Thema: Der Viren-Thread

[Bloodsurfer]

W32/Nanpy-A ist ein Wurm für die Windows-Plattform. Er kann sich mit Hilfe der RPC-DCOM-Schwachstelle auf anfällige Computer verbreiten und versuchen, den Zugriff auf verschiedene Banken-Websites umzuleiten.

Wenn er erstmals gestartet wird, kopiert sich W32/Nanpy-A nach <System>mmsvc32.exe.

Der folgende Registrierungseintrag wird erstellt, damit mmsvc32.exe beim Start ausgeführt wird:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Microsoft Network Services Controller
<System>mmsvc32.exe

W32/Nanpy-A verändert die HOSTS-Datei, indem er die URLs von Banken-Websites mit einer remoten IP-Adresse verknüpft. Zum jetzigen Zeitpunkt funktioniert diese IP-Adresse jedoch nicht.

Evtl. mal schauen ob der Registry Eintrag noch da ist

[nemesis]

Blöde Frage: Wenn das Vieh noch da wäre müsste es ja ausgeführt werden, oder? Also im Taskmanager sichtbar sein (was es nun nicht mehr ist). Oder irre ich mich da?

[Bloodsurfer]

Klar, aber es wär ja z.B. möglich dass die exe weg ist, aber der Eintrag in der Reg noch da Ging mehr ums Prinzip, mal nachzuschauen und alles zu säubern.


Hast du eigentlich das Service Pack 2 drauf?

[nemesis]

Nein.

[Bloodsurfer]

Solltest du aber unbedingt installieren.

[stier]

danke für die tipps,ich hatte noch nichts ich meine bis jetzt.. :oops:  

[Barbrady]

Tach auch, ich melde mich von meinem aus-unerfindlichen-Gründen-vor-sich-hin-vegetierenden Heimrechner aus  :?

Irgendwie läuft das Teil gar nicht mehr rund, ich kanns mir nicht erklären:

Hab ne neue Platte und ein neues Netzteil gekauft und das System neu aufgesetzt. War gerade fertig, da bekomm ich auf einmal regelmäßig Bluescreens (bin ich gar nicht gewöhnt, sowas...). Der Fehler lautet: PAGE_FAULT_IN_NON_PAGED_AREA (ntfs.sys defekt), den hab ich im Netz nachgeschlagen, da wurde hauptsächlich die Hardware verantwortlich gemacht. Erste, logische Vermutung: Festplatte, und zwar ne Samsung Spinpoint mit 250GB.
Die hab ich mit dem zugehörigen Tool plattgemacht (LowLevel-formatiert), es gab keinen Fehler - also müßte die doch eigentlich tiptop sein, oder?

Nächste Vermutung: Speicher - Memtest86 findet aber keinen Fehler.
Ob es am Board liegt kann so direkt nicht bestimmen.
Jedenfalls klappt mit Prime95 nichtmal die erste Berechnung bis die Maus einfriert... eigentlich ein eindeutiger Hinweis auf defekte Hardware, oder?

Das System hab ich dann noch mehr als einmal neu aufgesetzt, immer gabs irgendwo Fehler. Davon ausgehend, dass die Hardware funktioniert, kann es meiner Meinung nach nur noch an ner infizierten Datei auf meiner Backup-Platte liegen, auf der ich alle Daten, Musik und v.a. jegliche Standard-Software als Install-.exe's gespeichert habe, oder?

Ich hab nämlich auch schon ganz am Anfang, quasi frisch nach der Installation von XP, Kerio und antivir Meldungen von nem Wurm, ner komischen Verbindung nach draußen und ner komischen Pufferüberlauf-Codeausführung bekommen, wobei letzteres vielleicht gar nicht so schlimm ist wie es ausschaut, aber das weiß ich noch nicht genau.

Deshalb hab ich eigentlich nur drei Fragen:

Wie kann ich meine Backup-Daten mit 100%er-Sicherheit auf Malware prüfen? (z. Zt. benutze ich antivir, wenn das reicht wärs natürlich ok)

Ist die Festplatte einwandfrei, wenn ich sie problemlos Low-Level-formatieren kann?

Wie kann ich die defekte Hardware-Komponente ausmachen, sofern sie existiert und es nicht die Festplatte ist?

[Barbrady]

Wie kann ich meine Backup-Daten mit 100%er-Sicherheit auf Malware prüfen? (z. Zt. benutze ich antivir, wenn das reicht wärs natürlich ok)

Ist die Festplatte einwandfrei, wenn ich sie problemlos Low-Level-formatieren kann?

Wie kann ich die defekte Hardware-Komponente ausmachen, sofern sie existiert und es nicht die Festplatte ist?

Ok, die ersten beiden Fragen sollte ich selbst beantwortet haben - da gibt es mit großer Sicherheit keine Probleme. Hab jetzt wieder ein frisches System drauf, aber immernoch Bluescreens.... wie gesagt: memtest und das HDD-Tool finden keinen Fehler.

Ich verdächtige jetzt das Mainboard, weiß aber nicht wie ich das bestätigen kann...

