:frown: Oh Scheisse...Sry, kanns net in andere Worte fassen.

Ich glaube das mein Rechner seid gestern als getarnter Zombie-Rechner Tausende von Spam-Mails verschickt.

Keine Panik an die Pro-User, die Kiste ist vom Netz... ich schreibe vom 2.system.

Für Die die es noch nicht wissen was es mit den Zombie-Pc´s auf sich hat.... googlet mal nach "Zombie-Rechner".

Ich habe jede paar Sec. Zig aushehenden Verbindunden...zu sehr vielen FreeMail anbietern über Smtp... sie wechseln ständig. Welche aus Japan,Spanien usw.... mein ganze Upload ist ausgeschöfpt.

Mir ist es nach ner Runde Battlefield aufgefallen... das ich sehr hohe Pings hatte, die ich sonst nicht habe.

---------------------------------------------------------------------

Ich bin vermutlich Opfer einer Spam-Mafia geworden.....

Ich hatte komischerweise Spy-Ware aufm Rechner...der sich sehr leicht hat enfernen lassen.... aber ich glaube das wesentliche ist geblieben.

AV-Programme können nix finden...


Was soll ich tun :|

Was soll ich tun :|
Die Trennnung vom Netz war schon einmal ein wichtiger Schritt. Wenn die Anti-Viren-Software nichts findet, dann solltest du deine Daten sichern und neuinstallieren (komplett formatieren).

Im Taskmanager sieht man das Schadprogramm nicht oder?

:cool: Nein, ich bin jemand der seinen Autostart sehr sauber hällt und nach gestartetem Sys - 20_Prozesse am laufen hat.

HIJACK-THIS... zeigt mir nix an das von Bedeutung ist. Ich bin "kein" Laie was Sicherheit auf dem PC angeht... deswegen interresiert es mich umso mehr das ganze zu Analysieren und die Ursache ausfindig zu machen.

Ich bin wohl ungewollt ein Mitglied im Botnet KLICK ! (http://www.gdata.de/article/articleview/3414/1/1/)

Edit : Ich werde heute Abend mal ein paar Screenshots von den merkwürdigen Aktivitäten machen..... aber erst so um 22-23Uhr.... und keine Sorge, die Pics sind nicht mehr von einem Aktiv im I-Net stehendem PC !

Ich durfte diese Erfahrung bei anderen auch schon machen und war ziemlich schockiert, wo sich die Software versteckt hatte. Es war ein der Winzip.exe eingeschleuster Virus/Wurm/Was auch immer. Das Beste daran war, dass Winzip ganz normal funktionierte. Mit dem Stinger von McAfee konnte ich da schon recht gute Erfahrungen machen.

:) Ein formatieren des Systems ist Unumgänglich....

Nur bin ich viel zu Neugierig was, wer und woher... und wohin sich meine Daten bewegen sollen. Ich werde sogar noch weiter gehen und Teile meines Systems an eine Sicherheitsfirma schicken....

Es wird ja gesagt...das evtl zu viele Daten Manipuliert worden sind, und eine Beseitigung nicht 100% gegeben ist.

Botnetze und deren Betreiber sind ein gefährliche Angelegenheit... da steck mehr dahinter als mann denkt.

Da ist von Mafia-Organisationen die Rede, die Webseiten "erpressen" wie z.B Betandwin.de ...und die bei Nichtzahlund mit gezielten Attacken (Tausende Zombie-Rechner) versuchen die Server niederzustrecken.

Ich bin ein Bot-Net Member.... nur habe ich noch keinen mir bekannten Usernamen :biggrin:

Ooh... Sicherheitsfirma.
Wie wärs wenn Du einfach mal ein HiJackThis Log postest?

ich empfehle dir sowas hier, dann weisst du wenigstens über deine netzwerkaktivität bescheid.
http://img142.imageshack.us/img142/1964/refused2qt.th.jpg (http://img142.imageshack.us/my.php?image=refused2qt.jpg)

Ooh... Sicherheitsfirma.
Wie wärs wenn Du einfach mal ein HiJackThis Log postest?

Nein, kein FBI :biggrin: oder sooo...war vielleicht mal nen bischen übertrieben Ausgedrückt. Hijack-This ist sauber.

ich empfehle dir sowas hier, dann weisst du wenigstens über deine netzwerkaktivität bescheid.
http://img142.imageshack.us/img142/1964/refused2qt.th.jpg (http://img142.imageshack.us/my.php?image=refused2qt.jpg)

Ein simples "nestat /a /b" tut's auch ;)

Was sagt ihr dazu ???

http://img263.imageshack.us/img263/1329/unbenannt3ej.jpg (http://imageshack.us)

Sieht eher nach einem normalen Wurm oder dem "kleinen Bruder" (Trojan dropper) aus, der sich weiterverschickt. Den großen Bruder oder weitere "Updates" holt er sich scheinbar von dem rot markierten Server. Es ist auch keine aktive Verbindung eines Eggdropbots zu sehen. Botnet halte ich für unwahrscheinlich.

