Hallo Boardgemeinde,

seit ungefähr 4 Wochen werde ich von einem unheimlichen Trojaner, Virus oder was auch immer heimgesucht. Bis dato reichte es, eure Arbeiten zu durchsuchen , stets eine kompetente Lösung gefunden. Nun bin ich selbst an der Reihe.

Die Fakten:

Der bzw. die Rechner waren mit Kaspersky IS 6.0 gesichert. Durch puren Zufall viel mir bei meinem Router Netgear ( Firewall gesichtert / alle MS-Updates etc.) auf, das dieser ständig lief. Auf keinem der Rechner ( 4 Stk.) war ich jedoch online.. Nachdem ich einen SQL-Server ausmachen konnte, woher der stammt ist mir ein Rätsel, wurden sofort alle rechner geblockt und gescannt. Wie lange der Server schon lief k.A. KS 6.0 jedenfalls zeigte keinerlei Symtome eines befallenen Rechners. Am nächsten Tag allerdings der erste Rechner, dieser wurde langsamer und langsamer. Virusupdates verliefen vermeindlich immer ohne Probleme. Sie erschienen allerdings auf den 2.Blick sehr kurz. Es stellte sich herraus, dass kein Update mehr erfolgte ! Virtueller Bildschirm. Stattdessen wurden mir die Adminrechte bei jedem Rechner entzogen und die Platten gestreamt.

Da KS 6.0 nicht reagierte, was tun. 1.Rechner formatieren. Hatte ja backup's.2.,3. etc, das gleiche Spiel. Was nicht auffiel, war das der besagte Virus/ Trojaner immer noch trotz Formatierung auf dem Rechner war. Also waren die Backup's nach 2 tagen sammt portablen Platten auch hin. Was nun.

Alle Platten und Rechner mit boot and nuke überschrieben. Entweder mit autonuke oder gutmann-Methode. Das sollte es jetzt sein. Alle Rechner wieder mit natürlich Orginal-XP-CD bestückt.

Ergebnis nach dem ersten Update: Rechner wieder befallen !!!

Ich war derweil bei der Krminalpolizei ( wollen ja ordentlich bleiben / " Da ist nix" ) bis zu guter Letzt.

Jetzt nochmal bei Kaspersky und C't ( p.s. Grüße an Danieln B. / Festplatte kommt ). Die waren die Ersten und Einzigen die helfen wollen.

Bei den anderen darf man erst Geld zahlen ( ich dachte immer das wäre im Preis der Software mitdrin ) - Schöne Grüße an McAffee und Norton oder kein Service ist auch ein Service. Wenn ich mailen könnte, hätte ich keine Probleme..

So ein Telefon ist schon was Feines. Das muß einfach mal zu diesem Thema gesagt werden, der kleine User ist der Trottel der Nation.

Also wieder das Spiel von vorne. Mittlerweile war ich innerlich schon 2 x irre.

Die Symptome:

Rechner werden gestartet in den Diensten, mit einem First in/ First Out ( FIFO-Baustein )

Der Rechner wird in den NT-Diensten kurzerhand umkofiguriert, und die Admin-Rechte werden entzogen. Die bestehende Vierensoftware wird entweder beim Download oder bei der Installation verändert bzw. instabil konfiguriert. Was folgt ist ein upstream der Platten bis aufs Letzte.

Ich hoffe Ihr habt jetzt einen kleinen Einblick bekommen. Es wurde mittl. jede gängige Virensoftware installiert ( natürlich einzeln ).

Sollte es sich hierbei, um einen der ersten größeren Rootkits handeln, na dann Herzlichen Glückwunsch. Installationsfehler sind anhand von Checklisten ausgeschlossen, genauso gilt das für Hardwarefehler. Mittlerweile ist sogar ein neuer Rechner angschafft. Dieser zeigt schon ähnliche Symptome.

Was noch interessant ist, der Virus / Trojaner arbeitet im Flash-Bereich und versteckt sich häufig im PCHEALTH-File. Dies kann aber auch wechsel, sollte die Dateien gelöscht, gebrannt oder bewußt verändert werden. Er/Es ist lernfähig und schaltet Virensoftware nach mehrmaligem Benutzten ab. Klemmt den Rechner vom Netz und gönnt sich ein Upstream nach dem Anderen. Mein Sohn meint es könnte ein Tamagotschi sein. ( Humor nicht verlieren)

Zu guter Letzt: Nichts ist wie es scheint. 5 x schlugen die eine oder andere Software an, alle Tools wurden probiert. Alles Fehlmeldungen.

