-
Herzlich Willkommen!
Nach der Schließung von inDiablo.de wurden die Inhalte und eure Accounts in dieses Forum konvertiert. Ihr könnt euch hier mit eurem alten Account weiterhin einloggen, müsst euch dafür allerdings über die "Passwort vergessen" Funktion ein neues Passwort setzen lassen.
Solltet ihr keinen Zugriff mehr auf die mit eurem Account verknüpfte Emailadresse haben, so könnt ihr euch unter Angabe eures Accountnamens, eurer alten Emailadresse sowie eurer gewünschten neuen Emailadresse an einen Administrator wenden.
trojaner vom forum verteilt
- Ersteller bigAl2
- Erstellt am
- Status
RoMa
Active member
- Registriert
- 1 September 2006
- Beiträge
- 500
- Punkte Reaktionen
- 0
Sorry, dass ich hier den Thread so zuspamme, aber folgt man dem Kasperskylink oben, dann ergibt sich ein wunderbar passendes Bild. Zusammenfassung:
1.) Wie erwartet, wurden beim ersten Besuch der Seite zusammen mit index.php auch Exploits geladen.
2.) Durch das Ausnutzen dieser Sicherheitslücken erfolgten dann der Download und die Installation der auszuführenden Datei Backdoor.Win32.Bredolab. Mit seiner Rootkit-Funktionalität lädt und installiert dieses Schadprogramm weitere Schadenssoftware auf den Computer.
3.) Ist das Botprogramm mit dem Command-&-Control-Server verbunden, wird das Schadprogramm Trojan-PSW.Win32.Agent.mzh auf das infizierte System herunter geladen und installiert. Dieses Programm stiehlt dann Passwörter für den Zugang auf FTP-Clients.
1.) Wie erwartet, wurden beim ersten Besuch der Seite zusammen mit index.php auch Exploits geladen.
2.) Durch das Ausnutzen dieser Sicherheitslücken erfolgten dann der Download und die Installation der auszuführenden Datei Backdoor.Win32.Bredolab. Mit seiner Rootkit-Funktionalität lädt und installiert dieses Schadprogramm weitere Schadenssoftware auf den Computer.
3.) Ist das Botprogramm mit dem Command-&-Control-Server verbunden, wird das Schadprogramm Trojan-PSW.Win32.Agent.mzh auf das infizierte System herunter geladen und installiert. Dieses Programm stiehlt dann Passwörter für den Zugang auf FTP-Clients.
baburgos
New member
- Registriert
- 21 September 2008
- Beiträge
- 13
- Punkte Reaktionen
- 0
so, ich hab jetzt auch mal antivir und avast durchrattern lassen und beide haben nix gefunden, auch in der registri und in den startoptionen sind keine "besonderen" datein zu finden. kann ich dann davon ausgehen, dass ich verschont wurde? würde mich aber fast wundern, war 100% gestern auf india startseite, allerdings wurde die nicht richtig (eigentlich gar nicht) dargestellt, das hat mich gewundert aber nicht sonderlich gestört. hab dann einfach nen anderes lesezeichen genommen und es lief das MUH-forum ganz normal.
hm, könnte es sein, dass W7 mich geschützt hat? währ ja fast mal ein wunder^^
ach ja zur info
system wie gesagt W7, browser firefox mit sehr stark eingeschränken optionen, java is allerdings aktiviert. vielleicht hilft das ja, den schädlingsbefall auf systeme bzw verwendete programme zu begrenzen.
hf
- Registriert
- 22 November 2004
- Beiträge
- 4.342
- Punkte Reaktionen
- 118
Ich muss gestehen, dass ich für meine kleine Frage nicht den ganzen 15-Seitigen Thread durchlesen will. Seit wann genau verbreitete der Trojaner denn sein Unwesen? Mir wird angezeigt, daß mein letzter Forenbesuch am 4. Januar um 23:23 Uhr war.
DonKrawallo
Member
- Registriert
- 15 August 2006
- Beiträge
- 483
- Punkte Reaktionen
- 3
Das ist bestenfalls die halbe Wahrheit.
Bei mir zumindest wurde noch ein EMail-Server mit Rootkit Eigenschaften installiert, der mir so richtig zu schaffen macht, vor allem den wieder loszuwerden.
Was deine Frage zur Aktualität meines Notfallsystems angeht:
Natürlich ist so ein Notfallsystem niemals vollkommen aktuell.
Flash, Java und ähnlichen Schnickschnack brauche ich da nicht.
Das Ding soll lediglich den PC booten, notfalls Daten retten,
und im aktuellen Fall eben die C-Partition formatieren (mit FIXMBR+FIXBOOT) und das Backup-System zurück spielen.
RoMa
Active member
- Registriert
- 1 September 2006
- Beiträge
- 500
- Punkte Reaktionen
- 0
@Nai
Wie wurde eigentlich die Bereinigung (technisch) durchgeführt? Backup?
