virtumonde, trojan.inject + StartPage, vtsqo.dll, PurityScan, ZenoSearch, ljjihee.dll

KosmoKramer

Hallo,
ich möchte in diesem Board meine Erfahrungen mit einem Angriff auf meinem Computer zusammenfassen. Es wäre nett, wenn der eine oder andere – vielleicht mit ähnlichen Erfahrungen – diese kommentieren könnte oder die Experten dieser Seite zu der Stärke der Bedrohung Stellung nehmen könnten, die durch diverse Programme vermeintlich ausgeräumt würden.
Ich habe von einer nicht vertrauenswürdigen Seite eine gezippte Datei heruntergeladen, die eine patch.exe und crack.exe enthielt. Nach positivem Check mit meiner „glorreichen“ Norton Internet Security habe ich diese ausgeführt, wobei Norton dann doch eine Bedrohung aufgefallen ist, die entfernt wurde (leider erinnere ich mich nicht mehr an den Namen). Anschließend fiel das Programm in seinen Schneewittchenschlaf zurück. Alamiert dadurch habe ich mir dann VundoFix.exe heruntergeladen, welches dann die VTSQO.exe und die FIYOQSRV.exe sowie die entsprechenden dlls gefunden und laut Protokoll gelöscht hat. Leider hat sich die VTSQO.dll laut Zeitstempel eine Minute später bereits reinstalliert und zwar so im Windowssystem, dass Vundofix.exe sie nicht mehr las Malware identifizieren konnte. Dazu später mehr.
Schließlich habe ich einen Online-Scan mit Kasperski durchgeführt. Dieser zeigte mit folgende Bedrohungen:
Trojan.Win32.Dialer.yz (patch.exe, gos100.tmp)
Adware.Win32.PurityScan.gn
Adware.Win32.ZenoSearch.ad
Trojan.Win32.StartPage.atc (SuperFinderUSA.dll)
Trojan.Win32.inject.mt (crack.exe)
Adware.Win32.virtumonde.cli (Rcx28.tmp, rx23.tmp, rc12.tmp, usw.)
Außerdem wurden folgende Dateien als Dialer infiziert angesehen:
Drvfag.dll
Winwim.dll
Als mit Virtumonde infected wurden folgende Dateien identifiziert:
DevDetect.exe
Clistart.exe
Lightscribecontrolpanel.exe
Googletoolbarnotifier.exe
Jusched.exe
Msmsgs.exe
Prevxcsi.exe
Msconfig.exe.tmp
Ctfmon.exe.tmp

Gut, Norton wurde also zu diesem Zeitpunkt verdammt und wird nie wieder in die Nähe einer meiner Computer kommen, Kasperski installiert und alle Probleme erst mal behoben. Netterweise waren die betroffenen exe-Dateien noch in ihrem Originalzustand nur mit einem Leerzeichen vor den exe vorhanden und konnten somit durch Löschen dieses Leerzeichens wiederhergestellt werden (warum sollte man als Hacker so nett sein???).
Weiterhin entfernt wurden die ljjihee.dll, hshslgbo.dll, tmp39.tmp und die ctfmon.exe.
Kasperski hat dann noch alle Bedrohungen, die sich im System Volume Information befanden (insgesamt 269 infizierte Dateien) gelöscht. Da alle RestorePoints auch das Datum 7 Minuten nach der Infizierung trugen, habe ich diesen Bereich komplett gelöscht. Zusätzlich ließen sich die Windows-Updates nicht mehr installieren. Dazu musste einige Dateien neu registriert werden (wuapi.dll, wuaueng.dll, wuaueng1.dll, wucltui.dll, ...)
Die einzige Datei, die alles überlebt hatte und weder von Kasperski noch von VundoFix.exe, ActiveScan oder prevxcsi als Bedrohung eingestuft wurde, war die VTSQO.dll. Diese wurde zwar von Security Task Manager als gefährlich eingestuft, konnte aber nicht von diesem entfernt werden Auch killbox.exe und Konsorten waren nicht in der Lage, diese zu löschen. Erst RegRun hat das Ding gekillt (Bravo!). Die replizierte Version in der System Volume Information wurde von Kasperski wieder erkannt und gelöscht.
So, jetzt ist wieder Friede, Freude, Eierkuchen angesagt, oder? Gibt es noch ein nettes Tool, das mich auch weitere Schweinerein aufmerksam machen könnte?
Wieso sind z.B. 15 Ports offen, wenn ich meinen Computer hochfahre? Ist das normal?
Ich würde mich sehr über Kommentare freuen.
TC
Kosmo