- Registriert
- 30 Juli 2004
- Beiträge
- 12.139
- Punkte Reaktionen
- 7
ist seit gestern am frühen abend entfernt.
-
Herzlich Willkommen!
Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.
Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.
trojaner vom forum verteilt
- Ersteller bigAl2
- Erstellt am
- Status
ist seit gestern am frühen abend entfernt.
- Registriert
- 22 November 2000
- Beiträge
- 2.382
- Punkte Reaktionen
- 3
Ich habe noch mehr Unrat entdeckt und hoffe, dass es mir nicht als Spam ausgelegt wird, wenn ich in diesem Thread so mitteilsam bin. Mir geht es nur darum, Informationen auszutauschen und zu helfen, wenn ich kann.
Gefunden habe ich mit der Windows Suche:
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Security Tool (eine Verknüpfung)
Diese Verknüpfung wies auf folgende Adresse hin:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\39339431\39339431.exe
Ist es bei solchen Attacken wie der gestrigen normal und üblich, dass die Betroffenen ganz andere Malware abbekommen? Einige, von denen ich hier lese, blieben mir erspart, dafür scheine ich der einzige zu sein, der sich das Security Tool eingefangen hat...
Gefunden habe ich mit der Windows Suche:
C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Security Tool (eine Verknüpfung)
Diese Verknüpfung wies auf folgende Adresse hin:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\39339431\39339431.exe
Ist es bei solchen Attacken wie der gestrigen normal und üblich, dass die Betroffenen ganz andere Malware abbekommen? Einige, von denen ich hier lese, blieben mir erspart, dafür scheine ich der einzige zu sein, der sich das Security Tool eingefangen hat...
DonKrawallo
Member
- Registriert
- 15 August 2006
- Beiträge
- 483
- Punkte Reaktionen
- 3
Geht mir nicht anders.
Daß ein Trojaner den Weg auf meine Festplatte gefunden hat beunruhigt mich dabei weniger, war halt mal wieder eine vollkommen neue Methode der Attacke.
Aber daß es dieser bekannte Trojaner geschafft hat, auf meinem PC zu starten, trotz aktivem AVG Guard, das ärgert mich jetzt schon gewaltig.
Das Teil kann man ja wirklich in der Pfeife rauchen.
Für mich sieht das alles jetzt immer mehr danach aus, als ob zunächst einmal eine Backdoor-SW auf den befallenen PC geladen wurde
und danach jedes Opfer so sein individuelles "Udate Packet" verpasst bekommen hat.
Zuletzt bearbeitet:
- Registriert
- 27 Juni 2006
- Beiträge
- 6.449
- Punkte Reaktionen
- 108
Der Trojaner ist seit gestern am Abend irgendwann entfernt.
Gestern war folgendes passiert:
Irgendjemand, der Zugriff auf den FTP von PlanetDiablo und inwow hatte, hat sich auf seinem privaten Rechner nen Trojaner eingefangen, der die Passwörter für unseren FTP ausspioniert hat.
Dadurch hat der Angreifer dann bei uns alle .js und index.php Dateien von PlanetDiablo und inwow manipulieren können, so dass der Trojaner "Illredir-B" runtergeladen wurde, der dann auf den Rechnern wohl das ganze andere Zeug runtergeladen hat, was genau scheint von System zu System verschieden zu sein wie man hier liest. Gefunden wird Illredir-B von Avast, von Antivir im allgemeinen nicht.
Die FTP Zugänge sind direkt geändert worden und die Dateien wurden durch ein Backup ersetzt.
Das ist soweit das was ich darüber weiß.
Gestern war folgendes passiert:
Irgendjemand, der Zugriff auf den FTP von PlanetDiablo und inwow hatte, hat sich auf seinem privaten Rechner nen Trojaner eingefangen, der die Passwörter für unseren FTP ausspioniert hat.
