Hilfe
Dieser Beitrag wurde von Breaker bearbeitet: 06. Januar 2005 - 10:44
Neues Thema-
Dieses Thema ist geschlossen
Windows Absichern
#16 _Breaker_
geschrieben 06. Januar 2005 - 10:42
Habs mal durch VMWare durchgejagt, mit Win XPSP2 und !Norton!Antivirus 2004, und selbst da wird er als bat.trojan erkannt? Haben wir seit neuestem Scriptkiddies in den Foren?
Nach oben
#17
flo 
- Gruppe: aktive Mitglieder
- Beiträge: 7.922
- Beigetreten: 14. November 04
- Reputation: 1
- Geschlecht:Männlich
geschrieben 06. Januar 2005 - 10:50
Zitat
POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
Da steht doch das nur die scanner es erkannt haben die öfters fehlalarme bringen!
(was nicht heißt das es einer ist)
Vielleicht kann Rika mal was dazu sagen ?
#18
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 4.739
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 06. Januar 2005 - 10:50
Sieht fast so aus, ganz *knusper* ist der Junge jedenfalls nicht!
@Mods
IP von dem Jungen ist doch für den Notfall sicherlich geloggt oder? Sollte sich der Verdacht erhärten, hätte ich da Interesse dran!
EDIT:
*auch mal VMWare starten, und das Ding genauer unter die Lupe nehmen tu*
@Mods
IP von dem Jungen ist doch für den Notfall sicherlich geloggt oder? Sollte sich der Verdacht erhärten, hätte ich da Interesse dran!
EDIT:
*auch mal VMWare starten, und das Ding genauer unter die Lupe nehmen tu*
Dieser Beitrag wurde von ph030 bearbeitet: 06. Januar 2005 - 10:53
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#19 _isah_
geschrieben 06. Januar 2005 - 10:54
ph030 ist doch unsinn, die meisten programme scheiben terror wenn batch files daten löschen/ neue erstellen.
Und du hast ja den source, also lies ihn doch ?
//EDIT:
Also, man muss sagen das manche einträge zweifelhaft sind, und das programm parallelen mit W32.Dinfor.Worm & Win32/HLLW.Deloader.A, was nix heissen muss, aber sind viele ähnliche einträge dabei.
Ich würde dieses programm nicht Ausführen!!
bis er die funktionen dokumentiert hat und/oder eine verteauenswürdige person (Rika, etc.) sein Ok gegeben hat.
Und du hast ja den source, also lies ihn doch ?
//EDIT:
Also, man muss sagen das manche einträge zweifelhaft sind, und das programm parallelen mit W32.Dinfor.Worm & Win32/HLLW.Deloader.A, was nix heissen muss, aber sind viele ähnliche einträge dabei.
Ich würde dieses programm nicht Ausführen!!
bis er die funktionen dokumentiert hat und/oder eine verteauenswürdige person (Rika, etc.) sein Ok gegeben hat.
Dieser Beitrag wurde von isah bearbeitet: 06. Januar 2005 - 11:03
#20
ph030
- Gruppe: aktive Mitglieder
- Beiträge: 4.739
- Beigetreten: 14. Juli 04
- Reputation: 36
- Geschlecht:unbekannt
geschrieben 06. Januar 2005 - 11:09
Schaut euch das Problem von Flo01 an, mit seinem unbekannten User - genau die Nummer kommt in dieser Batchdatei vor!
/fuck you - really, I mean it!
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
Zu verkaufen:
Xbox, komplett PC (WF Link)
Hardware, Games, Comics und noch mehr Zeug (eBay-KA Link)
#21
stefanra
geschrieben 06. Januar 2005 - 11:09
Zitat
@Mods
IP von dem Jungen ist doch für den Notfall sicherlich geloggt oder? Sollte sich der Verdacht erhärten, hätte ich da Interesse dran!
IP von dem Jungen ist doch für den Notfall sicherlich geloggt oder? Sollte sich der Verdacht erhärten, hätte ich da Interesse dran!
Selbstverständlich.
#22 _FF1980_
geschrieben 06. Januar 2005 - 11:12
Das sehe ich genauso.
Im übrigen denke ich, dass ich durch neueste Updates, einem Router mit SPI und einer Viruswall von TrendMicro, Spybot auf den Arbeitsstationen, Firefox, Pegasus Mail und einem funktionierenden Brain 1.0 auch so auf der sicheren Seite bin.
Von daher werde ich einmal auf die Evaluierung der Batchdatei verzichten, weil ich zudem davon ausgehe, dass einige Enträge gegebenfalls eine Windowsinstallation unbrauchbar machen könnten.
