Kris: Hartnäckiger Trojaner/Virus/Wurm (was auch immer) :/

Ich weiß nicht wie es dazu gekommen ist, aber mein Vater hat es mal wieder geschafft seinen kleien Laptop zuzumüllen ! Anbei hat er einen leckeren Virus/Wurm und ich habe noch keinen blassen Schimmer wie ich diesen beheben kann. Bisher musste ich schon gegen einige Sachen bestehen und habe dies auch immer erfolgreich getan. Spybot S&D - AdAware - RegCleaner und logischem Denkvermögen sei dank.

Nun steh ich aber vor einem richtigen Leckerbisschen scheinbar. Ich hab sogar wie dumm gegooglet und nur in einem französichen Forum was gefunden, was mir jedoch nicht wirklich weiterhelfen konnte. In deutschen Foren per google fand ich nur die gleiche Anfrage ohne jegliche Antwort.

Der Virus/Wurm/Trojaner lädt sich per Systemstart ein und erzeugt im Verzeichnis :
c:/Dokumente und Einstellungen/(Name)/Lokale Einstellungen/Temp
ständig ein paar nett viele tmp.exe Dateien. Sie lautet wie folgt :
~1.tmp.exe
~1.tmp
~2.tmp.exe
~2.tmp
... usw.
~1A.tmp.exe
~1A.tmp
... usw.
(löschen dieser Dateien bringt auch nicht viel, sie schreiben sich immer neu) ...
Wenn man per Task-Manager nicht schnell ignoriert und immer den letzten der Prozesse beendet, dann nimmt es kein Ende und der Speicher läuft sehr schnell über :/
Ich hatte schon eine Menge .exe Dateien im system32 Ordner gefunden und gelöscht, die ich als Trojaner/Spyware identifiziert habe.
In den Autostart laden sich teils auch seltsame Sachen neu ein und bei den Diensten erkenn ich noch folgendes :

Name : change me please
Beschreibung : this is it, you're dead
Status : GESTARTET
Autostarttyp : AUTOMATISCH
Anmelden als : LocalSystem

UND

ich weiß nicht ob es was damit zu tun hat ... aber der ersten Browser den ich nutzen will im Internet blockt, wenn ich nebenbei weitere IE Fenster öffne komme ich direkt durch ... sehr seltsam !

Kennt jemand das Problem ? Ideen ?

mfg

KRIS

  1. Γειά σου, Kris!

    Ich weiß nicht wie es dazu gekommen ist, aber mein Vater hat es mal wieder geschafft seinen kleien Laptop zuzumüllen ! Anbei hat er einen leckeren Virus/Wurm und ich habe noch keinen blassen Schimmer wie ich diesen beheben kann.

    Lecker? Wusste gar nicht, dass man Binärcode essen kann. ;-)

    [...]

    Nun steh ich aber vor einem richtigen Leckerbisschen scheinbar.

    Du machst mich hungrig. ;-)

    Der Virus/Wurm/Trojaner lädt sich per Systemstart ein und erzeugt im Verzeichnis :
    c:/Dokumente und Einstellungen/(Name)/Lokale Einstellungen/Temp
    ständig ein paar nett viele tmp.exe Dateien. Sie lautet wie folgt :
    ~[...]
    ... usw.
    (löschen dieser Dateien bringt auch nicht viel, sie schreiben sich immer neu) ...
    Wenn man per Task-Manager nicht schnell ignoriert und immer den letzten der Prozesse beendet, dann nimmt es kein Ende und der Speicher läuft sehr schnell über :/

    Wie äußert sich letzteres bei dir?

    Ich hatte schon eine Menge .exe Dateien im system32 Ordner gefunden und gelöscht, die ich als Trojaner/Spyware identifiziert habe.
    In den Autostart laden sich teils auch seltsame Sachen neu ein und bei den Diensten erkenn ich noch folgendes :

    Name : change me please
    Beschreibung : this is it, you're dead
    Status : GESTARTET
    Autostarttyp : AUTOMATISCH

    Nun, diese Einstellung sollte sich ja zu "Manuell" oder "Deaktiviert" ändern lassen. Und gleichzeitig solltest du den Dienst dann auch "Beenden" könne.

    Anmelden als : LocalSystem

    UND

    ich weiß nicht ob es was damit zu tun hat ... aber der ersten Browser den ich nutzen will im Internet blockt, wenn ich nebenbei weitere IE Fenster öffne komme ich direkt durch ... sehr seltsam !

    Ha! Dein Vater surft mit dem IE im Netz? Du weißt/Er weiß, dass dieser Unbrowser _das_ Einfallstor für Schädlinge aller Art ist?