Je nachdem wieviel Plan Du von der Materie hast kommst Du dem ziemlich schnell mit Kernelmode Debuggern auf die Spur. Ansonsten besorge dir Ring0 Scanner, die Sachen wie das Sony Rootkit aufspüren können.

Es besteht die Möglichkeit dass via Apihook die Existenz der Datei geleugnet wird, ähnlich wie es StarForce, Alcohol oder DT4 machen...

Mein Kasperky und viele anderen Tools... sowie Spybot und CO. finden rein garnix.

Ich werde mal deinen Vorschlägen nachgehen.... wenn du Recht hat und es sich nur um einen kleineren reinen Wurm handelt, bin ich etwas beruhigter.

Hast du schonmal SecurityTaskmanager probiert? Der hat bei mir schon des öfteren von anderen Programmen unentdeckte Dinge aufgespürt.

Ich kann auch nur mutmaßen, aber das '<non-existent>' sieht verdächtig aus, als könnte Windows diese Datei nicht sehen. Das kann man nur bewerkstelligen indem man Windows Kernkomponenten manipuliert.

Probiers mal mit diesem Programm. http://www.sysinternals.com/Utilities/RootkitRevealer.html
Der Downloadlink ist ganz unten.

:) Ich danke euch für die bisherige Hilfe...bin echt stark davon ausgegangen das mein Rechner in einem Botnet ist, weil ich über Netstat eine Verbindung hatte.... in der Botnet stand, und die ist KEIN SCHERZ.

Habe mich dann direkt ein bischen Schlauer gemacht... und viele Sachen daraufhin gedeutet haben.

Ich werde beide Tools Heute noch testen... und das Ergebnis hier posten.


ps. ich kucke noch das Halbfinale "Sevilla-Schalke04" ...ist grad Verlängerung. Wenn das game vorbei ist,hocke ich mich an die Pest-kiste :D

Las mal noch RootkitRevealer (http://www.sysinternals.com/Utilities/RootkitRevealer.html) drüberlaufen ! :eek:

MfG
Rooter

Ein simples "nestat /a /b" tut's auch ;)


das logt aber nicht und man kann ja nicht dauernd aufs cmd schaun.. ausser man sieht so aus wie der hier
http://www.princeton.edu/~jdonald/eyedol/eyedol3.jpg

logfiles sind die einzige möglichkeit um sicher zu gehen was abgeht :)

Habe eine R-Bot Variante auf dem PC gehabt....

Neuinstallation von Kaspersky und anschliessender Scan haben ihn entlarvt!!!!
Und doch... Spam-Tools :|

Warum habe ich eine "BotNet" verbindung gehabt als ich Netstat geöffnet hatte.... Vielleicht wurde mein PC doch dafür benutzt um MassenSpams zu verschicken....

Mein kompletter Upload war ausgeschöpft...

http://img110.imageshack.us/img110/2792/unbenannt0vh.jpg (http://imageshack.us)

Was haben die Schlüssel für eine Bedeutung,und wie lösche ich diese ? Über das Tool gehts anscheinend nicht...

das logt aber nicht und man kann ja nicht dauernd aufs cmd schaun.. ausser man sieht so aus wie der hier
http://www.princeton.edu/~jdonald/eyedol/eyedol3.jpg

logfiles sind die einzige möglichkeit um sicher zu gehen was abgeht :)
Klar kann man das loggen: netstat /a /b > log.txt

'Tibs' scheint der Trojan dropper zu sein, der den Rechner mit der aktuellen Version des Hauptvirus "versorgt" und jederzeit neue Anweisungen erhalten kann (via html poll).

RBot hingegen ist definitiv ein Eggdropbot für Botnetze. Einmal freigelassen kann er, je nachdem wie er konfiguriert wurde, innerhalb kürzester Zeit automatisch die "Most Wanted" Daten von deinem Rechner klauen und sich aus dem Staub machen (deinstallieren), was natürlich nicht dumm ist, da man ja die Spur verfolgen könnte.

Wahrscheinlich sind sie mit deinem Rechner fertig und benutzen ihn nur noch als Popup- und Infektionsschleuder. Ich würde nach Möglichkeit neu installieren. Wer weiß wieviel Schläfer Du auf dem Rechner hast, die Du evtl. nicht findest. Passwörter ändern wäre auch nicht verkehrt.

'Tibs' scheint der Trojan dropper zu sein, der den Rechner mit der aktuellen Version des Hauptvirus "versorgt" und jederzeit neue Anweisungen erhalten kann (via html poll).

