+ Antworten
Ergebnis 1 bis 4 von 4

Thema: Anleitung zur Virenentfernung Zhelatin - Storm-Trojaner

  1. #1
    Medien- & Kaffeeguru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    11.345

    Standard Anleitung zur Virenentfernung Zhelatin - Storm-Trojaner

    Trojan-Downloader.Win32.Small.cyn aka Trojan.Spambot.BXN
    _____________________________________

    Es speichert sich selbst u.a. unter folgenden Namen ins System:

    %system%\systtc.dll
    %system%\win_81.dll

    %Eigene Dateien%\%temp%
    out.exe
    svch56n.dll
    svchj0.dll s
    yst1j0.dll t
    emp_4.dll t
    mp_7xj.dll

    _______________________________________

    Entfernung: Möglicherweise:

    Laden Sie eine Notfallkopie von SAV32CLI herunter. Starten Sie diese Datei auf einem nicht infizierten Windows-Computer, um den Inhalt in einen SAV32CLI-Ordner auf einem Medium zu extrahieren, das schreibgeschützt werden kann. Kopieren Sie den erstellten SAV32CLI-Ordner auf ein Medium, das schreibgeschützt werden kann. Fügen Sie alle relevanten IDEs zu diesem Ordner hinzu und stellen Sie für den Datenträger den Schreibschutz ein (auf einer CD/R oder CD/RW schließen Sie die Sitzung).

    Starten Sie den Computer im Abgesicherten Modus neu. Gehen Sie zu Start|Beenden. Wählen Sie in der Drop-Down-Liste 'Neustart' und klicken Sie auf OK. Windows führt einen Neustart durch. Drücken Sie F8, wenn Sie den folgenden Text unten auf dem Bildschirm sehen "Problembehebung und erweiterte Windows-Startoptionen: F8-TASTE drücken". Wählen Sie im Menü 'Erweiterte Windows 2000-Startoptionen die dritte Option 'Abgesicherter Modus mit Eingabeaufforderung'.

    Legen Sie beim infizierten Computer die CD in das CD-Laufwerk (D: in diesem Beispiel).

    Geben Sie in der Eingabeaufforderung
    D:
    ein, um auf das CD-Laufwerk zuzugreifen. Geben Sie ein:
    CD SAV32CLI
    Geben Sie dann
    SAV32CLI -REMOVE -P=C:\LOGFILE.TXT
    ein, um die Datei zu entfernen.

    Bevor Sie den Abgesicherten Modus verlassen, bearbeiten Sie alle erwähnten Registrierungseinträge im Registieungseditor

    GenPack:Trojan.Spambot.BXN - Trojaner installiert typischerweise eine oder mehrere DLL im Ordner <System> und registrieren diese DLL als ein COM-Objekt und Browser Helper Object (BHO) für den Microsoft Internet Explorer.

    D.h. dieser generische Virus ändert beständig seine Form. - mOmentan versucht er einen Server zu kontaktieren...

    Er ändert Regsitrierungseinträge an folgenden Stellen, und beeinträchtigtdie Internet-Sicherheit:

    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\St andardProfile\AuthorizedApplications\List

    Der folgende Registrierungseintrag kann ebenfalls erstellt werden:


    HKCU\Software\Microsoft\Internet Explorer\Main
    Enable Browser Extensions
    yes
    Geändert von skater (01.09.2007 um 14:27 Uhr) Grund: Beiträge zusammengeführt

    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009

    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de


  2. #2
    Medien- & Kaffeeguru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    11.345

    Standard

    Virenentfernung Zhelatin

    Getestet an folgenden Viren:

    Zhelatin.u
    Zhelatin.c
    Zhelatin.h
    Zhelatin.o
    Zhelatin.p
    Zhelatin.r
    Zhelatin.cz
    Zhelatin.ok
    Zhelatin.oa
    Zhelatin.ob

    Erklärung:

    Zhelatin ist ein Wurm der russischen RSG. Treffen die Berichte der Computerfachpresse zu, so entsteht momentan eines der größten Zombie-Netzwerke der Welt. Zombie = ferngesteuert. Der Programmier kann somit 1,7 Millionen PCs fernsteuern und diese missbrauchen. Die 1,7 Millionen PCs schüttele ich mir nicht aus dem Arm, diese Zahlen werden von der US-Wochenzeitung "Information Week" und dem österreichische IT-Portal "ORF-Futurezone" verwendet. Das Zombie-Netzwerk bekam den Namen "Storm Worm", der, bedingt durch die riesige Anzahl verseuchter PCs, damit auch große Netze erfolgreich attackieren könne. Betroffen sind ausschließlich Computer, die das Betriebssystem Windows installiert haben.

