keine informationen?

€: Ja mein Eset ist auch still aber wollte mal lieber fragen ^.^

 

[Slayer]

Sollte weg sein, ich bekomme mit ESET keine Meldungen mehr bei aktiviertem JS.

@Caligula: Kaspersky ist schon sehr gut, nur verlangsamt es den Systemstart mMn ziemlich. Ich benutzte seit ca. einem Jahr ESET Smart Security und bin eigentlich sehr zufrieden damit, ist halt ein komplettes Paket mit Firewall, Virenscaner und co. Netzstecker ziehen hilft auch nichts, sobald du's merkst ist's zu spät.

 

[bigAl2]

zwar spät aber das waren die server dateien, die avast angemekert hat.
komischerweise hab ich nichts vom agent.s gesehen.

[url]http://planetdiablo.eu/spiel/javascript/display.js[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/yui/yahoo-dom-event/yahoo-dom-event.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/yui/connection/connection-min.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/vbulletin_menu.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/vbulletin_global.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/yui/connection/connection-min.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/vbulletin_global.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)
[url]http://planetdiablo.eu/forum/clientscript/vbulletin_menu.js?v=376[/url] [L] JS:Illredir-B [Trj] (0)

 

[Caligula]

Danke, Slayer_666, ich werde mich noch weiter umhören und das Thema Sicherheit in Zukunft (noch) ernster nehmen.

Die Frage hatte ich ganz übersehen:

Registry-Befall: Local Machine/ Software/ Windows/ Current Version/ Run/

wo finde ich die registry?

(Bei Windows XP): Start -> Ausführen -> regedit -> [Enter]