Viren, Spam & Dialer
Von: Τһundеrfоx, 18.11.2007 19:42 Uhr
Hallo,
ich habe mal einen Routinescan mit Housecall gemacht.
Dort wurde auch tatsächlich eine Spyware gefunden.
Ich will jedoch nicht einfach die Spyware entfernen,
sondern sie bei Virustotal usw hochladen bzw genauer
analysieren.

Wie bekomme ich den Aufenthaltsort der Spyware raus, wenn ich
nur das sehe:
http://www.abload.de/img/unbenannte35.png

Vielen Dank.



  1. Antwort von ЕxΝісkі (abgemeldet) 0
    Re: Spyware gefunden was nun?
    Hi ich habe mal einen Routinescan mit Housecall gemacht.
    Dort wurde auch tatsächlich eine Spyware gefunden.
    Ich will jedoch nicht einfach die Spyware entfernen,
    sondern sie bei Virustotal usw hochladen bzw genauer
    analysieren.
    Du kannst ja mal ein paar andere Virenscanner bemühen. Die Mosuck-Familie existiert seit ende 1995, müsste also in jeder Virendatenbank enthalten sein. Aber scann im abgesicherten Modus, dann sind die Chancen kleiner, sich zu verstecken.

    Troj/Mosuck-I ist ein Backdoortrojaner für die Windows-Plattform.

    Der Trojaner enthält Funktionalität zum Speichern von Tastenfolgen, Erstellen von Bildschirm- und Webcamaufnahmen, Stehlen von Dateien, Bereitstellen einer Remote-Commandshell und Herunterladen von Updates.

    Wenn Troj/Mosuck-I installiert wird, werden folgende Dateien erzeugt:

    <Windows>\ActiveXExe\<zufälliger Dateiename1>.exe - erkannt als Troj/Mosuck-I
    <Windows>\ActiveXExe\<zufälliger Dateiename2>.exe - erkannt als Troj/Mosuck-H
    <System>\<zufällige Zeichen>32\<zufälliger Dateiname>>.exe - erkannt als Troj/Mosuck-I.
    (es gibt den Trojaner als Mosuck-I, B, H und X. aber seine Fähigkeiten sind ähnlich) Wie bekomme ich den Aufenthaltsort der Spyware raus, wenn ich
    nur das sehe:
    http://www.abload.de/img/unbenannte35.png
    tja, Scheissprogramm, wenn es dir den Aufenthaltsort nicht verrät.
    Normalerweise müsste nach einem Scann eine Logdatei erstellt worden sein, in der du Nähere erfährst, zumindest bei einem anständigen Antivirprogi, deines kenne ich nicht.
    Aber so oder so hat der Trojaner mittlerweile einige deiner Passwörter erspäht und vermutlich auch gesendet, einen Remote-Zugriff auf deinem PC installiert zum Zweck der Fernsteuerung von außen und eine Menge anderer Malware nachgeladen.
    Du darfst also deinen PC plattmachen, dein Backup aufspielen, oder wenn du keins hast, Win neu installieren und dann schleunigst deine Passwörter ändern.
    Gruss
    ExNicki
    19 Kommentare
    • Re^2: Spyware gefunden was nun?
      Hallo,

      naja das ist das Housecall (Onlinescanner)von Trendsecure.
      Mein lokaler Virenschutz ist Antivier PE Classic (aktuell)
      Hat jedoch nicht einmal Alarm geschlagen.
      Nunja ist ja auch ohne Spyware Guard.

      Aber AVG Antispyware habe ich letzens auch aktuell noch scannen lassen.
      (Gestern) Der hatte auch nichts gefunden...

      Sollte ich mal einen Kaspersky Onlinescan wagen?

      Ach du heiliger ich dachte immer Spyware würde Nutzungszwecke (Webverlauf usw) protokollieren aber Remotezugriff usw o_O
      Heiliger ich wechsel glaube ich meinen AV.

      Mein Vater hat sich Norton 360 gekauft.
      Ich dachte bisher immer es sei nicht gut, weil ich so viel schlechtes gehört habe bzw so viele Gerüchte.
      Soll ich auch zu Norton wechseln haben eine Lizenz für 3 PC´s
    • von Ѕсһоrѕсһ (abgemeldet) 0
      Re^3: Spyware gefunden was nun?
      Ach du heiliger ich dachte immer Spyware würde Nutzungszwecke
      (Webverlauf usw) protokollieren aber Remotezugriff usw o_O
      Heiliger ich wechsel glaube ich meinen AV.
      Wechsel lieber den Benutzer deines Computers. Den MoSucker 'fängt' man sich nicht so nebenbei ein, der installiert sich ausschliesslich unter tatkräftiger Mithilfe und bewußter Aktion des Benutzers. Gegen diesen Benutzer hilft dann kein AV-Programm.

