title image


Smiley Da ist einiges am Argen...
Zunächst einmal hast Du Dir die Smitfraud- bzw. Zlog-Variante Spysheriff eingefangen. Das ist ein Teil eines Trojan-Downloaders. Übel und hartnäckig.



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html



Infektionsweg:



- Download infizierter Dateien aus Dateitauschbörsen und anschl. Ausführung

- Surfen mit einem ungepatchten System plus Internet Explorer

- Infektion z. B. über WMF-Sicherheitslücke (Patch für's System hätte installiert sein müssen)

- Download infizierter Dateien von Webseiten; Verbreitung u. a. als Multimedia-Codec

- Browserhijacking (veränderte Startseite, neue Suchseite).



Weitere Infos zum Schädling --> http://virus-protect.net/artikel/spyware/secure_32.html



Das allein ist schonmal ein Grund, warum das System neu aufgesetzt werden MUSS.



Doch da tummelt sich noch mehr rum:



O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe



Auch ganz übel, ein Backdoortrojaner:



http://www.sophos.de/virusinfo/analyses/trojdelffg.html

http://www.sophos.de/virusinfo/analyses/trojbushtro122.html



Und hier kommt der nächste:



F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.exe"



Ebenfalls ein übles Teil:



http://www.sophos.de/virusinfo/analyses/trojtorpigag.html

http://www.sophos.de/virusinfo/analyses/trojtorpigai.html



Das System ist also nicht mehr unter Deiner Kontrolle und erheblich kompromittiert. Daher sollte der Rechner vom Netz/Internet getrennt, wichtige Daten - und NUR Daten - gesichert, die Festplatte neu formatiert und das System von vertrauensürdigen Medien neu aufgesetzt/installiert werden. Dazu folgende Maßnahmen ergreifen, BEVOR dieser Rechner wieder ans Netz/Internet geht:



http://www.linkblock.de

http://www.dingens.org

http://www.ntsvcfg.de



Zudem sind sämtliche Kenn-/Paßwörter und Zugangsdaten zu ändern.



Das Neuaufsetzen des Systems ist die EINZIGE Möglichkeit wieder ein sicheres, sauberes und vertrauenswürdiges System zu erhalten. Warum, kannst Du hier nachlesen:



http://oschad.de/wiki/index.php/Kompromittierung

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-removal.html



Als nützlicher Lesestoff für die zukünftige Umsetzung wärmstens empfohlen:



http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html



Noch ein Tip: Zwei AV-Programme die parallel auf dem System laufen sind mehr hinderlich als wirksam. Benutze in Zukunft nur ein(!) AV-Programm. Ich rate da zu NOD32 und verzichte auf AntiVir, da NOD32 die bessere Heuristik und Erkennungsrate hat. Bedenke aber, daß ALLE AV-Programme prinzipielle Schwächen haben:



http://oschad.de/wiki/index.php/Virenscanner



Gruß Chak


























__________________________________________________________________________

~ And I'm just more... ~



geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: