Hi Leutz,

ich möchte Euch von einem neuen Trojaner berichten.
also heute habe ich so richtig geschlafen. Ich hatte mehrere Files aus einem downloaded Archiv entpackt. Auch Einträge die wie Ordner aussahen.
zB: Bonus Tracks .scr
Screen Saver .scr
blabla
ich glaube auch gesehen zu haben das sie in der Detail-Ansicht als Ordner gekennzeichnet waren. Jedenfall als ich den "Ordner" "Bonus Tracks" öffnete
muss sich ein Trojaner installiert haben und es wurde eine a.bat-File im selben Ordner erstellt. Ich schaute mir das Batch-File näher an ohne es auszuführen.
Drin stand eine Endlosschleife die die oberen "Ordner" ausführt. Unter Linux sah ich später das es Executable-Files waren die sogenannten Ordner.
Als ich dann die a.bat löschen wollte fing der Ärger erst richtig an.
-Es öffnete sich ein Fenster im VollBild-Modus mit etwas pixlischen Windowsfirewallsymbol das komplett weiss war (das Fenster). ICH SCHLOSS ES.

-Danach registrierte meine Firewall DNS Zugriffe die ich blockierte.
(unbekanntes Programm)

-Es folgten weitere DNS Zugriffe mit Randomisierten Dateinamen.
(VhHVXZ.exe / vumuy.exe usw.) (sieht zumindestens so aus)

-dann wechselte ich in den Taskmanager/Prozesse und sah einen unbekannten Prozess namens tuukai.exe, welchen ich nicht beenden konnten sowie auch nicht die Prozessstruktur.

-dieser Prozess hatte eine Menge Auslastung und CPU-Zeit, weshalb ich
runter fuhr.

-die dauerte auffällig lang und bevor er sich noch weiter sich überall hinschreiben konnte war der netzstecker draussen.

-während des neustarts hatte ich im Windows-Ladebildschirm einen bluescreen. Sowie im Abgesicherten Modus. Erst nach der Einstellung "Neustart deaktivieren bei Fehlern" sah ich das es sich um einen Speicherfehler handeln muss. Weil ich CHKDSK /F ausführen sollte.
Was ja nicht geht weil ich nicht ins Windows kam.

-nach längerem probieren fand ich heraus das wenn das Windows-Menü
kommt mit der Auswahl "Abgesicherter... Normal Starten blabla" dann auf Normal starten und gleich wieder mit F8 ins das selbe Menü und dann abgesicherter Modus, konnte ich dann im sicheren Modus die 3 Progs laufen lassen. siehe unten

-den Speicherfehler kann ich erst mit neustarten beheben, was nicht geht wegen bluescreen

-chkdsk ging auch nicht, erst bei neustart, -"-

-unter Linux sah ich vorher noch (bevor ich auf eure seite kam) das die seltsamen dateien und C:\Dokumente und Einstellungen\*User*\ zu finden waren. Wo ich sie auch löschte.
Deshalb sind sie leider hier nicht in der Statistik.

-der bluescreen war ein interner Treiberfehler wie ich später herausfand
der Treiber von DaemonTools war im eimer. Ich hab den Treiber mit Hilfe der WindowsStartCD deaktiviert und Win geht wieder.
Fazit: der Treiberfehler ist so glaub ich durch den EmergencyShutdown entstanden.

-Im Abgesicherten Modus habe ich ein neues Profil erstellt.
CCleaner und die AntiMalewar laufen lassen. Die ganzen Trojaner usw entfernt.
Aber der Ursprungs Trojaner/Virus wurde nicht erkannt. Denn zurück im alten Benutzerkonto war alles wieder da.

Der Hauptprozess ist "tuukai.exe" dieser überwacht die ganze seit seine Einträge. Er erstellt in C:\Dokumente und Einstellungen\*User*:
-autorun.inf
-tuukai.exe
-tuukai.scr
-vumuy.exe
diese haben die DOS-Attribute SHR und sind somit nicht sichtbar
Remove mit attrib tuukai.exe -s -h -r usw.
Man kann sich aber alles in der Shell anzeigen lassen mit dir /a.

Die tuukai.exe kann nicht über den Taskmanager beendet werden.
Ich habe mir einige Tools runtergeladen die den Taskmanager ersetzen.
Wenn ich da den Prozess beenden will, stürzt das Prog ab xD.

Ich werde jetzt unter meinem neuen Benutzer einige Sachen ausprobieren und
versuchen rauszufinden was das Prog tut. Neuinstallation kommt bei mir nicht in Frage zum jetztigen Zeitpunkt. Für einen Informatikstudent sollte es möglich sein da eine Lösung zu finden :P.

Aktueller Stand:
-autorun.inf,tuukai.exe,tuukai.scr,vumuy.exe im Userhomepfad
-tuukai.exe,vumuy.exe in der Registry

Kennt den schon jemand?

Aktueller Stand:
-autorun.inf,tuukai.exe,tuukai.scr,vumuy.exe im Userhomepfad
-tuukai.exe,vumuy.exe im Autorun drin
-tuukai.exe lässt sich nicht beenden und erhält Files aufrecht.
-alle Files unter anderem Benutzer (Welcher aber die Berechtigung hat) gelöscht, während tuukai.exe inaktiv war.

Fazit:
tuukai.exe wurde bei jeden neustart durch die autorun.inf (im Benutzerhomepfad) gestartet und hat alle Files am leben erhalten, und war nicht beendbar

die Antimalware von hier war leider nicht fündig geworden. Ich denke ich lade mir das Archiv nochmal runter und leite das weiter

cheers