BugBear + DSO Exploit
6 Beiträge • Seite 1 von 1
BugBear + DSO Exploit
von Mav63 am 09.06.2004, 21:30
Eigentlich dachte ich, mein System ist jetzt sauber, immer schön VirScanner updaten, regelmäßig Hijackthis laufen lassen und natürlich Search&Destroy mind. 2x die Woche. Dazu alle WinXP Patches seit SP1 eingespielt. Ausserdem nur mit dem Firefox unterwegs. AdAware findet manchmal was wie z.b. tracking cookies, das normal halt.
Heute aber schlägt min Virenscanner Alarm und sagt er habe das gefunden und in Quaratäne genommen:
Dabei handelt es sich um den BugBear Trojaner siehe hier: http://securityresponse1.symantec.com/SARC/sarc-intl.nsf/html/de-w32.bugbear.b@mm.removal.tool.html
Sofort das BB-Fix tool runtergeladen, im abgesicherten Modus gebootet und den fix ausgeführt - nichts zu finden. (vermutlich weil der VirScanner das Teil schon gelöscht hatte)
Spybot findet nur den immerwiederkehrenden "DSO-Exploit" siehe hier:
Den bekomme ich einfach nicht weg, egal was ich versuche, kommt immer wieder.
Hier mein aktuelles Hijack-Log nach der Entfernung des BugBears durch den VirScanner und Löschung des DSO Exploits durch Spybot.
Logfile of HijackThis v1.97.7
Scan saved at 21:06:46, on 09.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
G:\NORTON~3\GHOSTS~2.EXE
G:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
G:\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
G:\Norton Ghost 2003\GhostStartTrayApp.exe
G:\PestPatrol\PPMemCheck.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
E:\hijackthis\HijackThis.exe
C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GhostStartTrayApp] G:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [PPMemCheck] G:\PestPatrol\PPMemCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D1DAB40-3A0F-4546-B6EA-DF7677BBDDE9}: NameServer = 192.168.2.1,62.225.252.16
Nochmal kurz zum BugBear Trojaner: Er befand sich, wie man in dem Screenshot sehen konnte im Ordner wo "Teamspeak" installiert ist. Dieses Tool benutzen wir unter Freunden, um uns bei Onlinespielen per Voice-Chat unterhalten zu können, das schon über 2 Jahre jetzt. Letztes Update des Tool ist auch schon fast ein Jahr her. Nie Probleme. Ausser vor 3 Tagen klappte plötzlich die Sprechtaste an meinem Mousebutton nicht mehr. Meine Vermutung war, das mit dem Mousetreiber was nicht stimmt, die Buttons an der Seite machen manchmal Probleme. Also habe ich die Treiber aktualisiert (Logitech Mousware), und alles klappte wieder. Wenn ich jetzt aber sehe, das der Trojaner in der "key.press.dll" war, dann komm ich doch ins Grübeln.
Ich hoffe ich mache nicht allzuviel Arbeit mit diesem Riesentext hier und würde mich über Hilfe sehr freuen.
Heute aber schlägt min Virenscanner Alarm und sagt er habe das gefunden und in Quaratäne genommen:
Dabei handelt es sich um den BugBear Trojaner siehe hier: http://securityresponse1.symantec.com/SARC/sarc-intl.nsf/html/de-w32.bugbear.b@mm.removal.tool.html
Sofort das BB-Fix tool runtergeladen, im abgesicherten Modus gebootet und den fix ausgeführt - nichts zu finden. (vermutlich weil der VirScanner das Teil schon gelöscht hatte)
Spybot findet nur den immerwiederkehrenden "DSO-Exploit" siehe hier:
Den bekomme ich einfach nicht weg, egal was ich versuche, kommt immer wieder.
Hier mein aktuelles Hijack-Log nach der Entfernung des BugBears durch den VirScanner und Löschung des DSO Exploits durch Spybot.
Logfile of HijackThis v1.97.7
Scan saved at 21:06:46, on 09.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
G:\NORTON~3\GHOSTS~2.EXE
G:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
G:\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\RUNDLL32.EXE
G:\Norton Ghost 2003\GhostStartTrayApp.exe
G:\PestPatrol\PPMemCheck.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
E:\hijackthis\HijackThis.exe
C:\Programme\Symantec\LiveUpdate\ALUNOTIFY.EXE
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [GhostStartTrayApp] G:\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [PPMemCheck] G:\PestPatrol\PPMemCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shoc ... tor/sw.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shoc ... wflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D1DAB40-3A0F-4546-B6EA-DF7677BBDDE9}: NameServer = 192.168.2.1,62.225.252.16
Nochmal kurz zum BugBear Trojaner: Er befand sich, wie man in dem Screenshot sehen konnte im Ordner wo "Teamspeak" installiert ist. Dieses Tool benutzen wir unter Freunden, um uns bei Onlinespielen per Voice-Chat unterhalten zu können, das schon über 2 Jahre jetzt. Letztes Update des Tool ist auch schon fast ein Jahr her. Nie Probleme. Ausser vor 3 Tagen klappte plötzlich die Sprechtaste an meinem Mousebutton nicht mehr. Meine Vermutung war, das mit dem Mousetreiber was nicht stimmt, die Buttons an der Seite machen manchmal Probleme. Also habe ich die Treiber aktualisiert (Logitech Mousware), und alles klappte wieder. Wenn ich jetzt aber sehe, das der Trojaner in der "key.press.dll" war, dann komm ich doch ins Grübeln.