      Gruss
      Schorsch
    • Re^4: Spyware gefunden was nun?
      Hallo,
      ja das wäre ja gerade meine Wissenslust wie der drauf gekommen ist.
      Letztens hatte ich den IE nur mal wieder zum Windows Update.
      Und momentan habe ich auch echt viel zu viel zu tun gehabt um
      irgendwelche Programme zu installieren usw. Deswegen würde ich gerne wissen woran das lag.

      Naja ich mach mal einen Kaspersky Onlinescan.
      Misst ich dachte mittlerweile wäre ich mal weit genug
      informiert in diese Situationen nicht mehr zu geraten. (
    • von ЕxΝісkі (abgemeldet) 0
      Re^3: Spyware gefunden was nun?
      Hi again,
      naja das ist das Housecall (Onlinescanner)von Trendsecure.
      Mein lokaler Virenschutz ist Antivier PE Classic (aktuell)
      Hat jedoch nicht einmal Alarm geschlagen.
      Nunja ist ja auch ohne Spyware Guard.
      die Malware hier ist ein Zwitter, kein reines Spywareprogi, sondern ein Spywaretrojaner. Und Trojaner können sich normalerweise besser tarnen als reine Spywareprogis. Aber AVG Antispyware habe ich letzens auch aktuell noch
      scannen lassen.
      (Gestern) Der hatte auch nichts gefunden...
      wie gesagt, Trojaner, also eher was für reine Antivirprogis. Sollte ich mal einen Kaspersky Onlinescan wagen?
      könntest du. oder aber du saugst dir Knoppicilin, eine bootbare Linux-CD, auf Virenjagd spezialisiert. Der Vorteil: da Win beim Scann nicht aktiv ist, haben Trojaner weniger Möglichkeiten, sich zu verstecken. CD + Update hier:
      http://www.fz-juelich.de/jsc/sicherheit/download/fre... Ach du heiliger ich dachte immer Spyware würde Nutzungszwecke
      (Webverlauf usw) protokollieren aber Remotezugriff usw o_O
      wie gesagt: hier hast du es mit einem Trojaner zu tun, der ist gemeiner. Mein Vater hat sich Norton 360 gekauft.
      Ich dachte bisher immer es sei nicht gut, weil ich so viel
      schlechtes gehört habe bzw so viele Gerüchte.
      Soll ich auch zu Norton wechseln haben eine Lizenz für 3 PC´s
      NNNNNNNEEEEEEEEEEEEEIIIIIIIIIIIIIINNNNNNNNNNNNNNNN
      Norton kann nichts, was andere Antivirprogis wie das kostenlose Avira zB nicht auch können, gräbt sich aber tief ins System ein und frisst endlos CPU-Power. Du hast ein paar Pop-Ups mehr als bei kostenlosen Progis, irgendwie muss Norton dem User ja das Gefühl vorgauckeln, dass sein PC sicher ist und er nicht umsonst für ein Progi bezahlt hat, welches das gleiche kann wie Freewareprogis.
      Wenn du in Zukunft Malwareattacken auf ein Minimum beschränken willst, beherzige diese Ratschläge hier:
      http://www.comsafe.de/regeln.html
      dann wird dein A-Vir-Progi eh kaum noch was zu tun haben.

      Gruss
      ExNicki
    • von Rаіnеr Fіѕсһеr (abgemeldet) 0
      Re^4: Spyware gefunden was nun?
      Hi ExNicki, CD + Update hier:
      http://www.fz-juelich.de/jsc/sicherheit/download/fre...
      die Updates finde ich, aber wo ist die CD? Ich weiß, daß ich's schon mal hatte, finde es aber nicht mehr wieder. Kannst Du noch mal den Link zum Image posten? Ich seh's einfach nicht.

      (Warum müssen die Linux-Seiten immer so unübersichtlich sein?)

      Gruß, Rainer
    • von Ѕсһоrѕсһ (abgemeldet) 0
      Re^5: Spyware gefunden was nun?
      die Updates finde ich, aber wo ist die CD? Ich weiß, daß ich's
      schon mal hatte, finde es aber nicht mehr wieder. Kannst Du
      noch mal den Link zum Image posten? Ich seh's einfach nicht.
      Knoppicillin-Images stehen aus urheberrechtlichen Gründen grundsätzlich nicht (legal) zum Download zur Verfügung. Heißt's weiter warten auf Heft-CD oder freundlichen Nachbarn/Bekannten. (Warum müssen die Linux-Seiten immer so unübersichtlich sein?)
      Ähhm - was ExNicki da gepostet hat, ist ein Link zu einer ftp-Seite. Das hat mit Linux nichts zu tun. Warum müssen Windows-User immer so unsortiert denken?

      Gruss
      Schorsch
    • von Rаіnеr Fіѕсһеr (abgemeldet) 0
      Re^6: Spyware gefunden was nun?
      Hi Schorsch, Knoppicillin-Images stehen aus urheberrechtlichen Gründen
      grundsätzlich nicht (legal) zum Download zur Verfügung.
      Heißt's weiter warten auf Heft-CD oder freundlichen
      Nachbarn/Bekannten.
      OK. ExNicki hatte ja geschrieben 'CD+ ...' ich dachte ich würe es nur nicht finden. (Warum müssen die Linux-Seiten immer so unübersichtlich sein?)
      Ähhm - was ExNicki da gepostet hat, ist ein Link zu einer
      ftp-Seite. Das hat mit Linux nichts zu tun.
      Seiten die so aussehen, begegnen mir immer, wenn es um Linux geht. Ein paar Zeilen Links, unkommentiert. Ich sitze dann immer davor und weiß nicht, was davon ich nun brauche. Meist lade ich dann ein Image und bemerke nach ein paar Stunden, daß ich das falsche geladen habe. :-( Warum müssen Windows-User immer so unsortiert denken?
      Die sind verwöhnt. :-) Wenn es um Windows geht, steht in der Nähe der Links meistens, was man da bekommt. Linux-Anwender wissen das scheinbar auch ohne Kommentar. Ich begreife nur nicht, woher.

      Gruß, Rainer
    • von Ѕсһоrѕсһ (abgemeldet) 0
      Re^7: Spyware gefunden was nun?
      Seiten die so aussehen, begegnen mir immer, wenn es um Linux
      geht. Ein paar Zeilen Links, unkommentiert. Ich sitze dann
      immer davor und weiß nicht, was davon ich nun brauche. Meist
      lade ich dann ein Image und bemerke nach ein paar Stunden, daß
      ich das falsche geladen habe. :-(
      Nun ja, ich weiss meistens, was ich haben will und finde das in ftp-Listen i. d. R. ruckzuck. Auf grafisch gestalteten Webseiten habe ich hingegen oftmals Mühe, im Informations- und Werbemüll den Downloadbutton oder -link zu finden. Selbst ein Strg-F nach 'download' hilft da oftmals nicht weiter, wenn der Button ausschließlich grafisch gestaltet völlig verloren inmitten einer Galaxie bunter Icons, Logos, Filmchen seine Kreise zieht. Aber wer mit dem XP- oder Vista-Startmenu umzugehen gelernt hat (oder der mindestens analogen Katastrophe von KDE), ist wohl hinreichend konditioniert, inmitten eines Chaos noch den Informationswert zu finden. Die sind verwöhnt. :-) Wenn es um Windows geht, steht in der
      Nähe der Links meistens, was man da bekommt. Linux-Anwender
      wissen das scheinbar auch ohne Kommentar. Ich begreife nur
      nicht, woher.
      Ich will ein ISO einer Linux-Distribution. Hat eine Größe von etwa 450 bis meist 650 MB. Heißt mit Nachnamen .iso (Nero u. ä. wird unter Linux eher selten genutzt). Gibt's nicht? Gibt's nicht! Irritierend aber in der Tat, dass ExNicki behauptet hat, Gäbe doch.