Vielleicht bin ich ja schon betriebsblind und ihr nicht: Schaut's Euch an..

Melde mich auf jeden Fall wieder bzw. arbeite jetzt nochmal mit einer Empfehlung an dem Ding...

Mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 18:40:11, on 20.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\PROGRA~1\McAfee\MSC\mctskshd.exe
C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\PROGRA~1\McAfee\MPS\mps.exe
C:\Programme\McAfee\MPS\mpsevh.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\MSK\MskAgent.exe
C:\WINDOWS\System32\ctfmon.exe
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\SiteAdvisor\SiteAdv.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\programme\mcafee\msc\mcshell.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\SiteAdv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\programme\mcafee\virusscan\scriptsn.dll
O2 - BHO: CPub Object - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - c:\programme\mcafee\mps\mcpopup.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\SiteAdv.dll
O4 - HKLM\..\Run: [MskAgentexe] C:\Programme\McAfee\MSK\MskAgent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\PROGRA~1\GEMEIN~1\McAfee\EmProxy\emproxy.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Programme\Gemeinsame Dateien\McAfee\HackerWatch\HWAPI.exe
O23 - Service: McAfee Log Manager (McLogManagerService) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mclogsrv.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\redirsvc\redirsvc.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Task Scheduler (mctskshd.exe) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mctskshd.exe
O23 - Service: McAfee User Manager (mcusrmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcusrmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Privacy Service (MPS9) - McAfee, Inc. - C:\PROGRA~1\McAfee\MPS\mps.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee Inc. - C:\Programme\McAfee\MSK\MskSrver.exe


Den 2. Logfile (wesentlich genauer von Kasperski / FindtrojanerInfo ) , schicke ich gerne zu. Dieser ist aussagekräftiger als der hier oben.


Vielen Dank im Vorraus für alle die helfen wollen und können. Brauche keinen Trost oder Besserwisser, habe von denen in den letzten 2 Wochen reichlich erlebt.


Greetz

Fidesta

@fidesta

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Sorry, vllt. habe ich in deinem Posting deine 10 guten Gründe verlesen, warum du keinen SP2 (auch nicht einmal SP1 ) installiert hast, aber: die Logs ohne SP2 schaue ich nicht durch, da ich dies für völlig sinnfrei halte.
PS: Wenn du weiterhin ohne SP2+nachfolgende Patches surfen wirst, wünsche ich dir viel Spaß beim täglichen Neuaufsetzen des Betriebssystems .

Zitat:

Zitat von Rene-gad

@fidesta

Sorry, vllt. habe ich in deinem Posting deine 10 guten Gründe verlesen, warum du keinen SP2 (auch nicht einmal SP1 ) installiert hast, aber: die Logs ohne SP2 schaue ich nicht durch, da ich dies für völlig sinnfrei halte.
PS: Wenn du weiterhin ohne SP2+nachfolgende Patches surfen wirst, wünsche ich dir viel Spaß beim täglichen Neuaufsetzen des Betriebssystems .

Unsinn!

Habe ebenfalls SP1 und musste in den letzten 3 Jahren erst ein mal neu aufsetzen. Diejenigen die sich hier die Klinke in die Hand geben haben fast alle SP2 (95 %).

Zitat:

Zitat von Rene-gad

@fidesta

Sorry, vllt. habe ich in deinem Posting deine 10 guten Gründe verlesen, warum du keinen SP2 (auch nicht einmal SP1 ) installiert hast, aber: die Logs ohne SP2 schaue ich nicht durch, da ich dies für völlig sinnfrei halte.
PS: Wenn du weiterhin ohne SP2+nachfolgende Patches surfen wirst, wünsche ich dir viel Spaß beim täglichen Neuaufsetzen des Betriebssystems .

Ola,

genau solch ein Antwort habe ich erwartet ! :-(


Wer lesen kann, ist klar im Vorteil.

Das habe ich nicht nur 5-7mal gemacht. Leider ist meine Ausführung nur sehr kurz, länger Beiträge sind nicht zugelassen.

Nochmal:

a) Rechner geht nicht ins Netz !
b) Virus kommt durch einen FIFO !
c) Rest siehe oben...

greetz

fidesta


P.S.: FIFO-Baustein = First In - First OUT

Hallo,

Zitat:

Zitat von fidesta

Alle Platten und Rechner mit boot and nuke überschrieben. Entweder mit autonuke oder gutmann-Methode. Das sollte es jetzt sein. Alle Rechner wieder mit natürlich Orginal-XP-CD bestückt.

