Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

wie Trojaner win32/psw onlinegames entfernen?

8 views
Skip to first unread message

Jonas Stein

unread,
Oct 20, 2007, 12:46:39 PM10/20/07
to
Hallo,

ein Win2000 Rechner ist mit obigem Trojaner infiziert meldet NOD32. Wie
entferne ich den Trojaner am besten? Welche Dateien infiziert er, was macht
er ueberhaupt?
Konnte heute noch keine eindeutige Information zu diesem Exemplar finden.

Kann ich rausfinden, welche Daten er ausspioniert hat?

Wer weiss mehr darueber? Danke,

--
mit besten Grüßen,

Jonas Stein <ne...@jonasstein.de>

Joerg Walther

unread,
Oct 20, 2007, 2:49:14 PM10/20/07
to
On Sat, 20 Oct 2007 18:46:39 +0200, Jonas Stein wrote:

> ein Win2000 Rechner ist mit obigem Trojaner infiziert meldet NOD32. Wie
> entferne ich den Trojaner am besten?

format c: - alles andere gibt dir keine Sicherheit, das Mistvieh oder
das, was es sonst noch auf den Rechner gezogen hat, sicher zu entfernen.

- jw -

--
Mail address is valid for a limited time only.

And now for something completely different...

Message has been deleted

Gerald Vogt

unread,
Oct 20, 2007, 8:07:28 PM10/20/07
to
Jonas Stein wrote:
> ein Win2000 Rechner ist mit obigem Trojaner infiziert meldet NOD32. Wie
> entferne ich den Trojaner am besten? Welche Dateien infiziert er, was macht

Am Besten? Windows CD einlegen, von CD booten, Partitionen löschen,
Windows neu installieren.

Das ist auch die zweitbeste Lösung.
Und die drittbeste auch.

Eigentlich die einzige, weil Du gar nicht weißt, wieviel andere
unerkannte Malware inzwischen auf dem Rechner läuft.

Gerald

Rainer May

unread,
Oct 20, 2007, 8:40:31 PM10/20/07
to
Jonas Stein schrieb:

> Hallo,
>
> ein Win2000 Rechner ist mit obigem Trojaner infiziert meldet NOD32. Wie
> entferne ich den Trojaner am besten? Welche Dateien infiziert er, was macht
> er ueberhaupt?

Er klaut Deine WoW-Zugangsdaten. Und die hat er schon. Gibt also keinen
großen Grund mehr, ihn zu löschen

Er wurde übrigens von einem sog. "Dropper" nachgeladen, den sich der
Rechner-Besitzer selbst per Download geholt und installiert hat - und
der bis heute den Standard-AV-Programmen nicht auffällt.

Was dieser "Dropper" sonst noch nachgeladen, infiziert, verändert hat
weiss vermutlich allenfalls sein Programmierer. DU kannst jedenfalls
keiner einzigen Datei auf dem Rechner mehr trauen.

Die daraus folgende Konsequenz ist einfach: Bitte einmal neu aufsetzen,
die Kiste. Komplett.

Und das nächste Mal, wenn Du ein angebliches "AddOn" aus dem Netz holst,
das sich als exe entpuppt, auch dann nicht ausführen, wenn es Dich
glauben macht, es sei ein selbstentpackendes Archiv.

Fazit: Dein AV-Programm hat eine Hälfte erkannt, aber Dir unterm Strich
nicht geholfen. Brain 1.0 hätte da vielleicht mehr bewirkt. Nächstes Mal
einfach auf Verdacht benutzen.

Juergen P. Meier

unread,
Oct 21, 2007, 2:54:40 AM10/21/07
to
Jonas Stein <ne...@jonasstein.de>:

> Hallo,
>
> ein Win2000 Rechner ist mit obigem Trojaner infiziert meldet NOD32. Wie
> entferne ich den Trojaner am besten? Welche Dateien infiziert er, was macht
> er ueberhaupt?
> Konnte heute noch keine eindeutige Information zu diesem Exemplar finden.

Das ist das Teil, was letzte Woche entdeckt wurde. Die Infektion habe
ich in einem anderen Posting hier erklaert.

> Kann ich rausfinden, welche Daten er ausspioniert hat?

WoW Accountdaten vermutlich.

> Wer weiss mehr darueber? Danke,

Ich habe beschrieben, wo sich der Dropper einnistet. Wenn dein Windows
keinen HTTP Zugriff hat (via BITS Dienst, den auch Windows Update
verwendet), dann kannst du ihn anhand untenstehender Anleitung entfernen.

Sollte jedoch die Trjoanerdatei nachgeladen worden sein (z.B. wenn du
BITS nicht kastriert und den Proxy auf localhost:9 umgebogen hast,
ueberpruefbar mittels "proxycfg.exe"), dann wirst du dein Backup von
vor letzten Mittwoch zurueckspielen muessen.

Deien WoW-Accountdaten solltest du auch schleunigst aendern, aber
sinnvollerweise von einem anderen, nicht-infizierten Rechner aus.
Andernfalls kann man dein Spiel-Gold bald fuer ein paar Euro kaufen.

Anleitung: (Nur gueltig, solange der Dropper keine Chance hatte, die
Trojanerdatei nachzuladen!):

PC hart ausschalten[1] (Stromstecker ziehen).
Rescue-CD[2] booten, mittels Registry-Editor (bei Linuxbasierten
Rescue-CDs gibt es meist Registry-Ex- und Importer) die System-Hive
oeffnen, HKLM\System\CurrentControlSet (sowie alle anderen ControlSet00x-
Baeume)\Services\WZCSVC\Parameters\ aufmachen und dort den Key
"ServiceDLL" aendern, genauer den Dateinamen von ...\wzcsvbc.dll
auf "%SystemRoot%\System32\wzcsvc.dll" zurueckaendern.
Die Backupkopie der Registry-Hive loeschen oder ebenso anpassen.
Alle Systemwiederherstellungspunkte loeschen (alles unterhalb des
versteckten Verzeichnisses "System Volume Information" auf der
C:-Partition).
Danach im System32 und im System32/dllcache Verzeichnis die wzcsvbc.dll
Datei loeschen.

DIESE PROZEDUR LOESCHT NUR DEN DROPPER! Wenn der Dropper mittels BITS
(Intelligenter Hintergrundtransferdienst oder so) die Trojanerdatei
erfolgreich nachladen konnte, reicht obiges nicht!

PS: Das Rescue-System braucht NTFS-Schreibzugriff (neuere Live-CDs
haben die noetigen Linux-Treiber).

[1] Ich habe nicht analysiert, ob das Schadprogramm eine spezielle
Shutdownroutine hat, um sich im Falle eines shutdowns tiefer
einzugraben.
[2] z.B. TRK, oder eine Forensik-Linux-Live-CD, oder Knoppix.
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)

Juergen P. Meier

unread,
Oct 21, 2007, 3:21:37 AM10/21/07
to
Ingrid:
> Jonas Stein <ne...@jonasstein.de>:

>> Wer weiss mehr darueber? Danke,
>
> Anleitung: (Nur gueltig, solange der Dropper keine Chance hatte, die
> Trojanerdatei nachzuladen!):

Vergiss es. Der Dropper hatte IIRC eine andere Bezeichnung. Obiges
(Subject: win32/psw_onlinegames) ist denke ich der Trojaner, der
nachgeladen wurde.

Sorry, du hast verloren. Backup einspielen (NICHT DIE
SYSTEMWIEDERHERSTELLUNGSPUNKTE, die wurden ebenfalls infiziert! Nimm
ein externes Vollbackup falls du eines hast), oder die anderen Tips:
format c:, Windows neu installieren, Patchen, haerten (gemaess den
im linkblock http://linkblock.de/ referenzierten Anleitungen)...

Jonas Stein

unread,
Oct 21, 2007, 5:49:39 AM10/21/07
to
> ein Win2000 Rechner ist mit obigem Trojaner infiziert meldet NOD32. Wie
> entferne ich den Trojaner am besten? Welche Dateien infiziert er, was
> macht er ueberhaupt?
> Konnte heute noch keine eindeutige Information zu diesem Exemplar finden.
> Kann ich rausfinden, welche Daten er ausspioniert hat?

WoW ist zum Glueck nicht installiert.
Danke schonmal fuer die vielen Hinweise!
Weiss jemand noch, wie er sich verbreitet? Verbreitet er sich auch von
Datentraeger zu Datentraeger, oder per Mail, oder wie?

Rainer May

unread,
Oct 21, 2007, 5:52:06 PM10/21/07
to
Jonas Stein schrieb:

> Weiss jemand noch, wie er sich verbreitet? Verbreitet er sich auch von
> Datentraeger zu Datentraeger, oder per Mail, oder wie?
>

Der Dropper - der das von Dir gefundene Schadprogramm installierte -
verbreitet sich von Haus aus nicht.
Das von Dir gefundene Schadprogramm auch nicht.
Was andere vom Dropper nachgeladene Programme tun weiss man erst, wenn
man sie findet und analysiert.

0 new messages