Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Trojaner Troj def.bci auf fast allen Netzrechnern

Frage Sicherheit Viren und Trojaner

Mitglied: 13198

13198 (Level 1)

24.04.2006, aktualisiert 27.04.2006, 4576 Aufrufe, 9 Kommentare

hallo, hab den besagten Tojaner auf sehr vielen Clients, auf den ersten Blick sind es die Clients die nicht aktuell gepatcht sind. Eine verdächtige E-Mail habe ich nicht gefunden, muss sich wohl übers Netz verbreiten. Auf den Antivirusherstellerseiten ist das Teil auch nicht aufgeführt. Hat mir jemand infos zu dem Virus? troj-def.bci
Mitglied: 16568
24.04.2006 um 14:37 Uhr
Wenn Du sagst, Du hast den Trojaner troj-def.bci, woher weißt Du das dann?
Der Trojaner kann nur den Namen haben, wenn er schon irgendwo bekannt ist...
(AV-Hersteller)

Willst Du Ihn entfernen?
Ich denke, das ganze ist ein Browser-Plugin, oder irre ich mich da?
Welches OS hast Du?
Hast Du schon Spybot S&D und Adaware probiert?
Pest Patrol und XoftSpy auch schon?



Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 14:56 Uhr
trend micro erkennt ihn ja auch, nur findet sich bei denen unter diesem namen kein virus oder trojaner. Und ich glaube nicht, dass meien User alle auf der gleichen Internetseite waren und sich das Teil eingefangen haben. Muss sich anders weiterverbreiten.
Bitte warten ..
Mitglied: noidea2
24.04.2006 um 15:13 Uhr
Ich hatte letztens einen der sich über das M$ Filesharing Protokoll weiter verbreitet hatte nur leider kenne ich den Namen nicht mehr.
Bitte warten ..
Mitglied: 16568
24.04.2006 um 15:16 Uhr
Was ist also Dein Problem, wenn TrendMicro ihn erkennt?

Löschen lassen, fertig.

Oder willst Du grundlegend wissen, was der Trojaner macht?
Trojaner löchern das System nach außen hin, und machen es somit zugreifbar.
Zuzüglich bieten sie die Möglichkeit, div. Schädlinge "nachzuladen".
(sogenannte "Dropper")

Naja, den Rest des Horror-Szenarios erspare ich Dir mal, sollte man ja wissen...
(Keylogger, Screen-Capturing...)


Lonesome Walker
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:16 Uhr
hi wie kann ich kontrollieren ob er es so gemacht hat? er hieß Troj_delf.bci sorry tippfehler
Bitte warten ..
Mitglied: 13198
24.04.2006 um 15:25 Uhr
ja schon klar was der machen kann, nur möchte ich eben wissen wo er sich genau festsetzt und was er macht bzw. wie er sich weiterverbreitet. Hab hier noch ein paar clients ohne Virenschutz (sind nicht im Internet usw.)
Bitte warten ..
Mitglied: RuntimeError
24.04.2006 um 23:43 Uhr
hmm du willst also wissen wo sie sich standart mäsig absetzen? nun ja da hab ich ne menge erfahrung gemacht mit viren,trojanern,exploits,java und bla was es noch gibt.

So, zur sache:

erst mal solltest du schauen was für prozesse bei dir laufen,z.B mit hijack durch laufen lassen. und hier dann rein posten ich sag dir dann wo und was faul ist. Meist verstecken sie sich in system32,windows,oder versteckt direkt auf deine festplatte als uploads. oder halt der temp ordner wo der internet cache rein kommt, oder unter programme wie toolbars und spysheriff.

so erstmal poste hijack log rein dann sehen wir weiter.
Bitte warten ..
Mitglied: gnarff
25.04.2006 um 00:19 Uhr
gut, ich hasse langsam den administrator.de server, immer wenn es eines laengeren kommentars zu posten bedarf, werde ich von dem ding rausgeworfen und ich kann alles noch einmal schreiben.
also von neuem:
erstellt und/oder manipuliert folgende ordner bzw. prozesse:
-version B: Delf.ao.zip, Delf.u.zip, Scanregw.exe, Kernel32.exe
-version C: Carved.jpq, Syst.exe, Delf.k.ini, 4.html, Scsi.sys, Scsi_dd.sys, Scsi2.sys, Scsi3.sys, Taskmon.exe
ausserdem erstellt er dateien mit folgender groesse:
-version A: 484,352 bytes
-version C: 165,888 bytes
-version D: 522,754bytes , 529,408 bytes und 569,344 bytes
-version F: 231,424 bytes und 252,928 bytes

modifiziert/erstellt folgende registry-eintraege:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices\

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\

HKEY_CLASSES_ROOT\txtfile\shell\open\command

befaellt alle versionen von NT. alle versionen XP und W2K

Das "delf" im namen steht fuer "DELPHI", denn dieser trojaner ist in delphi geschrieben.
er hebelt deine firewall/ av-loesung aus, etabliert einen remote acces auf deinen rechner, loggt alles mit und stiehlt deine passwoerter, zerschiesst dir zuletzt das system (schutzmechanismus).
einmal auf einem rechner, sucht das schadprogramm nach freigaben im netzwerk und verbreitet sich so innerhalb des netzwerks weiter.

saludos
gnarff
Bitte warten ..
Mitglied: 10545
25.04.2006 um 07:20 Uhr
Moin,

1.
Wenn Du die Säuberungsaktion fährst (am besten Abends oder am WE), dann trenne ALLE Clients und Server vom Netzwerk! Manche Trojaner "flüchten" auf andere erreichbare Rechner.

2.
a)
Ich hoffe, Du hast nun gelernt und spendierst JEDEM angreifbaren Device im Netzwerk einen entsprechenden AV-Schutz.

b) Patche alle Clients. Aktiviere die Automatischen Updates des Clients. Prüfe mal Deine Sicherheitsrichtlinien der Domäne. Z.B. sollten User die Update-Funktion nicht deaktivieren können.

Gruß, Rene
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...