Nach Wurm WINNT Ordner im Explorer nicht zu sehen!?

[Birger 10]

Hallo Leute,

Ich habe das Problem das mein WINNT Ordner sowie der Ordner, System Volium Information im Explorer nicht mehr zu sehen sind.

Wenn ich aber den Total Commander starte sind alle Ordner vorhanden und auch zu bearbeiten, dort scheint alles normal zu sein.

Ich habe den Wurm von Hand entfernt , Win 2k Serv startet auch einwandfrei. Eigentlich Funzt wieder alles, nur eben die beiden Ordner und dazugehörige Dateien kann ich im Windowseigenen Explorer nicht mehr finden. Auch die Suchfunktion ist ausgeschaltet!

Wer weiß dazu einen Rat.

THX

Birger

[Birger 10]

Oh mann Leute,

Sowas von ****, den Wurm habe ich Händisch entfernt aber die Versteckten Dateien habe ich mir nicht anzeigen lassen.

Ich weiß das ich die Versteckten Dateien vorher sehen konnte, irgendwie muß der Wurm aber den Hacken gesetzt haben.

 

IPCSCAN.exe hat den fast Supergau bei mir verursacht.

 

Greetz to all

[zahni 521]

Installiere mal http://www.safer-networking.org/en/download/ .

 

Vielleicht irgendeine Shell-Erweiterung (DLL) die nicht entfernt wurde.

 

Wenn Du noch das Dateidatum des Wurms kennt, suche mal nach allen Dateien mit diesem Datum. Kann gehen, muss nicht.

 

-Zahni

[Das Urmel 10]

Herzlichen Glückwunsch Birger

Dein Server ist versaut, verseucht und dein Netz sicher auch.

Wie kommst du drauf, dass es mit dieser einen Datei getan ist, zumal du ja noch weitere

Merkwürdigkeiten feststellst?

 

Der nette Wurm ist vom Januar 2004 - und sowas auf nem Server :suspect:

W32/Muma-B ist ein Wurm, der sich verbreitet, indem er sich auf remote Netzwerkfreigaben mit einfachen oder gar keinen Kennwörtern kopiert und dort startet.

 

Die Hauptkomponente des Wurms ist ein selbst extrahierendes Archiv, das mehrere Dateien im Ordner C:\Winnt\System32\drivers\etc ablegt. Unter diesen Dateien sind Batchdateien für die Verbreitung, mirc-Skripte für den Backdoor-Zugriff und legale Dienstprogramme, die dieser Wurm verwendet. Die Dateien sind die folgenden:

 

AUTOHACK.BAT (W32/Muma-A)

DLL.BAT

HACK2.BAT (W32/Muma-A)

HIDDEN32.EXE (ein Dienstprogramm, um Anwendungsfenster zu verbergen)

IPCSCAN.EXE (Troj/Hacline-C)

IPCSCAN.BAT

IPCPASS.DIC

IPCUSER.DIC

KILL.EXE

LOAD.BAT

MIRC.INI

MOO.DLL

MRBNC.TXT

REMOTE.INI

RESULTS.TXT

SCRIPT.INI

SCRIPT1.DLL

SCRIPT2.DLL

SCRIPT3.DLL

SERVICES.EXE (Troj/Mirchack-A)

STORE.DLL

PSEXEC.EXE (Legitimate networking utility)

 

Der Wurm kann eine Kopie von HIDDEN32.EXE und PSEXEC.EXE im Ordner C:\Winnt\System32 ablegen. Die folgenden Dateien werden im selben Ordner abgelegt:

 

FIREDAEMON.EXE (ein Dienstprogramm, mit dem Programm als Dienste gestartet werden)

NEWUSER.BAT

SHAKE.BAT

NTSHARE2.BAT (W32/Muma-A)

 

W32/Muma-B startet NEWUSER.BAT, um die Sicherheitseinstellungen eines Windows 2000- oder XP-Computers herunterzusetzen.

 

W32/Muma-B verwendet IPCSCAN.EXE, um IP-Adresssen von potentiellen Opfern aufzuspüren. Der Wurm kopiert sich dann auf den remoten Computer und führt sich mit Hilfe von PSEXEC.EXE remote aus. Damit wird der gesamte Prozess neu gestartet.

 

W32/Muma-B verbindet sich mittels SERVICES.EXE mit einem vorkonfigurierten IRC-Server, um unbefugten Zugriff auf und die Steuerung über den Computer via IRC-Kanälen zu erlangen.

 

W32/Muma-B fügt den folgenden Registrierungseintrag hinzu, so dass SERVICES.EXE beim Start ausgeführt wird:

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Sysscan

="C:\Winnt\System32\drivers\etc\dll.bat"

 

wobei dll.bat eine Batchdatei ist, die HIDDEN32.EXE verwendet, um SERVICES.EXE zu starten und dessen Anwendungsfenster zu verbergen.