Guten Tag,

ich habe ein Problem auf dem Rechner meiner Mutter, auf den ich wegen der großen Entfernung nur über VNC Zugriff habe. Ich selbst habe einen Mac und kenne mich mit Windows nur eingeschränkt aus.

Meine Mutter hat Windows XP.
Seit etwa zwei Wochen kann Sie das Internet kaum noch benutzen, da sich innerhalb kurzer Zeit immer wieder Browserfenster öffnen, mit dubiosen Werbeinhalten, Casinoseite, alberen Preisrätsel etc.
Das passiert sowohl beim IE als auch beim Firefox, den ich versuchsweise installiert habe. Allerdings scheint es so, als würde das Problem nur in einem Benutzerkonto auftreten.

Im Augenblick lasse ich ein frish installiertes Antivir laufen und es wurden schon 6 Trojaner gefunden. Bisher hatte ich kein Antivirenprogramm drauf, da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.

HJT habe ich auch schon laufen lassen. Es wurde nichts böses entdeckt.
Lediglich die IE Version wurde als "zu alt" erkannt.

Welche Maßnahmen könnt Ihr mir empfehlen.
Um eine Neusintallation möchte ich möglichst herumkommen, da ich ich meiner Mutter mit relativ viel Aufwand eine Arbeitsumgebung hergestellt habe, die sie unbedingt braucht. Außerdem geht das aus der Ferne natürlich nicht.

Danke im Voraus und Gruß
maceis

Oh...die Bereinigung wird sehr schwierig, da du das alles auch noch über VNC machen musst. Oder hast du physischen Zugriff auf die Kiste?
Poste erstmal die genauen Namen und Fundorte der Schädlinge, sowie auch das HJT-Logfile der Kiste.

Zitat:

da ich für Ihr Emailkonto einen Virenschutz beim Provider verwende und der Ansicht war, das wäre ausreichend.

Das ist absolut nicht ausreichend. Damit ist nur ein Bruchteil abgedeckt, abgesehen davon, dass der Virenschutz des Providers auch nicht alle Malware erkennt.

Vielen Dank schon mal.

Hier zunächst mal einen Auszug aus dem Report von Antivir:

Code: Alles auswählenAufklappen

ATTFilter

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\gretel\Anwendungsdaten\__c005C21C.dat
      [FUND]      Ist das Trojanische Pferd TR/Spy.530728
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7a4a.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Anwendungsdaten\__c0068228.dat
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7a4e.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\laf1.exe
      [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475f7b06.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\lhiglfla.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Haxdoor.HB
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47627b1b.qua' verschoben!
C:\Dokumente und Einstellungen\gretel\Lokale Einstellungen\Temp\xxx.jpg
      [FUND]      Ist das Trojanische Pferd TR/DNSChanger.EF.357
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47717b34.qua' verschoben!
C:\Dokumente und Einstellungen\martin\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\archive1213.jar-37b2127f-3637fe51.zip
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/ByteEver.B.4
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475c7b67.qua' verschoben!
C:\temp\d0r1t1s.exe
      [FUND]      Enthält Erkennungsmuster des IRC-Virus IRC/Flood.DZ.DR
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b7dd2.qua' verschoben!
C:\WINDOWS\system32\d0r1t1s.exe
      [FUND]      Enthält Erkennungsmuster des IRC-Virus IRC/Flood.DZ.DR
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b7f10.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\K5GJMF85\217.82.175[1].gif
      [FUND]      Ist das Trojanische Pferd TR/Proxy.Bobax.C.3
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47307fd9.qua' verschoben!
C:\WINDOWS\system32\f0r0r\dirote.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IrcBot.757248
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\DefaultIcon]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\Shell\open\command]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\DEFAULTICON]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\SHELL\OPEN\COMMAND]:<@>=sz:dirote.exe
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b80f6.qua' verschoben!
Beginne mit der Suche in 'D:\'


Ende des Suchlaufs: Dienstag, 25. September 2007  23:46
Benötigte Zeit: 35:21 min

Der Suchlauf wurde vollständig durchgeführt.

