Beiträge von Koschi

Klick doch mal auf "klicken sie hier" damit man sehen kann was im Bericht steht

Stimmt, Ubuntu installiert dir den FF und auch Openoffice wenn ich mich nicht irre

Um die Daten zu retten wuerde ich erst mal von einer Knoppix CD starten und mich dann um XP kuemmern

Eine gute Seite mit huebschen Bildern

[url=http://www.softwareload.de/c/10/45/31/08/10453108,pt=self,si=0.html]Download-Specials: Vistas verschollene Hintergrundbilder[/url]

Es koennte noch sein das es dieser Wurm ist. Den gibt es als .a, .b, ....g

Worm/Brontok.a - Vollständig

Bei mir hat er genau die Syntome gehabt.

Wenn ich lsass.exe beiGoogle eingegeben habe fuhr der Rechner runter.
Die lsass.exe sollte man nicht verwechseln mt der isass.exe.
Wenn ich die Suche aufmachen wollte hing der Rechner und wenn ich versucht habe einen Virenscanner runterzuladen ging der Rechner aus. Ordnereinstellungen (versteckte Dataien anzeigen) ging auch nich mehr.Hier was ich beim googeln dazu gefunden habe:

Home / Viruses / Virus Encyclopedia / Malware Descriptions / Network Worms / Email Worms
Email-Worm.Win32.Brontok.q
Other versions: .a

Aliases
Email-Worm.Win32.Brontok.q (Kaspersky Lab) is also known as: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Detection added May 15 2006 16:08 GMT
Update released May 15 2006 17:24 GMT
Description added Oct 23 2006
Behavior Email Worm

* Technical details
* Payload

Technical details

This worm spreads via the Internet as an attachment to infected messages. It sends itself to email addresses harvested from the victim machine.

The worm itself is a Windows PE EXE file written in Visual Basic. The size of the infected file can vary significantly. The functionality described below is characteristic of the most common variants of this worm.
Installation

When the infected file is first launched, the user will see a Windows Explorer window, with an open 'My Pictures' folder.

When installing, the worm modifies the following keys of the system registry, disabling system registry tools, the command line, and displaying files and folders in Windows Explorer.

For example, the following message will be displayed when the registry editor is launched:

The worm then gets a path to Application Data for the current user (%UserProfile%\Local Settings\Application Data) and copies its body to this directory under the following names:
%UserProfile%\Local Settings\Application Data\br<random number>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe

A text file called Kosong.Bron.Tok.txt (51 bytes in size) is also created in this directory. The file has the following contents:
Brontok.A
By: HVM31
-- JowoBot #VM Community --

The worm also copies its body to the Windows root directory (%WinDir%) under the following name:
%WinDir%\sembako-<random symbols>.exe

and to the ShellNew subdirectory under a name generated as follows: bbm-<random symbols>.exe:
%WinDir%\ShellNew\bbm-<random symbols>.exe

and to the Windows system directory under the following names:
%System%\DXBLBO.exe
%System%\cmd-bro-<random symbols>.exe
%System%\%UserName%'s Setting.scr

The worm also copies itself to the Start menu Autorun directory as Empty.pif:
%UserProfile%\%Autorun%\Empty.pif

and to the Document Template subdirectory:
%UserProfile%\Templates\<random number>-NendangBro.com

and to the My Pictures directory of the current user:
%MyPictures%\Mypictures.exe

An HTML page called about.Brontok.A.html is also created in this directory:

When this page is viewed using the browser, the following message is displayed:

This page contains the contents of the email message which the worm sends to email addresses harvested from the victim machine.

The copies of the worm will then be registered in the system registry to ensure that they are launched automatically:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=""
"Bron-Spizaetus-<random symbols>"="%WinDir%\ShellNew\bbm-<random symbols>.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=""
"Tok-Cirrhatus-<random number>"="%UserProfile%\Local Settings\Application Data\br<random number>on .exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\sembako-<random symbols>.exe""

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd-bro-<random symbols>.exe"

Once installed, the worm creates a file called sistem.sys in the Windows system directory. This file contains the date and time the worm was installed to the victim machine in the following format: mmddhhmm, where mm stands for the month, dd for the data, hh for the hour, and mm for the minute.
Propagation via email

The worm harvests addresses from the MS Windows address books and from files with the following extensions:

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

All the harvested addresses are saved to %AppData%\Loc.Mail.Bron.Tok as files with email address names, an .ini extension and the following text:
Brontok.A
By: HVM31
-- JowoBot #VM Community –

A directory called Ok-SendMail-Bron-tok is created, and the addresses which messages are sent to are saved to this file.

When sending infected messages the worm uses its own SMTP engine.
Infected messages
Attachment name (chosen from the list below):

* ccapps.exe
* jangan dibuka.exe
* kangen.exe
* my heart.exe
* myheart.exe
* syslove.exe
* untukmu.exe
* winword.exe

Message text:

The HTML page shown above acts as the text of infected messages.
Payload

The worm checks the header of the open window, and if one of the following strings is present in the header, it will reboot the system:

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

The worm also modifies the contents of autoexec.bat in the C: root directory, adding "pause" to it.

Diesen Teil musst du zuerst hinkriegen:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1".

Das klappt aber nur wenn du in die Registery kommst. Danach kannst du die 30- Tage - Freewareversion von Kaspersky laufen lassen.

Bei mir hat Kaspersky den Wurm gefunden. Da er sich aber immer wieder selbst installiert dauert es eine Weile bis er wirklich weg ist. Ich hab Kaspersky wohl so 30 mal laufen lassen und neu gestartet. Irgendwann war er dann weg.

Insgesamt ist es vielleicht einfacher mit Knoppix Daten zu sicher und formatieren.

Viel Glueck, und stoepsel deine FP nicht an den Rechner deines besten Freundes. Sonst ist der evl. auch noch hin

Stimmt

Anderherum gehts auch. Dann ist alles weg

Dann kannst du es glaube ich vergessen. Bei Adobe Acrobat geht das auch nur in der Prof. Edition

Du bist aber penibel;)

Wie waere es mit alles touch-uppen?

Diese ganzen Timer stellen aber nicht sicher das Ferry auch schon schlaeft. Man mueste ihn noch zusaetzlich verkabeln. Also Puls- und Herzfequenz messen.
Problem koennte sein, das wenn er einen Albtraum hat, auch die Musik losbruellt;)

Du muesstest erst mal raus bekommen von wem das Display hergestellt wird. Dann was die fuer ein Programm benutzen.
Dann brauchst du die Software um das Programm zu veraendern oder neu zu schreiben ( und das wissen wie das geht).

Zum Schluss brauchst du wohl noch ein Kabel um das Programm in das Display zu bekommen falls es nicht sowieso fest auf einem Chip ist.

Ich werde es auch nicht gleich kaufen sondern wie blue da reinrutschen. Mit einem neuen PC oder so.

Zitat

Die Systemwiederherstellung ist leider keine Lebensversicherung. Immer wenn es kritisch wird - so auch bei Malware - versagt sie. (Bei Malware Befall muß die Systemwiederherstellung in der Regel deaktiviert werden.)

Das ist das was die Systemwiederherstellung in meinen Augen wertlos macht.
Sie sucht halt nur in Sektioren der FP wo vorher auch schon was stand. Und repariert XP-relevante Sachen.
Wenn der Virus sich in eigene Dokumente oder auf ein leeres Stueck FP schreibt findet Windows das nicht.
Bei einem Image ist das anders. Dem Image ist es gleich ob und wo was auf der FP stand.
Es wird einfach jeder Sektor geloescht und ueberschrieben.
Alles was sich da an Schaedlingen getummelt wird mitgeloescht.
Deshalb wuerde ich jedem ein Image empfehlen und die Systemwiederherstellung zu vergessen.

Lade dir doch mal das Tool CCleaner aushttps://www.win-tipps-tweaks.de/forum/downloads-29.html

runter.
Das ist einfach zu bedienen und raeumt gut auf

Dein CD Laufwerk ist in Ordnung?

Ich wuerde fast auf eine zerkratzte CD tippen. Versuch noch mal zu formatierten, CD sauber machen und dann noch mal.

Morgen,
hast du mal unter Ansicht geguckt nach welchen Kriterien du sortierst?

Der Tip ".jpg", ".jpeg" oder ".bmp" bei der Suche einzugeben ist ja richtig klasse. Ich wusste gar nicht was ich noch so alles auf dem Rechner habe.
Man kann das dann noch auch ".exe" und so weiter erweitern

Zitat von GeorgeH

Es ginge sogar unter Paint:
Aber meiner Meinung nur als Notlösung zu benutzen.
MFG
GeorgeH

Meiner Meinung nach nicht nur eine Notloesung. Ich mach das immer damit. Dann als Jpg sichern und fertig.

Unterstrichen ist es im FF weil der FF es als links erkennt ( was auch richtig ist)
Der IE erkennt es wohl aber nicht als links obwohl die Hand erscheint wenn man drueber geht.

Und die Schrift ist anders weils Arabisch ist oder so;)

Ich verstehe die Frage nicht ganz. Willst du sie noch aufnehmen oder hast du sie schon auf VHS.
Und wenn du sie noch aufnehmen willst, woher?