Im Botnet verfangen, was tun?

07/13/2011 18:37 meting�ima#1

Tag,
ich hab eine dringende Frage bzw. Bitte:
Ich habe grad' mitbekommen, dass ich in einem Botnet stecke.
Mein Internet kackt alle 10 Minuten ab und ist auch nicht leistungsstark wie sonst.

Meine Frage ist, was kann ich tun. Ich hab' nicht sehr viel Ahnung von PC's, also macht es mir bitte nicht zu kompliziert.
Ich bitte um 'ne schnelle Antwort.

Liebe Gr��e,
Bloshy

07/13/2011 18:42 Diablo_#2

Hi,

immer mit der Ruhe, wie kommst du auf den Verdacht in einem Botnet zu sein? "Abkackendes" Internet ist kein 100%iger Hinweis darauf. Jedoch h�ngen Interneteinr�che mit Malware oft zusammen.

Mache den Scan gem�� dieser Anleitung.

[Only registered and activated users can see links. Click Here To Register...]

Vollst�ndigen Scan und keine Funde l�schen. Bitte vorher updaten.

Das Ergebnis bitte hier posten, dazu am Ende des Scans auf "Speichere Logdatei" klicken und dieses Log dann �ffnen. Den Inhalt kopieren und hier posten.

Gr��e

07/13/2011 18:59 meting�ima#3

Hab dich mal in Skype geaddet.

07/13/2011 19:36 E17#4

Erstmal schaun welche Datei der Tr�ger ist.
Such mal alle deine ausgehenden Verbindungen ab nach verd�chtigen Files.

(Falls du nicht weist wies geht einfach schnell goooooooglen,gibt genug TuTs).

Sobald du den Tr�ger gefunden hast,probier ihn mit Tools wie WinOptimizier/Kaspersky o.� in Quarant�ne zu stecken & so abzuschotten.
(Niemals per "Rechtsklick" und "l�schen" entfernen wollen)

Sobald du das geschaffst hast,schlie� alle USB�s / Speicherkarten / externe Festplatten AN den Computer an,versetzte deinen Rechner in den abgesicherten Modus & lass alles mit "HouseCall" durchlaufen.

Finde,dass das die beste M�glichkeit ist wenn du deinen Rechner nicht plattmachen willst.

[Gebe keine Hilfe per PN oder sowas,sorry hatte damit schon zuviel Stress]

:) Viel Gl�ck,

0ver

07/13/2011 19:57 meting�ima#5

Quote:

Originally Posted by 0verShiT*

Erstmal schaun welche Datei der Tr�ger ist.
Such mal alle deine ausgehenden Verbindungen ab nach verd�chtigen Files.

(Falls du nicht weist wies geht einfach schnell goooooooglen,gibt genug TuTs).

Sobald du den Tr�ger gefunden hast,probier ihn mit Tools wie WinOptimizier/Kaspersky o.� in Quarant�ne zu stecken & so abzuschotten.
(Niemals per "Rechtsklick" und "l�schen" entfernen wollen)

Sobald du das geschaffst hast,schlie� alle USB�s / Speicherkarten / externe Festplatten AN den Computer an,versetzte deinen Rechner in den abgesicherten Modus & lass alles mit "HouseCall" durchlaufen.

Finde,dass das die beste M�glichkeit ist wenn du deinen Rechner nicht plattmachen willst.

[Gebe keine Hilfe per PN oder sowas,sorry hatte damit schon zuviel Stress]

:) Viel Gl�ck,

0ver

sowas hilft nicht soweit ich geh�rt hab.

07/13/2011 20:00 E17#6

Quote:

Originally Posted by Bloshy

sowas hilft nicht soweit ich geh�rt hab.

Doch,kommt drauf an was du erwischt hast.
Wenns nurn Java-Drive-By war & das nur ein FUD Pupbot war,kriegst
dus aufjedenfall so weg.

Wenn das Teil ein UniqueBot war,wo man seine guten 1.5k hinbl�ttern muss f�r ne stable Version kannst dus knicken & platt machen.

Aber der Versuch ist es wert, falls dir deine Daten aber nichts wert sind kannst du nat�rlich auch gleich platt machen.

0ver

07/13/2011 20:10 Diablo_#7

Quote:

Originally Posted by 0verShiT*

Erstmal schaun welche Datei der Tr�ger ist.
Such mal alle deine ausgehenden Verbindungen ab nach verd�chtigen Files.

