|
|
|
|
|
War has just begun..
|
..and myg0t will win.
Schön guten Tach.
Nichtsahnend bin ich heute mal wieder durchs Internet gegurkt, paar Sachen angeguckt und paar Files runtergeladen.
Dann habe ich ein Setupfenster namens Norton Anti-Virus Update bemerkt, welches mich auf ein neues Update hingewiesen hat.
Hab halt, so leichtgläubig wie ich bin, auf weiter oder so geklickt, und schon wollte das Ding paar hübsche Files auf meine Platte kopiern, die überhaupt nichts mit Norton Anti-Virus zu tun haben.
Extracting PSKILL.EXE
Extracting RADMIN.exe
Extracting restart serv.bat
Extracting SB.exe
Extracting secure.xml
Extracting SecureNetbios.exe
Extracting servudaemon.ini
Extracting sPY.v.2.exe
Extracting test.exe
Extracting update.bat
Extracting w.exe
Extracting Welocme-UnDeR-WaReZ.txt
Extracting ERUK\01 - r00Ed by ^ThE^KinG^
Extracting ERUK\02 - pART oF tHE tEAM
Extracting ERUK\03 - ^ThE^KinG^ ^Dj]II[iEs]II[o^
Extracting ERUK
Extracting Bsheli.tXt
Extracting connect.exe
Cannot create connect.exe
Extracting Core.dll
Cannot create Core.dll
Extracting cygwin1.dll
Cannot create cygwin1.dll
Extracting fire.reg
Extracting FireDaemon.dtd
Extracting FireDaemon.exe
Cannot create FireDaemon.exe
Extracting HIDDEN32.EXE
Extracting jobnik.xml
Extracting LiveUpdate.exe
Cannot create LiveUpdate.exe
Extracting LiveUpdate.xml
Extracting mfc71.dll
Extracting mfc71u.dll
Extracting msvcp71.dll
Cannot create msvcp71.dll
Extracting msvcr71.dll
Cannot create msvcr71.dll
Okay, jemand versucht mich zu "r00ten". (haha, viel Spaß)
Hab ich weiter kein Problem mit, das kriegt der kleine eh net auffe Reihe.
Aber mich nerven die ganzen .exe-Files die andauernd gestartet werden.
Jemand ne Idee wie ich die Scheisse eben fix entfernen kann, sodass der Krams hier net dauernd ausgebremst wird?
(So gut wie alle .exe-Dateien werden im Taskmanager angezeigt, ist klar.. nur die immerwieder zu killen nervt langsam)
Die Festplatte nach den Dateien zu durchsuchen hab ich bereits getan, erfolglos, der findet irgendwie nichts. oO
Wär nice, wenn mir da ma ehm jemand helfen könnte. 
-seine Mutter
[edit]
Najo, muss nu erstmal zur Arbeit.
Habs Notebook offline gesetzt und such mir heut Abend, wenn ich wieder da bin, mal paar Sachen von der Symantec Site.
Keine Ahnung, vllt hats was mit dem neuen MyDoom-Kack zu tun.
Wie gesagt,.. bis später.
Wär trotzdem geil, wenn jemand mal schreibt, wie ich das wegkriegen könnt.
|
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von -tazZ- am 17.02.2005 14:22]
|
|
|
|
|
|
|
|
|
Ziemlich lustig, die Logdatei. Man sieht den schrittweißen Aufbau, wie er sich Zugang zu dir verschafft hat. Die Programme dienen meistens nur dazu, weitere Protokolle und Server zu installieren, die dann Ports öffnen.
Aber fang erstmal mit der Hausputz an:
Es gibt ein ganz einfaches Freeware Programm, was eigentlich auf jedem Rechner sein muss. Es ist eine Art Taskmanager, das allerdings alle laufende Prozesse auflistet. Goolge nach "Security Taskmanager+download" und installier es. Nach dem Aufruf listet er alle Prozesse auf, entfern sie in die Quarantäne. Die Programme können dadurch erstmal nichtmehr sich selbst ausführen.
Nach nem Reboot würde ich im Abgesicherten Modus alle Dateien der Reihe nach löschen. FireDaemon.exe ist ein Programm, welches Dateien wie der nach einem Reboot lädt, ohne das sie im msconfig oder Autostart stehen.
Ich würde danach nochmal einen aktuellen Virencheck machen - Programme die im ungeschützten Speicher stehen werden beim ST nicht mit aufgeführt.
Firewall ist das nächste; Konfigurier sie dir so, dass sie die Ports nur für bestimmte Programme öffnet und - nicht wie beim Router - die Ports dauerhaft öffnet. Servudaemon.exe (.ini eigentlich, aber der Typ hat einfach nur den Namen umgetragen.) ist ein Programm, welches einen FTP Server auf einen bestimmten Port öffnet und dann auf Befehle wartet.
So schlimm ists eigentlich gar nicht. Aber halte deinen Rechner aktuell..
|
|
|
|
|
|
|
|
|
|
|
Ich find das lustig mit der Logdatei.
Das ist das dümmste was man machen kann, wenn man unbedingt r00ten will. Watn Schwachsinn.
Najo, danke wa.
Ich baller mein Notebook ma mit derartigen Programmen dicht, schnüffel bisl rum,.. wenn das nix bringt, formatier ich halt, is ja net all zu schlimm.
- OMG OMG CLOSED RIFKRIFK K -
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
mich würd mal interessieren wo du das "update" geladen hast 
|
|
|
|
|
|
|
|
|
|
|
War in ner normalen exe eingebunden.
War glaub ich irgendnen Winampplug blahschnarr.
Eine Frage noch.. Es ist aber unmöglich, das son Teil nen Router irgendwie manipulieren kann oder? Also da irgendwas konfiguriert oO
|
|
|
|
|
|
|
|
|
|
|
|
EVTL. (also nur ganz vielleicht kann ein Virus/Trojaner den Router per UPnP (Universal Plug and Play) umkonfigurieren. Aber geht nur bei manchen Routern, die das beherrschen.
|
|
|
|
|
|
|
|
|
|
all hail to teh SystemwiederhrstellngsDings!
*notebook streichel*
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von -tazZ-
all hail to teh SystemwiederhrstellngsDings!
*notebook streichel* | |
Wenn du meinst, dass seien die einzigen Dateien, die inzwischen drauf sind und du seist jezz "clean" - dann ist das ziemlich naiv und dumm.
|
|
|
|
|
|
|
|
|
|
|
Ich erlaube mir jetzt mal die wirklich saudumme Frage, und stell jetzt mal in den Raum das ich nicht den blassesden schimme habe, was mit 'rooten' gemeint ist. 
Das einzigste was ich mir unter 'rooten' vorstellen kann, ist das was in einer DOS-Box erscheint, wenn ich 'tracert IP' eingebe.
|
|
|
|
|
|
|
|
|
|
| | Zitat von [SAS]oveR
Ich erlaube mir jetzt mal die wirklich saudumme Frage, und stell jetzt mal in den Raum das ich nicht den blassesden schimme habe, was mit 'rooten' gemeint ist.
Das einzigste was ich mir unter 'rooten' vorstellen kann, ist das was in einer DOS-Box erscheint, wenn ich 'tracert IP' eingebe. | |
das is krasse hack0r sp33ch, du n00b!!!11elfzig 
Vielleicht meint er damit ja, dass jemand versucht, damit Root/Administratorrechte zu kriegen?
|
|
|
|
|
|
|
|
|
|
|
| | Zitat von BackOrifice
| | Zitat von -tazZ-
all hail to teh SystemwiederhrstellngsDings!
*notebook streichel* | |
Wenn du meinst, dass seien die einzigen Dateien, die inzwischen drauf sind und du seist jezz "clean" - dann ist das ziemlich naiv und dumm. | |
Gespiegelte Partition.
Tja, was nun mein Sohn.
|
|
|
|
|
|
|
|
| Thema: "r00ted" - Wohoo, muss paar Files loswerden ( War has just begun.. ) |