@Don Krawallo
Das galt weniger für dich, als für den Verursacher, also das erstmalige Abgreifen der Passwörter für den FTP-Client.
Bei dir, wie auch bei allen anderen, waren es Exploits für diverse Programme, die da gegriffen haben.
Wie wurde eigentlich die Bereinigung (technisch) durchgeführt? Backup?
@Don Krawallo
Das galt weniger für dich, als für den Verursacher, also das erstmalige Abgreifen der Passwörter für den FTP-Client.
Bei dir, wie auch bei allen anderen, waren es Exploits für diverse Programme, die da gegriffen haben.
MinervasPet
Active member
- Registriert
- 21 November 2008
- Beiträge
- 718
- Punkte Reaktionen
- 0
würde mich auch interresieren da ein Backup ohne die betroffen Datein zu kennen nicht ausreicht!
Wer weiß wie lange der schon geschlummert hat?
mfb
Well-known member
- Registriert
- 18 Juli 2003
- Beiträge
- 16.160
- Punkte Reaktionen
- 8
@enemie: Im Rahmen des Backups waren einige index.php-Seiten teilweise nicht erreichbar.
@Burn_me: Wir konnten unter anderem in den Logs nachschauen, wann welche Dateien verändert wurden. Das Problem trat gegen 16:00 auf (auf die Minute genau weiß ich es jetzt nicht), vorher nicht.
Außerdem kann man im Backup auch sehr leicht schauen, ob die Dateien befallen sind (Antwort: Nein), denn dort kann sich Schadcode nicht einfach verstecken.
@Burn_me: Wir konnten unter anderem in den Logs nachschauen, wann welche Dateien verändert wurden. Das Problem trat gegen 16:00 auf (auf die Minute genau weiß ich es jetzt nicht), vorher nicht.
Außerdem kann man im Backup auch sehr leicht schauen, ob die Dateien befallen sind (Antwort: Nein), denn dort kann sich Schadcode nicht einfach verstecken.
DonKrawallo
Member
- Registriert
- 15 August 2006
- Beiträge
- 483
- Punkte Reaktionen
- 3
Die haben ziemlich rasch die Tür zugehaun als sie geahnt haben, daß da ein dicker Hund passiert ist.
SilentBob
Member
- Registriert
- 2 September 2002
- Beiträge
- 54
- Punkte Reaktionen
- 0
ich bin gestern gegen 16:30 uhr ins forum und hatte sofort die gleiche meldung wie der threadersteller. habe danach sofort nen intensivscan mit avast vorgenommen ohne irgend etwas zu finden. mit meinen e-mail accs scheint alles in ordnung zu sein und der rechner läuft so wie auch sonst immer.
d.h. avast hatte seinen job gemacht und ich brauche mir keine weiteren sorgen zu machen, oder ? (entschuldigt die dumme frage aber ich hab mal wieder nen 10+ stunden-arbeitstag hinter mir und bin etwas ausgelaugt
)
d.h. avast hatte seinen job gemacht und ich brauche mir keine weiteren sorgen zu machen, oder ? (entschuldigt die dumme frage aber ich hab mal wieder nen 10+ stunden-arbeitstag hinter mir und bin etwas ausgelaugt
)RoMa
Active member
- Registriert
- 1 September 2006
- Beiträge
- 500
- Punkte Reaktionen
- 0
@mfb
Ich schätze mal, dass ihr die veränderten Dateien isoliert habt, oder?
@Silent Bob
Hat man ein Image, so sollte man es vorsorglich drüberbügeln und alle Passwörter ändern.
Wie weit liegt das zeitlich mit
auf einer Linie?
Ich schätze mal, dass ihr die veränderten Dateien isoliert habt, oder?
@Silent Bob
Das kann niemand mit Bestimmtheit sagen. Man müsste alle Rechner, die im fraglichen Zeitraum die Seite besucht haben untersuchen. Jeden für sich. Den Job kann niemand leisten.
Hat man ein Image, so sollte man es vorsorglich drüberbügeln und alle Passwörter ändern.
HDCOdin
Well-known member
- Registriert
- 30 November 2005
- Beiträge
- 1.112
- Punkte Reaktionen
- 0
leuteich hab n größeres problemchen und zwar:
ich hab mit dem antivirus programm von avast alles durchgescant und der hat n trojaner und n wurm gekillt dann hab ich mit spybot nochmal durch gescant der hat noch einen trojaner gefunden gehabt den hab ich auch gekillt.
