Archiv verlassen und diese Seite im Standarddesign anzeigen : "System Directory"
Dreamwork
30.04.2009, 18:21
Hi!
Ich wollte gestern nach dem Crypten meinen Server ausprobieren, habe in den "Optionen" fürs Crypten unter anderem AntiVmWare und AntiCMD ausgewählt..
Dusselig wie ich bin habe ich daran natürlich nciht gedacht, mir die CMD gesperrt. Da es mein Troja (Bifi) ist, weiß ich ja wie der Gute heißt etc., aber ich weiß nicht wo mein Server sich versteckt hat xD
Ausgewählt habe ich System Directory, der Name des Prozesses ist Winupdate.exe..
AV`s bringen nichts => FUD
Danke schonmal für eure Hilfe
mfG
DW
PS:
Weiß jemand, ob es einen Zusammenhang mit einer RAT Infektion und einem "nichtmehrfindensvonsichselbst" in Bifi gibt?
jens3911
30.04.2009, 18:26
probier das mal http://www.hijackthis.de/de
Dreamwork
30.04.2009, 20:01
Auf System32 bin ich schon gekommen (ganz dumm bin ich ja auch nicht xD )
Was mir noch eingefallen ist: Ich habe einige Stealer runtergeladen, um diese zu sniffen (Tutorial von soulstoned), leider waren da scheinbar auch RATs dabei.. -.-'
Die Auswertung von Hijack ergab, dass diese Anwendungen Eventuell schädlich sind:
C:\WINXP\system32\csrss.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE *lol* (aber warum GROß geschrieben?)
C:\WINXP\system32\Rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\spool\drivers\w32x86\3\hpztsb06. exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\DynDNS Updater\DynUpPs.exe
C:\WINXP\system32\wscntfy.exe
C:\WINXP\System32\alg.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
Sachen die ich als wirklich verdächtig sehe:
O17 - HKLM\System\CCS\Services\Tcpip\..\{546CE10F-B8B2-4888-9AA5-0B2C1F4EFEDD}: NameServer = 213.191.74.11 (http://cqcounter.com/whois/) 213.191.92.82
(http://cqcounter.com/whois/)
O17 - HKLM\System\CS1\Services\Tcpip\..\{546CE10F-B8B2-4888-9AA5-0B2C1F4EFEDD}: NameServer = 213.191.74.11 (http://cqcounter.com/whois/) 213.191.92.82 (http://cqcounter.com/whois/)
Edit: IP`s mit cqcounter.com verlinkt :)
Danke schonmal für eure Hilfe :)
DW
PS: Kenny/soulstoned: Ich liebe deine Tutorials :)
Dreamwork
30.04.2009, 20:06
Ich habe Sandboxie genutzt :)
Jetzt mal ehrlich, bin ich so bescheuert?
Ok.. ich kenne die Antwort ;)
Probier auch mal Spybot Search & Destroy
Der größte Fehler den man machen kann.
Schlechte Erkennung, Langsam wie die Sau und verlangsamt das System auch noch mit dem TeaTimer.
Nimm Malwarebytes Anti-Malware.
nimm gmer,blacklight oder icesword.
ihr könnt noch so viele tools nennen ohne systemwissen kann er damit nix anfangen....
Dreamwork
30.04.2009, 21:10
Sowohl Spybot als auch Malwarebytes AMW hatte ich schon aufm Rechner, so kompliziert ist das dann ja auch nicht xD
Allerdings sagen mir deine Tools garnichts @wacked :D
Ich habe jetzt mal spybot drüber laufen lassen..
Folgendes wurde gefunden:
Microsoft.Windows.DisableCMD
HKEY_USERS\S-1-5-21-484......
und
Microsoft.WindowsSecurity.FirewallOpenPorts
HKEY_LOCAL_MACHINE...
Ich habe es mal von S&D reparieren lassen.. vllt. gehts danach ja wieder *hoff*
Malwarebyte ist noch in Benutzung..
Edit:
Das mit Search and Destroy funktioniert wieder :)
icesword,gmer,blacklight usw sind gegen rootkits.
Sie zeigen (den) SSDT-Tabel,Api-Hooks,usw an.
Powered by vBulletin® Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.