(Falls du nicht weist wies geht einfach schnell goooooooglen,gibt genug TuTs).

Sobald du den Tr�ger gefunden hast,probier ihn mit Tools wie WinOptimizier/Kaspersky o.� in Quarant�ne zu stecken & so abzuschotten.
(Niemals per "Rechtsklick" und "l�schen" entfernen wollen)

Sobald du das geschaffst hast,schlie� alle USB�s / Speicherkarten / externe Festplatten AN den Computer an,versetzte deinen Rechner in den abgesicherten Modus & lass alles mit "HouseCall" durchlaufen.

Finde,dass das die beste M�glichkeit ist wenn du deinen Rechner nicht plattmachen willst.

[Gebe keine Hilfe per PN oder sowas,sorry hatte damit schon zuviel Stress]

:) Viel Gl�ck,

0ver

Er hat mir die Situation geschildert und es ist nicht so einfach, selbst wenn es ein 0815 R.A.T w�re, kann man es nicht einfach so entfernen. Und warum alle Wechseldatentr�ger anschlie�en? Damit die auch noch infiziert werden? N�.

Wir kl�ren das per Skype.

gr��e

07/13/2011 20:14 E17#8

Quote:

Originally Posted by Diablo_

Er hat mir die Situation geschildert und es ist nicht so einfach, selsbt wenn es ein 0815 R.A.T w�re, kann man es nicht einfach so entfernen. Und warum alle Wechseldatentr�ger anschlie�en? Damit die auch noch infiziert werden? N�.

Wir kl�ren das per Skype.

gr��e

Na sicher geht das,warum denn auch nicht?
Kommt alles drauf an wie der Bot getunnelt ist.
Bitfrose & wie sie alle hei�en bekommt man so schon runter.

& das mit den Wechseltr�gern anschlie�en dient eher dazu die Teile clean zubekommen als zu infizieren.
Die meisten Bots/Stealer haben ja ihre tollen Spreadingmethoden wie du ja wei�t.Da er mitlerweile sicherlich schon irgendwas angest�pselt hat sollte er das alles gleich mit scannen lassen.

Sonst ergo ->

Rechner clean,User freut sich,hat USB rein & b��m wieder ein Vic mehr.

0ver

07/13/2011 20:20 Diablo_#9

Warum das nicht geht? Weil sich die Dateien sofort nach der L�schung neu regenerieren und meistens nie alle Dateien gefunden werden.

Nat�rlich dient das nicht dazu aber sie werden mit einer gewissen Chance auch infiziert.

Und wie gesagt, die Situation ist nicht so einfach.

gr��e

07/13/2011 20:29 E17#10

Quote:

Originally Posted by Diablo_

Warum das nicht geht? Weil sich die Dateien sofort nach der L�schung neu regenerieren und meistens nie alle Dateien gefunden werden.

Nat�rlich dient das nicht dazu aber sie werden mit einer gewissen Chance auch infiziert.

Und wie gesagt, die Situation ist nicht so einfach.

gr��e

Da ich nicht die kompletten Situation kenne wie du,
geb ich jetzt trotzdem einfach mal einen Blindtipp ab.

Wenn es so sein sollte wie du es geschildert hast,sitzen 2 Dinge auf seiner HDD die er nicht brauchen kann.

1.Tr�ger mit gebindetem Updater
2.RecommendUpdater

Diese beiden kontrollieren sich st�ndig selber,sobald z.b der Tr�ger gel�scht wird,aktiviert sich das Recommed Tool & infiziert bzw installiert erneut.

Das selbe gilt nat�rlich auch f�r das RecommendTool.

-> Verbindungen abh�ren,evtl sniffen.
Dann schr�nkt sich das Feld,auf sagen wir mal, 5 Verd�chtige Programme ein..

Dann die Kommunikation zwischen den Programmen abh�ren & wird den Tr�ger & Recommend finden.

Beide Quarant�ne & deleten.

Nochmal alles durchlaufen lassen & man d�rfte 90% clean sein.

Sicher ist man dabei niemals,genauso wie zu diesem Zeitpunkt mein Rechner infiziert sein k�nnte & dein Rechner inzfiziert sein k�nnte.

Jaja das Internet ist fies....

0ver

€: So ich mal mal raus hier,
viel Gl�ck dem TE beim cleanen seines Rechners.

07/13/2011 21:08 Diablo_#11

Quote:

Originally Posted by 0verShiT*

Da ich nicht die kompletten Situation kenne wie du,
geb ich jetzt trotzdem einfach mal einen Blindtipp ab.

Wenn es so sein sollte wie du es geschildert hast,sitzen 2 Dinge auf seiner HDD die er nicht brauchen kann.

1.Tr�ger mit gebindetem Updater
2.RecommendUpdater

Diese beiden kontrollieren sich st�ndig selber,sobald z.b der Tr�ger gel�scht wird,aktiviert sich das Recommed Tool & infiziert bzw installiert erneut.

Das selbe gilt nat�rlich auch f�r das RecommendTool.

-> Verbindungen abh�ren,evtl sniffen.
Dann schr�nkt sich das Feld,auf sagen wir mal, 5 Verd�chtige Programme ein..

Dann die Kommunikation zwischen den Programmen abh�ren & wird den Tr�ger & Recommend finden.

Beide Quarant�ne & deleten.

Nochmal alles durchlaufen lassen & man d�rfte 90% clean sein.

Sicher ist man dabei niemals,genauso wie zu diesem Zeitpunkt mein Rechner infiziert sein k�nnte & dein Rechner inzfiziert sein k�nnte.

Jaja das Internet ist fies....

0ver

�: So ich mal mal raus hier,
viel Gl�ck dem TE beim cleanen seines Rechners.

Glaub mir, es sitzen weder 2 noch 5 Sachen auf seiner HDD. 1. Ist nicht nur sein PC infiziert und 2. hat das Wiederherstellen nichts mit Updatern zu tun, falls du das meintest. Egal durch was sie gel�scht werden, sie werden einfach woanders neu erstellt und verbreiten sich weiter.

Gr��e

07/13/2011 22:12 .SkyneT.#12

@0verShiT*
Also erstmal hei�t der, inzwischen veraltete RAT Bitfrost ;)
(Ab der Version 1.2.1d wurde eigentlich nichts mehr gemacht)
@Diabolo
Mindestens sind es 2 Sachen (Ich gehe von einer Festplatte aus) ->
-Autostart des Bots beim Systemstart (mehrere m�glichkeiten)
-Der eigentliche Bot

B2T:
Ich denke mal generell nicht das es sich um ein RAT handelt wenn "nur" die
Internet Verbindung betroffen ist.

Start -> Ausf�rhen -> regedit
Also ganz gerne stehn die Bots hier drin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
(Lass dich auch von Namen wie WindowsUpdater .etc nicht aufhalten ;) )

Und hier auch (zur sicherheit) nochmal nachsehn.
Start -> Ausf�rhen -> msconfig
Unter den Reiter Systemstart.
Und das mal ansehn.

Die ganzen Verbindungen sollte man mit "netstat -b -n" herausfinden k�nnen.

(Oft Verwendet wird f�r die Bots "winupdt.exe ; server.exe ; svchost.exe")
Dann poste was du dadurch rausfinden konntest.

MfG SkyneT

07/13/2011 22:37 Klemens102#13

Quote:

Originally Posted by 0verShiT*

Doch,kommt drauf an was du erwischt hast.
Wenns nurn Java-Drive-By war & das nur ein FUD Pupbot war,kriegst
dus aufjedenfall so weg.

Wenn das Teil ein UniqueBot war,wo man seine guten 1.5k hinbl�ttern muss f�r ne stable Version kannst dus knicken & platt machen.

Aber der Versuch ist es wert, falls dir deine Daten aber nichts wert sind kannst du nat�rlich auch gleich platt machen.

0ver

Du sagst "nur" ein Java Drive by Download ?
1. Ist es v�llig egal wie er sich infiziert hat, das Spielt erstmal keine Rolle beim l�schen des Virus.
2. Wieso "nur" ? Die Methode �ber Drive by Download zu spreaden ist die gef�hrlichste und effektivste.
3. Es gibt genug Puplic Bots, die gut - sehr gut sind, z.B Zeus.
Wie will er den Bot l�schen wen er FUD ist ?
Woher will er wissen, wenn der Bot FUD ist wie der Bot arbeitet und wo er die Dateien ablegt ?

07/13/2011 22:42 .SkyneT.#14

Quote:

Originally Posted by //localhost

Du sagst "nur" ein Java Drive by Download ?
1. Ist es v�llig egal wie er sich infiziert hat, das Spielt erstmal keine Rolle beim l�schen des Virus.
2. Wieso "nur" ? Die Methode �ber Drive by Download zu spreaden ist die gef�hrlichste und effektivste.
3. Es gibt genug Puplic Bots, die gut - sehr gut sind, z.B Zeus.
Wie will er den Bot l�schen wen er FUD ist ?
Woher will er wissen, wenn der Bot FUD ist wie der Bot arbeitet und wo er die Dateien ablegt ?

Das hier sollte Zeus entfernen. (aber wir wissen ja nicht um was es sich hier handelt)

Spoiler

Quote:

Originally Posted by Anderes Forum

Zeus killer in c++

Code:

#include <windows.h>
#pragma warning(disable : 4005) // macro redefinition
#include <ntdll.h>
#pragma warning(default : 4005)
#include <shlwapi.h>
#include <shlobj.h>
void GetZeusInfo(ULONG dwArg, PCHAR lpOut, DWORD dwOutLn, PCHAR lpMutex, DWORD dwMutexLn)
{
PSYSTEM_HANDLE_INFORMATION shi = 0;
NTSTATUS Status = 0;
ULONG len = 0x2000;
POBJECT_NAME_INFORMATION obn = 0;
HANDLE proc = 0, thandle = 0, hFile = 0;
BOOLEAN enable = FALSE;
UCHAR name[300] = {0};
ULONG temp = 0, rw = 0;
do
{
shi = (PSYSTEM_HANDLE_INFORMATION)malloc(len);
if (shi == 0)
{
return;
}
Status = NtQuerySystemInformation(SystemHandleInformation, shi, len, NULL);
if (Status == STATUS_INFO_LENGTH_MISMATCH)
{
free(shi);
len *= 2;
}
else
if (NT_ERROR(Status))
{
free(shi);
return;
}
} while (Status == STATUS_INFO_LENGTH_MISMATCH);
RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, 1, 0, &enable);
for (int i=0; i<(int)shi->uCount; i++)
{
proc = OpenProcess(PROCESS_DUP_HANDLE, FALSE, shi->aSH[i].uIdProcess);
if (proc == 0)
{
continue;
}
Status = NtDuplicateObject(proc, (HANDLE)shi->aSH[i].Handle, NtCurrentProcess(),
&thandle, 0, 0, DUPLICATE_SAME_ACCESS);
if (NT_ERROR(Status))
{
NtClose(proc);
continue;
}
Status = NtQueryObject(thandle, ObjectNameInformation, 0, 0, &len);
if (Status != STATUS_INFO_LENGTH_MISMATCH || len == 0)
{
NtClose(thandle);
NtClose(proc);
continue;
}
obn = (POBJECT_NAME_INFORMATION)malloc(len);
if (obn == 0)
{
NtClose(thandle);
NtClose(proc);
continue;
}
Status = NtQueryObject(thandle, ObjectNameInformation, obn, len, &len);
if (NT_ERROR(Status) || obn->Name.Buffer == 0)
{
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
RtlZeroMemory(name, sizeof(name));
WideCharToMultiByte(CP_ACP, 0, obn->Name.Buffer, obn->Name.Length >> 1,
(LPSTR)name, 300, NULL, NULL);
if (strstr((LPSTR)name, "__SYSTEM__") || strstr((LPSTR)name, "_AVIRA_"))
{
lstrcpyW((LPWSTR)name, L"\\\\.\\pipe\\");
lstrcatW((LPWSTR)name, obn->Name.Buffer);
__retry:
hFile = CreateFileW((LPWSTR)name, GENERIC_READ|GENERIC_WRITE,
FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if (hFile == INVALID_HANDLE_VALUE)
{
WaitNamedPipeW((LPWSTR)name, INFINITE);
hFile = CreateFileW((LPWSTR)name,
GENERIC_READ|GENERIC_WRITE, FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if (hFile == INVALID_HANDLE_VALUE)
{
WCHAR wszBNO[] = { L"\\BaseNamedObjects\\" };
if (LPWSTR wszBNOPos = StrStrW((LPWSTR)name, wszBNO))
{
lstrcpyW((LPWSTR)name, L"\\\\.\\pipe\\");
lstrcatW((LPWSTR)name,
(LPWSTR)((PBYTE)wszBNOPos + (sizeof(wszBNO) - 1 * sizeof(WCHAR))));
goto __retry;
}
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
}
temp = PIPE_READMODE_MESSAGE;
if (!SetNamedPipeHandleState(hFile, &temp, 0, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = dwArg;