RBot hingegen ist definitiv ein Eggdropbot für Botnetze. Einmal freigelassen kann er, je nachdem wie er konfiguriert wurde, innerhalb kürzester Zeit automatisch die "Most Wanted" Daten von deinem Rechner klauen und sich aus dem Staub machen (deinstallieren), was natürlich nicht dumm ist, da man ja die Spur verfolgen könnte.

Wahrscheinlich sind sie mit deinem Rechner fertig und benutzen ihn nur noch als Popup- und Infektionsschleuder. Ich würde nach Möglichkeit neu installieren. Wer weiß wieviel Schläfer Du auf dem Rechner hast, die Du evtl. nicht findest. Passwörter ändern wäre auch nicht verkehrt.


Hatte ich mit meinen Befürchtungen doch Recht?

RootkitRevealer hat über 30.000 Dateien gelistet (Scan war nach dem Screenshot noch ange nicht fertig)...meist Game-Dateien die mir unwichtig erscheinen...aber auch viele anderen. Hat dies eine größere Bedeutung?

kuckt das Tool ob Dateien verändert worden sind?

Keine Ahnung. Auf den Screenshots kann man zumindest nichts von einem Bot erkennen. Wenn Du aber sagst Du hast irgendwo 'RBot' lesen können liegt die Vermutung nahe. Wobei ich mir nicht vorstellen kann dass jemand so blöd ist und gleich den passenden Namen liefert...

Keine Ahnung. Auf den Screenshots kann man zumindest nichts von einem Bot erkennen. Wenn Du aber sagst Du hast irgendwo 'RBot' lesen können liegt die Vermutung nahe. Wobei ich mir nicht vorstellen kann dass jemand so blöd ist und gleich den passenden Namen liefert...


Ich habe alle Dateien im I-Net auf AV und Sicherheitsseiten verglichen...... Immer die Rede von RBot Varianten.... und mit Schläfern hast du Rehct.

Die Taskdir.exe ist wieder da.... zusammen mit der Taskdir.dll

Ich werde mal Versuchen diese Anleitung zur Entfernung zu befolgen: Kuck mal Hier (http://www.nod32.de/msgs/lager_aq.htm)

..und bitte den Thread weiterführen - auch wenn Du die Pest wieder los bekommst!

Da wird einem ja Angst und Bange.

Greets & Good Luck
S@uDepp

Spiel doch einfach deine letzte Datensicherung deines Betriebssystems auf der Partition von Ghost oder Acronis wieder auf,die man alle ein bis zwei Monate macht.Die ist sicher auf ner DVD oder zweiten HD vorhanden....
Mfg The Q

:cool: Ne,lieber nicht.....aus folgendem Grund:

Malware-komponenten haben sich eingenistet in mehrere Exe-Dateien die ich häufig benutze... und selbst Kasperky hat sie nicht gefunden.

Ich bin auf der Arbeit, ich weiss jetzt nicht aus dem Kopf wie das Tool heißt.
Das Checkt Online ob sich Orig.-Exe Files verändert haben... und der Online-Scann hat so um die 70-80Min. gedauert. Die Ergebnisse werden mit einer Online-Database verglichen.

@HeldimZelt.... Du hattest Recht, ich hatte (habe evtl. immernoch) Schläfer auf dem Rechner.


Bis jetzt keinerlei Auffälige Aktivitäten....

:cool: Ne,lieber nicht.....aus folgendem Grund:

Malware-komponenten haben sich eingenistet in mehrere Exe-Dateien die ich häufig benutze... und selbst Kasperky hat sie nicht gefunden.

Ich bin auf der Arbeit, ich weiss jetzt nicht aus dem Kopf wie das Tool heißt.
Das Checkt Online ob sich Orig.-Exe Files verändert haben... und der Online-Scann hat so um die 70-80Min. gedauert. Die Ergebnisse werden mit einer Online-Database verglichen.

@HeldimZelt.... Du hattest Recht, ich hatte (habe evtl. immernoch) Schläfer auf dem Rechner.


Bis jetzt keinerlei Auffälige Aktivitäten....
Boah..was hast du dir da blos eingefangen???
Und wo/wie?
Klingt echt übel,berichte doch weiter um anderen evt. davor zu bewaren.
Mfg The Q

HIER EINE KLEINE LISTE MEINER MERKWÜRDIGEN INFEKTION !!!!

