Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Troj def.bci auf fast allen Netzrechnern

Mitglied: 13198

13198 (Level 1)

24.04.2006, aktualisiert 27.04.2006, 4663 Aufrufe, 9 Kommentare

hallo, hab den besagten Tojaner auf sehr vielen Clients, auf den ersten Blick sind es die Clients die nicht aktuell gepatcht sind. Eine verdächtige E-Mail habe ich nicht gefunden, muss sich wohl übers Netz verbreiten. Auf den Antivirusherstellerseiten ist das Teil auch nicht aufgeführt. Hat mir jemand infos zu dem Virus? troj-def.bci
Mitglied: 16568
24.04.2006 um 14:37 Uhr
Wenn Du sagst, Du hast den Trojaner troj-def.bci, woher weißt Du das dann?
Der Trojaner kann nur den Namen haben, wenn er schon irgendwo bekannt ist...
(AV-Hersteller)

Willst Du Ihn entfernen?
Ich denke, das ganze ist ein Browser-Plugin, oder irre ich mich da?
Welches OS hast Du?
Hast Du schon Spybot S&D und Adaware probiert?
Pest Patrol und XoftSpy auch schon?



Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 14:56 Uhr
trend micro erkennt ihn ja auch, nur findet sich bei denen unter diesem namen kein virus oder trojaner. Und ich glaube nicht, dass meien User alle auf der gleichen Internetseite waren und sich das Teil eingefangen haben. Muss sich anders weiterverbreiten.
Bitte warten ..
Mitglied: noidea2
24.04.2006 um 15:13 Uhr
Ich hatte letztens einen der sich über das M$ Filesharing Protokoll weiter verbreitet hatte nur leider kenne ich den Namen nicht mehr.
Bitte warten ..
Mitglied: 16568
24.04.2006 um 15:16 Uhr
Was ist also Dein Problem, wenn TrendMicro ihn erkennt?

Löschen lassen, fertig.

Oder willst Du grundlegend wissen, was der Trojaner macht?
Trojaner löchern das System nach außen hin, und machen es somit zugreifbar.
Zuzüglich bieten sie die Möglichkeit, div. Schädlinge "nachzuladen".
(sogenannte "Dropper")

Naja, den Rest des Horror-Szenarios erspare ich Dir mal, sollte man ja wissen...
(Keylogger, Screen-Capturing...)


Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:16 Uhr
hi wie kann ich kontrollieren ob er es so gemacht hat? er hieß Troj_delf.bci sorry tippfehler
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:25 Uhr
ja schon klar was der machen kann, nur möchte ich eben wissen wo er sich genau festsetzt und was er macht bzw. wie er sich weiterverbreitet. Hab hier noch ein paar clients ohne Virenschutz (sind nicht im Internet usw.)
Bitte warten ..
Mitglied: RuntimeError
24.04.2006 um 23:43 Uhr
hmm du willst also wissen wo sie sich standart mäsig absetzen? nun ja da hab ich ne menge erfahrung gemacht mit viren,trojanern,exploits,java und bla was es noch gibt.

So, zur sache:

erst mal solltest du schauen was für prozesse bei dir laufen,z.B mit hijack durch laufen lassen. und hier dann rein posten ich sag dir dann wo und was faul ist. Meist verstecken sie sich in system32,windows,oder versteckt direkt auf deine festplatte als uploads. oder halt der temp ordner wo der internet cache rein kommt, oder unter programme wie toolbars und spysheriff.

so erstmal poste hijack log rein dann sehen wir weiter.
Bitte warten ..
Mitglied: gnarff
25.04.2006 um 00:19 Uhr
gut, ich hasse langsam den administrator.de server, immer wenn es eines laengeren kommentars zu posten bedarf, werde ich von dem ding rausgeworfen und ich kann alles noch einmal schreiben.
also von neuem:
erstellt und/oder manipuliert folgende ordner bzw. prozesse:
-version B: Delf.ao.zip, Delf.u.zip, Scanregw.exe, Kernel32.exe
-version C: Carved.jpq, Syst.exe, Delf.k.ini, 4.html, Scsi.sys, Scsi_dd.sys, Scsi2.sys, Scsi3.sys, Taskmon.exe
ausserdem erstellt er dateien mit folgender groesse:
-version A: 484,352 bytes
-version C: 165,888 bytes
-version D: 522,754bytes , 529,408 bytes und 569,344 bytes
-version F: 231,424 bytes und 252,928 bytes

modifiziert/erstellt folgende registry-eintraege:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

