Im Botnet verfangen, was tun?

~~metingäima~~ · 07/13/2011, 18:37

Tag,
ich hab eine dringende Frage bzw. Bitte:
Ich habe grad' mitbekommen, dass ich in einem Botnet stecke.
Mein Internet kackt alle 10 Minuten ab und ist auch nicht leistungsstark wie sonst.

Meine Frage ist, was kann ich tun. Ich hab' nicht sehr viel Ahnung von PC's, also macht es mir bitte nicht zu kompliziert.
Ich bitte um 'ne schnelle Antwort.

Liebe Grüße,
Bloshy

Diablo_ · 07/13/2011, 18:42

Hi,

immer mit der Ruhe, wie kommst du auf den Verdacht in einem Botnet zu sein? "Abkackendes" Internet ist kein 100%iger Hinweis darauf. Jedoch hängen Interneteinrüche mit Malware oft zusammen.

Mache den Scan gemäß dieser Anleitung.

Vollständigen Scan und keine Funde löschen. Bitte vorher updaten.

Das Ergebnis bitte hier posten, dazu am Ende des Scans auf "Speichere Logdatei" klicken und dieses Log dann öffnen. Den Inhalt kopieren und hier posten.

Grüße

~~metingäima~~ · 07/13/2011, 18:59

Hab dich mal in Skype geaddet.

E17 · 07/13/2011, 19:36

Erstmal schaun welche Datei der Träger ist.
Such mal alle deine ausgehenden Verbindungen ab nach verdächtigen Files.

(Falls du nicht weist wies geht einfach schnell goooooooglen,gibt genug TuTs).

Sobald du den Träger gefunden hast,probier ihn mit Tools wie WinOptimizier/Kaspersky o.ä in Quarantäne zu stecken & so abzuschotten.
(Niemals per "Rechtsklick" und "löschen" entfernen wollen)

Sobald du das geschaffst hast,schließ alle USB´s / Speicherkarten / externe Festplatten AN den Computer an,versetzte deinen Rechner in den abgesicherten Modus & lass alles mit "HouseCall" durchlaufen.

Finde,dass das die beste Möglichkeit ist wenn du deinen Rechner nicht plattmachen willst.

[Gebe keine Hilfe per PN oder sowas,sorry hatte damit schon zuviel Stress]

Viel Glück,

0ver

~~metingäima~~ · 07/13/2011, 19:57

Quote:

Originally Posted by 0verShiT*

Erstmal schaun welche Datei der Träger ist.
Such mal alle deine ausgehenden Verbindungen ab nach verdächtigen Files.

(Falls du nicht weist wies geht einfach schnell goooooooglen,gibt genug TuTs).

Sobald du den Träger gefunden hast,probier ihn mit Tools wie WinOptimizier/Kaspersky o.ä in Quarantäne zu stecken & so abzuschotten.
(Niemals per "Rechtsklick" und "löschen" entfernen wollen)

Sobald du das geschaffst hast,schließ alle USB´s / Speicherkarten / externe Festplatten AN den Computer an,versetzte deinen Rechner in den abgesicherten Modus & lass alles mit "HouseCall" durchlaufen.

Finde,dass das die beste Möglichkeit ist wenn du deinen Rechner nicht plattmachen willst.

[Gebe keine Hilfe per PN oder sowas,sorry hatte damit schon zuviel Stress]

Viel Glück,

0ver

sowas hilft nicht soweit ich gehört hab.

E17 · 07/13/2011, 20:00

Quote:

Originally Posted by Bloshy

sowas hilft nicht soweit ich gehört hab.

Doch,kommt drauf an was du erwischt hast.
Wenns nurn Java-Drive-By war & das nur ein FUD Pupbot war,kriegst
dus aufjedenfall so weg.

Wenn das Teil ein UniqueBot war,wo man seine guten 1.5k hinblättern muss für ne stable Version kannst dus knicken & platt machen.

Aber der Versuch ist es wert, falls dir deine Daten aber nichts wert sind kannst du natürlich auch gleich platt machen.

0ver

Diablo_ · 07/13/2011, 20:10

Quote:

Originally Posted by 0verShiT*

Erstmal schaun welche Datei der Träger ist.
Such mal alle deine ausgehenden Verbindungen ab nach verdächtigen Files.

(Falls du nicht weist wies geht einfach schnell goooooooglen,gibt genug TuTs).

Sobald du den Träger gefunden hast,probier ihn mit Tools wie WinOptimizier/Kaspersky o.ä in Quarantäne zu stecken & so abzuschotten.
(Niemals per "Rechtsklick" und "löschen" entfernen wollen)

Sobald du das geschaffst hast,schließ alle USB´s / Speicherkarten / externe Festplatten AN den Computer an,versetzte deinen Rechner in den abgesicherten Modus & lass alles mit "HouseCall" durchlaufen.

Finde,dass das die beste Möglichkeit ist wenn du deinen Rechner nicht plattmachen willst.

[Gebe keine Hilfe per PN oder sowas,sorry hatte damit schon zuviel Stress]

Viel Glück,

0ver

Er hat mir die Situation geschildert und es ist nicht so einfach, selbst wenn es ein 0815 R.A.T wäre, kann man es nicht einfach so entfernen. Und warum alle Wechseldatenträger anschließen? Damit die auch noch infiziert werden? Nö.

Wir klären das per Skype.

grüße

E17 · 07/13/2011, 20:14

Quote:

Originally Posted by Diablo_

Er hat mir die Situation geschildert und es ist nicht so einfach, selsbt wenn es ein 0815 R.A.T wäre, kann man es nicht einfach so entfernen. Und warum alle Wechseldatenträger anschließen? Damit die auch noch infiziert werden? Nö.

Wir klären das per Skype.

grüße

Na sicher geht das,warum denn auch nicht?
Kommt alles drauf an wie der Bot getunnelt ist.
Bitfrose & wie sie alle heißen bekommt man so schon runter.

& das mit den Wechselträgern anschließen dient eher dazu die Teile clean zubekommen als zu infizieren.
Die meisten Bots/Stealer haben ja ihre tollen Spreadingmethoden wie du ja weißt.Da er mitlerweile sicherlich schon irgendwas angestöpselt hat sollte er das alles gleich mit scannen lassen.

Sonst ergo ->

Rechner clean,User freut sich,hat USB rein & bääm wieder ein Vic mehr.

0ver

Diablo_ · 07/13/2011, 20:20

Warum das nicht geht? Weil sich die Dateien sofort nach der Löschung neu regenerieren und meistens nie alle Dateien gefunden werden.

Natürlich dient das nicht dazu aber sie werden mit einer gewissen Chance auch infiziert.

Und wie gesagt, die Situation ist nicht so einfach.

grüße

E17 · 07/13/2011, 20:29

Quote:

Originally Posted by Diablo_

Warum das nicht geht? Weil sich die Dateien sofort nach der Löschung neu regenerieren und meistens nie alle Dateien gefunden werden.

Natürlich dient das nicht dazu aber sie werden mit einer gewissen Chance auch infiziert.

Und wie gesagt, die Situation ist nicht so einfach.

grüße

Da ich nicht die kompletten Situation kenne wie du,
geb ich jetzt trotzdem einfach mal einen Blindtipp ab.

Wenn es so sein sollte wie du es geschildert hast,sitzen 2 Dinge auf seiner HDD die er nicht brauchen kann.

1.Träger mit gebindetem Updater
2.RecommendUpdater

Diese beiden kontrollieren sich ständig selber,sobald z.b der Träger gelöscht wird,aktiviert sich das Recommed Tool & infiziert bzw installiert erneut.

Das selbe gilt natürlich auch für das RecommendTool.

-> Verbindungen abhören,evtl sniffen.
Dann schränkt sich das Feld,auf sagen wir mal, 5 Verdächtige Programme ein..

Dann die Kommunikation zwischen den Programmen abhören & wird den Träger & Recommend finden.

Beide Quarantäne & deleten.

Nochmal alles durchlaufen lassen & man dürfte 90% clean sein.

Sicher ist man dabei niemals,genauso wie zu diesem Zeitpunkt mein Rechner infiziert sein könnte & dein Rechner inzfiziert sein könnte.

Jaja das Internet ist fies....

0ver

€: So ich mal mal raus hier,
viel Glück dem TE beim cleanen seines Rechners.

Diablo_ · 07/13/2011, 21:08

Quote:

Originally Posted by 0verShiT*

Da ich nicht die kompletten Situation kenne wie du,
geb ich jetzt trotzdem einfach mal einen Blindtipp ab.

Wenn es so sein sollte wie du es geschildert hast,sitzen 2 Dinge auf seiner HDD die er nicht brauchen kann.

1.Träger mit gebindetem Updater
2.RecommendUpdater

Diese beiden kontrollieren sich ständig selber,sobald z.b der Träger gelöscht wird,aktiviert sich das Recommed Tool & infiziert bzw installiert erneut.

Das selbe gilt natürlich auch für das RecommendTool.

-> Verbindungen abhören,evtl sniffen.
Dann schränkt sich das Feld,auf sagen wir mal, 5 Verdächtige Programme ein..

Dann die Kommunikation zwischen den Programmen abhören & wird den Träger & Recommend finden.

Beide Quarantäne & deleten.

Nochmal alles durchlaufen lassen & man dürfte 90% clean sein.

Sicher ist man dabei niemals,genauso wie zu diesem Zeitpunkt mein Rechner infiziert sein könnte & dein Rechner inzfiziert sein könnte.

Jaja das Internet ist fies....

0ver

€: So ich mal mal raus hier,
viel Glück dem TE beim cleanen seines Rechners.

Glaub mir, es sitzen weder 2 noch 5 Sachen auf seiner HDD. 1. Ist nicht nur sein PC infiziert und 2. hat das Wiederherstellen nichts mit Updatern zu tun, falls du das meintest. Egal durch was sie gelöscht werden, sie werden einfach woanders neu erstellt und verbreiten sich weiter.

Grüße

.SkyneT. · 07/13/2011, 22:12

@0verShiT*
Also erstmal heißt der, inzwischen veraltete RAT Bitfrost

(Ab der Version 1.2.1d wurde eigentlich nichts mehr gemacht)
@Diabolo
Mindestens sind es 2 Sachen (Ich gehe von einer Festplatte aus) ->
-Autostart des Bots beim Systemstart (mehrere möglichkeiten)
-Der eigentliche Bot

B2T:
Ich denke mal generell nicht das es sich um ein RAT handelt wenn "nur" die
Internet Verbindung betroffen ist.

Start -> Ausfürhen -> regedit
Also ganz gerne stehn die Bots hier drin:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run
(Lass dich auch von Namen wie WindowsUpdater .etc nicht aufhalten

)

Und hier auch (zur sicherheit) nochmal nachsehn.
Start -> Ausfürhen -> msconfig
Unter den Reiter Systemstart.
Und das mal ansehn.

Die ganzen Verbindungen sollte man mit "netstat -b -n" herausfinden können.

(Oft Verwendet wird für die Bots "winupdt.exe ; server.exe ; svchost.exe")
Dann poste was du dadurch rausfinden konntest.

MfG SkyneT

Klemens102 · 07/13/2011, 22:37

Quote:

Originally Posted by 0verShiT*

Doch,kommt drauf an was du erwischt hast.
Wenns nurn Java-Drive-By war & das nur ein FUD Pupbot war,kriegst
dus aufjedenfall so weg.

Wenn das Teil ein UniqueBot war,wo man seine guten 1.5k hinblättern muss für ne stable Version kannst dus knicken & platt machen.

Aber der Versuch ist es wert, falls dir deine Daten aber nichts wert sind kannst du natürlich auch gleich platt machen.

0ver

Du sagst "nur" ein Java Drive by Download ?
1. Ist es völlig egal wie er sich infiziert hat, das Spielt erstmal keine Rolle beim löschen des Virus.
2. Wieso "nur" ? Die Methode über Drive by Download zu spreaden ist die gefährlichste und effektivste.
3. Es gibt genug Puplic Bots, die gut - sehr gut sind, z.B Zeus.
Wie will er den Bot löschen wen er FUD ist ?
Woher will er wissen, wenn der Bot FUD ist wie der Bot arbeitet und wo er die Dateien ablegt ?

.SkyneT. · 07/13/2011, 22:42

Quote:

Originally Posted by //localhost

Du sagst "nur" ein Java Drive by Download ?
1. Ist es völlig egal wie er sich infiziert hat, das Spielt erstmal keine Rolle beim löschen des Virus.
2. Wieso "nur" ? Die Methode über Drive by Download zu spreaden ist die gefährlichste und effektivste.
3. Es gibt genug Puplic Bots, die gut - sehr gut sind, z.B Zeus.
Wie will er den Bot löschen wen er FUD ist ?
Woher will er wissen, wenn der Bot FUD ist wie der Bot arbeitet und wo er die Dateien ablegt ?

Das hier sollte Zeus entfernen. (aber wir wissen ja nicht um was es sich hier handelt)

Spoiler

Quote:

Originally Posted by Anderes Forum

Zeus killer in c++

Code:

#include <windows.h>
#pragma warning(disable : 4005) // macro redefinition
#include <ntdll.h>
#pragma warning(default : 4005)
#include <shlwapi.h>
#include <shlobj.h>
void GetZeusInfo(ULONG dwArg, PCHAR lpOut, DWORD dwOutLn, PCHAR lpMutex, DWORD dwMutexLn)
{
PSYSTEM_HANDLE_INFORMATION shi = 0;
NTSTATUS Status = 0;
ULONG len = 0x2000;
POBJECT_NAME_INFORMATION obn = 0;
HANDLE proc = 0, thandle = 0, hFile = 0;
BOOLEAN enable = FALSE;
UCHAR name[300] = {0};
ULONG temp = 0, rw = 0;
do
{
shi = (PSYSTEM_HANDLE_INFORMATION)malloc(len);
if (shi == 0)
{
return;
}
Status = NtQuerySystemInformation(SystemHandleInformation, shi, len, NULL);
if (Status == STATUS_INFO_LENGTH_MISMATCH)
{
free(shi);
len *= 2;
}
else
if (NT_ERROR(Status))
{
free(shi);
return;
}
} while (Status == STATUS_INFO_LENGTH_MISMATCH);
RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, 1, 0, &enable);
for (int i=0; i<(int)shi->uCount; i++)
{
proc = OpenProcess(PROCESS_DUP_HANDLE, FALSE, shi->aSH[i].uIdProcess);
if (proc == 0)
{
continue;
}
Status = NtDuplicateObject(proc, (HANDLE)shi->aSH[i].Handle, NtCurrentProcess(),
&thandle, 0, 0, DUPLICATE_SAME_ACCESS);
if (NT_ERROR(Status))
{
NtClose(proc);
continue;
}
Status = NtQueryObject(thandle, ObjectNameInformation, 0, 0, &len);
if (Status != STATUS_INFO_LENGTH_MISMATCH || len == 0)
{
NtClose(thandle);
NtClose(proc);
continue;
}
obn = (POBJECT_NAME_INFORMATION)malloc(len);
if (obn == 0)
{
NtClose(thandle);
NtClose(proc);
continue;
}
Status = NtQueryObject(thandle, ObjectNameInformation, obn, len, &len);
if (NT_ERROR(Status) || obn->Name.Buffer == 0)
{
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
RtlZeroMemory(name, sizeof(name));
WideCharToMultiByte(CP_ACP, 0, obn->Name.Buffer, obn->Name.Length >> 1,
(LPSTR)name, 300, NULL, NULL);
if (strstr((LPSTR)name, "__SYSTEM__") || strstr((LPSTR)name, "_AVIRA_"))
{
lstrcpyW((LPWSTR)name, L"\\\\.\\pipe\\");
lstrcatW((LPWSTR)name, obn->Name.Buffer);
__retry:
hFile = CreateFileW((LPWSTR)name, GENERIC_READ|GENERIC_WRITE,
FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if (hFile == INVALID_HANDLE_VALUE)
{
WaitNamedPipeW((LPWSTR)name, INFINITE);
hFile = CreateFileW((LPWSTR)name,
GENERIC_READ|GENERIC_WRITE, FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if (hFile == INVALID_HANDLE_VALUE)
{
WCHAR wszBNO[] = { L"\\BaseNamedObjects\\" };
if (LPWSTR wszBNOPos = StrStrW((LPWSTR)name, wszBNO))
{
lstrcpyW((LPWSTR)name, L"\\\\.\\pipe\\");
lstrcatW((LPWSTR)name,
(LPWSTR)((PBYTE)wszBNOPos + (sizeof(wszBNO) - 1 * sizeof(WCHAR))));
goto __retry;
}
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
}
temp = PIPE_READMODE_MESSAGE;
if (!SetNamedPipeHandleState(hFile, &temp, 0, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = dwArg;
if (!WriteFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!WriteFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!WriteFile(hFile, &temp, 0, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!ReadFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!ReadFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if (temp > MAX_PATH)
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
rw = temp;
temp = (ULONG)malloc(temp);
if (!temp)
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if (!ReadFile(hFile, (PVOID)temp, rw, &rw, 0))
{
free((PVOID)temp);
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if ( (temp) && lstrlenW((LPCWSTR)temp) < (int)dwOutLn) {
RtlZeroMemory(lpOut, dwOutLn);
WideCharToMultiByte(CP_ACP, 0, (PWCHAR)temp,
lstrlenW((LPCWSTR)temp), (LPSTR)lpOut, dwOutLn, NULL, NULL);
}
if (lpMutex) {
LPWSTR lpwMutexName = obn->Name.Buffer;
LPWSTR lpwTemp;
while (lpwTemp = StrStrW(lpwMutexName, L"\\")) {
lpwMutexName = lpwTemp + 1;
}
RtlZeroMemory(lpMutex, dwMutexLn);
WideCharToMultiByte(CP_ACP, 0, lpwMutexName,
lstrlenW(lpwMutexName), (LPSTR)lpMutex, dwMutexLn, NULL, NULL);
}
free((PVOID)temp);
CloseHandle(hFile);
}
free(obn);
NtClose(thandle);
NtClose(proc);
}
}
BOOL DeleteHiddenFile(PCHAR szPath)
{
SetFileAttributes(szPath, FILE_ATTRIBUTE_ARCHIVE);
return DeleteFile(szPath);
}
#define ZEUS_FASTCLEAN
BOOL KillZeus()
{
// Getting info
CHAR szMutexName[MAX_PATH] = {0};
CHAR szZeusPath[MAX_PATH];
GetZeusInfo(11, szZeusPath, sizeof szZeusPath, szMutexName, sizeof szMutexName);
if (!strlen(szMutexName)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : ERROR : Cannot get szMutexName");
#endif
return FALSE;
}
#ifndef ZEUS_FASTCLEAN
CHAR szZeusConfig[MAX_PATH];
GetZeusInfo(12, szZeusConfig, sizeof szZeusConfig, NULL, NULL);
CHAR szZeusLog[MAX_PATH];
GetZeusInfo(13, szZeusLog, sizeof szZeusLog, NULL, NULL);
#endif
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : INFO : 0.) Mutex \"%s\"", szMutexName);
OutputDebugStringEx(__FUNCTION__" : INFO : 1.) Path \"%s\"", szZeusPath);
#ifndef ZEUS_FASTCLEAN
OutputDebugStringEx(__FUNCTION__" : INFO : 2.) Config \"%s\"", szZeusConfig);
OutputDebugStringEx(__FUNCTION__" : INFO : 3.) Log \"%s\"", szZeusLog);
#endif
#endif
// Killing
GetZeusInfo(3, NULL, NULL, NULL, NULL);
// Waiting
HANDLE hMutex;
for (INT i = 0; i < 10; i++) {
hMutex =
OpenMutex(MUTANT_QUERY_STATE|SYNCHRONIZE|STANDARD_RIGHTS_REQUIRED, FALSE,
szMutexName);
if (!hMutex)
break;
CloseHandle(hMutex);
Sleep(1000);
}
if (hMutex) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : ERROR : hMutex is still active");
#endif
return FALSE;
}
// Deleting files
if (!DeleteHiddenFile(szZeusPath)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusPath);
#endif
}
#ifndef ZEUS_FASTCLEAN
if (!DeleteHiddenFile(szZeusConfig)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusConfig);
#endif
}
if (!DeleteHiddenFile(szZeusLog)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusLog);
#endif
}
#endif
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : INFO : EXIT");
#endif
return TRUE;
}

download this text:

:thumbsup:

Jedoch ist der Rest von deinem Post zu 100% richtig.

Diablo_ · 07/14/2011, 07:21

Hi,

er ist weder mit Bifrost noch mit Zeus, Cybergate, Poison IVY, Shark, Prorat etc.. infiziert.

Die Sache hat sich so weit ausgebreitet, dass er zur Polizei gehen wird.

Es bringt jetzt auch nichts darüber zu spekulieren, fast jede Infektion sieht anders aus, man kann das nicht über einen Kamm scheren.

Grüße