Dadurch hat der Angreifer dann bei uns alle .js und index.php Dateien von PlanetDiablo und inwow manipulieren können, so dass der Trojaner "Illredir-B" runtergeladen wurde, der dann auf den Rechnern wohl das ganze andere Zeug runtergeladen hat, was genau scheint von System zu System verschieden zu sein wie man hier liest. Gefunden wird Illredir-B von Avast, von Antivir im allgemeinen nicht.
Die FTP Zugänge sind direkt geändert worden und die Dateien wurden durch ein Backup ersetzt.
Das ist soweit das was ich darüber weiß.
- Registriert
- 22 November 2000
- Beiträge
- 2.382
- Punkte Reaktionen
- 3
Mit AVG war ich bis gestern so weit zufrieden, aber das Ereignis lässt alles in einem anderen Licht erscheinen. Ich habe es nicht geschafft, AVG zu beenden, wenn ich es für angebracht hielt, aber diese blöde Malware hat es einfach ausgeknippst... das Icon war im System Tray noch sichtbar, aber mit einem roten Kreuz durchgestrichen.
Da steht man mit heruntergelassenen Hosen da
Da steht man mit heruntergelassenen Hosen da
DonKrawallo
Member
- Registriert
- 15 August 2006
- Beiträge
- 483
- Punkte Reaktionen
- 3
Mal eine andere Frage,
gibt es schon Hinweise, aus welcher Ecke diese Attacke kam ?.
Muß ich den Hund auf Russen, Koreaner, Chinesen, Nigerianer, ... sonstiges Arschloch, scharf machen ?.
gibt es schon Hinweise, aus welcher Ecke diese Attacke kam ?.
Muß ich den Hund auf Russen, Koreaner, Chinesen, Nigerianer, ... sonstiges Arschloch, scharf machen ?.
helgaB
New member
- Registriert
- 30 Januar 2007
- Beiträge
- 35
- Punkte Reaktionen
- 0
Mit AVG war ich bis gestern so weit zufrieden, aber das Ereignis lässt alles in einem anderen Licht erscheinen. Ich habe es nicht geschafft, AVG zu beenden, wenn ich es für angebracht hielt, aber diese blöde Malware hat es einfach ausgeknippst... das Icon war im System Tray noch sichtbar, aber mit einem roten Kreuz durchgestrichen.
Da steht man mit heruntergelassenen Hosen da
Wer als Windowsnutzer trotz Empfehlung sein System nicht neu installieren möchte, sollte vor einem Virenscan seinen Rechner
bezüglich Rootkits auf Herz und Nieren prüfen. Ansonsten wird man wahrscheinlich bei jedem neuen Scan überrascht werden.
Auf einen Virenscanner, selbst wenn dieser eine solche Option anbietet, würde ich mich nicht verlassen. Neben S&D kann
beispielsweise der hier
http://technet.microsoft.com/de-de/sysinternals/bb897445.aspx verwendet werden. Oder etwas im Netz suchen, Angebote gibt es in
Hülle und Fülle. Wie vertrauenswürdig diese dann sind, müsste man zuvor dann klären.
Zudem kann auch auf unix basierten Systemen der Einsatz von beispielsweise chkrootkit oder rkhunter von Zeit zu Zeit nicht schaden.
Oder gleich vorbeugen (tripwire etc.).
bigAl2
Active member
- Registriert
- 2 Mai 2005
- Beiträge
- 819
- Punkte Reaktionen
- 0
aber mal im ernst: beim nächsten mal kann ein anderer der virenscanner versagen. diesmal scheint es halt der avg gewesen zu sein, nächstes mal ist es norton und avast 
meine lehre aus der sache: ich werde tatsächlich in zukunft mit sandboxie surfen.
noScript ist für den arsch, wenn auch vertrauenswürdige seiten kompromitiert werden.
dass ein admin das ganze verursacht hat ist natürlich extrem schlecht. da wärs mir lieber, dass ein bug in vBulletin ist.
p.s.: der rootkitRevealer von über mir ist ein kleines stück dreck.
