infiziertes Notebook.

**xandros** · 12.10.2009, 20:21

hab hier gerade ein Notebook in der Prüfung (per Teamviewer, weil das Ding etliche tausend Kilometer entfernt steht)

Superantispyware hat böse angeschlagen und folgendes Logfile erzeugt.
Anhang 11125

OS: Windows XP SP2 (mit Ausnahme des SP3 sind alle aktuellen Patches installiert!)

Welche weiteren Schritte sind hier sinnvoll.
Inzwischen hab ich schon den Smitfraud-Remover und Vundo-Fix im Einsatz....

**Leonixx** · 12.10.2009, 20:34

Hallo Kollege,

das sieht mehr als nur sehr mies aus. Der Rechner ist ja eine reine Virenschleuder. Bei deratigem Befall muss auf jeden Fall von einem Rootkit ausgegangen werden, das sämtliche Schädlinge nachgeladen haben. Per Teamviewer hast du wahrscheinlich auch keine Möglichkeit Combofix laufen zu lassen? Allerdings, auch wenn es wenig hilfreich ist, das System ist nicht zu retten. Sämtliche Schutzsystem sind mit Sicherheit ausgehebelt oder unterlaufen. Würde dem Besitzer nicht empfehlen, mit dem System noch irgendwelche Aktionen im Internet wie Mailaccount, Online Banking aufzuführen. Bin normalerweise geduldig aber hier sehe ich keinen Sinn. Systemdateien wurden mit Sicherheit auch in erheblichem Maße verändert. Würde mich auch nicht wundern wenn die DNS manipuliert ist.

Würde auch empfehlen den Router neu zu konfigurieren.

Er hat Datensammler auf dem Rechner. Da würde ich auch schleunigst Passwörter und Zugangsdaten ändern. Systemwiederherstellung wird höchstwahrscheinlich auch unterlaufen sein.

Selbst ich als erfahrener Virenjäger würde mein System sofort platt machen.

Hat derjenige eventuell ein funktionierendes Image?

**xandros** · 12.10.2009, 21:02

Werd mal versuchen Combofix laufen zu lassen....
Inzwischen sieht der Scan von Superantispyware deutlich besser aus.
Da sind lediglich noch zwei Einträge drin, die noch nicht behandelt wurden.

Code:

Trojan.Sino-PWS/Gen
Trojan.Dropper/Win-NV

mit den jeweiligen Zusatzzeilen entsprechend dem alten Log.
Sieht also schon nicht mehr ganz so grausam aus.....

Combofix hat natürlich die Teamviewer-Verbindung natürlich gekappt, aber da sitzt jemand vor Ort am Rechner, der die Verbindung nach Fertigstellung wieder herstellen kann....
Werd das Logfile dann gleich nachreichen...

edit: hier das Logfile (habs selbst noch nicht durchgesehen - also "speicherfrisch")
Anhang 11126

**Leonixx** · 12.10.2009, 21:06

Ob Superantispyware alles beseitigt hat, ist noch nicht gesagt. Würde mal den Rechner auch neustarten und neues Scan durchführen. Manche Schädlinge werden einfach wieder neugeladen. Wichtig ist auf jeden Fall ein Rootkit auszuschließen. Selbst wenn das System augenscheinlich sauber ist, müssen alle offenen Tore wieder geschlossen werden.

Was war der Grund für deine Fernwartung? Welche Auffälligkeiten gab es?

**Leonixx** · 12.10.2009, 21:14

C:\xucugerp.exe (Backdoor)
C:\whghxd.exe (würde ich mal prüfen)

Diese beiden Dateien nochmals prüfen bei Virustotal, wobei die erste ziemlich sicher ein Backdoor ist. Ist das Logfile komplett?

**xandros** · 12.10.2009, 21:15

Neustarts sind inzwischen 4 Stück erfolgt....
Auffällig war z.B. dass in der Taskleiste mehrfach ein roter Kreis mit weissem X angezeigt wurde, welches zum Kauf eines Antispyware-Tools aufgefordert hat.
Das hat den Eigentümer etwas stutzig gemacht und er hat direkt nach Hilfe gefragt.....
Die Dinger tauchen inzwischen nicht mehr auf...

Das Logfile ist komplett so, wie es auf seinem Bildschirm ausgegeben wurde - hab davon direkt eine Version gespeichert und mir rübergezogen...

**Leonixx** · 12.10.2009, 21:18

Aha, weiß er noch welche Software gekauft werden sollte? Empfehle noch Rogue Remover von Malwarebytes. Sollte noch Scareware vorhanden sein, kann man diese gut mit diesem Programm löschen. Habe ich in Tutorials gepostet.

**xandros** · 12.10.2009, 21:27

die obigen Dateien hab ich mal prüfen lassen.
xucugerp.exe wurde bei 11 Einträgen als bösartig gelistet....
SPR/Tool.Obfuscator.FL.114, Win32/Heur, (Suspicious) - DNAScan, und so weiter!

whghxd.exe wurde wie folgt eingestuft:
Trojan-Downloader.Win32.FraudLoad!IK, TR/Dldr.FraudLoad.ftv.5, Trojan/Win32.FraudLoad.gen, Fake_AntiSpyware.DSH, Trojan.Fakealert.4983 usw.

Welche Software gekauft werden sollte, war da nicht zu erkennen. Der Balloon hat nur mitgeiteilt, dass man ein Update herunterladen muss und die kostenpflichtige Software installieren soll, damit die Bedrohung beseitigt werden kann....
(da hat dann doch keiner drauf klicken wollen! das war dem Eigentümer schon zu suspekt!)

edit: der letzte Scan von Superantispyware hat nur noch 3 Tracking-Cookies gebracht, die von der letzten Internetsitzung stammen. Ansonsten keine Funde mehr!
Nebenbei scanne ich gerade zwei weitere Notebooks, wovon eines demletzt auch eine ähnliche Meldung bezüglich einem Rogueware-Remover gebracht hatte....
(mir kommt es vor, als wäre dort nicht nur eine Virenschleuder, sondern ein Brutplatz!)

**Leonixx** · 12.10.2009, 21:45

Ich denke mal das auf dem System schon länger verschiedene Schädlinge vorhanden waren. Aufgefallen ist es erst, als die Meldung in der Taskleiste erschien. Beim ersten Nokebook auf jeden Fall mal Rogue Remover durchlaufen lassen. Auch speziell z.B. AntiSpyware testen. Zusätzlich auf jeden Fall auch Malwarebytes durchrennen lassen. Das Proggi kann noch weitere Schädlinge desnfizieren. Wie man sieht ist der Rechner noch lange nicht sauber. Superantispyware ist hier schon ausgereizt.

**xandros** · 12.10.2009, 22:45

So. Malwarebytes hat dann auch noch etwas entdeckt....

Code:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2948
Windows 5.1.2600 Service Pack 2

12.10.2009 18:41:19
mbam-log-2009-10-12 (18-41-19).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 139093
Laufzeit: 21 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\cbsd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\e4u.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\exerev.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\ic6.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\ctfmon.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.

Rogue Remover wird nach dem Neustart auf den Rechner angesetzt....

edit: Rogue Remover ohne Befund!

Sie betrachten gerade: infiziertes Notebook.