Ergebnis nach dem ersten Update: Rechner wieder befallen !!!

Du musst den Rechner vor der ersten Internet Verbindung updaten, alles andere führt zu den von Dir geschilderten Aktionen.

Gruß

Schrulli

@fidesta

Zitat:

Das habe ich nicht nur 5-7mal gemacht.

Dann machst du etwas falsch.

Zitat:

Leider ist meine Ausführung nur sehr kurz, länger Beiträge sind nicht zugelassen.

Hmm, dein Beitrag ist nicht der kürzeste, allerdings: die Größe 'nes Beitrags ist, zumindest administrativ, nicht begrenzt.

Zitat:

P.S.: FIFO-Baustein = First In - First OUT

Ach was?! Ich dachte, du hast die Abkürzung <<FIFA>> falsch geschrieben.

Zitat:

Zitat von Nada01

Habe ebenfalls SP1 und musste in den letzten 3 Jahren erst ein mal neu aufsetzen

Man kann auch auf 'nen Igel mit den nackten A... hinsetzen - wenn's Spaß macht.
SCNR

Zitat:

Zitat von Nada01

[/B]

Unsinn!

Habe ebenfalls SP1 und musste in den letzten 3 Jahren erst ein mal neu aufsetzen. Diejenigen die sich hier die Klinke in die Hand geben haben fast alle SP2 (95 %).

Ich hoffe Mal für Dich, dass der Kommentar ironisch gemeint war...


Wie gesagt, probier doch bitte dieses Dings, dieses SP2. Vielleicht geht es dann eventuell.

Hallo,

Zitat:

Ich hoffe Mal für Dich, dass der Kommentar ironisch gemeint war...

Glaub ich nicht.....
"Nada01" ist von Haus aus merkbefreit...
Gott sei Dank ist die "Ignore-Liste" noch aufnahmefähig....
Hiermit wird sie um einen weiteren User erweitert.
Irrlicht

Ola,

übrigens mit Sp2, SP1 oder oder. das ding hängt auf der Platte und läßt sich auch nicht überschreiben, hat jetzt einer eine schlaue Idee?

Meine SP-weiß-ich-was-Freunde...


greetz

Fidesta

Zitat:

Zitat von fidesta

Ola,

übrigens mit Sp2, SP1 oder oder. das ding hängt auf der Platte und läßt sich auch nicht überschreiben, hat jetzt einer eine schlaue Idee?

Meine SP-weiß-ich-was-Freunde...

Hallo,

dann machst du irgendwas falsch !!!

Eine neue Installation, richtig gemacht, mit der Installation des SP2 und allen anderen Updates vor dem ersten Gang ins Internet, absicherung des Systems durch schliessen der größten Sicherheitslücken sollte keinesfalls einen neuen Schädling hervorrufen!

Entweder:

1.) du hast "wieder" eine der unzähligen Crackseiten besucht
2.) eine bescheidene Email geöffnet
3.) Software wieder installiert die "kompromittiert" ist/war
4.) oder aber das Internet besucht vor allen Updates

abgesehen davon,

Zitat:

übrigens mit Sp2, SP1 oder oder. das ding hängt auf der Platte und läßt sich auch nicht überschreiben, hat jetzt einer eine schlaue Idee?

Meine SP-weiß-ich-was-Freunde...

..das hört sich gerade zu danach an, als würdest du uns die Schuld an deinen Problemen geben

Wie man die Platte richtig formatiert sowie entpartitioniert solltest du nochmals nachlesen..

Gruß

Hi, @ all!
Nur mal kurz eingemischt:
Habt Ihr schon mal an sowas gedacht?
Gruß
cacatoa

Mal drei Fragen:

1. Du sagst die Platte würde gestreamt. Wohin?

2. Ist physischer Zugriff auf die Rechner ausgeschlossen und wie sieht es mit Zugriff über das Netzwerk aus?

3. Zeigen sich die Symptome auch noch nachdem die BIOSse sämtlicher beteiligter Rechner geflasht, alle Platten einer Low-Level-Formatierung unterzogen wurden und dann die Systeme mit garantiert sauberen Installationsmedien neu aufgesetzt wurden (ohen gesicherte Daten wieder einzuspielen)?