    Ansonsten fällt mir auch nicht viel mehr ein, als den Rechner gründlich mit Schutzsoftware aller Art zu behandeln. Wenn das alles nicht hilft, in einen sauren Apfel beißen, ein Backup der persönlichen Daten anlegen, Windows neu aufsetzen und ab sofort Firefox benutzen.

    Αντίο!
    Sven aus Bonn

    --
    Ἀεὶ πάντα ῥεῖ.
    Selfcode: ie:% fl:( br:> va:} ls:[ fo:) rl:( n4:{ ss:| de:> js:| ch:) mo:} zu:) - Selfcode dekodieren - Selfcode-Info
    Athen rückt in Sichtweite. ;-)
    1. Wie äußert sich letzteres bei dir?

      Endlosschleife ... es werden immer mehr und mehr Dateien geschrieben und diese werden geöffnet ... Windows macht gar nix mehr und jede paar Minuten zeigt dir dein Task-Manager an das es immer mehr Prozesse sind ...

      Ich hatte schon eine Menge .exe Dateien im system32 Ordner gefunden und gelöscht, die ich als Trojaner/Spyware identifiziert habe.
      In den Autostart laden sich teils auch seltsame Sachen neu ein und bei den Diensten erkenn ich noch folgendes :

      Name : change me please
      Beschreibung : this is it, you're dead
      Status : GESTARTET
      Autostarttyp : AUTOMATISCH

      Nun, diese Einstellung sollte sich ja zu "Manuell" oder "Deaktiviert" ändern lassen. Und gleichzeitig solltest du den Dienst dann auch "Beenden" könne.

      so heisst der Dienst unter Eigenschaften !
      "C:\WINNT\sysdat.exe"
      Abschalten lässt er sich nicht ...
      und wenn ich ihn per Hand ausm Task-Manager stoppe, hört das System auf "irgendetwas" zu machen.
      Auf Manuell oder Deaktiviert zu stellen traue ich mich daher noch nicht so ganz ... und bin noch am überlegen was ich tun soll :/
      was ist wenn ich das System nicht mehr hochkriege ?

      Ha! Dein Vater surft mit dem IE im Netz? Du weißt/Er weiß, dass dieser Unbrowser _das_ Einfallstor für Schädlinge aller Art ist?

      Mein Vater ist aus der falschen Generation um zu wissen was der IE im Gegensatz zum feurigen Fuchs ist und wo die Unterschiede liegen. Mein Dad weiß denke ich nichtmal das der IE von Microsoft ist und ob er Bill Gates kennt, würde ich ebenfalls nicht bejahen ! Du merkst, meinem Dad ist es ziemlich egal was auf der Kiste drauf ist ... er weiß nur das sie von seiner Firma ist und laufen sollte ... da der Ihre IT Abteilung aber sogar zu doof ist einen Router zum laufen zu kriegen, übernehme ich das seit einiger Zeit. Wie gesagt ich habe keine Ahnung wie es zu diesem Debakel gekommen ist ... mein Tipp : mein kleiner Bruder der wohl auch keine Ahnung von sicheren Computern hat und so gern das ein oder andere downloadet (wie oft musste ich schon ICQ deinstallieren *grmL*)

      Ansonsten fällt mir auch nicht viel mehr ein, als den Rechner gründlich mit Schutzsoftware aller Art zu behandeln. Wenn das alles nicht hilft, in einen sauren Apfel beißen, ein Backup der persönlichen Daten anlegen, Windows neu aufsetzen und ab sofort Firefox benutzen.

      wie gerne würde ich das machen. Aber der Rechner gehört leider der Firma und ich glaube kaum das die es toll finden, wenn da ein neues Betriebssystem auf einmal draufliegt und die ganzen Netzwerkeinstellungen futsch sind (wobei ich kA habe wie der ihr Intranet funktioniert - noch nie mit auseinander gesetzt). Schutzsoftware ist schön gesagt, aber die nutzen auch ihre Firmen eigene Schutzsoftware die leider vollkommen für den Arsch und ohne Support ist ... ich sag nur : VShield ;/
      AV Win wäre mir auch lieber :)

      so long

      danke im Vorraus ... vllt. fällt uns noch was ein ...
      heute werde ich wohl kaum noch schauen können oder was probieren können, da ich die Kiste jetzt mit nach Hause nehmen werden und dort behandle (Frau wartet). Und ins Netz komm ich dank der "lieben" T-Com nicht, da die 1&1 meine Freischaltung partout noch nicht geschickt haben (nach über 1 Monat Wartezeit :/ )

      mfg

      KRIS

      1. Hi Kris,

        Endlosschleife ... es werden immer mehr und mehr Dateien geschrieben und diese werden geöffnet ... Windows macht gar nix mehr und jede paar Minuten zeigt dir dein Task-Manager an das es immer mehr Prozesse sind ...

        das hört sich böse an. Wenn schon automatisch exe-Dateien erstellt werden, muß man davon ausgehen, daß der Schädling auch andere böse Sachen machen kann, z. B. Code aus dem Internet nachladen und ausführen, Spam versenden, usw.

        Erstelle am besten mal ein Protokoll: http://sicher-ins-netz.info/analyse/hjt.html und poste es. Vielleicht sieht man da mehr.

        so heisst der Dienst unter Eigenschaften !
        "C:\WINNT\sysdat.exe"

        Prüfe diese Datei mal hier: http://www.virustotal.com/flash/index_en.html (oben rechts Datei wählen).

        Viele Grüße

        Jörg

      2. Hi

        so heisst der Dienst unter Eigenschaften !
        "C:\WINNT\sysdat.exe"
        Abschalten lässt er sich nicht ...
        und wenn ich ihn per Hand ausm Task-Manager stoppe, hört das System auf "irgendetwas" zu machen.
        Auf Manuell oder Deaktiviert zu stellen traue ich mich daher noch nicht so ganz ... und bin noch am überlegen was ich tun soll :/
        was ist wenn ich das System nicht mehr hochkriege ?

        sysdat.exe ist kein üblicher Windowsdienst ... ein kurzes Googlen danach zeigt, dass es von einem Wurm "Tilebot...irgendwas" stammt.

        Den Dienst solltest du getrost beenden und deaktivieren können. Du musst das System dabei ja nicht unbedingt neu starten. Danach solltest du diese "sysdat.exe" deaktivieren (löschen, unter quarantäne stellen, was auch immer).

        Wenn du dir in so einem Fall (wo du ja bereits einen der Übeltäter ausgemacht hast) nicht traust, die richtigen und vernünftigen Schritte zu unternehmen, bist du auch nicht gerade eine Leuchte. Und darüber lamentieren, dass du nicht AV Win hast, bringt auch nichts, denn der würde dir im Falle von bereits gestarteten Progrämmchen auch nicht weiterhelfen können, identifizieren ja, aber säubern sicher nicht.

        Nur noch zu deiner Notiz: Mit jedem Browser kann man sich Viren einfangen, wenn man zu blöd ist, sich vorsichtig genug im Internet zu bewegen.

        Und tschüss.
        Frank

        1. Hi,

          Nur noch zu deiner Notiz: Mit jedem Browser kann man sich Viren einfangen, wenn man zu blöd ist, sich vorsichtig genug im Internet zu bewegen.

          Nicht nur das. Mit einem ungepatchten Windows braucht man nicht mal einen Browser, um sich etwas einzufangen.

          Viele Grüße

          Jörg

  2. Windows Security Center.SP2Update: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\DoNotAllowXPSP2!=dword:0

    Windows Security Center.AntiVirusOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride!=dword:0

    Windows Security Center.FirewallOverride: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride!=dword:0

    Windows Security Center.FirewallDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=dword:0

    Windows Security Center.AntiVirusDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=dword:0

    Windows Security Center.UpdateDisableNotify: Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=dword:0

    --- Spybot - Search & Destroy version: 1.4  (build: 20050523) ---

    desweiterem findet Spybot S&B beim ständigen neutstarten immer wieder folgende Datenbankänderungen :(

    mfg

    KRIS

  3. Moin!

    Generell: Ein von Viren einmal befallenes System ist, nach Sicherung und sorgfältiger Prüfung der Nutzdaten (keine Programme zurücksichern, MS-Office-Junk nur noch mit dektiviertem VBA öffnen) _grundsätzlich_ neu zu installieren. Die Frage nach der Entfernung des Virus stellt sich also eigentlich nicht.

    Während die Installation rödelt und die Kiste 64 mal neu bootet (Es sollten auch sämtliche  Servivepacks und Sicherheitsupdates aufgespielt werden...) kann man sich Gedanken darüber machen, wie es zu dem Virenbefall kam. Im Zweifelsfall ... , naja, ich will es nicht tausend mal wiederholen, aber alternative Betriebssysteme und die Unkenntnis des Root-Passwortes helfen vorzubeugen.

    MFFG (Mit freundlich- friedfertigem Grinsen)

    fastix®

    --
    Als Freiberufler bin ich immer auf der Suche nach Aufträgen: Schulungen, Seminare, Training, Development