der hängt sich gerne mal auf beim starten und hinterlässt hässliche einträge in den diensten (nicht erschrecken.. sehen aus wie viren-einträge)
von dem kann ich nur abraten.
lieber die aktuelle c´t kaufen.
meine lehre aus der sache: ich werde tatsächlich in zukunft mit sandboxie surfen.
noScript ist für den arsch, wenn auch vertrauenswürdige seiten kompromitiert werden.
dass ein admin das ganze verursacht hat ist natürlich extrem schlecht. da wärs mir lieber, dass ein bug in vBulletin ist.
p.s.: der rootkitRevealer von über mir ist ein kleines stück dreck.
der hängt sich gerne mal auf beim starten und hinterlässt hässliche einträge in den diensten (nicht erschrecken.. sehen aus wie viren-einträge)
von dem kann ich nur abraten.
lieber die aktuelle c´t kaufen.
- Registriert
- 30 Juli 2004
- Beiträge
- 12.139
- Punkte Reaktionen
- 7
es war ein wurm, der einen rechner infizierte. dieser wurm hat passwörter ausgelesen und kam so an die ingame-technik, von wo aus der trojaner verteilt wurde.
woher der wurm kam oder wie er es geschafft hat sich auf dem system einzunisten, kann nicht nachvollzogen werden, der rechner trieb sich jedenflls nicht auf dubiosen seiten rum oder war anderweitig ungeschützt. also nein, wir wissen es leider nicht.
das infizierte system ist gestern vom netz genommen worden.
Fui
Member
- Registriert
- 6 November 2009
- Beiträge
- 83
- Punkte Reaktionen
- 0
DAS darf ja aber mal gar nicht sein. Grundsätzlich sollte die Person mal "geschult" werden, was er zu tun hat BEVOR er einen Login anstrebt. Damit meine ich übrigens nicht einen Antivirenscan.
Mal abgesehen davon, dass "irgendjemand" Zugriff auf einen FTP hat, ist ja aber mal gehörig unprofessionell. Eine Seite mit sovielen Zugriffen und Usern sollte das A nicht "irgendjemand" machen lassen und B solche Fehlerquellen nicht nur vermeiden sondern ausschließen. Nicht umsonst gibt's cleane Rechner...
Übrigens hatte es mich auch erwischt. Einen halben Tag Arbeit verdanke ich "irgendjemand". Mein Befall hat sich in meine Systemarchitektur verliebt. Abgesehen davon, dass ich doch recht schnell war das Ding zu killen, wurden bei mir lustige Dinge ausgelöst. Sandboxie starten gehört dazu (was ich übrigens nicht für Diablo nutze), CPU Auslastung, Javascript.
Alles mögliche gescannt und gemacht (dauert bei mir eben lange...)
...so starte dann eben nochmal neu und schaue wieder.
"Irgendjemand" kann mir mal ein Bier holen.
DonKrawallo
Member
- Registriert
- 15 August 2006
- Beiträge
- 483
- Punkte Reaktionen
- 3
Warum ?,
der hatte halt einfach auch nur Pech, wie wir alle hier im Forum.
Womöglich hat er sich das Ding auch von einer Seite eingefangen, der er bisher einfach blind vertraute.
Ich fass die ganze Geschichte einfach unter der Rubrik dumm gelaufen zusammen
- Registriert
- 5 Februar 2005
- Beiträge
- 1.810
- Punkte Reaktionen
- 0
@ Fui
Lies nochmal genau hin, es ist nicht so, dass bei ingame irgendwelche Leute Zugang zu solchen heiklen Systemen haben. Es steht geschrieben, dass von denjenigen, die Zugriff darauf haben, jemand eine infizierten PC hatte.
Das impliziert beileibe nicht, dass jeder beliebige Heini da rumfrickeln kann.