Der hier scheint nicht so schlimm zu sein:

Once executed, Trojan.Galapoper.A performs the following actions:
Arrives as the following file:
%System%\zhopaizdupla.exe
Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
Connects to the command script found at the following address:
[http://]81.177.3.175/cntr[REMOVED]
Saves the encrypted command data found at the above address to the following temporary file:
%System%\svcp.csv
Note: The command data gives the Trojan the location of the file to download and execute, and specifies some other paramaters which determine the behaviour of the Trojan.
Downloads and executes a remote file.
Note: At the time of writing the following file was downloaded and executed:
[http://]81.177.3.175/images/para[REMOVED]
May save the downloaded file as:
%System%\parad.raw.exe
Note: This file is a copy of Trojan.Abwiz.F.
Creates the following file containing data about the actions performed by the Trojan:
%System%\winsub.xml
Adds the value:
"WindowsSubVersion" = "[VALUE]"
to the registry subkey:
HKEY_CURRENT_USER
to store the data mentioned in the previous step.
May open a TCP connection on port 25 to the IP address 208.36.123.14.
-------------------------------------------------------------------------
Das hier ist mein Spam-Schädling !!! :rolleyes: Das war ne Arbeit den zu entfernen (wenn überhaupt zu 100%)... MIT ROOTKIT FUNKTION !!!

Takdir.exe

Trojan.Abwiz.F is a Trojan horse with rootkit abilities that downloads and executes remote files and sends confidential computer information to a remote attacker. The Trojan also allows a remote attacker to perform various unauthorized actions on the compromised computer.

When Trojan.Abwiz.F is executed, it performs the following actions:
Copies itself as %System%\taskdir.exe.
Note: %System% is a variable that refers to the System folder. By default this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).
Drops the file %System%\taskdir.dll, and injects it into all running processes. This dll file contains the Trojan's rootkit functions. It hides files and processes containing the string "taskdir". It also hides registry values containing the string "taskdir".
Drops the non-malicious file %System%\zlbw.dll.
Adds the value:"taskdir" = "%System%\taskdir.exe"
to the registry subkey:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
so that it runs every time Windows starts.
Sends information about the compromised computer via HTTP to the following IP address:
[http://]216.255.179.235/new/cls/main[REMOVED]
Checks for presence of Internet connection and tries to download a configuration file, saved as from the following sites:
[http://]216.255.179.235/new/cntr/ab.[REMOVED]
[http://]69.50.171.172/n/ab.[REMOVED]
[http://]69.50.161.106/n/ab.[REMOVED]
[http://]69.50.184.194/n/ab.[REMOVED]
Downloads and executes updates to itself from the following URL:
[http://]216.255.179.235/new/cntr/bin/lat2[REMOVED]
Adds the values:
"ColorTable19" = "[TROJAN DATA]"
"ColorTable20" = "[TROJAN DATA]"
to the registry subkey:
HKEY_CURRENT_USER
to store some configuration data.
"This Trojan horse can be used to relay spam emails".
--------------------------------------------------------------------------

Phqghume.exe

Name: optional web drivers for win32
Filename: phqghume.exe
Command: Unknown at this time.
Description: Added by a variant of the WIN32.RBOT WORM!
File Location: Unknown
Startup Type: This startup entry is started automatically from a Run, RunOnce, RunServices, or RunServicesOnce entry in the registry.

AUUUUUUTSCH !!!!!!!! :|


Beschreibung
Win32.Rbot is an IRC controlled backdoor (or "bot") that can be used to gain unauthorized access to a victim's machine. It can also exhibit worm-like functionality by exploiting weak passwords on administrative shares and by exploiting many different software vulnerabilities, as well as backdoors created by other malware. There are many variants of Rbot, and more are discovered regularly. Rbot is highly configurable, and is being very actively developed, however the core functionality is quite consistent between variants. Most instances of Rbot are compressed and/or encrypted with one or more run-time executable packers. Examples include Morphine, UPX, ASPack, PESpin, EZIP, PEShield, PECompact, FSG, EXEStealth, PEX, MoleBox and PEtite.

Infektionsmethode
When first run, Rbot will copy itself into the %System% directory. The file name is configured seperately for each variant, but a common example is "wuamgrd.exe". The worm may also be configured to use a different, randomly generated file name each time it installs itself. It sets the read only, hidden and system attributes for the file in the %System% directory, and sets its date/time to match that of the system file "explorer.exe".

The worm most commonly adds entries to the following registry keys so that it is automatically run each time Windows starts:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

The value name is also configurable, therefore it can be different for each variant. For example:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Update Machine = "wuamgrd.exe"

The worm may be configured to regularly check these values and re-set them if necessary.

Rbot will usually create a mutex to ensure only one copy runs at a time. The mutex name changes from one variant to the next. One observed example is "rxlsass01b".

Zurück zum Anfang

Verbreitungsweg
Win32.Rbot variants are able to spread in a number of different ways. Propagation is launched manually through backdoor control, rather than happening automatically. Not all variants support all propagation mechanisms.

Each spreading method begins with scanning for target machines. The worm can generate random values for all or part of each IP address it targets. Each attack vector is associated with a particular TCP port.

Via Network Shares (TCP ports 139 and 445)
Rbot can infect remote machines through Windows file sharing. It scans for target machines by probing TCP ports 139 and 445. If it can connect to either of these ports, it then tries to connect to the Windows share:

\\<target>\ipc$

Where <target> is the name of the machine it is trying to infect.

If this connection is not successful, it gives up on this machine. If the connection succeeds, it then attempts to retrieve a list of user names on the target, then use these user names to gain access to the system. If it cannot retrieve the list of user names, it falls back on a default list that it carries within itself, for example:

administrator
administrador
administrateur
administrat
admins
admin
staff
root
computer
owner
student
teacher
wwwadmin
guest
default
database
dba
oracle
db2

Note: Rbot may also try to access a remote machine using the credentials of the local account from which it is executed.


The list usually includes an empty password.

Assuming the worm can authenticate with the target machine, it then tries to copy itself to these locations:

\\<target>\Admin$\system32
\\<target>\c$\winnt\system32
\\<target>\c$\windows\system32
\\<target>\c
\\<target>\d

It then schedules a remote job to run the worm copy on the target machine.

Via Exploits
Win32.Rbot can also spread by exploiting vulnerabilities in Windows operating systems and third party applications. If it successfully exploits one of these, it executes a small amount of code on the target machine, which instructs it to connect back to the source in order to retrieve the complete worm executable. These connections back to the source use either the TFTP or HTTP protocol; the worm acts as a TFTP or HTTP server to deliver itself. The ports used for these servers are also configurable, but are often 81 for HTTP and 69 for TFTP.

This is a list of known vulnerabilities that Rbot may exploit:

1. Microsoft Windows LSASS buffer overflow vulnerability (TCP port 445)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?id=27886
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx

2. Microsoft Windows ntdll.dll buffer overflow vulnerability (WebDav vulnerability) (TCP port 80)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=7287
http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx

3. Microsoft Windows RPC malformed message buffer overflow vulnerability (TCP ports 135, 445, 1025)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25454
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx (supersedes original bulletin MS03-026)

4. Microsoft Windows RPCSS malformed DCOM message buffer overflow vulnerabilities (TCP port 135)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=25975
http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx

5. Exploiting weak passwords on MS SQL servers, including the Microsoft SQL Server Desktop Engine blank 'sa' password vulnerability (TCP port 1433)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=5705
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q321081
Note: The worm tries the same password list as that used for spreading through shares, including a blank password. The SQL server accounts it attempts to log in to are "sa", "root" and "admin".

6. Microsoft Universal Plug and Play (UPnP) NOTIFY directive buffer overflow and DoS vulnerabilities (TCP port 5000)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=4520
http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx

7. DameWare Mini Remote Control Buffer Overflow (TCP port 6129)
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=26843
http://www.dameware.com/support/security/bulletin.asp?ID=SB2

8. Microsoft Windows Workstation service malformed message buffer overflow vulnerability (TCP port 445).
http://www3.ca.com/threatinfo/vulninfo/vuln.aspx?ID=26580

9. Microsoft Windows WINS replication packet memory overwrite vulnerability (TCP port 42)
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=31982
http://www.microsoft.com/technet/security/Bulletin/MS04-045.mspx

10. RealSystem Server SETUP buffer overflow vulnerability
http://www3.ca.com/securityadvisor/vulninfo/Vuln.aspx?ID=7168

11. Microsoft SQL Server 2000 Resolution Service buffer overflow vulnerability
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?ID=6251
http://www.microsoft.com/technet/security/bulletin/ms02-061.mspx

12. Microsoft Windows Plug and Play service buffer overflow vulnerability
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=33250
http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx

Via Other Malware
Some Rbot variants can also infect remote systems through backdoors created by other malware:

Win32.Bagle worm (TCP port 2745)
Win32.Mydoom worm (TCP port 3127)
Win32.OptixPro trojan (TCP port 3410)
Win32.NetDevil trojan (TCP port 903)
Win32.Kuang trojan (TCP port 17300)
Win32.SubSeven trojan (TCP port 27347)
Note: some of the above trojans listen on variable ports. Known variants of Win32.Rbot use only the default ports as listed above.

Zurück zum Anfang



Schadensfunktion

Backdoor Functionality
Rbot's main function is to act as an IRC controlled backdoor. It attempts to connect to a predefined IRC server and join a specific channel so that the victim's computer can be controlled. The IRC server, port number, channel and password differ with each variant.

Rbot also listens on TCP port 113 to provide ident services, which are required by some IRC servers.

