infiziertes Notebook.

Diskutiere infiziertes Notebook. im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; hab hier gerade ein Notebook in der Prüfung (per Teamviewer, weil das Ding etliche tausend Kilometer entfernt steht) Superantispyware hat böse...

  1. #1 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    hab hier gerade ein Notebook in der Prüfung (per Teamviewer, weil das Ding etliche tausend Kilometer entfernt steht)

    Superantispyware hat böse angeschlagen und folgendes Logfile erzeugt.
    Den Anhang 11125 betrachten

    OS: Windows XP SP2 (mit Ausnahme des SP3 sind alle aktuellen Patches installiert!)

    Welche weiteren Schritte sind hier sinnvoll.
    Inzwischen hab ich schon den Smitfraud-Remover und Vundo-Fix im Einsatz....
     

    Anhänge:

    • LOG.txt
      Dateigröße:
      33,9 KB
      Aufrufe:
      28
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hallo Kollege,

    das sieht mehr als nur sehr mies aus. Der Rechner ist ja eine reine Virenschleuder. Bei deratigem Befall muss auf jeden Fall von einem Rootkit ausgegangen werden, das sämtliche Schädlinge nachgeladen haben. Per Teamviewer hast du wahrscheinlich auch keine Möglichkeit Combofix laufen zu lassen? Allerdings, auch wenn es wenig hilfreich ist, das System ist nicht zu retten. Sämtliche Schutzsystem sind mit Sicherheit ausgehebelt oder unterlaufen. Würde dem Besitzer nicht empfehlen, mit dem System noch irgendwelche Aktionen im Internet wie Mailaccount, Online Banking aufzuführen. Bin normalerweise geduldig aber hier sehe ich keinen Sinn. Systemdateien wurden mit Sicherheit auch in erheblichem Maße verändert. Würde mich auch nicht wundern wenn die DNS manipuliert ist.

    Würde auch empfehlen den Router neu zu konfigurieren.

    Er hat Datensammler auf dem Rechner. Da würde ich auch schleunigst Passwörter und Zugangsdaten ändern. Systemwiederherstellung wird höchstwahrscheinlich auch unterlaufen sein.

    Selbst ich als erfahrener Virenjäger würde mein System sofort platt machen.

    Hat derjenige eventuell ein funktionierendes Image?
     
  4. #3 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Werd mal versuchen Combofix laufen zu lassen....
    Inzwischen sieht der Scan von Superantispyware deutlich besser aus.
    Da sind lediglich noch zwei Einträge drin, die noch nicht behandelt wurden.

    Code:
    Trojan.Sino-PWS/Gen
    Trojan.Dropper/Win-NV
    mit den jeweiligen Zusatzzeilen entsprechend dem alten Log.
    Sieht also schon nicht mehr ganz so grausam aus.....

    Combofix hat natürlich die Teamviewer-Verbindung natürlich gekappt, aber da sitzt jemand vor Ort am Rechner, der die Verbindung nach Fertigstellung wieder herstellen kann....
    Werd das Logfile dann gleich nachreichen...

    edit: hier das Logfile (habs selbst noch nicht durchgesehen - also "speicherfrisch")
    Den Anhang 11126 betrachten
     

    Anhänge:

  5. #4 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ob Superantispyware alles beseitigt hat, ist noch nicht gesagt. Würde mal den Rechner auch neustarten und neues Scan durchführen. Manche Schädlinge werden einfach wieder neugeladen. Wichtig ist auf jeden Fall ein Rootkit auszuschließen. Selbst wenn das System augenscheinlich sauber ist, müssen alle offenen Tore wieder geschlossen werden.

    Was war der Grund für deine Fernwartung? Welche Auffälligkeiten gab es?
     
  6. #5 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    C:\xucugerp.exe (Backdoor)
    C:\whghxd.exe (würde ich mal prüfen)

    Diese beiden Dateien nochmals prüfen bei Virustotal, wobei die erste ziemlich sicher ein Backdoor ist. Ist das Logfile komplett?
     
  7. #6 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Neustarts sind inzwischen 4 Stück erfolgt....
    Auffällig war z.B. dass in der Taskleiste mehrfach ein roter Kreis mit weissem X angezeigt wurde, welches zum Kauf eines Antispyware-Tools aufgefordert hat.
    Das hat den Eigentümer etwas stutzig gemacht und er hat direkt nach Hilfe gefragt.....
    Die Dinger tauchen inzwischen nicht mehr auf...

    Das Logfile ist komplett so, wie es auf seinem Bildschirm ausgegeben wurde - hab davon direkt eine Version gespeichert und mir rübergezogen...
     
  8. #7 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aha, weiß er noch welche Software gekauft werden sollte? Empfehle noch Rogue Remover von Malwarebytes. Sollte noch Scareware vorhanden sein, kann man diese gut mit diesem Programm löschen. Habe ich in Tutorials gepostet.
     
  9. #8 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    die obigen Dateien hab ich mal prüfen lassen.
    xucugerp.exe wurde bei 11 Einträgen als bösartig gelistet....
    SPR/Tool.Obfuscator.FL.114, Win32/Heur, (Suspicious) - DNAScan, und so weiter!

    whghxd.exe wurde wie folgt eingestuft:
    Trojan-Downloader.Win32.FraudLoad!IK, TR/Dldr.FraudLoad.ftv.5, Trojan/Win32.FraudLoad.gen, Fake_AntiSpyware.DSH, Trojan.Fakealert.4983 usw.

    Welche Software gekauft werden sollte, war da nicht zu erkennen. Der Balloon hat nur mitgeiteilt, dass man ein Update herunterladen muss und die kostenpflichtige Software installieren soll, damit die Bedrohung beseitigt werden kann....
    (da hat dann doch keiner drauf klicken wollen! das war dem Eigentümer schon zu suspekt!)

    edit: der letzte Scan von Superantispyware hat nur noch 3 Tracking-Cookies gebracht, die von der letzten Internetsitzung stammen. Ansonsten keine Funde mehr!
    Nebenbei scanne ich gerade zwei weitere Notebooks, wovon eines demletzt auch eine ähnliche Meldung bezüglich einem Rogueware-Remover gebracht hatte....
    (mir kommt es vor, als wäre dort nicht nur eine Virenschleuder, sondern ein Brutplatz!)
     
  10. #9 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ich denke mal das auf dem System schon länger verschiedene Schädlinge vorhanden waren. Aufgefallen ist es erst, als die Meldung in der Taskleiste erschien. Beim ersten Nokebook auf jeden Fall mal Rogue Remover durchlaufen lassen. Auch speziell z.B. AntiSpyware testen. Zusätzlich auf jeden Fall auch Malwarebytes durchrennen lassen. Das Proggi kann noch weitere Schädlinge desnfizieren. Wie man sieht ist der Rechner noch lange nicht sauber. Superantispyware ist hier schon ausgereizt.
     
  11. #10 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    So. Malwarebytes hat dann auch noch etwas entdeckt....
    Code:
    Malwarebytes' Anti-Malware 1.41
    Datenbank Version: 2948
    Windows 5.1.2600 Service Pack 2
    
    12.10.2009 18:41:19
    mbam-log-2009-10-12 (18-41-19).txt
    
    Scan-Methode: Vollständiger Scan (C:\|D:\|)
    Durchsuchte Objekte: 139093
    Laufzeit: 21 minute(s), 45 second(s)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 5
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\cbsd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\e4u.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\exerev.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\ic6.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\ctfmon.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
    
    Rogue Remover wird nach dem Neustart auf den Rechner angesetzt....

    edit: Rogue Remover ohne Befund!
     
  12. #11 Leonixx, 13.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aha, da ist das Rootkit, dass ich schon vermutet habe. Der Rechner besteht fast nur aus Schädlingen. Würde mir echt überlegen nicht neu zu installieren. Bin mir ziemlich sicher das viele Tore durch den Rootkit geöffnet wurden. Ob die Firewall noch funktioniert ist fraglich. Wie sieht es eigentlich mit Zugriff auf Windowssystemdateien aus? z.B. System Volume Informationen. Häufig wird der Zugriff verweigert, da hier die Schädlinge den Zugriff gesperrt haben.

    Würde auch nochmal Blacklight durchlaufen lassen, um zu sehen ob noch weitere Rootkits sich breit gemacht haben.
     
  13. #12 xandros, 13.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Firewall scheint dicht zu sein. Ein Portscan hat lediglich Port 80 als offen gemeldet, was ja auch ok ist. (wundert mich zwar etwas, aber ich nehms mal so hin!)
    Der Zugriff auf die Systemdateien funktioniert auch sauber. Das Benutzerkonto hat nur eingeschränkte Rechte (abgespeckte Adminrechte, aber besser als gar keine Einschränkungen) und darf daher auch nicht auf alle Systemdateien zugreifen. Aber das Administratorkonto hat keine Zugriffsprobleme.

    Blacklight kann ich erst im Laufe der Woche irgendwann mal ausführen, da der Rechner nicht permanent Zugang zum Internet hat.
    (Im Moment lässt sich Windows zumindest mal wieder ordentlich schnell starten und auch alle benötigten Programme normal verwenden...)
     
  14. #13 Leonixx, 13.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Wie hat es eigentlich mit den Internetseiten ausgesehen. Wurde er umgeleitet, so dass er auf anderen Seiten gelandet ist, wenn er eine url eingegeben hat? Da wäre zumindest mal zu prüfen, ob der Router nicht sicherheitshalber auf Werkseinstellungen zurückgesetzt und neu konfiguriert wird. Würde ich auf jeden Fall empfehlen.

    Das Windows jetzt wieder besser läuft ist keine Wunder bei der massiven Überschwemmung mit Schädlingen. Allerdings bin ich mir sicher, dass der Rechner noch Schädlingsreste hat. Frage mich nur wie man so eine derartige Auswahl von Schädlingen ansammeln kann? Da hat schon länger ein Rootkit sein Unwesen getrieben. Auf jeden Fall auch mal nach weiteren Einfallslücken suchen (Software aktualisieren).

    Eigentlich ist es so das zuerst die Scarware ein kleines Programm auf den Rechner schleust, dass diesen Alarm erzeugt. Eigentlich ist erstmal kein echter Schädling an Board.
    Erst wenn man auf den Link klickt, werden Backdoors nachgeladen.
     
  15. #14 xandros, 13.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Der betroffene Rechner läuft nicht über Router, sondern verwendet normalerweise ein USB-Stick eines kanadischen Telefonanbieters.
    Umleitungen bei Webseitenaufrufen haben nicht stattgefunden. Avira hat nur schlagartig verschiedene Dateien angemeckert und in Quarantäne verschoben. Der Systemstart hat (beinahe von jetzt auf gleich) ewig lang gedauert. Und dann waren eben diese Taskleistensymbole aufgetaucht, von dem Prozess, der auf irgendeine Internetseite leiten wollte und den Kauf eines (mit an Sicherheit grenzender Wahrscheinlichkeit) absolut nutzlosen Beseitigungstools vorgeschlagen hat. Ansonsten hat sich die Maschine verhalten und verwenden lassen wie sonst auch..... einzige Ausnahme war ein HP-Druckertreiber, der sich nicht installieren liess und ein Programm, über das die Tagesberichte unterwegs erfasst werden. Die beiden Probleme sind jetzt auch erledigt - beides funktioniert nun!

    Ich vermute mal, dass sich diese Masse an Schädlingen einnisten konnte, weil die Windows-Firewall nicht wirklich dicht war und auf dem Rechner auch desöfteren Videos als Stream gelaufen sind (ähnlich wie hier bei Maxdome z.B. - Film bezahlen und dann ansehen als Webstream! Weiss der Geier, ob da nicht schon die Server des Anbieters befallen waren - man kann ja nichts ausschliessen!)
    Zumindest waren mal keine Programme/Programmreste vorhanden, die auf die gängigen Schädlingsquellen (Torrent usw.) hindeuten würden. (Und jemand, der den Rechner nur benutzen kann, aber sonst keinen Plan hat, bekommt davon mit Sicherheit nicht alle Spuren beseitigt!)

    Eine Neuinstallation kommt im Moment nicht in Frage, da sich der Eigentümer damit absolut nicht auskennt und die Originalversion des Betriebssystems auf einer anderen Festplatte (Recovery-Partition) liegt. Ich hab ihm die ursprüngliche Platte (160GB) gegen eine 500GB-Platte ausgetauscht und sein altes System über Acronis True-Image darauf gezogen. Die Recovery-Partition haben wir uns aber gespart, weil ja das letzte Image auf der alten Platte noch existiert und davon eine weitere Kopie angelegt wurde. Der Eigentümer will aber - wegen purer Ahnungslosigkeit - selbst kein Risiko eingehen und das vorhandene Image nicht allein aufspielen.... Über Fernwartung ist das ja auch nicht unbedingt machbar! Darum werd ich mich dann vor Ort kümmern, sobald ich mal dahin komme (Vielleicht schon über Weihnachten?)
    Immerhin hat er direkt über einen normalen PC sämtliche Passwörter von eMail-Konten, Onlinebanking etc. geändert, damit dabei nichts passieren kann.

    Die anderen beiden Rechner, die ich nebenbei noch gecheckt habe, waren dann doch nicht infiziert, da war nur etwas viel Müll drauf, was sehr schnell beseitigt werden konnte. Die beiden Notebooks hängen auch hinter einem Router, dessen Firewall dicht ist. War insgesamt eine 6 Stunden Session über TeamViewer und Skype.... lustige Angelegenheit!

    Vom Eigentümer des betroffenen Notebooks aus besten Dank für die prompten Infos, weil sich dadurch der Rechner wenigstens wieder für die wichtige Arbeit unterwegs verwenden lässt....
     
  16. #15 Leonixx, 13.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ok, hört sich ganz vernünftig an, dass er nicht das Image draufspielt, wenn er nicht viel Ahnung hat. Da kann er mehr kaputt machen als reparieren. Über Videostream infizieren sich auch viele Rechner, da die Dateien zwischengespeichert werden und wenn dann kein aktuell gepatchter Player benutzt wird, steht dem Schädling die Tür offen.

    Wichtig war auf jeden Fall die Passwörter zu wechseln.
     
  17. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  18. #16 xandros, 13.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    26.070
    Zustimmungen:
    109
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    mist! den vlc wollte ich noch updaten!!!
    wird dann auch erst im laufe der Woche gehen....
     
  19. #17 Leonixx, 13.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.904
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ja ist wichtig da VLC vor kurzem Sicherheitslücken hatte.
     
Thema: infiziertes Notebook.
Die Seite wird geladen...

infiziertes Notebook. - Ähnliche Themen

  1. Empfehlung - ASUS Notebook

    Empfehlung - ASUS Notebook: Hallo, Ein Bekannter möchte mir sein leicht verbrauchtes Asus x44h anbieten. Das scheint aber nicht ein EU Modell zu sein. Worauf soll ich...
  2. Neues Notebook für die Arbeit gesucht

    Neues Notebook für die Arbeit gesucht: Guten Tag, ich beginne bald mit meinem Dualen-Studium und möchte mich deswegen von meinem Dell-Laptop (7 Jahre verwendet) trennen und mir ein...
  3. Convertible Notebook Kaufberatung

    Convertible Notebook Kaufberatung: Hallo Ich suche ein Convertible Notebook. Unverzichtbar dabei wäre: -15 Zoll -1 TB HDD -Core i5 (7. Gen) -8 GB RAM -IPS Full-HD...
  4. Notebook-Anbieter Schenker Technologies GmbH, empfehlenswert ?

    Notebook-Anbieter Schenker Technologies GmbH, empfehlenswert ?: Hallo, Die Anschaffung eines neuen Laptops steht an. Während eines Besuchs im Saturn pries man mir ein XMG-Gaming-Notebook der Firma Schenker...
  5. Notebook Entscheidungshilfe

    Notebook Entscheidungshilfe: Hallo, Ich hoffe ihr könnt mir weiterhelfen. Ich habe hier 3 notebooks zur Auswahl, da meine Hardware Kenntnisse allerdings begrenzt sind, bitte...