Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Troj def.bci auf fast allen Netzrechnern

Mitglied: 13198

13198 (Level 1)

24.04.2006, aktualisiert 27.04.2006, 4667 Aufrufe, 9 Kommentare

hallo, hab den besagten Tojaner auf sehr vielen Clients, auf den ersten Blick sind es die Clients die nicht aktuell gepatcht sind. Eine verdächtige E-Mail habe ich nicht gefunden, muss sich wohl übers Netz verbreiten. Auf den Antivirusherstellerseiten ist das Teil auch nicht aufgeführt. Hat mir jemand infos zu dem Virus? troj-def.bci
Mitglied: 16568
24.04.2006 um 14:37 Uhr
Wenn Du sagst, Du hast den Trojaner troj-def.bci, woher weißt Du das dann?
Der Trojaner kann nur den Namen haben, wenn er schon irgendwo bekannt ist...
(AV-Hersteller)

Willst Du Ihn entfernen?
Ich denke, das ganze ist ein Browser-Plugin, oder irre ich mich da?
Welches OS hast Du?
Hast Du schon Spybot S&D und Adaware probiert?
Pest Patrol und XoftSpy auch schon?



Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 14:56 Uhr
trend micro erkennt ihn ja auch, nur findet sich bei denen unter diesem namen kein virus oder trojaner. Und ich glaube nicht, dass meien User alle auf der gleichen Internetseite waren und sich das Teil eingefangen haben. Muss sich anders weiterverbreiten.
Bitte warten ..
Mitglied: noidea2
24.04.2006 um 15:13 Uhr
Ich hatte letztens einen der sich über das M$ Filesharing Protokoll weiter verbreitet hatte nur leider kenne ich den Namen nicht mehr.
Bitte warten ..
Mitglied: 16568
24.04.2006 um 15:16 Uhr
Was ist also Dein Problem, wenn TrendMicro ihn erkennt?

Löschen lassen, fertig.

Oder willst Du grundlegend wissen, was der Trojaner macht?
Trojaner löchern das System nach außen hin, und machen es somit zugreifbar.
Zuzüglich bieten sie die Möglichkeit, div. Schädlinge "nachzuladen".
(sogenannte "Dropper")

Naja, den Rest des Horror-Szenarios erspare ich Dir mal, sollte man ja wissen...
(Keylogger, Screen-Capturing...)


Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:16 Uhr
hi wie kann ich kontrollieren ob er es so gemacht hat? er hieß Troj_delf.bci sorry tippfehler
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:25 Uhr
ja schon klar was der machen kann, nur möchte ich eben wissen wo er sich genau festsetzt und was er macht bzw. wie er sich weiterverbreitet. Hab hier noch ein paar clients ohne Virenschutz (sind nicht im Internet usw.)
Bitte warten ..
Mitglied: RuntimeError
24.04.2006 um 23:43 Uhr
hmm du willst also wissen wo sie sich standart mäsig absetzen? nun ja da hab ich ne menge erfahrung gemacht mit viren,trojanern,exploits,java und bla was es noch gibt.

So, zur sache:

erst mal solltest du schauen was für prozesse bei dir laufen,z.B mit hijack durch laufen lassen. und hier dann rein posten ich sag dir dann wo und was faul ist. Meist verstecken sie sich in system32,windows,oder versteckt direkt auf deine festplatte als uploads. oder halt der temp ordner wo der internet cache rein kommt, oder unter programme wie toolbars und spysheriff.

so erstmal poste hijack log rein dann sehen wir weiter.
Bitte warten ..
Mitglied: gnarff
25.04.2006 um 00:19 Uhr
gut, ich hasse langsam den administrator.de server, immer wenn es eines laengeren kommentars zu posten bedarf, werde ich von dem ding rausgeworfen und ich kann alles noch einmal schreiben.
also von neuem:
erstellt und/oder manipuliert folgende ordner bzw. prozesse:
-version B: Delf.ao.zip, Delf.u.zip, Scanregw.exe, Kernel32.exe
-version C: Carved.jpq, Syst.exe, Delf.k.ini, 4.html, Scsi.sys, Scsi_dd.sys, Scsi2.sys, Scsi3.sys, Taskmon.exe
ausserdem erstellt er dateien mit folgender groesse:
-version A: 484,352 bytes
-version C: 165,888 bytes
-version D: 522,754bytes , 529,408 bytes und 569,344 bytes
-version F: 231,424 bytes und 252,928 bytes

modifiziert/erstellt folgende registry-eintraege:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

