Du hast aber nicht auf allen infizierten Rechnern ein Win7 laufen oder?

Nein, 1x XP Pro und 1x Vista Home. Wobei das XPPro nicht mehr zu gebrauchen
ist, weil dort der Angreifer wohl ziemlich Aktiv war und gemerkt hat dass
ich versucht habe den Schadcode zu Isolieren.
Daraufhin hat er wohl Remote dafür gesorgt dass ich mich nicht mehr lokal anmelden kann,
sondern nur noch er über seine Domäne. (Es wurden einige Sicherheitsrichtlinien geändert)

Ich würde zu gern Wissen wie die Steuerbefehle für den Trojaner sind,
und ob es einen Remove-Befehl gibt mit dem man die Infektion über remote
entfernen kann. Dann wäre die Entfernung wohl am einfachsten.

Vielleicht sollte ich eine der IP's auf die versucht wird zu Verbinden
per hosts Datei auf meinen Rechner umleiten und einen RAW-Server
schreiben der darauf wartet dass sich der Schadcode verbindet und dann
alle gesendeten/empfangenen Bytes in eine Logfile speichern.

Wobei die warscheinlichkeit dass eine Art Remove-funktion im Schadcode
verankert ist wohl ziemlich gering sein dürfte, wenn man bedenkt wie
hartnäckig das Ding versucht sich im System und im Netzwerk
festzukrallen und wieder zu verteilen. Interessant wär's trotzdem

Ich mache Morgen eine RSIT-Log vom Vista-System, heute Abend
komme ich da nicht mehr dran. Wobei ich gleich vorwarnen muss,
da das System wohl ziemlich Vollgemüllt ist und warscheinlich
der Einstiegspunkt für den Schadcode war. Meine Tochter achtet
leider nicht allzusehr auf Mailanhänge oder ActiveX-Warnungen,
sie ist froh wenn ihr ICQ Funktioniert und sie ihre Soap als Onlinestream
schauen kann. Und dieser Trojaner scheint nichts gegen das benutzen
von ICQ oder ähnlichem zu haben, so dass der Zeitpunkt der Erstinfektion
wohl schon länger zurückliegen kann. Es kann also durchaus sein dass ihre Logs ziemlich üppig und unübersichtlich ausfallen.

Dann will ich mich schon mal für deine Zeit heute bedanken,
und ich melde mich dann direkt morgen Abend wieder mit den Logs.

Hallo nochmal,

tut mir Leid dass ich mich jetzt erst wieder melde,
aber ich konnte die Rechner mit UnHackMe wieder in Ordnung bringen.

Ausserdem habe ich mithilfe von diesem Vortrag alle verdächtigen Dateien
und Treiber entfernt. Die Prozesse (LISTENING) die dann übrigblieben konnte
ich auf ein paar Windows-dienste zurückführen die ich dann deaktiviert habe.

benth

#EDIT: Ausserdem hatte mein Router (Fritz!Box 7050) eins an der Waffel, was ein bekannter Bug zu sein scheint und durch ein
zurücksetzen auf die Werkseinstellungen behoben werden konnte.

Trotzdem finde ich das ganz schön schräg, was bei Dir da passiert ist.
Normalerweise fliegt nicht einfach so was auf den Rechner, deswegen wundert mich das 1. was mit Deinen XP-Rechnern passiert ist, die müssen ja irgendwie wohl Ausgangspunkt der Infektion sein, und 2. dass die befallenen XP-Rechner sich gleich auf das neue Win7 stürzen.

Ich weiß auch nicht, wie experimentierfreudig Du mit dubioser Software warst

Ich denke dass die Standardfreigaben zur Verbreitung genutzt wurden,
und dadurch sind wohl alle Microsoft-Betriebssysteme anfällig.

Möglicherweise hatte ich einen Trojaner/Rootkit an bord, der mit einem
Toolkit erstellt wurde, und sich selbst Verschlüsselt. Diese art scheint
ja immer wieder aufzutauchen und sich nicht durch normale Anti-*
Software enttarnen zu lassen, da diese ja größtenteils Signaturen
vergleichen, und man dadurch keine Verschlüsselten Dateien identifizieren
kann. Auch die Heuristikfunktionen der einschlägig bekannten Antiviren-SW
hersteller helfen hier wenig bis gar nicht. Möglicherweise war auch meine
Personal Firewall einstiegspunkt der Angriffe:

Video-Vortrag vom CCC

Hier kann man sich Informieren, wie Personal Firewalls zur Kompromittierung
diverser Microsoft-Betriebssysteme beitragen, und nicht etwa Verhindern
wie man gern annehmen möchte.

Das mit den Standardfreigaben kann gut sein, nur frage ich mich wie die Erstinfektion stattfand. Die Malware wird ja nicht allein auf den XP-Rechner zugeflogen sein...
Von außen an die Standardfreigaben kann ich mir nicht wirklich vorstellen, der Router verhindert normalerweise dank NAT einen direkten Zugriff auf die Rechner hinter dem Router, es sei denn die Einstellung in der Fritzbox war ziemlich "daneben"

Und das mit den Personal Firewall ist mir auch bekannt, deswegen rate ich von den Dingern grundsätzlich ab

Interessanter Punkt, warscheinlich war bei der Erstinfektion
auf dem XP eins der "Standardlöcher" im XP das Problem^^,
oder meine Tochter hat beim Surfen unvorsichtigerweise
die ein oder andere Seite aufgerufen, die dann über ActiveX
oder ähnliches ein Backdoor/Trojan.Downloader/Dropper installiert hat.

Jedenfalls habe ich bei ihr jetzt Formatiert und im Firefox das Addon
NoScript Installiert, und hoffentlich wird das zum Schutz beitragen wenn nur
benötigte/gewollte Scripts ausgeführt werden.

Wenn demnächst wieder eine Infektion auftreten sollte werde ich wohl
alle Rechner auf Linux umstellen und dann sollte auch Onlinebanking
kein Sicherheitsproblem mehr darstellen

Wenn Windows unverzichtbar ist, dann solltest Du mal über eingeschränkte Rechte nachdenken meine Schwester hat sich mit Adminrechten ihren PC auch immer regelmäßig versaut, seit gut 2 Jahren mit normalen Benutzerrechten ist das Problem nun im griff.
Aber Linux ist immer eine gute Idee