[Necronomicon]

Ob das Mainboard richtig funktioniert siehst du unter anderem übers BIOS aber da mussu hier mal paar von unseren PC-Cracks fragen  

Schonmal im Gerätemanager nach Konflikten gesucht ?

[Barbrady]

Ob das Mainboard richtig funktioniert siehst du unter anderem übers BIOS aber da mussu hier mal paar von unseren PC-Cracks fragen  

Schonmal im Gerätemanager nach Konflikten gesucht ?

Naja, so einfach ist es glaube ich nicht, im BIOS zu gucken. Es ist ja nicht so, dass gar nix mehr geht - es geht, aber eben nicht vollkommen stabil. Im normalen Gebrauch, also nicht unter Volllast kommt es auch fast nie zu Abstürzen, nur wenn man mal etwas mehr Leistung beansprucht, z.B. beim zocken. Mich ärgert vor allem, dass der PC keine einzige Berechnung von PRIME95 verkraftet, das hat er nämlich früher locker geschafft und dabei beansprucht PRIME ja nicht die (neue) Festplatte.
Kann es denn vielleicht sogar am Netzteil liegen? Ich hoffe doch mal nicht, das Ding ist neu und MMN auch voll funktionstüchtig...

Im Gerätemanager wüßte ich jetzt nichtmal nach WAS ich eigentlich suchen soll, hat ja vorher auch alles geklappt und es wurde nix großartig geändert, außer eben HDD und NT, welche beide problemlos laufen, jedenfalls denke ich das  :?  

[Masterboy]

es kann so viele Ursachen haben.

Mach die alte Platte doch mal ab wo evtl Viren drauf sein könnten und installier das OS mal unter sauberen Bedingungen.

Dann würde ich mal prüfen ob das Netzteil vielleicht in keiner guten Kombination angeschlossen ist, damit meine ich die Verteilung der Kabelstränge auf die Geräte, das sollte mal getauscht werden.

Dann gucken ob der Kühlkörper richtig auf der CPU sitzt, evtl zu viel Wärmeleitpaste verwendet oder leicht schief montiert?

Die Festplatte kann trotz der Formatierung eine Fehlerquelle sein.

Ich würde allerdings doch eher auf eine Treibersache oder den RAM tippen...

Ferndiagnose... schwierig...

[Barbrady]

Ferndiagnose... schwierig...

allerdings, es geht mir ja auch mehr um "Denkanstößte" nicnt um die ultimative Lösung des Probs  

Ich geh mal die Liste durch, sind ein paar gute Punkte dabei. Danke

[Barbrady]

So, wie ich in nem anderen Thread erwähnt habe, hab ich jetz nichtmal mehr Internet, aber das liegt definitiv NICHT an meinem PC  :?

Hab gestern mal die Hardware so richtig checken wollen, und zwar mit Prime95 und verschiedenen Setups: Ohne überflüssige IDE, PCI Geräte, sprich Laufwerke, Karten, und nur mit einer Platte.
Ergebnisse:
- "normal", also mit beiden Speicherriegeln: Absturz nach weniger als 5 Minuten
- "nur Riegel A": Läuft gut, aber nach ner knappen Stunde kommt dann doch der Absturz
- "nur Riegel B": siehe "nur Riegel A"....
da die Festplatte bei PRIME eigentlich nicht ausgelastet wird, werde ich mich jetzt mal nach Bauteilen umsehen, mit denen ich CPU und Board testen kann. An der Kühlung liegt es imo nicht, die Werte sich so gut wie noch nie... dank des neuen Netzteils und offenem Gehäuse.

I keep testing...

[Ketzer]

so nun hat´s mich auch erwischt  

Trotz größter Sorgfalt:

Opera statt IE, Zonealarm Firewall und F-prot.

K.A., wo das Dingens herkam, plötzlich meldet f-prot einen Virus, ohne ihn lokalisieren zu können.

Antivir draufgepackt (auf CB Spiele).

Meldet TR/Clicker.Agent.N.1

löscht ihn, Comp funktioniert aber irgendwie nicht mehr richtig.

System neu drauf, jetzt allerdings läßt sich komischerweise die neueste Zonealarm Version nicht mehr aufspielen  

Meinen Brenner erkennt er momentan auch noch nicht.

Wie groß ist eigentlich das Risiko, dass sich das Teil auf der 2.ten Partition abgelagert hat ?


Allerdings ist mein Comp seit dem Neu-Setup im Netz deutlich schneller 8O  

[Masterboy]

Zwischenfrage Jens - hast Du vor Installation von Antivir den alten Scanner deinstalliert?

Niemals 2 Virenscanner auf einmal installieren!

Ansonsten müsstest Du mal nach dem Virus googeln, sieht mir eher nach einem Tracker oder Adware aus. Ein Virus kann sich in der Tat sehr schnell auch auf andere Partitionen ausbreiten.

[Ketzer]

die Bezeichnung war

TR/Client.Agent.N.1

erkannt als Trojaner.

Das Seltsame ist, dass ich nicht der einzige bin, der Probleme beim Neuaufspielen von Zonealarm hat.

Mit meiner Fehlermeldung findet man Dutzende im Netz.