Lies nochmal genau hin, es ist nicht so, dass bei ingame irgendwelche Leute Zugang zu solchen heiklen Systemen haben. Es steht geschrieben, dass von denjenigen, die Zugriff darauf haben, jemand eine infizierten PC hatte.
Das impliziert beileibe nicht, dass jeder beliebige Heini da rumfrickeln kann.
Fui
Member
- Registriert
- 6 November 2009
- Beiträge
- 83
- Punkte Reaktionen
- 0
@ Fui
Lies nochmal genau hin, es ist nicht so, dass bei ingame irgendwelche Leute Zugang zu solchen heiklen Systemen haben. Es steht geschrieben, dass von denjenigen, die Zugriff darauf haben, jemand eine infizierten PC hatte.
Das impliziert beileibe nicht, dass jeder beliebige Heini da rumfrickeln kann.
Wieso muss ich nochmal "genau hin" lesen... Ich spreche in der 3. Person und nicht von ingame. Wer und wo, von wem und wohin, der Mond bleibt da wo er ist.
@don: PECH ist ja aber mal der falsche Ausdruck. Sry wenn ich mal grober im Ton werde... ein Admin, der sich iwo einloggt und Zugang zu systemrelevanten Dingen hat, ja DBs gehören dazu, der macht das nicht von FF und Co. Das ist ja mal schlecht wie ne $random. Unwissenheit schützt vor Strafe nicht. Aber es ist wie bei Quelle, reklamieren kann man den Mist nicht mehr und dem Nerd gehört der Rechner weg und ein Gameboy hin. "Dumm gelaufen" ist bei den Paralympics auch viel...
- Registriert
- 18 März 2009
- Beiträge
- 118
- Punkte Reaktionen
- 0
Anderen fehlende Professionalität vorwerfen und dann selbst seinen Rechner reparieren müssen ist auch schon ein bisschen albern find ich.DAS darf ja aber mal gar nicht sein. Grundsätzlich sollte die Person mal "geschult" werden, was er zu tun hat BEVOR er einen Login anstrebt. Damit meine ich übrigens nicht einen Antivirenscan.
Mal abgesehen davon, dass "irgendjemand" Zugriff auf einen FTP hat, ist ja aber mal gehörig unprofessionell. Eine Seite mit sovielen Zugriffen und Usern sollte das A nicht "irgendjemand" machen lassen und B solche Fehlerquellen nicht nur vermeiden sondern ausschließen. Nicht umsonst gibt's cleane Rechner...
Übrigens hatte es mich auch erwischt. Einen halben Tag Arbeit verdanke ich "irgendjemand". Mein Befall hat sich in meine Systemarchitektur verliebt. Abgesehen davon, dass ich doch recht schnell war das Ding zu killen, wurden bei mir lustige Dinge ausgelöst. Sandboxie starten gehört dazu (was ich übrigens nicht für Diablo nutze), CPU Auslastung, Javascript.
Solche Kisten sind bedauerlich, ärgerlich und sollten niemals nevar nicht vorkommen. Die Realität zeigt aber, dass es trotz aller Umstände, die man sich macht, doch immer wieder vorkommt. Und sich darauf ausruhen auf anderen rumzuhacken, die daran Schuld sein sollen, ist nicht nur ziemlich bequem, sondern auch reichlich feige. Die Verantwortung für meinen Rechner trage ich und ich allein. Wenn ich die Sicherheit meines Systems blind einer Webseite anvertraue, ganz gleich welche das sei, dann ist das allein und ganz allein meine Schuld, wenn ich Probleme mit der Einstellung bekomme. Abgesehen davon ist es wenig hilfreich, nach irgendwelchen Schuldigen zu suchen. Der oder die Verursacher wird/werden sicher etwas daraus gelernt haben, und alles weitere in diese Richtung bringt auch niemanden voran. Wir sitzen hier nicht zu Gericht, und das steht hier einfach mal auch niemandem zu.
