[Sammelthread] AMD Dualcore Sockel 939 & DDR1 OC-Sammelthread (3)

[obarok_9]

@Mito

wie ich ja bereits geschrieben habe, hat der Trojaner aus dem geschützten Folder heraus über eine A00xxxxx.exe jeweils beim Browser-start eine E2629C4fd01-Datei ohne Erweiterung in das Cache-directory meines Firefox (c:\dokus u. einstellg\admin\lok. einst.\anwendungsdaten\mozilla\firefox\profiles\4vzn0hq4.default\cache) browsers gelegt.
Damit wurde dann immer ein HTML-Scriptvirus ausgeführt in einem Endlos-Loop, welcher meine Kiste auf beiden Cores 50 - 60&% auslastete (freut natürlich EON sehr)...


Ausgegangen wie auch schon geschrieben ist das Ganze von einem bezahlten mod-patch-file für mein Handy einer Pay-Internet-Site. Das Handy ist ja auch super damit vom V630i zum W660i geflashed worden, kein Problem, aber in dem patch war halt eben der (Mutter) Trojaner mit eingepackt.
Hätte ich den Folder nicht sichtbar gemacht, wäre ich nicht dahinter gekommen, zumindest nicht, was sich genauer hier zuträgt. Ist ja auch egal, das Ding ist wech.
Hab heute schon dreimal komplett suchen lassen -> nix 0,0. Und vor ALLEM, das Phenomen der "scheinbar" grundlosen CPU-Auslastung wurde gebannt. Darauf kommts ja zunächst mal in aller erster Linie an (konnte ja urplötzlich nach dem Flashen meines Handys kaum mehr Buchstaben eingeben, so langsam war Alles geworden und der LuKü drehte "grundlos", wie ich dachte auf)....Schattenkopien des Installers sowie auch derjenige selber sind nicht mehr existent...; ich überlass halt net Alles dem System selber oder Anti-VirenProgrammen, sondern gehe auch selber der Sache so gründlich es geht schon aus Neugier nach...

aber nun Ende mit dem Viren und Trojaner-Zeuchs und

 

[Mr.Mito]

@Techi:
Ein RAID Array kannst du damit aber nicht einfach so übernehmen. Zumindest denke ich nicht dass das geht.
EDIT: Ach ja, haste der Neugier wegen mal nen Link zu der Ebay Auktion mit deinem neuen Baby?

@obarok:

Wo hast du den "Patch" denn gekauft? Für sowas Geld zu bezahlen ist eh, na ja ... www.se-world.info hätte es auch getan. ^^

PS:
Ich denke mal du hattest nen Trojan Downloader, der über einen Browser Exploits Files nachladen sollte, was mit dem FF allerdings fehlgeschlagen ist. Hättest du den IE aufgemacht, wäre die Sache evt. anders gelaufen. Die Cachefile wurde mit hoher Wahrscheinlichkeit vom FF angelegt und nicht vom TrojanDownloader. Der hat höchstens "Befehle" an den FF übergeben als du ihn als (Standard)browser gestartet hast.

sondern gehe auch selber der Sache so gründlich es geht schon aus Neugier nach.

Wieso haste dann keine Sandbox mit der Malware gefüttert? Dann wüsstest du was die Malware genau macht. Aktuell weist du im Prinzip gar nichts.

Aber na ja, wie du schon sagtest

 

[Techtrancer]

ich hab e noch kein raid aufgebaut.

aber dafür bin ich glaubich soeben auf ne lösung für den ULI bug beim CFX draufgekommen!

habs gerade in den zugehörigen thread gepostet

habs mit 3 plattebn getestet und es scheint zu funken.

witzig find ich an dem ganzen, dass ich zwei baugleiche festplatten von seagate habe, die laut HD tach ein wenig unterschiedliche endungen und auch unterschiedliche zugriffszeiten udn datendurchsätze haben. die eine ist zwar fast ganz voll und die andre leer, aber dennoch sollten ja normal zumindest die bezeichnungen gleich seinoo



der shop der opterons ist ansich ein sehr grosser ( über 10000 bewertungen!), hat aber ansonst momentan rein garnichts zu verkaufen ausser dem besagten opteron den ich schon ergattert habe.
werd ihm gleich mal ne mail schraiben ob er eventuell noch welche hat *fg*

 

[Mr.Mito]

die laut HD tach ein wenig unterschiedliche endungen

Andere Firmware? Ob voll oder leer ist bei HD Tach egal.

PS:

www.atelco.de ist schon den ganzen Tag offline.

 

[obarok_9]

@Mito

patchSET wurde bei TopSony (http://www.topsony.com/forum/cmps_index.php?page=Download) erworben, da anderweitig net komplett aufgefunden (lange genug nach den ganzen files rumgesucht). Brauchte auch den patch zum unlocken dazu (Frau hat das handy als Verlängerung bei vodafone.HU geschenkt bekommen und ich habs mir unter den Nagel gerissen ) Wollte es dann schnell unlocken und hab genausschnell Schotter gebaut dabei (überhudelte Aktion halt).
Dannach wollte ich gleich Alles auf einmal und das fand ich blos bei topsony mit "Erfolgs-Garantie". Das ging ja auch saugut Alles, aber leider hab ich mit einem der patch-files aus dem SET auch nen Trojaner mit käuflich "ergattert"....

Waren blos 5 Euros (per paypal) und gilt für 15 Tage download mit 75 MB pro Tag. Also find ich durchaus o.k. so und die haben echt ALLES dort und ist eine sehr schöne voll aufgeräumte WebSite. Ich war da schon oft und hab Handys wiederbelebt oder so geflasht oder unlocked, war immer o.k.. Die Spanier haben auch schon auf meine Mail reagiert, das file (trojanerfrei) ersetzt und sich entschuldigt. Na ja, ich bin da net so, is ja nix passiert und ich bin wieder um einen Trojaner "reicher"....

Klar hat der FF das cachefile kreiert, aber auf speziellen Befehl und exakte (verbotene) Strukturanweisung, dieses als HTML-Scriptvirus auszuführen. Heraus kam dabei ein Endlos-Loop, weil der FF (oder eventuell der ABP add-on) irgendwas geblockt hat. Aber die Quelle des Trojaners & Befehlgebers war eindeutig im geschützten Folder eingelagert und vermehrte sich auch (hab auch noch den "unlocker" verwendet, mit dem man jedes file killen oder freigeben usw. kann). Ich sah ja die Veränderungen jedesmal nach meinen zahlreichen Starts genau, aber nur deshalb, weil ich "read" und "write" zum killen (ich hatte alle Rechte aber egal) auf den Folder hatte.

"Wieso haste dann keine Sandbox mit der Malware gefüttert? Dann wüsstest du was die Malware genau macht. Aktuell weist du im Prinzip gar nichts. "

Na ja, mehr zu wissen kann nie schaden, deshalb. o.k. gut, was meinst du mit "Sandbox mit Mailware füttern". Sicher wäre es sehr hilfreich, im Falle einer Wiederholung eines solchen Problem-Prozesses das Geschehen genauestens per scriptlog zu sehen bspw., wenns sowas gibt.(oder wie meinst du das genau?) Ich bin halt gerne manuell unterwegs, weil es mich zwar nervt, aber wie gesagt ungemein reitzt, solche troubles aufzudecken.....verstehst....

hoffentlich schaut uns da stunny nicht zu bei der Virendiskussion...oOOOO ->

@stunny

was ist mit den Corsairs, wie läufts damit...

 

[Mr.Mito]

Das da nen Trojan DL drin war, ist echt nen starkes Stück². Hättest dir von den Leuten nen Gutschein als Entschädigung geben lassen sollen. *g*

Zur Sandbox:
Virustotal hat 2 sandboxen laufen, die du kostenlos (mit)nutzen kannst. Zum Thema Sandbox ansich: http://de.wikipedia.org/wiki/Sandbox

Also ne sichere Umgebung wo die Malware ausgeführt wird und geloggt wird, was genau sie macht.

Und ja, ich glaub Stunni bekommt nen Anfall. Er kann mir ja ein "Mr.*sinnvolles*OT" unter den Nick knallen.

PS:
Die Bezeichnung "HTML Scriptvirus" ist sogesehen Humbug (bzw. Auslegungssache). Es gibt insofern keine "HTML Scriptviren", da HTML keine Scriptsprache ist. Im Endeffekt wird nur mittels Javacode o.Ä. ein Browser Exploit ausgenutzt. Dein FF ist davon z.G. nicht betroffen, sonst hätte es anstatt eines "loops" malware geregnet oder es wären Daten gesendet/empfangen worden (oder Mails what ever ... ). Gibt auch Scriptviren die über nen Exploit dann z.B. auf deinen MS Messenger zugreifen und deine Kontakte auf dubiose Seiten locken.

EDIT:
Ich frage mich allerdings wieso die File überhaupt auf nen Browser Exploit "zugreifen" wollte. Ist ja Quark, da der Mist ja schon lokal vorhanden war und alles (mit deinen Rechten) hätte tun können. Also Sysfiles ändern, Mist nachladen usw.

 

[harzer_knaller]

kann Stunny das? (glaube nicht)

 

[stunned_guy]

Jungs, ruhig Blut, einfach nur wieder zum Thema zurück kehren

@ obarok
Habe keine weiteren Ergebnisse zu den Bh.5, bin auch nicht weiter dazu gekommen, sie zu testen, bin erst gerade wieder zuhause rein.

@ all
Was meint ihr zu LCB9E 0651 RPMW ? --> Opteron 170, den ich vor Ort kaufen kann.

 

[harzer_knaller]

einfach auf gut Glück kaufen

 

[stunned_guy]

Auf gut Glück kann teuer werden, denn die Auktion umfasst noch 2 GB RAM und ein DFI Ultra-D. Außerdem ist der HS schon entfernt worden, die CPU läuft dadurch 3 GHz @ 1,42 V @ Wakü stabil.

 

[harzer_knaller]

oh, das musst du auch sagen ^^

naja, die 2GB DDR1 Ram kannste bestimmt gut wiederverkaufen...
und das DFI eventuell auch oder eben behalten ^^

 

[Mr.Mito]

Auf gut Glück kann teuer werden, denn die Auktion umfasst noch 2 GB RAM und ein DFI Ultra-D. Außerdem ist der HS schon entfernt worden, die CPU läuft dadurch 3 GHz @ 1,42 V @ Wakü stabil.

Das ist nicht zufällig mein LCB9E 0651RPMW, oder?

EDIT:
Das hier war meiner:

 

[stunned_guy]

Keine Ahnung, ob es deiner ist. Was hattest du erreicht damit ?

 

[Techtrancer]

RPMW is ja FX oder gilt das nur für X2 ?

einerseits könntest ev auch warten bis ich ne antwort von dem händler bekomme ob er noch weitere LCBQE 0722RPAW hat!

andrerseits bringt das board und rams sicher auch für gutes geld an den mann

 

[mikey15682]

Moins!

Dann liegt es an deinem Netzteil. Bei Prime wird ja nur der CPU belastet, beim zocken kommt ja die Grafikkarte noch dazu. Je nachdem was du da für Graka hast kann es dann sein dass das Netzteil zu schwach ist. Gerade bei NoName Netzteilen...

hehe ja ne is klar ! netzteil ist ein coolermaster mit 600 watt denke ma nicht das es jetzt was besonderes ist aber nen no name ist es nun auch nicht! graka ist eine 8800 gts 640mb und mit single core läufts ja! habe so strom messgerät da zieht der bei belasten (bevor er ausgeht) maximal 380 watt mit den ganzen geräten! also geh ich nun mal davon aus das die cpu durch ist oder? besonders wenn man bedenkt das der single core mehr vcore brauch als der dual oder irre ich mich da irgendwie!
Hinzugefügter Post:

Du weist ja nun nicht einmal Ansatzweise wie der Trojaner gearbeitet hat, oder? Du hast höchstens ein paar Schattenkopien des Installers gefunden. ^^

@Techi:

Grats!