nu kommt das komische
bei mir tauchen nun immer wieder 2 avast_4 ordner auf einmal auf
c/window/temp
C/dokumente einstellungen/mein name/lokale einstellungen/temp
und ich kriege von avast gesagt das in dem einen ordner n trojaner ist den ich natürlich lösche und dann taucht er im anderen ordner auf den ich dann auch wieder lösche und das spielchen geht immer so weiter
die namen von den beiden trojaner sind:
unp57814323.tmp
unp204549595.tmp
€ die zahlen ändern sich
häufig sinds aber die 2 da
und es sind immer die selben 2 ordner die betroffen sind
hab avast4 mir bei chip.de runter geladen
cookies usw sind alles gelöscht
kann es also sein das sich der trojaner irgendwie ins avast eingeschleust hat ?
ich denke ich sollte das ding nu wieder am besten vom rechner schmeißen oder ?
gruß
Zuletzt bearbeitet:
Andi47
Member
- Registriert
- 3 Februar 2008
- Beiträge
- 75
- Punkte Reaktionen
- 0
Ich hatte zuerst auch gedacht, dass ich zum fraglichen Zeitpunkt online war (hab auf der Mainpage "gestern" gelesen, und nicht aufs Datum der News geschaut, und "gestern" dadurch fälschlicherweise auf den 6.1. bezogen - nachher nochmals in der Chronik meines Firefox nachgesehen, ich war am 5.1. nachmittag nicht auf PlanetDiablo) und meinen PC mit Antivir, Avast und dann der CD vom aktuellen C'T gescannt, außer einem Uraltvirus, das sich in einem seit Jahren nicht mehr genutzten Mailarchiv versteckt hatte, nix gefunden, ich nehme also mal an, dass der PC sauber ist, d.h. dass ich auch von anderen Seiten nix eingefangen habe.
Eine Frage hab ich noch: Ist es möglich, dass der Schädling die User- und Passwortdaten im Forum ausspioniert hat? D.h. sollte man seine Passwörter auch dringendst ändern, wenn man sich den Schädling NICHT eingefangen hat?
Eine Frage hab ich noch: Ist es möglich, dass der Schädling die User- und Passwortdaten im Forum ausspioniert hat? D.h. sollte man seine Passwörter auch dringendst ändern, wenn man sich den Schädling NICHT eingefangen hat?
Zuletzt bearbeitet:
Kc-KillaKatze
Member
- Registriert
- 20 April 2003
- Beiträge
- 296
- Punkte Reaktionen
- 0
mal ne frage noch,
mein avast hat jetzt schonwieder auf ne uralt partition, nen virus/wurm gefunden
suela-1042
wollte den eigentlich wie empfohlen in den container verschieben, aba löaut minni fensterchen das sich öffnet, nicht genug speicherplatz, um des file zu bearbeiten?
mus ich für/bei avast iwo , noch nen gewissen speicherplatz freigeben für solche aktionen?
mein avast hat jetzt schonwieder auf ne uralt partition, nen virus/wurm gefunden
suela-1042
wollte den eigentlich wie empfohlen in den container verschieben, aba löaut minni fensterchen das sich öffnet, nicht genug speicherplatz, um des file zu bearbeiten?
mus ich für/bei avast iwo , noch nen gewissen speicherplatz freigeben für solche aktionen?
MinervasPet
Active member
- Registriert
- 21 November 2008
- Beiträge
- 718
- Punkte Reaktionen
- 0
das hört sich nicht gut an es kann sein das dein Avast verseucht ist! bitte deinstalliere es samt ordner lade ein anderes antvirenprogramm runter und scanne damit falls der was findet mach das System neu!
Es kann wahrscheinlich nicht mehr gerettet werden da mit großer Sicherheit viele Sicherheitseinstellungen bereits geändert wurden!
Pitti911
Member
- Registriert
- 25 Oktober 2008
- Beiträge
- 282
- Punkte Reaktionen
- 0
Was mich interessiert, ist ab wann planetdiablo.eu/forum/... wieder sicher war.
"am frühen Abend" ist relativ ungenau vorallem weil die meisten leute "am frühen Abend" ja on kommen. Das sollte man den Logs doch auch entnehmen können oder nicht?
"am frühen Abend" ist relativ ungenau
vorallem weil die meisten leute "am frühen Abend" ja on kommen. Das sollte man den Logs doch auch entnehmen können oder nicht?
- Registriert
- 13 April 2006
- Beiträge
- 7.263
- Punkte Reaktionen
- 3
Wenn, dann erstmal nur runterladen, dann im abgesicherten Modus starten und dann das ganze installieren, bzw. das alte sofern notwendig deinstallieren.
Dann ggf. den Rechner neustarten, direkt wieder in den abgesicherten Modus.
Nun das neue Programm starten und scannen lassen.
Manche Programme meckern rum, weil sie nicht im abgesicherten Modus installiert, bzw. ausgeführt werden können, dann einfach nen neues probieren. Wobei ich mit Avast keine Probleme hatte.
Es hilft auch, die temporären Dateien des jeweiligen Internetbrowser zu löschen.
Gruss Silencer23
- Status