      Gruss
      Schorsch
    • von Rаіnеr Fіѕсһеr (abgemeldet) 0
      Re^8: Spyware gefunden was nun?
      Hi Schorsch, Nun ja, ich weiss meistens, was ich haben will und finde das
      in ftp-Listen i. d. R. ruckzuck.
      das ist mir schon klar, daß Du das schnell findest.
      Nun versetze Dich in die Situation eines 'Umsteigewilligen'. :-)
      Suse läuft, nun sucht der nach einem Spiel, mit dem BS muss man ja auch etwas anfangen. Dann sitzt man vor so einer liste, findet noch heraus, daß .rar eine gute Idee ist ... Und bemerkt dann, daß das Programm unter Suse gar nicht läuft, irgend eine andere Distribution wäre richtig gewesen ... Ich habe Suse schon seit Monaten nicht mehr gestartet, ich weiß nicht recht etwas damit anzufangen. Auf grafisch gestalteten
      Webseiten habe ich hingegen oftmals Mühe, im Informations- und
      Werbemüll den Downloadbutton oder -link zu finden. Selbst ein
      Strg-F nach 'download' hilft da oftmals nicht weiter, wenn der
      Button ausschließlich grafisch gestaltet völlig verloren
      inmitten einer Galaxie bunter Icons, Logos, Filmchen seine
      Kreise zieht. Aber wer mit dem XP- oder Vista-Startmenu
      umzugehen gelernt hat (oder der mindestens analogen
      Katastrophe von KDE), ist wohl hinreichend konditioniert,
      inmitten eines Chaos noch den Informationswert zu finden.
      *gg* Solche Seiten gibt es auch, ja. Genial wäre ja eine Mischung aus Beidem. Ohne Button, aber mit ein, zwei Zeilen Text zwischen den Links. Die sind verwöhnt. :-) Wenn es um Windows geht, steht in der
      Nähe der Links meistens, was man da bekommt. Linux-Anwender
      wissen das scheinbar auch ohne Kommentar. Ich begreife nur
      nicht, woher.
      Ich will ein ISO einer Linux-Distribution. Hat eine Größe von
      etwa 450 bis meist 650 MB. Heißt mit Nachnamen .iso
      Danach habe ich ja auch gesucht und verständlicher Weise nicht gefunden. Gibt's nicht? Gibt's nicht!
      Irritierend aber in der Tat, dass ExNicki behauptet hat, Gäbe doch.
      Auch ExNicki darf sich mal irren.

      Man kann sich die CD ja immer noch nachbestellen, kostet einschließlich Porto knapp €5,-. Einem Freund habe ich das geraten, der hat die CD jetzt. Konsequent wie ich bin, habe ich mir meine immer noch nicht bestellt. :-) So lange sie nicht gebraucht wird, ist der Druck nicht groß genug.

      Gruß, Rainer
    • von ЕxΝісkі (abgemeldet) 0
      Re^8: Spyware gefunden was nun?
      Hi Schorsch Irritierend aber in der Tat, dass ExNicki behauptet
      hat, Gäbe doch.
      wie oben erwähnt, mein Fehler. Gab's vor kurzem noch auf dieser Seite, ich hab's dort runtergeladen, und den gespeicherten Link ohne Kontrolle hier reingesetzt. Vermutlich hat c't (zu Recht) gemeckert, und sie haben den Link dann gelöscht.
      Also nur noch über c't direkt zu beziehen, wenn man auf der legalen Seite bleiben möchte

      Gruss
      ExNicki
    • von Rаіnеr Fіѕсһеr (abgemeldet) 0
      Re^6: Spyware gefunden was nun?
      Hallo, Hallo, das Gleiche Problem habe ich auch...
      Die Update Seiten sind hier oder?
      http://www.fz-juelich.de/jsc/sicherheit/download/fre...
      nein, da sehe ich z.B. F-Prot. Das ist ein eigener Virenscanner, nicht Knoppicillin. Klick mal den Link von ExNicki an.

      Das Iso für die CD gibt es nicht im Download, hat Schorsch verraten. Ich weiß aber, daß man sie für rund €5,- einschließlich Porto bei C´t bekommen kann.

      Gruß, Rainer
    • von ЕxΝісkі (abgemeldet) 0
      Re^7: Spyware gefunden was nun?
      Hi Rainer Hallo, das Gleiche Problem habe ich auch...
      Die Update Seiten sind hier oder?
      http://www.fz-juelich.de/jsc/sicherheit/download/fre...
      Das Iso für die CD gibt es nicht im Download, hat Schorsch
      verraten. Ich weiß aber, daß man sie für rund €5,-
      einschließlich Porto bei C´t bekommen kann.
      sorry, mein Fehler. Ich habe es dort noch saugen können und den Link so gespeichert. Aber mittlerweile gibt es das Download dort nicht mehr. Vermutlich wurde es entfernt weil c't die Rechte darauf hat.
      Wie du richtig sagst, kann man es gegen eine geringe Gebühr direkt bei c't beziehen.

