Hi!
Ich wollte gestern nach dem Crypten meinen Server ausprobieren, habe in den "Optionen" fürs Crypten unter anderem AntiVmWare und AntiCMD ausgewählt..
Dusselig wie ich bin habe ich daran natürlich nciht gedacht, mir die CMD gesperrt. Da es mein Troja (Bifi) ist, weiß ich ja wie der Gute heißt etc., aber ich weiß nicht wo mein Server sich versteckt hat xD

Ausgewählt habe ich System Directory, der Name des Prozesses ist Winupdate.exe..
AV`s bringen nichts => FUD

Danke schonmal für eure Hilfe
mfG
DW

PS:
Weiß jemand, ob es einen Zusammenhang mit einer RAT Infektion und einem "nichtmehrfindensvonsichselbst" in Bifi gibt?

C:\WINDOWS\system32\

probier das mal http://www.hijackthis.de/de

Auf System32 bin ich schon gekommen (ganz dumm bin ich ja auch nicht xD )
Was mir noch eingefallen ist: Ich habe einige Stealer runtergeladen, um diese zu sniffen (Tutorial von soulstoned), leider waren da scheinbar auch RATs dabei.. -.-'

Die Auswertung von Hijack ergab, dass diese Anwendungen Eventuell schädlich sind:


C:\WINXP\system32\csrss.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE *lol* (aber warum GROß geschrieben?)
C:\WINXP\system32\Rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb06. exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\DynDNS Updater\DynUpPs.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\wbem\wmiapsrv.exe

Sachen die ich als wirklich verdächtig sehe:

O17 - HKLM\System\CCS\Services\Tcpip\..\{546CE10F-B8B2-4888-9AA5-0B2C1F4EFEDD}: NameServer = 213.191.74.11 (http://cqcounter.com/whois/) 213.191.92.82
(http://cqcounter.com/whois/)
O17 - HKLM\System\CS1\Services\Tcpip\..\{546CE10F-B8B2-4888-9AA5-0B2C1F4EFEDD}: NameServer = 213.191.74.11 (http://cqcounter.com/whois/) 213.191.92.82 (http://cqcounter.com/whois/)

Edit: IP`s mit cqcounter.com verlinkt :)

Danke schonmal für eure Hilfe :)

DW


PS: Kenny/soulstoned: Ich liebe deine Tutorials :)

Ich habe Sandboxie genutzt :)
Jetzt mal ehrlich, bin ich so bescheuert?


Ok.. ich kenne die Antwort ;)

Probier auch mal Spybot Search & Destroy

Der größte Fehler den man machen kann.
Schlechte Erkennung, Langsam wie die Sau und verlangsamt das System auch noch mit dem TeaTimer.

Nimm Malwarebytes Anti-Malware.

nimm gmer,blacklight oder icesword.
ihr könnt noch so viele tools nennen ohne systemwissen kann er damit nix anfangen....

Sowohl Spybot als auch Malwarebytes AMW hatte ich schon aufm Rechner, so kompliziert ist das dann ja auch nicht xD
Allerdings sagen mir deine Tools garnichts @wacked :D

Ich habe jetzt mal spybot drüber laufen lassen..
Folgendes wurde gefunden:
Microsoft.Windows.DisableCMD
HKEY_USERS\S-1-5-21-484......

und
Microsoft.WindowsSecurity.FirewallOpenPorts
HKEY_LOCAL_MACHINE...

Ich habe es mal von S&D reparieren lassen.. vllt. gehts danach ja wieder *hoff*

Malwarebyte ist noch in Benutzung..

Edit:
Das mit Search and Destroy funktioniert wieder :)

icesword,gmer,blacklight usw sind gegen rootkits.
Sie zeigen (den) SSDT-Tabel,Api-Hooks,usw an.