Validation failed for C:/Windows/Temp/Vsinit.dll

Vorher ging es ja auch, seltsam. Naja, jetzt ist erstmal eine alte Version drauf.

[nemesis]

Klar, es ist offensichtlich, aber da die Dinger mal wieder im Umlauf zu sein scheinen...und bevor jemand in Panik tatsächlich mal auf den Anhang klickt:

Betreff: Ihre Bestellung # 89124 von EUR 453.00 ist angenommen
 
Sony RX-F18 8.0 MP Digital Camera

Ihre Bestellung # 89124 von EUR 453.00 ist angenommen.

Ihre Karte wird mit dem faelligen Betrag belastet. Danke fuer Ihren Kauf.

Als Anlage finden Sie die Rechnung.

Diese Anlage schimpft sich "rechnung.exe", die ein Trojanisches Pferd enthält.

Wie schon in vielen früheren Fällen dient dieser Schädling als Download-Programm, um weitere Malware aus dem Internet nachzuladen. Darunter befinden sich Key-Logger als BHO (Browser Helper Object im IE), ein Rootkit zur Tarnung und ein Spam-Proxy
(pc-welt)

[Bloodsurfer]

Wer auf sowas noch reinfällt, dem ist nicht zu helfen.

Ach ja, ich hab letztes nen geilen Spambrief bekommen. Eine gefakte GEZ Rechnung wars, aber sowas von geil übertrieben dass ich wirklich nur noch lachen konnte. Ein Rechnungszeitraum von zwei Wochen, und dafür ein Betrag von über 400 Euro in der "Rechnung.exe"
Aber sie war mal ausnahmsweise in verständlichem und fehlerfreiem Deutsch geschrieben, das ist ja auch schon beachtlich.

[Elena Marcos]

Wer auf sowas noch reinfällt, dem ist nicht zu helfen.

Ach ja, ich hab letztes nen geilen Spambrief bekommen. Eine gefakte GEZ Rechnung wars, aber sowas von geil übertrieben dass ich wirklich nur noch lachen konnte. Ein Rechnungszeitraum von zwei Wochen, und dafür ein Betrag von über 400 Euro in der "Rechnung.exe"
Aber sie war mal ausnahmsweise in verständlichem und fehlerfreiem Deutsch geschrieben, das ist ja auch schon beachtlich.

Sowas wandert bei mir sofort in die "Tonne"!

[Bloodsurfer]

Bei mir auch, vollautomatisch, aber "neue" Sorten Spam kommen halt anfangs mal durch, und über die mach ich mich dann immer wieder gerne lustig.

[nemesis]

Heute in der Spam-Tonne: Bundeskriminalamt BKA Ermittlungsverfahren Nr. 868911 von Bundeskriminalamt BKA <Abteilung38291@bka.de>
Anhang: 2967673.exe (6 KB)
Dürfte ein lustiger Sober drin sein.

[Astragon]

Heute in der Spam-Tonne: Bundeskriminalamt BKA Ermittlungsverfahren Nr. 868911 von Bundeskriminalamt BKA <Abteilung38291@bka.de>
Anhang: 2967673.exe (6 KB)
Dürfte ein lustiger Sober drin sein.

Alter    !

Ich hoffe,das Du niemanden auf den Sack gegangen bist,wegen dem Spam    !

[Elena Marcos]

Heute in der Spam-Tonne: Bundeskriminalamt BKA Ermittlungsverfahren Nr. 868911 von Bundeskriminalamt BKA <Abteilung38291@bka.de>
Anhang: 2967673.exe (6 KB)
Dürfte ein lustiger Sober drin sein.

Alter    !

Ich hoffe,das Du niemanden auf den Sack gegangen bist,wegen dem Spam    !

Hab ich gestern auch mehrmals bekommen... ab in den Müll...

[Necronomicon]

Heute Morgen will ich wie gewohnt per Onlinebanking meine Sachen abrufen und dann wird mir in dicken roten Lettern mitgeteilt, daß mein Konto gesperrt wäre  :icon_rolleyes:

Als ich eben auf der Bank angerufen habe meinte der zuständige Mitarbeiter, daß ich einen Trojaner auf meinem Rechner hätte und dadurch mein Konto gesperrt wurde. Diesen hätten heute Morgen über 300 weitere Kunden gehabt.

Es handelt sich um: WSNPOEM

Jetzt hab ich mir zuhause Kaspersky drauf gemacht, vorher hatte ich AntiVir von Avira.
System gescannt und alles behoben. Sollte man hier noch anders verfahren, weiß da jemand was ?

Und gleich noch ne Frage zu Kaspersky: Seit ich den Scanner drauf habe, komm ich nicht mehr in die Einstellungen von meinem Speedport Modem rein, woran liegt das denn ?  :icon_rolleyes:

[Necronomicon]

Also, das ist gar nicht so ohne, VORSICHT bei Onlinebanking im Moment !!

Meine kompletten Zugangsdaten, eins. Passwort wurden an einen ausländischen Server übermittelt, zum Glück haben die alles gleich gesperrt.
Der Trojaner hat sich nur über den E-Mail Verkehr eingenistet  :icon_rolleyes: