muth Geschrieben 22. Juni 2004 Teilen Geschrieben 22. Juni 2004 Hallo, ich habe mal wieder ein Problem. Wir haben einen Rechner auf dem mindestens 1 Virus lief oder läuft. Wir haben durch das Ausführen des Removal-Tools (für Sasser) festgestellt, dass dieser Rechner von Sasser infiziert wurde. Nach dem erfolgreichem entfernen, wollten wir das Sicherheitspatch von Microsoft aufspielen. Dies funktionierte aber leider nicht. Wir klickten das Patch an. Dies wird auch kurz aufgerufen, aber dann sofort wieder geschlossen. Wir wollten danach mal in der Prozessliste nachschauen, ob ein verdächtiger Prozess läuft. Einfacher gesagt, als getan. Wenn ich Strg-Alt-Enft drücke, dann erscheint ganz kurz der Task-, bzw. Prozessmanager und wird ebenfalls schnell wieder geschlossen. Habt ihr eine Idee ob und was für ein Virus dies sein könnte. Hilfreich wäre schon, wie man die Prozessliste sich über die Kommandozeile anzeigen lassen kann...! Hier einmal alle Removal-Tools, die wir schon über den Rechner haben rennen lassen: - Sober.H - Sasser - Erkez Verwendetes Betriebssystem: WinXP, Servivepack 1 Hoffe, dass diese Infos erst einmal reichen. Vielen Dank im Vorraus! Gruß Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 22. Juni 2004 Teilen Geschrieben 22. Juni 2004 Hier einmal alle Removal-Tools, die wir schon über den Rechner haben rennen lassen: Wieso nur Removal-Tools? Wieso nichtmal einen Virenscanner o.ä.? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 23. Juni 2004 Autor Teilen Geschrieben 23. Juni 2004 Sorry, hatte ich vergessen zu erwähnen. Haben wir auch schon gemacht. Hat nichts gefunden...! Ist es vllt ein Trojaner... :confused: ! Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-GQ-Phantom4 Geschrieben 23. Juni 2004 Teilen Geschrieben 23. Juni 2004 schau mal mit regedit oder regedt32 in folgende schlüssel ob dort ein Programm ausgeführt wird, das dir verdächtig vorkommt: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 23. Juni 2004 Autor Teilen Geschrieben 23. Juni 2004 Hi, wollten wir machen, aber: Die Registry schließt sich auch sofort wieder. Das schlimme dabei ist, dass nun auch ein zweiter Rechner diese Phänomene aufweist. Wie sind gerade dabei einen "externen" Taskmanager zu installieren. Falls wir da etwas "verdächtiges" entdecken, dann melde ich mich hier. Gruß Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-GQ-Phantom4 Geschrieben 23. Juni 2004 Teilen Geschrieben 23. Juni 2004 dann versuch mal die regedit.exe in regedit1.exe umzubenennen, sowas hat bei einem Virus den wir mal hatten funktioniert. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 23. Juni 2004 Teilen Geschrieben 23. Juni 2004 Man kann sich auch remote von einem "sauberen" Rechner über regedit mit dem "befallenen" Rechner verbinden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 23. Juni 2004 Autor Teilen Geschrieben 23. Juni 2004 Hi, ja? Das geht? Hab ich noch nie gehört...wäre ja interessant. Wir haben jetzt aber eine einfachere Lösung gefunden. Wenn wir die regedit.exe oder taskmgr.exe umbenennen, dann können wir diese Programme ohne Probleme aufrufen. Jetzt müssen wir nur noch die verdächtigen Programme finden und entfernen...! Wir lassen auch gleich mal Hijackthis drüber laufen. Gruß Sebastian UPDATE: Wenn man den Spybot drüber rennen lässt, dann funktioniert des Taskmanager, etc. wieder. Aber nach einem Reboot ist alles wieder beim alten - geht nicht! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 23. Juni 2004 Autor Teilen Geschrieben 23. Juni 2004 So, es gibt mal wieder neue Informationen! Nach längerem Hin und Her haben wir festgestellt, dass der Prozess mit dem Namen "kldjx.exe" an dem Schlamassel Schuld hat. Wenn man diesen beendet, dann funktioniert alles einwandfrei! Das Problem ist, dass man dieses besagte exe-File nicht auf dem Rechner findet. Außerdem kann man diesen Eintrag in der Registry entfernen - aber nach einem Reboot ist er wieder da. Gruß Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 23. Juni 2004 Autor Teilen Geschrieben 23. Juni 2004 Hi, wir haben das Problem nun endlich gelöst. Es lag wie vermutet an dem Prozess "kldjx.exe". Man musste alle Einträge in der Registry, die "kldjx.exe" beinhalten und in Run bzw. RunServices liegen, löschen. Trotzdem noch einmal DANKE an alle! Gruß Sebastian :marine Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
chaosmaster Geschrieben 28. Juni 2004 Teilen Geschrieben 28. Juni 2004 probiers doch mal mit ner Linux Live CD! Auf Spenneberg.org gibt es ne forensic Rescue CD zum Download ( ca 150 MB) Hat nen Virenscanner und alles mögliche drauf. kannst damit auch windows systeme scannen! Probiers mal aus. gib mir mal ein feedback wies gelaufen ist! habe die CD zwar da, aber habe Sie noch nie zum Einstaz gebracht! Gruß CHaosmaster Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 29. Juni 2004 Autor Teilen Geschrieben 29. Juni 2004 Haben, wie oben schon gesagt, das Problem gelöst! Trotzdem danke. Wir hatten das Problem nun noch einmal. Hier haben wir festgestellt, dass das exe-File nicht "kldjx.exe" heißt, sondern auch beliebig anders. Das einzig gleiche Merkmal, war der Bezug zu Outlook Express. Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
blade.e Geschrieben 9. Juli 2004 Teilen Geschrieben 9. Juli 2004 Hallo, manschaue in einer der letzten c´ts (weis grad nicht welche), dort steht auch was ganz interesantes. Die Bister verändern ihre Signatur, sprich das aussehen, bei jedem hops auf eine andere Maschine. Also denk ich ma so, da können wir uns auf einiges gefasst machen, wenn die das ein bischen verfeinern. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
muth Geschrieben 10. Juli 2004 Autor Teilen Geschrieben 10. Juli 2004 Hi, in der ct? Da müsst ich auch mal gucken. Aber ich komm ja net zum lesen...! Jaja, die Viren und Würmer werden noch schöner Zeitvertreib werden. Gruß Sebastian Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.