Im übrigen denke ich, dass ich durch neueste Updates, einem Router mit SPI und einer Viruswall von TrendMicro, Spybot auf den Arbeitsstationen, Firefox, Pegasus Mail und einem funktionierenden Brain 1.0 auch so auf der sicheren Seite bin.
Von daher werde ich einmal auf die Evaluierung der Batchdatei verzichten, weil ich zudem davon ausgehe, dass einige Enträge gegebenfalls eine Windowsinstallation unbrauchbar machen könnten.
#23 _isah_
geschrieben 06. Januar 2005 - 11:14
"Rika" sagte:
Und der ganze Mist mit den SIDs wird nur bei dir funktionieren, und auch nur solange bis du neuinstallierst...
könnte es damit zu tun haben?
#24 _Phate_
geschrieben 06. Januar 2005 - 11:21
Zitat
net share /delete ADMIN$ /y >>del.log
net share /delete Administrator$ /y>>del.log
net share /delete IPC$ /yes >>del.log
net share /delete Administrator$ /y>>del.log
net share /delete IPC$ /yes >>del.log
Diese 3 Befehle zusammen machen ein Script aus, welcher als "IRC/BackDoor.Flood" erkannt wird (Grisoft AVG).
Da allerdings die administrativen Freigaben entfernt werden und wie Rika schon sagt das mit IPC nicht funktioniert, denke ich nicht das hier irgendwas "bösartiges" gewollt ist.
Und das mit "Wir haben ja seine IP ...". Ja und? Mein Gott wenn man so blöd ist und irgendwas runterlädt und ausführt ohne zu wissen was es ist, bzw. was es bewirkt ist man wohl selbst dran schuld.
Dieser Beitrag wurde von Phate bearbeitet: 06. Januar 2005 - 11:31
#25
stefanra
geschrieben 06. Januar 2005 - 11:23
Damit sich jetzt keiner wundert, wir haben auf Grund der diversen Alarme von Virenscannern, diese Skript erstmal entfernt.
#26 _FF1980_
geschrieben 06. Januar 2005 - 11:23
Dennoch rate ich von der Nutzung ab, da das sicherste überhaupt immer noch der gesunde Menschenverstand ist. Wie man bestimmte Lücken auch so schließt, kann man entweder in meinem vorherigen Post in diesem Thread lesen oder sich auch im Sicherheitsforum einmal durcharbeiten. Brain 1.0 ist das A und O dabei.
#27
flo
- Gruppe: aktive Mitglieder
- Beiträge: 7.922
- Beigetreten: 14. November 04
- Reputation: 1
- Geschlecht:Männlich
geschrieben 06. Januar 2005 - 11:25
HM das komische ist das ich es ja gar nicht ausgeführt habe ,
Habe es nur als TXT gespeichert gehabt um es durch einen Online scanner zu jagen!
Oder kann man mit TXT dateien inzwischen CODE ausführen?
Habe es nur als TXT gespeichert gehabt um es durch einen Online scanner zu jagen!
Oder kann man mit TXT dateien inzwischen CODE ausführen?
#28
stefanra
geschrieben 06. Januar 2005 - 11:26
Wenn du in der Registry den Wert der ausführbaren Dateien um .txt erweiterst, dann kannst du auch txt ausführen.
#29
flo
- Gruppe: aktive Mitglieder
- Beiträge: 7.922
- Beigetreten: 14. November 04
- Reputation: 1
- Geschlecht:Männlich
geschrieben 06. Januar 2005 - 12:39
Also das Problem was ich hatte/ habe liegt nicht an dem script!
(wollte das nur mal klarstellen)
(wollte das nur mal klarstellen)
#30
hoschen
geschrieben 06. Januar 2005 - 12:54
ich habe es gemacht!
beim ausführen der BAT kam McAfee hoch, aber nicht für die BAT, sondern für die erstellte "temp". Diese "temp" wird bei "secedit.exe" als CFG benutzt.
Es wird (meine Meinung) immer deutlicher, daß da was "laufen" soll?!
Danach, ohne Neustart, Image zurückgespeichert.
beim ausführen der BAT kam McAfee hoch, aber nicht für die BAT, sondern für die erstellte "temp". Diese "temp" wird bei "secedit.exe" als CFG benutzt.
Es wird (meine Meinung) immer deutlicher, daß da was "laufen" soll?!
Danach, ohne Neustart, Image zurückgespeichert.
Thema verteilen:
- Neues Thema
-
Dieses Thema ist geschlossen