   2318 Verzeichnisse wurden überprüft
 106537 Dateien wurden geprüft
     10 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     10 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      1 Dateien konnten nicht durchsucht werden
 106527 Dateien ohne Befall
   1260 Archive wurden durchsucht
      1 Warnungen
      2 Hinweise
         

Kann man hier schon was konkretes sehen/interpretieren?

Den Rest liefere ich nach.
Direkten Zugriff habe ich nur, wenn ich mal wieder hinfahre (sind rund 350km)

Jo. Das system ist astrein kompromittiert:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\f0r0r\dirote.exe
      [FUND]      Enthält eine Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/IrcBot.757248
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\DefaultIcon]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_CLASSES_ROOT\ChatFile\Shell\open\command]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\DEFAULTICON]:<@>=sz:dirote.exe
      [INFO]      BDS/IrcBot.757248:[HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\IRC\SHELL\OPEN\COMMAND]:<@>=sz:dirote.exe
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476b80f6.qua' verschoben!
         

Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.

Die Kiste muss neu aufgesetzt werden, da führt nichts dran vorbei. Um den Schaden gering wie möglich zu halten, sollte sie auch nicht mehr ins Internet bzw. interne LAN => Kabel ziehen, physikalische Trennung. Jedenfalls solange bis sie neu aufgesetzt und abgesichert ist.

Auch wenn das jetzt feststeht, das HJT-Logfile würde mich schn interessieren.

Zitat:

[...]und wohl schon Teil eines Botnetzes

ACK
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Die Edith: Quelle vergessen

Zitat:

Zitat von BataAlexander

ACK
DIROTE.EXE (566,784 Bytes) - this file is a modified mIRC application which compromises the current system. E.g., It can transform the current system into a file server to enable remote users to connect to it.

Wusst' ich's doch!

Vielen Dank für Eure Antworten.
Ein HJT Log kann ich derzeit nicht liefern, weil mir gerade das VNC hängengeblieben ist. Das passiert manchmal. Meine Mutter kann ich um diese Zeit auch nicht mehr anrufen, um den Rechner neu zu starten.

Aber mal 'ne Verständnisfrage.

Zitat:

Zitat von cosinus

...
Die Kiste ist längst von anderen unter Kontrolle und wohl schon Teil eines Botnetzes. Wahrscheinlich kippt sie die Leitung dicht mit Spammails, wenn sie online ist.
...

Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.


Was mich auch noch interessieren würde.
Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Zitat:

Der Rechner befindet sich ja hinter einem Router. UPnP ist aus, es gibt keine Portweiterleitungen. Das VNC läuft über OpenVPN mit einer 1024Bit Verschlüsselung. Auch kann ich (zumindest jetzt im Augenblick) keine verdächtigen Netzwerkaktivitäten feststellen.
Ich würde gern verstehen, wie die "Kontrolle" der "anderen" technisch ausshen könnte.

Das bedeutet nur, dass sich über VNC wohl kein Unbefugter so einfach reinhacken kann geschweige den Traffic (dank verschlüsselung) mitsniffen kann. Ändert aber nichts an der Kompromittierung, der Router wird evtl. andere Zugriffe blocken, oder aber auch nicht?
Und wenn nicht, spamt die Kiste dennoch in die Welt. Abgesehen davon, dass nun die Kiste vollends nicht mehr vertrauenswürdig ist, jede auf ihr verarbeitete Datei (zumindest ausführbar) kann irgendwas mitschleppen.
Mit diesem Zustand tust du deiner Mutti nichts Gutes...

Zitat:

Sind die aufgelisteten Trojaner irgendwie bekannt dafür, dass sie Browserfenster mit Werbeseiten öffnen? Das war ja das Problem, dass mich dazu veranlasst hatte, das System zu scannen.

Also die Browserfenster mit Werbeseiten sind absolut zweitrangig bei diesem Befall.
Und selbst wenn's andere malware wäre, ändert das nichts an den Hintertüren im System.