      Gruss
      ExNicki
    • Re^4: Spyware gefunden was nun? 0.T.
      Hallo ExNicki, Mein Vater hat sich Norton 360 gekauft.
      Ich dachte bisher immer es sei nicht gut, weil ich so viel
      schlechtes gehört habe bzw so viele Gerüchte.
      Soll ich auch zu Norton wechseln haben eine Lizenz für 3 PC´s
      NNNNNNNEEEEEEEEEEEEEIIIIIIIIIIIIIINNNNNNNNNNNNNNNN
      Irgendwie frage ich mich was das 360 soll ?!?!

      Entweder funktioniert Norton nur 360 Tage oder es bedeutet, dass Norton die Rechenleistung eines IBM 360 Grossrechners vernichtet.

      *SCNR*
      MfG Peter(TOO)
    • Re^4: Spyware gefunden was nun?
      Hallo,

      also erst hatte er Antivir und Norton zusammen mit den Guards drauf -.-
      Dann konnte ich ihn irgendwann dazu bewegen, dass er sich entscheidet.
      Dann wollte er das ich auch Norton nehme aber das habe ich sofort abgelehnt.

      Nunja nicht nur das es zahlreiche Software Probleme gibt sondern auch, dass der Speicher zunehmend beeinflusst wird. Aber anscheinend mag er es diese ganzen nervenden Meldungen zu sehen. Auch die integrierte Firewall lässt sich fast gar nicht konfigurieren. -> Misst!
      Naja er ist ein Sturrkopf.
      -------

      Die meisten Sicherheitsregeln kenne ich auch schon, jedoch kann ich mich überhaupt nicht damit anfreunden eingeschränkt am PC zu arbeiten.
      Weil ich nicht eingeschränkt sein wollte, habe ich mir ja damals meinen PC gekauft. ..
    • nochmal sry
      Hallo,

      wenn ich dann eingeschränkt surfen sollte, besteht dann auch keine gefahr mehr dass sich die "Malware" in die registry als Autostart eintragen?


      Bzw ist es sinnvoll Scans im Abgesicherten Modus auszuführen?


      Danke
    • von ЕxΝісkі (abgemeldet) 0
      Re: nochmal sry
      Hi again
      wenn ich dann eingeschränkt surfen sollte, besteht dann auch
      keine gefahr mehr dass sich die "Malware" in die registry als
      Autostart eintragen?
      jein. Sagen wir so: die Gefahr hat sich wesentlich verringert, weil Malware die gleichen Rechte hat wie der Benutzer. Es gibt aber auch hier Akrobaten, die sich trotzdem festsetzten können.
      Bzw ist es sinnvoll Scans im Abgesicherten Modus auszuführen?
      ja. Auch dies ist keine absolut sichere Massnahme, um Viren aufzuspüren, aber viele Tarnfunktionen von Viren funktionieren nicht im abgesicherten Modus. Das Beste ist allerdings, von einem anderen Betriebssystem aus zu scannen, so dass Win selbst völlig inaktiv ist.
      Deshalb mein Tipp mit knoppicilin, das sein eigenes BS mitbringt.
      Schade, dass mein Link nicht mehr funzt, aber die 5 € an c't sind gut angelegt.

      Gruss
      ExNicki
    • Re^2: nochmal sry
      Hallo,
      ok danke ich formatiere den PC jetzt, dann installiere ich glaube einen Virutal PC und surfe nur noch von dem. Jedesmal krieg ich irgendwie was, dass ich wieder formatieren darf.

      Habe erst letzes Wochenende (gestern) den PC meiner Schwester formatiert.

      Kann es sein das wir irgendwie einen Netzwerktrojaner haben?
      Das ist doch unnormal?!

      Wir sind ja übers Wlan im Netzwerk.
    • Format
      Hallo,
      ich weiß jetzt woher das kommt.

      Letztens auf der Lan Party habe ich den bekommen.
      Naja das Ergebnis spricht für sich:
      http://www.abload.de/img/unbenannt6oj.png
      Ein Bifrost Trojaner. -.-

      Ich wusste irgendwie das es das vorhatte....


      Ich formatier jetzt sofort.

      Danke für die Hilfe.