    Wer Wurm der oben genannten Versionen ist immer gleich, allerdings leicht verändert in seiner Auslieferung. Die Dateigrößen liegen zwischen 22380 und 50583 Byte und ist mithilfe UPX verpackt.

    Der Betreff lautet:

    flash postcard.exe
    Flash Postcard.exe
    Greeting Card.exe
    greeting card.exe
    Greeting Postcard.exe
    greeting postcard.exe
    Postcard.exe
    postcard.exe

    bzw. statt *.exe *.scr / *.zip

    Bei Installation kopiert sich der Wurm mit dem Attribut "hidden", d.h. er versteckt sich und wird mit normalen Einstellungen unter Windows nicht gefunden, in

    das Windows-System-Verzeichnis unter dem Namen alsys.exe:

    %System%\alsys.exe

    Der Wurm erstellt danach eine weitere *.exe und startet sie. Der Name dieser variiert ständig.

    Anschließend erstellt der Wurm im System-Register die folgenden Einträge, wodurch er beim Systemstart automatisch geladen wird:

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe"

    Außerdem erstellt der Wurm im Windows-System-Verzeichnis die folgenden Dateien, die auch Malware sind:

    %System%\wincom32.ini --> Peacomm - Trojaner
    %System%\wincom32.sys --> Win32/Nuwar.Q

    ----------------------------------------------------------------------------------------------------------

    offtopic:
    INFO PEACOMM

    Peacomm legt o.g. %System%\wincom32.sys als Gerät-Service-Treiber an.

    Der Trojaner erstellt dann die folgenden Registrierungsunterschlüssel, um den oben genannten Dienst im System zu verankern:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

    Sobald der Gerätetreiber geladen wurde, sucht er nach dem Prozess services.exe und nistet ein Modul darin ein. Er öffnet und überwacht die folgenden Ports,

    die als verschlüsselte Kommunikationskanäle verwendet werden.

    UDP-Port 4000

    Der Trojaner lädt dann ein der folgenden Dateien herunter und führt Sie aus.

    whois:http://217.107.217.187/game0.exe
    whois:http://81.177.3.169/dir/game1.exe
    whois:http://81.177.3.169/dir/game2.exe
    whois:http://81.177.3.169/dir/game4.exe

    Dahinter verbirgt sich der Hoax (Scherzprogramm) Joke.Flipped, der den Windows-Desktop auf den Kopf stellt. Dies lässt sich durch Systemsteuerung -->

    Anzeige --> Registerkarte Einstellungen --> Erweitert --> Registerkarte der Grafikkarte rückgängig machen. Dort das Bild um 180° drehen...

    INFO NUWAR.Q

    Der folgende Port wird geöffnet:

    – services.exe am UDP Port 4000

    Das ist eine Hintertür, um von mehreren Servern weiterer Dateien herunterzuladen und somit die Verbindung zu seinem Programmierer hält. Allerdings war diese

    nicht aktiv gewesen, weswegen ich momentan davon ausgehe, dass außer den genannten 3 Scvhädlingen nichts auf den PC gelangen kann. Dies heißt aber

    nicht, das sich das in Zukunft ändern kann!


    ----------------------------------------------------------------------------------------------------------

    Außerdem verändert Zhelatin diesen Eintrag im System-Register:

    [HKLM\System\CurrentControlSet\Services\SharedAccess]
    "Start"="4"

    Das ist die Einstellung für die Windows Firewall/Internet Connection Sharing (ICS). Dabei blockiert er folgende Strings, so das u.a. Websiten einzelner

    Virenhersteller nicht mehr aufrufbar sind:

    alsys
    anti
    avg
    avp
    blackice
    firewall
    f-pro
    hijack
    lockdown
    mcafee
    msconfig
    nav
    nod32
    rav
    reged
    regedit
    spybot
    taskmgr
    troja
    viru
    vsmon
    zonea

    Desweiteren sucht Zhelatin auf den Festplatten nach Mailadressen und versendet sich an diese weiter.

    Wiederherstellung:

    Versteckte Systemdateien anzeigen: http://www.tippscout.de/windows-vers...tipp_2446.html
    Im geschützen Modus neu starten: http://www.bsi.de/av/texte/wiederher.htm

    Folgende Dateien löschen:

    %System%\alsys.exe
    %System%\wincom32.ini
    %System%\wincom32.sys

    Folgende Einträge im System-Verzeichnis löschen:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
    "Agent"="%System%\alsys.exe

    Dort kommt man wie folgt hin: Start --> Ausführen --> Regedit und dann durch die Reiter Software\Microsoft\Windows\CurrentVersion\Run navigieren.