@mikey:

Dann kanns ja nur noch im BIOS die Shutdown Temp sein o.Ä.


@stunni:

OMG sind die Preise bei Ebay so heftig geworden. Ich ärger mich grad meine ganzen Schätzchen damals verkauft zu haben. Heute würden die viiiieeeelll Geld einspielen. Als die X2 für 38€ zu haben waren, war ich am überlegen noch nen paar zu kaufen und habs nicht gemacht ... ich Depp!

ich hab das ganze bios danach durchsucht finde aber so eine funktion nicht! ist ein asus a8nsli premium!

 

[Mr.Mito]

@Stunni:

Lass dir doch von ihm nen Foto vom IHS geben, dann weiste ob das meiner war/ist. Meiner lief 2813 @1,312V und 3030@1,408V (DFI / CPU-Z / WaKü ohne Mütze). Skalierte, wie man sieht, im "unteren" Bereich extrem mit Vcore, aber ab dann verliesen sie ihn. Der war "nichts besonderes" und wurde hier verkauft:

http://www.forumdeluxx.de/forum/showthread.php?t=433132&highlight=LCB9E

Prime Screens sind auch dort zu finden. Die beste "OC CPU", nach deinen Kriterium, also Vcore Ansprechverhalten, hoher Screen & Benchtakt war mit Abstand der LCB9E 0704XPMW. Der lief zwar mit 1,312V "nur" 2970 und mit 1,44V 3140, aber skalierte immer weiter nach oben. Austesten konnte ich den nicht einmal ansatzweise, weil mehr wie ~1,5V ja nicht möglich waren (11,31V ). Der ging auch hier im Forum weg.

Meine beste "default" CPU hat Techi abgesahnt. Aber ich würde meine Hand dafür ins Feuer legen, dass mit dem 0704er screen & benchstable mehr gegangen wäre.

EDIT: Bezieht sich auf die Opteron. Meine beste CPU war ein LCB9E 0633BPMW den ich aus 7 Stk rausgefischt habe. Das Teil lief 3100MHz@1,312V prime stable. Den hat der Norweger bekommen und bis heute keine Ergebnisse präsentiert.

@mikey:

Hab im BIOS des A8N SLI auf die schnelle auf nichts gefunden. Das die CPU defekt ist schließe ich aus. Du wirst das Teil eh wieder zurück bekommen oder einfach ne andere erhalten. Wenn ne CPU "ne Macke" hat, zeigt sich das anders und prime kannste dann erst recht knicken. Bei mir zickt irgend etwas anderes.

Welche Programm laufen denn bei dir im Hintergrund? Bevorzugt welche die auf Temperatursensoren zugreifen.

 

[Seewolf]

Der LCBQE kam grad


Leider nicht das DFI, da werde ich bis morgen warten müssen


Auf dem Asus fange ich nicht an, das packt keine 280 Mhz FSB Stable

 

[Techtrancer]

welcher LCBQE is es denn? *fg*

temps in wien wären grad phat fürs benchen geeignet.....in der nacht hatte es minusgrade.....

 

[Seewolf]

Ein LCBQE 0723 VPMW (von gbm31)

Rennt 2800 Mhz bei 1,2 Volt



Bild ist von gbm31

Mal gucken ob er 3,1 Ghz oder mehr mit 1,45V rennt

 

[Techtrancer]

ging ja flott!

na dann hau rein!

ich hab mir eben ein Be Quiet STRAIGHT POWER mit 700W (4x18A auf 12V!!!) vom MP per SK geholt.

denk damit werden noch ein par MHZ drinsein und die grafikkarte wird sich dmait hoffentlich auch noch anständig OC lassen

 

[Seewolf]