if (!WriteFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!WriteFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!WriteFile(hFile, &temp, 0, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!ReadFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!ReadFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if (temp > MAX_PATH)
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
rw = temp;
temp = (ULONG)malloc(temp);
if (!temp)
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if (!ReadFile(hFile, (PVOID)temp, rw, &rw, 0))
{
free((PVOID)temp);
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if ( (temp) && lstrlenW((LPCWSTR)temp) < (int)dwOutLn) {
RtlZeroMemory(lpOut, dwOutLn);
WideCharToMultiByte(CP_ACP, 0, (PWCHAR)temp,
lstrlenW((LPCWSTR)temp), (LPSTR)lpOut, dwOutLn, NULL, NULL);
}
if (lpMutex) {
LPWSTR lpwMutexName = obn->Name.Buffer;
LPWSTR lpwTemp;
while (lpwTemp = StrStrW(lpwMutexName, L"\\")) {
lpwMutexName = lpwTemp + 1;
}
RtlZeroMemory(lpMutex, dwMutexLn);
WideCharToMultiByte(CP_ACP, 0, lpwMutexName,
lstrlenW(lpwMutexName), (LPSTR)lpMutex, dwMutexLn, NULL, NULL);
}
free((PVOID)temp);
CloseHandle(hFile);
}
free(obn);
NtClose(thandle);
NtClose(proc);
}
}
BOOL DeleteHiddenFile(PCHAR szPath)
{
SetFileAttributes(szPath, FILE_ATTRIBUTE_ARCHIVE);
return DeleteFile(szPath);
}
#define ZEUS_FASTCLEAN
BOOL KillZeus()
{
// Getting info
CHAR szMutexName[MAX_PATH] = {0};
CHAR szZeusPath[MAX_PATH];
GetZeusInfo(11, szZeusPath, sizeof szZeusPath, szMutexName, sizeof szMutexName);
if (!strlen(szMutexName)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : ERROR : Cannot get szMutexName");
#endif
return FALSE;
}
#ifndef ZEUS_FASTCLEAN
CHAR szZeusConfig[MAX_PATH];
GetZeusInfo(12, szZeusConfig, sizeof szZeusConfig, NULL, NULL);
CHAR szZeusLog[MAX_PATH];
GetZeusInfo(13, szZeusLog, sizeof szZeusLog, NULL, NULL);
#endif
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : INFO : 0.) Mutex \"%s\"", szMutexName);
OutputDebugStringEx(__FUNCTION__" : INFO : 1.) Path \"%s\"", szZeusPath);
#ifndef ZEUS_FASTCLEAN
OutputDebugStringEx(__FUNCTION__" : INFO : 2.) Config \"%s\"", szZeusConfig);
OutputDebugStringEx(__FUNCTION__" : INFO : 3.) Log \"%s\"", szZeusLog);
#endif
#endif
// Killing
GetZeusInfo(3, NULL, NULL, NULL, NULL);
// Waiting
HANDLE hMutex;
for (INT i = 0; i < 10; i++) {
hMutex =
OpenMutex(MUTANT_QUERY_STATE|SYNCHRONIZE|STANDARD_RIGHTS_REQUIRED, FALSE,
szMutexName);
if (!hMutex)
break;
CloseHandle(hMutex);
Sleep(1000);
}
if (hMutex) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : ERROR : hMutex is still active");
#endif
return FALSE;
}
// Deleting files
if (!DeleteHiddenFile(szZeusPath)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusPath);
#endif
}
#ifndef ZEUS_FASTCLEAN
if (!DeleteHiddenFile(szZeusConfig)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusConfig);
#endif
}
if (!DeleteHiddenFile(szZeusLog)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusLog);
#endif
}
#endif
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : INFO : EXIT");
#endif
return TRUE;
}

download this text:[Only registered and activated users can see links. Click Here To Register...]:thumbsup:

Jedoch ist der Rest von deinem Post zu 100% richtig.

07/14/2011 07:21 Diablo_#15

Hi,

er ist weder mit Bifrost noch mit Zeus, Cybergate, Poison IVY, Shark, Prorat etc.. infiziert.

Die Sache hat sich so weit ausgebreitet, dass er zur Polizei gehen wird.

Es bringt jetzt auch nichts dar�ber zu spekulieren, fast jede Infektion sieht anders aus, man kann das nicht �ber einen Kamm scheren.

Gr��e