HKEY_CLASSES_ROOT\txtfile\shell\open\command

befaellt alle versionen von NT. alle versionen XP und W2K

Das "delf" im namen steht fuer "DELPHI", denn dieser trojaner ist in delphi geschrieben.
er hebelt deine firewall/ av-loesung aus, etabliert einen remote acces auf deinen rechner, loggt alles mit und stiehlt deine passwoerter, zerschiesst dir zuletzt das system (schutzmechanismus).
einmal auf einem rechner, sucht das schadprogramm nach freigaben im netzwerk und verbreitet sich so innerhalb des netzwerks weiter.

saludos
gnarff
Bitte warten ..
Mitglied: 10545
25.04.2006 um 07:20 Uhr
Moin,

1.
Wenn Du die Säuberungsaktion fährst (am besten Abends oder am WE), dann trenne ALLE Clients und Server vom Netzwerk! Manche Trojaner "flüchten" auf andere erreichbare Rechner.

2.
a)
Ich hoffe, Du hast nun gelernt und spendierst JEDEM angreifbaren Device im Netzwerk einen entsprechenden AV-Schutz.

b) Patche alle Clients. Aktiviere die Automatischen Updates des Clients. Prüfe mal Deine Sicherheitsrichtlinien der Domäne. Z.B. sollten User die Update-Funktion nicht deaktivieren können.

Gruß, Rene
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Windows 10
Probleme durch fast startup
gelöst Frage von DerWoWussteWindows 1010 Kommentare

also known as "schnell vs. funktional" oder auch "Microsoft gegen Microsoft". Moin Kollegen. Es geht um eine dolle Eigenschaft ...

Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Schulung & Training
MCSA Fast Track sinnvoll?
Frage von DonLokusSchulung & Training6 Kommentare

Hallo admin Gemeinde! Hat jemand bereits Erfahrungen mit den Fast Track Zertifizierungen sammeln können? Ich bin nun nach 5 ...

Neue Wissensbeiträge
Verschlüsselung & Zertifikate
Meine Wissenssammlung zu Bitlocker
Erfahrungsbericht von DerWoWusste vor 20 StundenVerschlüsselung & Zertifikate2 Kommentare

Die Motivation für diesen Beitrag waren die vielen Posts rund um dieses Thema, die deutlich machen, wie viele Einzelaspekte ...

E-Mail
Email-Apps und Verhalten bei Pop3
Erfahrungsbericht von kfranzk vor 2 TagenE-Mail11 Kommentare

Hallo Freunde, da mir mein diesbezüglicher Faden als gelöst markiert wurde, muss ich hier neu aufsetzen. Ich arbeite bewusst ...

Hyper-V

Optimiertes Ubuntu per Microsoft Hyper-V-Schnellerstellung verfügbar

Anleitung von Frank vor 2 TagenHyper-V1 Kommentar

Für Microsofts Virtualisierungssoftware Hyper-V ist ab sofort auch ein optimiertes Ubuntu 18.04.1 LTS verfügbar. In der "Hyper-V-Schnellerstellung" App, die ...

Sicherheits-Tools

Trend Micro WorryFree Business Security (WFBS) 10 - neuer Patch 1470 verfügbar

Tipp von VGem-e vor 3 TagenSicherheits-Tools2 Kommentare

Servus, mal sehen, ob mit Patch 1470, zu finden unter dann die angeblich fehlerhafte Funktion, die unter W10 im ...

Heiß diskutierte Inhalte
Datenschutz
Gilt ein Ransomware-Befall als Datenpanne nach DSGVO?
Frage von MOS6581Datenschutz18 Kommentare

Moin Kollegen, wenn sich jemand Ransomware einfängt und dadurch bspw. Kundendaten verschlüsselt werden; gilt dies dann als meldepflichtige Datenpanne ...

Hardware
Sophos SG135 - Routing
Frage von Xaero1982Hardware15 Kommentare

Moin Zusammen, ich ersetze gerade nen alten Cisco DualWAN Router durch eine SG 135. Ich muss bestimmte Ziele über ...

Netzwerke
Hilfe bei der Planung meines Heimnetzwerks
Frage von DHD082Netzwerke15 Kommentare

Hallo zusammen, wir bauen gerade ein Einfamilienhaus, welches ich mit einem Heimnetzwerk ausstatten möchte. Da ich zwar auch in ...

Tipps & Tricks
Nagstamon und PRTG Monitoring
Frage von Der.ITlerTipps & Tricks13 Kommentare

Hallo Ihr, heute am Sonntag bin ich mal früh aufgestanden um mich mit dem Problem von Gestern zu beschäftigen. ...