Ich weis nicht, ob ich ihn doch nicht in das Asus einbaue, ich kann glaube ich nicht bis morgen warten


BeQuiet ist ganz gut, nur die Kabel sind ein wenig storrisch (habe kein Kabelmanagement)

 

[Techtrancer]

das haben meine beiden seasonic auch nicht.

aber bei beiden is zusätzlich die 12+ leitung "relativ" schwach ausgelegt :-(

hat Bequiet zwei stromanschlüsse fürs floppy?
denn einen brauch ich ja fürs floppy und den zweiten fürs mobo

 

[mikey15682]

@Stunni:



@mikey:

Hab im BIOS des A8N SLI auf die schnelle auf nichts gefunden. Das die CPU defekt ist schließe ich aus. Du wirst das Teil eh wieder zurück bekommen oder einfach ne andere erhalten. Wenn ne CPU "ne Macke" hat, zeigt sich das anders und prime kannste dann erst recht knicken. Bei mir zickt irgend etwas anderes.

Welche Programm laufen denn bei dir im Hintergrund? Bevorzugt welche die auf Temperatursensoren zugreifen.

Also im hintergrund läuft nur antivir das wars! mal nen icq oder so! was könnte es denn sonst sein? board? hab ja da schon angerufen und die meinten es ist merkwürdig aber kann auch sein das ich vor 5 monaten b-ware bekommen habe! wenn alles nichts mehr hilf vertick ich alles und hol mir nen quad! kann doch nicht sein das single core läuft und dualcore nur probs macht! wie gesagt ich hab alles getauscht bis auf das board und die cpu! und dann sowas!

 

[stunned_guy]

Offtopic ?

@ Mito
Den User, der die CPU bei P3D gkauft hat, finde ich dort nicht. Edit: Der ist ja zur Zeit gesperrt
Der RPMW liegt zur Zeit bei ebay und der Verkäufer kommt aus Chemnitz, da ich den Prozzi dann auch abholen könnte.

Zum 0633 BPMW...ich frage mal den Norweger, was er damit erreicht hat. Prime macht der sowieso nie, nur CPU-Z.

 

[Mot]

Mein Straight Power 450W hat nur einen Floppy Anschluss

 

[Techtrancer]

is irgendwie ne marktlücke......

hab bisher noch keine adapter für floppy gefunden!

wenn ich meine EMU soundkarte in den pc reinschrauben würde, könnte es zu nem prob werden, denn dann bräucht ich sogar 3 solcher stromanschlüsse
eine fürs mobo, eine fürs floppy und einen für die soundkarte

 

[Seewolf]

So, der LCBQE ist im Asus, mal gucken was geht


EDIT:

Gleich mal mit 3028 Mhz ins Windows gebootet bei 1,35V

 

[stunned_guy]

Geht doch.
Standardspannung sollte mit CPU-Z ausgelesen 1,312 Volt sein...

Kannst du noch höher gehen mit Standardspannung ?

 

[Seewolf]

CPU-Z zeigt mit 1,36 V bei 1,35V im BIOS eingestellt.
Beim DFI wirds ja niedriger ausgelesen

Spannung geht bis 1,55V mit dem Board, hilft aber nix, da der FSB dicht macht, ab guten 280 Mhz


Bin bei 3055 Mhz, mal gucken was noch geht

 

[obarok_9]

@seewolf

komm, hau rein das Ding endlich von GBM31, ich versteh das nicht, bei mir würde der schon längst primeln, auch wenns blos aufm Asus ist. Auch darauf wird er seine 3080MHz laufen @1.425V (grobe Schätzung) bei nem 280erHT.... Was für ein NT hast denn du eigentlich?
ahhh, geil, hab blos net aktualisiert......geht doch schon mal 1A das Ding...

@stunny

den LCB9E 0651 RPMW würde gehen lassen (ausser er wär sehr günstig), an deinen LCBQE 0722 RPAW kommt der eh nie ran, wage ich mal zu sagen, hol lieber mal nen 4200+ Toledo mit LCBQE aus 2007...