[omega79]

ich hatte das problem schon vor der neuinstallation mit einer datei namens botnet.exe

jetz nach der neuinstall sind es sogar 2 dateien ... dzlkh.exe und sepate.exe ... ok ich erklär jetz ma genau


es fing mit einem neustart an, beim hochfahren meldete die fw das die datei sepate.exe gerne eine netzwerkverbindung mit 216.158.218.67:6667 aufbauen möchte ... hab das natürlich komplett geblockt
gena das gleiche versucht auch dzlkh.exe nur ist die ip eine andere (207.150.160.38:4141)
(scheinen mir irc bots zu sein)

ok wenn ich mir in der firewall die eigenschaften der anwendungen anschaue sehe ich das beide im verzeichniss c:\windows\system32\ sind ... ABER dort sind sie nicht zu sehen
und ich habe es so eingestellt das ich alle system und versteckte dateien sehen kann, und ja ich bin admin ...

wenn ich die prozesse im taskmanager beende und dann z.b. "c:\windows\system32\sepate.exe" ausführe startet er den prozess auch brav
gleiches gild auch für dzlkh.exe

hab schon spybot, adaware und freeav drüber laufen lassen ... findet auch nix

wenn ich in der dosbox versuche die files per "del-befehl" zu löschen sagt er das die datei nicht gefunden werden konnte

die windows-suche findet die dateien auf dem ganzen rechner nicht ... auf keinem laufwerk
auch google hat nicht besonders viel ausgespuckt ... weder damals zu botnet.exe noch zu den jetzigen dateien (sepate.exe/dzlkh.exe)


nun die frage ... wie finde ich die dateien ... und wie werde ich sie los ... ?
OS: win xp prof SP1

[puppet]

Lad dir mal Insert (de-Version)oder sowas in der Art runter, und schau ob du davon Zugriff auf die Datei hast.
Am besten mal eine Kopie irgendwo hin machen (un die .exe-Endung entfernen).
Du hast dir scheinbar einen Phatbot/Agobot eingefangen.
Du kannst mir die Datei dann mal per PN schicken.
Du solltest dann auch rausfinden welche Daten schon nach außen gelangt sind, und vorallem woher die Datei kommt!

Ich würde dir danach auch zu einer Neuinstallation raten.
--> siehe Thread hier

Dieser Beitrag wurde von puppet bearbeitet: 11. Dezember 2004 - 17:23

[omega79]

ja zu knoppix wurde mir auch schon geraten ...
gibt es ne möglichkeit wie ich das raus bekomme ... was schon gesendet wurde u.s.w. ... sollte ja nichts sein ... weil hab ja sofort geblockt ... die hatten ja kein zugriff auf das web.

werd mal schaun ob ich mein knoppix finde ...

hast du icq ?
wenn du lust und zeit hättest könnten wir dann mal kurz darüber quatschen ... du scheinst ja zu wissen was vor sich geht

[Graumagier]

Es könnte sein, dass sich die Datei als NTFS-Stream an eine bestehende, unverdächtige gehängt hat. Der Explorer (und übringend auch Linux) sind dann nicht ohne weiteres in der Lage, die Datei zu finden.
Mit dem Filealyzer kann man solche per Alternate Data Streams angehängten Dateien anzeigen lassen, in diesem Fall musst du aber eine andere Datei gezielt unter Verdacht haben, dieses Programm zu beherbergen.

[hans_maulwurf]

Zitat

gibt es ne möglichkeit wie ich das raus bekomme ... was schon gesendet wurde u.s.w. ... sollte ja nichts sein ... weil hab ja sofort geblockt ... die hatten ja kein zugriff auf das web.

Bei Infektion des Systems hast du keine Firewall mehr. Ich rate dir backup deine Videos mp3's etc. und formatier. Alles andere wird nix...

[puppet]

Das sie an einem NTFS-Stream dran hängt glaube ich nicht, da er die Datei ja starten über o.a. Pfad starten kann.

Schau erst mal ob du die Datei unter Konppix siehst.

Rauszufinden was gesendet wurde geht wohl kaum. Evtl. Kommunikationssprotokoll am Router/Gateway?
Aber es läuft sicher auf Phatbot hinaus, wenn ich zu dem IRC Server connecte den du oben angegeben hast, gibt es dort im Network knapp 4000 User aber in nur 16 Channels. Das ist schon sehr suspekt.
Wenn du Glück hast, hat der Virus evtl selbst irgendwo eine Logfile angelegt.

[omega79]

zu dem ntfs-stream habe ich ein tool gefunden ...
http://members.aon.a...itguts/adsl.zip
war angehängt in diesem beitrag
http://www.athlon.de/showflat.php?Cat=&Num...652&Main=789957
mal sehn

was für nen sinn das haben soll frag ich mich aber ehrlich ... das ist ja gradezu eine einladung ... aber das ist bei windows ja normal :S

//edit

Zitat

Bei Infektion des Systems hast du keine Firewall mehr. Ich rate dir backup deine Videos mp3's etc. und formatier. Alles andere wird nix...

scheint ja sinnlos zu sein ... ich habe ja erst vormatiert ... und ich hatte mit absicht kein backup gemacht ... nur von den videos ... und ich hab das schon wieder ...

ausserdem habe ich hier auf dem rechner keine wichtigen daten, weder homebanking noch kreditkarte ... keine rechnungen ... keine buchungen ... kein ebay ... keine adressen ... ich benuze den rechner nur zum online spielen ... foren besuchen und chatten ... und ne neue forums id ist schnell angelegt falls ein böser mench meine klauen sollte ... kostenlose emailadressen bekommt man auch an jeder ecke ... in so fern is es mir eigendlich wurst ... nur nervt mich das mir die teile resourcen klauen ... sprich arbeitsspeicher und cpu last

Dieser Beitrag wurde von omega79 bearbeitet: 11. Dezember 2004 - 18:52

[puppet]

Naja da ist der Schaden wenigstens nicht so schlimm.
Du solltest trotzdem rausfinden woher das Teil kommt, nicht das evtl auf einem von dir verwendetem Installationsmedium vorhanden ist!

Übrigens werden auch Produkt-Keys von z.B. Windows, Office, Games usw gesendet.
Also am besten schauen ob es irgendwo eine LogFile anlegt!

[Graumagier]

Sorry aber das mit dem Ausführen habe ich überlesen

[omega79]

ich kann mir vorstellen wo das her kommen könnte ... will da nicht näher drauf ein gehn ... aber es hat nichts mit nackten menschen oder irgendwelchen tools zum tauschen von urlaubsvideos zu tun

zu der sache mit den produktkeys sag ich ....

[Rika]

Hm... hat's keiner gemerkt?

Der OP hat es so beschrieben, daß die Dateien, wenn ausgeführt, selber nicht mehr sichtbar sind. Hat offenbar noch nicht gemerkt daß die Malware bei der Interpretation des Dateisystems rummanipulieren kann... hat deshalb noch nicht getestet, wie's aussieht, wenn die Tasks _nicht_ laufen?

[omega79]

is egal ob sie laufen oder nicht ... so oder so unsichtbar

hab auch knoppix neu runtergeladen ... werd das dann später mal testen ... und die dateien sichern ... und mal sehn ... an soybot oder so weiter geben