Once the victim's computer is under control, the overseer is able to instruct Win32.Rbot to attempt to perform malicious operations such as spreading via administrative shares with weak passwords or the DCOM RPC exploit. The backdoor can also be instructed to:

download and execute files from the Internet
retrieve system information such as Operating System details
retrieve CD keys for certain computer games, if present
start a SOCKS proxy
perform denial of service (DoS) attacks
start several other servers: rlogin, http, tftp. The ports used for these are configurable.
log keystrokes
capture video from a webcam, if present
send e-mail
Process Termination
Win32.Rbot can also be configured to terminate certain processes. These processes are usually related to anti-virus and other security software, but also include processes used by other malware. For example:

regedit.exe
msconfig.exe
netstat.exe
msblast.exe
zapro.exe
navw32.exe
navapw32.exe
zonealarm.exe
wincfg32.exe
taskmon.exe
PandaAVEngine.exe
sysinfo.exe
mscvb32.exe
MSBLAST.exe
teekids.exe
Penis32.exe
bbeagle.exe
SysMonXP.exe
winupd.exe
winsys.exe
ssate.exe
rate.exe
d3dupdate.exe
irun4.exe
i11r54n4.exe

http://www.prevx.com/

Das Programm hier hat mir sehr geholfen... verstäckte Schädlinge in Dateien auszumachen.

Sehr zu empfehlen..... da hat sogar Kaspersky versagt!

RootkitRevealer hat über 30.000 Dateien gelistet (Scan war nach dem Screenshot noch ange nicht fertig)...meist Game-Dateien die mir unwichtig erscheinen...aber auch viele anderen. Hat dies eine größere Bedeutung?

kuckt das Tool ob Dateien verändert worden sind?Wie es funtioniert ist doch auf der HP beschrieben : Zuerst wird über die normale WindowsAPI gescannt, dann durch Direktzugriff. Wenn sich die Ergebnisse unterscheiden wurde die Ausgabe der API durch ein RootKit manipuliert. Leider könnten "gute" RootKits auch den Direktzugriff manipulieren... :mad:
Das einzige was in Deinem Fall wirklich sinnvoll wäre ist ein Offline-Scan, von BartPE oder Linux (z.B. Knoppicilin). Aber eigentlich kommst Du IMO ums neuinstallieren nicht wirklich rum. ;(

MfG
Rooter

Wie es funtioniert ist doch auf der HP beschrieben : Zuerst wird über die normale WindowsAPI gescannt, dann durch Direktzugriff. Wenn sich die Ergebnisse unterscheiden wurde die Ausgabe der API durch ein RootKit manipuliert. Leider könnten "gute" RootKits auch den Direktzugriff manipulieren... :mad:
Das einzige was in Deinem Fall wirklich sinnvoll wäre ist ein Offline-Scan, von BartPE oder Linux (z.B. Knoppicilin). Aber eigentlich kommst Du IMO ums neuinstallieren nicht wirklich rum. ;(

MfG
Rooter

Das weiss ich mit dem neuinstallieren... nur :redface: so Experimentier-und-Beobachtungsfreudig ich bin werde ich noch ein paar Tage warten. Vielleicht :cool: mutiert ja noch was auf dem Rechner... und das würde ich gerne näher sehen. Hört sich blöd an, aber dann weiss ich wie die Show abläuft.

;)

Was hast du eigentlich angestellt, dass dein Windows dermaßen (!) vermüllt ist?

capture video from a webcam, if present

Hmmm... ich installier das Programm mal um zu testen, irgendwie hat ich mal das Gefühl, dass das Licht meiner Webcam on war...mal schauen.

:cool: Was heißt Vermüllt?
----------------------------------------------------------------

So wie es aussieht, habe ich mir 1 Sache eingefangen.... und der Rest wurde warscheinlich über diese runtergeladen und ausgeführt.

Les dir mal auf der ersten Seite das Post von "HeldimZeld" durch.
Mann muss sich heutzutage nur 1 Sache einfangen...und mann kann als komplette Virenschleuder enden ;) ...oder wie ich, als SpamVersender oder Virenverbreiter. Viren und Würmer sind garnicht mal mehr so Dumm wie früher.... aus Protest-Schäden ala "Datenlöschung" wurde ín den letzten Jahren was richtig Organisiertes wo die Macher der Würmer mit Organisationen zusammenarbeiten, um Geld an erpressten Opfern zu verdienen.

Ist nicht ohne.... :cool:

ps. Dabei war ich eigentlich nie so geplagt von Hijackern, und Co.

Super-S[/POST]']
So wie es aussieht, habe ich mir 1 Sache eingefangen.... und der Rest wurde warscheinlich über diese runtergeladen und ausgeführt.Das mag ja sein, nur wie hast du dir diese Sache eingefangen? Ich verstehs nicht. Überall im Internet gibt es HowTos oder auch die Stickies hier im Forum, wo drin steht, wie man sein System absichert. Und trotzdem kommen hier jede Woche massenhaft Threads, wo Leute sich Malware eingefangen haben und fragen wie sie diese loswerden. Warum lassen diese Leute die Malware dann erst auf ihren Rechner?