Ich hoffe ich mache nicht allzuviel Arbeit mit diesem Riesentext hier und würde mich über Hilfe sehr freuen.
- Mav63
- Beiträge: 7
- Registriert: 02.06.2004, 09:01
von Jinxy am 09.06.2004, 22:05
Hi,
Bugbear installiert einen Keylogger, der alle Tastatureingaben aufzeichnet. Lese einmal hier nach:
http://www.pc-magazin.de/praxis/sicherh ... =pg&id=446
Du solltest von einem sauberen PC aus vorsichtshalber alle deine Passwörter ändern.
Gruß Jinxy
Bugbear installiert einen Keylogger, der alle Tastatureingaben aufzeichnet. Lese einmal hier nach:
http://www.pc-magazin.de/praxis/sicherh ... =pg&id=446
Du solltest von einem sauberen PC aus vorsichtshalber alle deine Passwörter ändern.
Gruß Jinxy
- Jinxy
- Beiträge: 4389
- Registriert: 21.01.2004, 07:59
von Mav63 am 09.06.2004, 22:50
ok, habe also alle wichtigen logins und pw wie onlinebanking und kreditkartenkonto geändert.
Wenn ich die erklärungen im link richtige verstehe, dann versteckt sich bugbear irgendwo mit dieser dll, dh er hat den teamspeak-ordner nur per zufall ausgesucht ?
nach mehreren scans, auch nach reboot und auch mit dem stinger-tool von mcaffee, wird nichts mehr gefunden. kann ich jetzt eingermaßen sicher sein das der trojaner gekillt ist ? Und gibt es in meinem hijackthis log noch etwas zu beanstanden ?
nochmal vielen dank für die hilfe
Wenn ich die erklärungen im link richtige verstehe, dann versteckt sich bugbear irgendwo mit dieser dll, dh er hat den teamspeak-ordner nur per zufall ausgesucht ?
nach mehreren scans, auch nach reboot und auch mit dem stinger-tool von mcaffee, wird nichts mehr gefunden. kann ich jetzt eingermaßen sicher sein das der trojaner gekillt ist ? Und gibt es in meinem hijackthis log noch etwas zu beanstanden ?
nochmal vielen dank für die hilfe
- Mav63
- Beiträge: 7
- Registriert: 02.06.2004, 09:01
von Jinxy am 10.06.2004, 07:07
Hi,
dein HijackThis Log ist in Ordnung, aber das heißt nicht, dass du jetzt sicher bist. Betriebssystem und Virenscanner solltest du immer aktualisieren und eine Firewall installieren. Trotzdem gibt es noch genügend Sicherheitslücken, die ausgenutzt werden könnten.
Gruß Jinxy
dein HijackThis Log ist in Ordnung, aber das heißt nicht, dass du jetzt sicher bist. Betriebssystem und Virenscanner solltest du immer aktualisieren und eine Firewall installieren. Trotzdem gibt es noch genügend Sicherheitslücken, die ausgenutzt werden könnten.
Gruß Jinxy
- Jinxy
- Beiträge: 4389
- Registriert: 21.01.2004, 07:59
von Mav63 am 10.06.2004, 10:02
Danke Jinxy, habe eine Firewall (Norton) und halte sie mit dem Symantec Lifeupdate zusammen mit dem Virenscanne ständig auf dem Laufenden. Ausserdem sitze ich noch mit einem anderen Client (mein Sohn) hinter einem DSL Router mit NAT. Der andere PC ist genauso geschützt und wird auch ständig überprüft von mir, ist z.zt. sauber und war auch noch nie etwas. Was mich etwas sauer macht, ist das die ganzen Sicherheitsmaßnahmen wie permanentes scannen, updaten, mit Firefox surfen und und und offenbar doch nicht der Garant dafür sind, Viren- und Trojanerfrei zu bleiben. Erschreckend eigentlich.
- Mav63
- Beiträge: 7
- Registriert: 02.06.2004, 09:01
von Nikita am 10.06.2004, 13:01
http://www.mwti.net/antivirus/free_utilities.asp
Um sicher zu gehen, ob alles sauber ist, lade die mwav.exe und scanne .
Deaktiviere auch die Wiederherstellung , boote und aktiviere sie wieder .
MfG
Nikita
Um sicher zu gehen, ob alles sauber ist, lade die mwav.exe und scanne .
Deaktiviere auch die Wiederherstellung , boote und aktiviere sie wieder .
MfG
Nikita
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
6 Beiträge • Seite 1 von 1
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste