Computerhilfen.de
Hilfe und Tipps => Antivirus Sicherheit => Thema gestartet von: Burgeule am 05.07.09, 16:35:10
-
Blos nicht die Zip (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) anklicken. :o :o :o
Hallo von Andrea, aus Kontaktanzeige - Flirt-Dating -
Ich habe Deine Anzeige gelesen und bin sehr interessiert,
da mir Dein Bild und Text gut gefallen hat.
Kurz zu mir, ich bin ledig, 1.68m groß und schlank, von
Beruf Krankenschwester.
Ich komme eigenlich ganz aus Deiner Nähe und würde mich
gern mal mit Dir treffen, was besser ist, als lange Mails zu
schreiben.
Wenn Du auch Interesse hast und ich Dir gefalle, schicke
mir bitte Deine Handy Nummer, ich rufe Dich gern an und
wir können einen Termin ausmachen.
Als Anlage noch ein großes Bild von mir. (zip-gepackt)
Liebe Grüße, von Andrea
Burgeule
-
Haste die Mail noch ?? oder ist sie schon gelöscht ?
-
@ersguterjunge
Dachte ich mir. ;D
Ist zur Zeit unter Junk abgeheftet. ;)
Burgeule
-
Kannst du sie an mich weiterleiten?
dustin_deniz@yahoo.de
Bericht wird dann folgen.
-
Ist unterwegs.
Burgeule
-
Danke =)
-
Da wird sich Andrea aber freuen...
-
Wie ist das gemeint ?
-
Wenn du dich mit ihr triffst *g*
Ich komme eigenlich ganz aus Deiner Nähe und würde mich
gern mal mit Dir treffen,
[/color]
-
;D ;D ;D ;D ;D
-
Nope hat richtig Humor ;D 8)
-
Bericht wird dann folgen.
Wir warten. Und sonst wird nachgefragt.
-
schick mir die Mail doch auch mal, vielleicht wohnt sie dann auch ganz in meiner Nähe ;D ;D ;D
-
Dann lügt die einen von uns an :'( ;D ;D ;D
-
@AchimL
Gewiss doch, direkt auf deiner Festplatte. (http://www.computerhilfen.de/fachbegriffe-f-Festplatte.html) ;D ;) 8)
Burgeule
-
Zuerst habe ich den Zip (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) Komprimierten Ordner entpackt.Dann habe ich die Datei auf http://virustotal.com hochgeladen, das Ergebnis war es ist ein Dropper.
Öffnet man die Datei öffnet sich zur Tarnung ein Bild einer Frau.
Man merkt das dass System aufeinmal im hintergrund arbeitet.
Schaut man sich das HJT Logfile an.
Sieht man das ein neuer 04er Eintrag erstellt wurde:
04 - HKCU\..\Run: [UpData] C:\DOKUME~1\USER\LOKALE~1\Temp\winchost4.exe
Lädt man diese Datei auf http://virustotal.com hoch, sieht man dass die Datei als Trojan.Win32.Agent erkannt wird.
Das System wird nicht langsamer.
Folgende Registry (http://www.computerhilfen.de/fachbegriffe-r-Registry.html) Einträge werden erstellt:
[HKEY_USERS\S-1-5-21-1177238915-746137067-1708537768-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"UpData"="\"C:\\DOKUME~1\\DAKINQ~1\\LOKALE~1\\Temp\\winchost4.exe\" -hide"
[HKEY_USERS\S-1-5-21-1177238915-746137067-1708537768-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\DOKUME~1\\DAKINQ~1\\LOKALE~1\\Temp\\winchost4.exe"="UClient"
Der Zip (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) Komprimittierte Ordner und die darin enthaltene Datei, werden von fast alles Programmen als Schädlich erkannt.
Die winchost4.exe wird auch von ziemlichen allen erkannt, jedoch beim Scan hat weder Malwarebytes,A-squared free,Sdfix noch Combofix was gefunden.
Nur der Zip (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) Ordner wurde als Schädlich erkannt.
Die löschung per Skript wäre ziemlich einfach, andere Dateien wurden nicht erstellt!!
Weitere Scans mit Online Scannern folgen!
Auch der Online Scan mit F-secure brachte keine weiteren Funde!
-
Da Du grade am testen bist,was passiert.wenn der temp ordner auf ein ramlaufwerk umgelenkt wird?
Könnte bei einem neustart der gast immer noch aktiv werden oder wurde sein aufruf ins leere laufen?
-
Hallo an alle,
ich habe mir angewöhnt alle komprimierten Ordner vor dem entpacken auf Schädlinge prüfen lasse - habe Kaspersky.
Ausserdem lasse ich regelmässig HijackThis (http://www.computerhilfen.de/fachbegriffe-h-HiJackThis.html) durchlaufen um zu sehen, ob nicht doch mal ein Schädling durchgerutscht ist. Emailanhänge von unbekannten Mails öffne ich nie - beides verschwindet bei mir im Papierkorb...
lg
zzbaron
-
So soll es sein ;)
Burgeule
-
@w2 wenn du mir sagst wie ich es auf ein Ramlaufwerk um lenke, dann teste ich es gerne.
-
Hm,ich dachte,sowas weist du großer reiniger...
Einfach ein ramlaufwerk von 512 mb einrichten,dann die tempordner durch abändern der entsprechenden variablen dorthin umlenken.Dann noch die temporären internet (http://www.computerhilfen.de/fachbegriffe-i-Internet.html) dateien auf das ramlaufwerk umlegen und gut ist.
-
:-[ Bin ich zu blöd für
-
@w2
und was bringt das im Ganzen!
Einfach etwas in den Raum zu werfen ohne nichts
Super Danke für diese Hilfe >:(
..andere machen sich wenigstens noch einen Kopf darum.
-
@zzbaron das hochladen von Zip (http://www.computerhilfen.de/fachbegriffe-z-ZIP.html) Komprimierten Ordnern ist eigentlich ** Netiquette! **!
Die AV-Prog. können nähmlich nicht wirklich hineinschauen.
Entpacken kannst du ihn auch ohne das was passiert.
-
Ich in überrascht,das die verwendung von ram (http://www.computerhilfen.de/fachbegriffe-r-RAM.html) laufwerken derart unbekannt ist.Es sollte Doch sicher bekannt sein,das schadsoftware gerne dateien erstellt,bevorzugt im temp verzeichnis.Mich würde nun intressieren,wie schadsoftware sich verhält,die einen teil ihrer komponenten "vermisst".
Das verhalten von ramlaufwerken setze ich als bekannt voraus.
Ebenso,wie man den pfad des temp verzeichnisses abändert.
-
Den ersten Teil kla. Den zweiten Teil die Vorraussetzung fehlt mir leider.
-
Bitte im nachfolgenden link die anweisungen zum erstellen der ramdisk ignorieren,der treiber (http://www.computerhilfen.de/fachbegriffe-t-Treiber.html) ist nicht das gelbe vom ei.
http://www.win-tipps-tweaks.de/cms/xp-tipps/xp-tipps-workshops/ramdisk-erstellen.html
Relevant ist nur die anleitung zum abändern der umgebungsvariablen.
mfg
-
Danke ich werds mir anschauen!
-
Aber Hallo,
eure "Andrea" heisst in Wirklichkeit Natasha, = 42 & wohnt in meiner Nähe!
War gestern mit Ihr Essen 8)
-
russisch Essen ?
-
russisch Essen
So ähnlich....
Es gab Russisch Ei, geknetet ........ ;D
-
;D ;D ;D