;) Mann,kannst ned lesen... :D ...ich habe den Kasperky neu installieren müssen. Danach hat er einiges Zeug gefunden...

Liegt wohl nahe das mein AV-Programm a wenig Manipulöööört worden ist, oder der Guard inaktiv war obwohl als Aktiv angezeigt war...wer weiss.

:cool: Kann durch eine Fragwürdige Page gekommen sein....obwohl ich den Firefox nutze / SP2 drauf habe / und auch Regelmößig Updates ziehe.

Und wenn dir jemand erzählt nach dem ganzen Patch krams wärst du 100pro Sicher der lügt.

Kann sogar ne Cheat-Page gewesen sein... wollte in FEAR ein bischen bescheissen :biggrin: (SP-versteht sich).

Vielleicht hast du auch schon gehört das mann so Geschichten in Bildern verstecken kann...die im Forum verlinken, und bei jedem Aufruf von Membern und Gästen infizierungen hervorrufen "kann". Es ist ziemlich Einfach Opfer zu finden.... Denkst du du bist 100& Sicher ????
:)

ps. Sorry, aber dein letzter Satz in deinem Post ist ziemlich ;) ohne Hirnchen. Denk mal drüber nach.

Gast[/POST]']Das mag ja sein, nur wie hast du dir diese Sache eingefangen? Ich verstehs nicht. Überall im Internet gibt es HowTos oder auch die Stickies hier im Forum, wo drin steht, wie man sein System absichert. Und trotzdem kommen hier jede Woche massenhaft Threads, wo Leute sich Malware eingefangen haben und fragen wie sie diese loswerden. Warum lassen diese Leute die Malware dann erst auf ihren Rechner?

Es gibt ja auch ab und an neue Viren, welche noch nicht von dem Viren update erfasst worden sind und oder einen ganz anderen Weg gingen als bisher. Und wenn er halt gerade einer dieser glücklichen "Betatester" ist, hat er Pech gehabt und hat dass Ding nun, trotz Ratgebern, AV usw. .

Das ist ja eigentlich nach meinen Infos nicht mal ein normaler Virus den ich hatte.... sondern eine RBOT-Variante mit Rootkit Funktionen....... die weit Schädlicher sein können als ein billiger Browser-Hijacker oder Std.Spyware die Surfgewohnheiten ausspioniert.

;) Und lange blieb das Dingens nicht unbemerkt... ein schlechter Ping hat mich auf meinen Fav-Servern auf die Geschichte aufmerksam gemacht.

Es gibt aber viele,und da hat der Gast Recht...die alles ausführen und alles anklicken was vor ihnen so aufpoppt.

Zu der Sorte gehöre ich sicher nicht....

Thanatos[/POST]']Es gibt ja auch ab und an neue Viren, welche noch nicht von dem Viren update erfasst worden sind und oder einen ganz anderen Weg gingen als bisher. Und wenn er halt gerade einer dieser glücklichen "Betatester" ist, hat er Pech gehabt und hat dass Ding nun, trotz Ratgebern, AV usw. .

Das ist eigentlich Alltag.... was meinst du was Symantec und co. so am Tag eingeschickt bekommen per Mail ;) ....verdächtiges Material.

Thanatos[/POST]']Es gibt ja auch ab und an neue Viren, welche noch nicht von dem Viren update erfasst worden sind und oder einen ganz anderen Weg gingen als bisher. Und wenn er halt gerade einer dieser glücklichen "Betatester" ist, hat er Pech gehabt und hat dass Ding nun, trotz Ratgebern, AV usw. .In diesen "Ratgebern" sollte aber auch drinstehen, dass man sein Hirn nutzen sollte bei der Nutzung des Internet. Dazu gehört auch, dass man ausführbare Dateien nur aus 100% sicherer Quelle beziehen sollte. Der Esel gehört garantiert nicht zu diesen sicheren Quellen. Wenn man mit dem Feuerfuchs surft, braucht man sich auch nicht vor Bilddateien zu fürchten, denn um gefährlich zu werden, benötigen diese ein Zutun des Users.

Ich will nicht sagen, dass man zu 100% sicher sein kann, aber man kann das Risiko stark minimieren, sodass es mit verdammt großer Wahrscheinlichkeit nicht zu einer Kompromittierung des Systems kommt.

Super-S[/POST]']:cool: Was heißt Vermüllt?
----------------------------------------------------------------

So wie es aussieht, habe ich mir 1 Sache eingefangen.... und der Rest wurde warscheinlich über diese runtergeladen und ausgeführt.mmm...

Die Frage bleibt trotzdem:
Wie ist das Teil auf dein System gekommen?
Laut deiner Angabe kommt das Teil über allgemeine Windows- Ports rein (wenn es den überhaupt das richtige Teil ist).
Das würde bedeuten, eine "beknackte" PFw hätte den Kram schon aufhalten müssen (ausser es ist eben nicht der von dir beschrieben Wurm, sondern ein Abkömmling mit erweiterter Funktionen oder die PFw ist falsch konfiguriert, Netzwerkfreigabe + Onlinescan sollten sowas schon anzeigen) oder das Teil ist über Broswer/ Email/ Instant Messenger/ P2P/ Online Game/ was auch immer reingekommen.

Edit: System würde ich neu aufsetzen, da das Teil mit Rootkit- Funktionen rumgespielt hat.

@GAST

;) Klar, nur kann das in mehreren Jahren schon mal vorkommen.....selbst mit Tools und Updates.

Hört sich ja fast schon an als ob ich zu dumm zum surfen gewesen wäre. Ahnungslose schleppen den Scheiss sehr lange auf ihren Rechnern rum ohne zu wissen das sie was auf dem PC haben. Schonmal was von Mutationen gehört...oder Abkömlingen ???
Schonmal was von deaktivierten Firewalls oder AV-Progs. gehört???

Seih froh das es dich nicht erwischt hat bis jetzt... nur bist du jetzt kein Pro. oder Heiliger...es kann JEDEN treffen (sogar dich)... selbst über ein Board kannst du dir Sachen einfangen.

Bin ich jetzt ein Ahnungsloser Dummer Nap...der ne Malware Schleuder besitzt und heulend Rat suche?

Sicher nicht... denk mal drüber nach, selbst Firmen mit gut geschützten Netzwerken werden Tag-Täglich Opfer von solch Dingen.

Klar gibt es Dumme Ahnungslose User die echt nicht für die Sicherheit am PC tun...und somit eine Gefahr im I-NET darstellen. Härter ausgedrückt sind es fast sogar Mittäter... denn es ist schon fast eine Pflicht heute sich zu schützen um andere zu schützen.

Aber nur weil sich mal jemand was einfängt (in meinem Fall JAHRE nicht) ...heißt es nicht gleich "Oh Mann wie kann mann nur...es gibt doch sooo viele HOW TO´S".

;) Ich hoffe du verstehst das ich dein Posting so nicht ganz OK finde.

Lokadamus[/POST]']mmm...

Die Frage bleibt trotzdem:
Wie ist das Teil auf dein System gekommen?
Laut deiner Angabe kommt das Teil über allgemeine Windows- Ports rein (wenn es den überhaupt das richtige Teil ist).
Das würde bedeuten, eine "beknackte" PFw hätte den Kram schon aufhalten müssen (ausser es ist eben nicht der von dir beschrieben Wurm, sondern ein Abkömmling mit erweiterter Funktionen oder die PFw ist falsch konfiguriert, Netzwerkfreigabe + Onlinescan sollten sowas schon anzeigen) oder das Teil ist über Broswer/ Email/ Instant Messenger/ P2P/ Online Game/ was auch immer reingekommen.

Edit: System würde ich neu aufsetzen, da das Teil mit Rootkit- Funktionen rumgespielt hat.

Ich glaube über den Browser...woher, kann ich nocht nicht sagen.
P2P ist nicht mein Ding, I-MSG nutze ich nicht.... Online spielen tue ich sehr viel... und mein Router ist so "ziemlich" Dicht.

mmm...

Welchen Browser benutzt du den? Vom IE würde ich so weit es geht Abstand nehmen. Das Teil hat alle paar Tage eine neue News wegen Sicherheitsproblemen, laut Text hin und wieder auch welche, womit Sicherheitseinschränkungen umgangen werden ... http://www.heise.de/newsticker/meldung/72497 ...

Lokadamus[/POST]']mmm...

Welchen Browser benutzt du den? Vom IE würde ich so weit es geht Abstand nehmen. Das Teil hat alle paar Tage eine neue News wegen Sicherheitsproblemen, laut Text hin und wieder auch welche, womit Sicherheitseinschränkungen umgangen werden ... http://www.heise.de/newsticker/meldung/72497 ...

FireFox :) !

hab mal dieses prevx1 durchlaufen lassen, hat bei mir 2 dateien gefunden.. jedoch sind beide sauber.. somit fehlalarm..
das prog kommt mir irgendwie komisch vor, sieht nicht sehr ausgereift aus.
aber der event monitor ist nett.
eine original datei von der office xp cd ( :D ) und eine datei vom zsnes ( ;D )
glaube nicht das die gefährlich sind.. weil der zsnes emu von der hersteller hp ist und die office xp cd wird wohl kaum gefährlich sein.

naja :)