    Danach: Download Zonealarm, eine kostenlose Firewall. Damit die offenen Ports schließen: http://www.zonealarm.com/store/conte...try=DE&lang=de

    Danach: Kostenloses Antivirenprogramm Antivir downloaden, updaten und Festplatte durchsuchen lassen. Alle Funde fixen... http://www.free-av.de/

    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009

    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de


  3. #3
    Medien- & Kaffeeguru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    11.345

    Standard

    Entfernung Peacomm:

    Deaktivierung der Systemwiderherstellung: http://service1.symantec.com/SUPPORT...30807105707924

    Klicken Sie auf Start > Ausführen.
    Geben Sie regedit ein
    Klicken Sie auf OK.

    Hinweis: Wenn der Registrierungseditor nicht geöffnet werden kann, kann Peacomm die Registrierung geändert haben, um Zugriff auf den Registrierungseditor zu verhindern.

    Symantec hat hierzu ein nettes Tool entwickelt: http://www.symantec.com/de/de/securi...050614-0532-99

    Suchen Sie den folgenden Registrierungsunterschlüssel und löschen Sie ihn:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009

    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de


  4. #4
    Medien- & Kaffeeguru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru truelife ist Forum Guru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    11.345

    Standard Ransomware - Trojan.Winlock

    Ransomware ist eine relativ neue Art Schadsoftware die Windows-Systeme befällt. Diese Schadsoftware versucht, den Zugriff auf die Windows-Installation oder Teile hiervon zu unterbinden, um gegen ein Lösegeld (englisch: Ransom) den Zugriff wieder freizugeben.

    Ransomware kann auf verschiedenen Wegen auf den PC gelangen. Dazu zählen E-Mail-Anhänge mit trojanischen Pferden, die Ausnutzung von Sicherheitslücken in Webbrowsern (z.B. über Media-Codecs) oder das Fehlen einer Firewall.

    Bislang gibt es bei dieser Art von Schadsoftware keine wirklich gefährlichen Trojaner. Aktuell im Umlauf (bislang nur in Russland) ist ein Trojaner mit dem Namen Winlock.

    Beim Systemstart erhält man folgende Nachricht:

    To unlock you need to send an SMS with the text "34b761a53445d3a" to the number
    3649
    Enter the resulting code:
    Die Kurzwahlnummer ist nur aus Russland erreichbar. Allerdings ist das kein Beinbruch.

    Entfernung des Trojaners:

    1. Über einen Zweitrechner folgende Website aufrufen: http://news.drweb.com/show/?i=304&c=5 geben Sie hier unterhalb des Bildes den Code ein - der Freischaltcode wird danach generiert. Mit diesem schalten Sie ihr System frei.

    Deaktivieren Sie die Systemwiederherstellung und fahren Sie den PC im abgesicherten Modus ernet hoch: http://www.bsi.bund.de/av/texte/wiederher.htm

    Öffnen Sie den Registrierungseditor: Klicken Sie auf Start - Ausführen und geben Sie "regedit" ohne die Anführungszeichen ein. Nach einem Klick auf Ok wird der Registrierungseditor gestartet.

    Navigieren Sie zu folgenden Eintrag:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\”Userinit” = “%System%\userinit.exe, %Temp%\don[RANDOM CHARACTERS].tmp”
    Löschen Sie diesen. Fahren Sie danach den PC herunter und starten ihn im "normalen" Modus. Aktivieren Sie danach wieder die Systemwiederherstellung. Klicken Sie hierzu mit der rechten Maustaste auf Arbeitsplatz und wählen Sie "Eigenschaften". Dor ein Klick auf "Systemwiederherstellung" und die Systemwiederherstellung auf allen Laufwerken aktivieren.

    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009

    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de


+ Antworten

Ähnliche Themen

  1. [Storm-Worm] ICS: Your internet-account is going to get suspended
    Von Goofy im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 7
    Letzter Beitrag: 10.11.2008, 16:53
  2. [Trojaner] 230 dead as storm batters Europe.
    Von Eniac im Forum 1.4 Phishing/Geldwäsche/Viren/Exploits
    Antworten: 28
    Letzter Beitrag: 09.02.2007, 10:45
  3. Anleitung zum Spammen!!
    Von Answer 42 im Forum 5.1 Allgemeines & Smalltalk
    Antworten: 1
    Letzter Beitrag: 07.10.2006, 18:46
  4. Anleitung gesucht
    Von brk im Forum 5.1 Allgemeines & Smalltalk
    Antworten: 2
    Letzter Beitrag: 01.01.2005, 23:26

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
Partnerlink:
REDDOXX Anti-Spam Lösungen