HKEY_CLASSES_ROOT\txtfile\shell\open\command

befaellt alle versionen von NT. alle versionen XP und W2K

Das "delf" im namen steht fuer "DELPHI", denn dieser trojaner ist in delphi geschrieben.
er hebelt deine firewall/ av-loesung aus, etabliert einen remote acces auf deinen rechner, loggt alles mit und stiehlt deine passwoerter, zerschiesst dir zuletzt das system (schutzmechanismus).
einmal auf einem rechner, sucht das schadprogramm nach freigaben im netzwerk und verbreitet sich so innerhalb des netzwerks weiter.

saludos
gnarff
Bitte warten ..
Mitglied: 10545
25.04.2006 um 07:20 Uhr
Moin,

1.
Wenn Du die Säuberungsaktion fährst (am besten Abends oder am WE), dann trenne ALLE Clients und Server vom Netzwerk! Manche Trojaner "flüchten" auf andere erreichbare Rechner.

2.
a)
Ich hoffe, Du hast nun gelernt und spendierst JEDEM angreifbaren Device im Netzwerk einen entsprechenden AV-Schutz.

b) Patche alle Clients. Aktiviere die Automatischen Updates des Clients. Prüfe mal Deine Sicherheitsrichtlinien der Domäne. Z.B. sollten User die Update-Funktion nicht deaktivieren können.

Gruß, Rene
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Mischa Trojaner. Was nun
Frage von EdaseinsViren und Trojaner5 Kommentare

Hi Leute, und nun bin ich verzweifelt. Ich habe einen Kunden der hat sich nen Mischa im gesamten Netzwerk ...

Windows 10
Probleme durch fast startup
gelöst Frage von DerWoWussteWindows 1010 Kommentare

also known as "schnell vs. funktional" oder auch "Microsoft gegen Microsoft". Moin Kollegen. Es geht um eine dolle Eigenschaft ...

Humor (lol)
Spaßige Trojaner ?
Information von HenereHumor (lol)3 Kommentare

Ein neuer Verschlüsselungstrojaner ist im Umlauf, der kein Geld fordert, sondern man muss ein Spiel spielen Aus der Reihe ...

Schulung & Training
MCSA Fast Track sinnvoll?
Frage von DonLokusSchulung & Training6 Kommentare

Hallo admin Gemeinde! Hat jemand bereits Erfahrungen mit den Fast Track Zertifizierungen sammeln können? Ich bin nun nach 5 ...

Neue Wissensbeiträge
Windows 10

Blackscreen nach dem Update von 1808 auf 1809 wenn der Rechner aus dem Standby gestartet wird

Tipp von FSX2010 vor 1 StundeWindows 10

Habt ihr den Samsung Teriber Samsung_NVM_Express_Driver_3.0 installiert habt muss dieser für 1809 deinstalliert werden da dieser wohl nicht kompatibel ...

Utilities
Teamviewer 14 Verbindungsprobleme mit Proxy
Tipp von PeterleB vor 1 TagUtilities

Nach dem Umstieg von Version 13 auf 14 wollte sich TV nicht mehr mit dem Netz verbinden, ignorierte offenbar ...

Administrator.de Feedback
Unsere Datenbank wurde umgestellt
Information von Frank vor 1 TagAdministrator.de Feedback5 Kommentare

Hallo User, ich habe in der Nacht unsere Datenbank umgestellt. D.h. neue Version (MySQL 8) und andere Örtlichkeit. Sollte ...

Sonstige Systeme
Es war einmal ein BeOS - Wer erinnert sich noch?
Information von BassFishFox vor 4 TagenSonstige Systeme8 Kommentare

Hallo, Bin gerade ueber Haiku gestolpert, von dessen Existenz als "Nachfolger des BeOS" ich wusste nur mich nie wirklich ...

Heiß diskutierte Inhalte
Windows 10
Programm unter Windows 10 automatisch mit administrativen Rechten starten
Frage von GrafmulderWindows 1021 Kommentare

Hallo zusammen! Zur Situation: Ich benutze Windows 10 Pro für Workstations (Build 1803) mit zwei Konten. Einem Administratorkonto und ...

Vmware
Gebrauchten ESXi- Server verkaufen: Festplatten DSGVO-konform löschen?
Frage von l.scheperVmware20 Kommentare

Hallo, wir möchten einen gebrauchten FUJITSU Server verkaufen. Auf dieser Maschine ist noch ein installiertes ESXi 5.1 und ne ...

LAN, WAN, Wireless
Empfehlung Powerline Adapter
Frage von AgilolfingerLAN, WAN, Wireless16 Kommentare

Hallo Zusammen, ich brauche eine Empfehlung von euch. Ich möchte in einem privaten Haushalt eine Powerline Lösung einrichten. Allerdings ...

Router & Routing
Dediziertes ISP -Routing
gelöst Frage von niLuxxRouter & Routing13 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch. Durch verschiedene Umstände kann es nun sein, dass sich zwei ...