Master Mayhem
27.05.05, 13:52
Hallo!
Da ich letzte Tage sehr seltsame zugriffen von innen auf meine firewall hatte (port 9898 monkeycom, hat sich als bittorrent tracker herausgestellt) habe ich mir mal ClamAV installiert, nen signaturen update gemacht und nen vollen scan auf beide festplatten durchgeführt.
Das ist das Protokoll:
--------------------------------------
Scan started: Wed May 25 03:02:05 2005
//home/tyler/.evolution/mail/local/Inbox: HTML.Phishing.Pay-6 FOUND
ERROR: Can't open file //sys/bus/pci/drivers/parport_pc/new_id
ERROR: Can't open file //sys/bus/pci/drivers/uhci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/net2280/new_id
ERROR: Can't open file //sys/bus/pci/drivers/cx8800/new_id
ERROR: Can't open file //sys/bus/pci/drivers/8139cp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/shpchp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/pciehp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/Intel ICH Joystick/new_id
ERROR: Can't open file //sys/bus/pci/drivers/Intel ICH/new_id
ERROR: Can't open file //sys/bus/pci/drivers/agpgart-nvidia/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ehci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ohci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/intel810_audio/new_id
ERROR: Can't open file //sys/bus/pci/drivers/8139too/new_id
ERROR: Can't open file //sys/bus/pci/drivers/forcedeth/new_id
ERROR: Can't open file //sys/bus/pci/drivers/AMD IDE/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ata_piix/new_id
ERROR: Can't open file //sys/bus/pci/drivers/serial/new_id
-- summary --
Known viruses: 34710
Engine version: 0.84
Scanned directories: 38807
Scanned files: 414675
Infected files: 1
Data scanned: 41758.82 MB
Time: 15589.019 sec (259 m 49 s)
Wobei mir das Can't open keine sorgen macht, die Dateien gehören root (habe den scan auch als root ausgeführt) sind aber aus einem mir unbekannten grund nur chmod 200.
Mehr Sorgen macht mir der HTML.Phishing.Pay-6, denn ich hab kein Plan, wie das Ding zu entfernen ist.
Vermutlich ist das Ding mit einer Phishing mail gekommen bzgl PayPal, das Ding hab ich mir im gmx webmail angesehen und an spoo@paypal.com weitergeleitet - leider auch an mich, um das zu dokumentieren....das war eine etwas unüberlegete aktion, denn das ding habe ich abgerufen und bums in der Inbox.
Genau diese mail habe ich auch schon gelöscht - ohne Erfolg der Scanner findet immer noch den besagten Trojaner.
--------------------------------------
Scan started: Wed May 25 11:14:19 2005
/home/tyler/.evolution/mail/local/Inbox: HTML.Phishing.Pay-6 FOUND
-- summary --
Known viruses: 34710
Engine version: 0.84
Scanned directories: 143
Scanned files: 128
Infected files: 1
Data scanned: 7.07 MB
Time: 5.673 sec (0 m 5 s)
ClamAV kann zwar infizierte Dateien entfernen...nur möchte ich nicht meine komplette Inbox entfernen, bei evolution liegt alles, was nicht einsortiert ist, also der Eingangsordner, in einer datei.
Kann das ding überhaupt schaden anrichten auf nem linux system (bzw versendet es sich weiter über mein adressbuch) oder geht das nur unter windows?
Habe die inbox jetzt schon verschoben in einen Ordner, der root gehört und sowohl die Inbox, als auch den Ordner mit chmod 000 versehen.
Bevor ich das Ding aber nach /dev/null verschiebe hätte ich gerne gewußt, ob ich irgendeine chance habe die mails in der inbox zu retten, oder ob sogaer ein copy&paste der datei im texteditor geöffnet den schädling mitnimmt.
Ist der überhaupt in einer bestimmten mail und meine vermutung war falsch und die verseuchte mail ist immer noch im eingangsordner und die muss ich nur finden und löschen, oder hat der sich über die ganze datei verteilt und es ist nichts mehr zu retten?
Dankbar für tips
mfg tyler
http://www.viruslist.com/en/find?search_mode=virus&words=HTML.Phishing.Pay-6
Da ich letzte Tage sehr seltsame zugriffen von innen auf meine firewall hatte (port 9898 monkeycom, hat sich als bittorrent tracker herausgestellt) habe ich mir mal ClamAV installiert, nen signaturen update gemacht und nen vollen scan auf beide festplatten durchgeführt.
Das ist das Protokoll:
--------------------------------------
Scan started: Wed May 25 03:02:05 2005
//home/tyler/.evolution/mail/local/Inbox: HTML.Phishing.Pay-6 FOUND
ERROR: Can't open file //sys/bus/pci/drivers/parport_pc/new_id
ERROR: Can't open file //sys/bus/pci/drivers/uhci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/net2280/new_id
ERROR: Can't open file //sys/bus/pci/drivers/cx8800/new_id
ERROR: Can't open file //sys/bus/pci/drivers/8139cp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/shpchp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/pciehp/new_id
ERROR: Can't open file //sys/bus/pci/drivers/Intel ICH Joystick/new_id
ERROR: Can't open file //sys/bus/pci/drivers/Intel ICH/new_id
ERROR: Can't open file //sys/bus/pci/drivers/agpgart-nvidia/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ehci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ohci_hcd/new_id
ERROR: Can't open file //sys/bus/pci/drivers/intel810_audio/new_id
ERROR: Can't open file //sys/bus/pci/drivers/8139too/new_id
ERROR: Can't open file //sys/bus/pci/drivers/forcedeth/new_id
ERROR: Can't open file //sys/bus/pci/drivers/AMD IDE/new_id
ERROR: Can't open file //sys/bus/pci/drivers/ata_piix/new_id
ERROR: Can't open file //sys/bus/pci/drivers/serial/new_id
-- summary --
Known viruses: 34710
Engine version: 0.84
Scanned directories: 38807
Scanned files: 414675
Infected files: 1
Data scanned: 41758.82 MB
Time: 15589.019 sec (259 m 49 s)
Wobei mir das Can't open keine sorgen macht, die Dateien gehören root (habe den scan auch als root ausgeführt) sind aber aus einem mir unbekannten grund nur chmod 200.
Mehr Sorgen macht mir der HTML.Phishing.Pay-6, denn ich hab kein Plan, wie das Ding zu entfernen ist.
Vermutlich ist das Ding mit einer Phishing mail gekommen bzgl PayPal, das Ding hab ich mir im gmx webmail angesehen und an spoo@paypal.com weitergeleitet - leider auch an mich, um das zu dokumentieren....das war eine etwas unüberlegete aktion, denn das ding habe ich abgerufen und bums in der Inbox.
Genau diese mail habe ich auch schon gelöscht - ohne Erfolg der Scanner findet immer noch den besagten Trojaner.
--------------------------------------
Scan started: Wed May 25 11:14:19 2005
/home/tyler/.evolution/mail/local/Inbox: HTML.Phishing.Pay-6 FOUND
-- summary --
Known viruses: 34710
Engine version: 0.84
Scanned directories: 143
Scanned files: 128
Infected files: 1
Data scanned: 7.07 MB
Time: 5.673 sec (0 m 5 s)
ClamAV kann zwar infizierte Dateien entfernen...nur möchte ich nicht meine komplette Inbox entfernen, bei evolution liegt alles, was nicht einsortiert ist, also der Eingangsordner, in einer datei.
Kann das ding überhaupt schaden anrichten auf nem linux system (bzw versendet es sich weiter über mein adressbuch) oder geht das nur unter windows?
Habe die inbox jetzt schon verschoben in einen Ordner, der root gehört und sowohl die Inbox, als auch den Ordner mit chmod 000 versehen.
Bevor ich das Ding aber nach /dev/null verschiebe hätte ich gerne gewußt, ob ich irgendeine chance habe die mails in der inbox zu retten, oder ob sogaer ein copy&paste der datei im texteditor geöffnet den schädling mitnimmt.
Ist der überhaupt in einer bestimmten mail und meine vermutung war falsch und die verseuchte mail ist immer noch im eingangsordner und die muss ich nur finden und löschen, oder hat der sich über die ganze datei verteilt und es ist nichts mehr zu retten?
Dankbar für tips
mfg tyler
http://www.viruslist.com/en/find?search_mode=virus&words=HTML.Phishing.Pay-6