Unabhängig davon, dass ich auch keine Kenntnis davon habe, sind Informationen wie "wer wars denn" Interna, und nun rate mal, warum. Und du brauchst dich auch nicht über ein "irgendjemand" echauffieren, wenn du einer der besten Gründe für diese Strategie bist.
Für alle die mit dem Kram Probleme haben ist das natürlich nicht besonders erfreulich. Fakt bleibt aber, dass die Infektion nicht oder nicht nur auf ingame zurückzuführen ist, sondern vor allem erstmal auf die eigenen unsicheren Kisten. Wären die dicht gewesen, hätte euch nichts passieren können. Das will kein Rant werden, aber es ist was dran, oder?
Zuletzt bearbeitet:
mfb
Well-known member
- Registriert
- 18 Juli 2003
- Beiträge
- 16.160
- Punkte Reaktionen
- 8
"Irgendjemand" ist vielleicht etwas unglücklich formuliert, aber wir wollen hier keine Hetzjagd auf den Besitzer des entsprechenden Systems starten.
>> Übrigens hatte es mich auch erwischt.
Wie du siehst, ist es nicht so einfach vollständig vermeidbar, damit infiziert zu werden - außer, man unterbindet jeden Internetzugang.
Und zum Lesen: Die Datenbanken waren nicht betroffen.
Dass der gleiche Trojaner auch Webseiten von Antivirensoftware-Herstellern befallen hat, sagt meiner Meinung nach auch einiges über seine Gefährlichkeit aus.
>> Übrigens hatte es mich auch erwischt.
Wie du siehst, ist es nicht so einfach vollständig vermeidbar, damit infiziert zu werden - außer, man unterbindet jeden Internetzugang.
Und zum Lesen: Die Datenbanken waren nicht betroffen.
Dass der gleiche Trojaner auch Webseiten von Antivirensoftware-Herstellern befallen hat, sagt meiner Meinung nach auch einiges über seine Gefährlichkeit aus.
KingKongo
Well-known member
- Registriert
- 11 August 2003
- Beiträge
- 3.348
- Punkte Reaktionen
- 16
Es ist sprichwörtlich schon recht beschissen das es passiert ist, jedoch ist klar das bei Ingame auch nur Menschen arbeiten und die machen Fehler. Kann halt mal passieren.
Denke es war für uns alle ein mehr oder weniger gute Lektion das ''Sicherheit'' nicht existiert im Netz. Hat jemand Mail Accounts oder ähnliches verloren?
MfG
Kongo
Denke es war für uns alle ein mehr oder weniger gute Lektion das ''Sicherheit'' nicht existiert im Netz. Hat jemand Mail Accounts oder ähnliches verloren?
MfG
Kongo
- Registriert
- 17 Juni 2008
- Beiträge
- 2.548
- Punkte Reaktionen
- 0
Huhu...
Bei mir kam der Übeltäter als "Wurm" meldung, und zwar direkt nach dem aktual. einer Pm Nachricht.
Danach waren ein Paar sachen unregelmäßig, so das ich bis 3 uhr heute Früh das betroffene System Neuaufgesetzt habe.
Ich hab den Thread eben erst "entdeckt".
Vieleicht wäre eine "schnellstmögliche" News auf der Hauptseite besser gewesen, um sich eventuell schützen zu können/nicht weiter aktualiesieren etc. (ganz ausschließen kann man sowas ja eh nicht).
Mfg adsche
Bei mir kam der Übeltäter als "Wurm" meldung, und zwar direkt nach dem aktual. einer Pm Nachricht.
Danach waren ein Paar sachen unregelmäßig, so das ich bis 3 uhr heute Früh das betroffene System Neuaufgesetzt habe.
Ich hab den Thread eben erst "entdeckt".
Vieleicht wäre eine "schnellstmögliche" News auf der Hauptseite besser gewesen, um sich eventuell schützen zu können/nicht weiter aktualiesieren etc. (ganz ausschließen kann man sowas ja eh nicht).
Mfg adsche
Zuletzt bearbeitet:
- Status