Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   jwgkvsq.vmx - so hab ich es weg gekriegt (https://www.trojaner-board.de/100484-jwgkvsq-vmx-so-hab-weg-gekriegt.html)

mhonline 19.06.2011 05:18

jwgkvsq.vmx - so hab ich es weg gekriegt
 
Moinsen

Wer mag,, hier ein paar Infos in Sachen:
"jwgkvsq.vmx" bzw.Worm.Downadup-114
kam gemeinsam mit dem Trojan.Agent-66921 (steckte in Autorun.inf)
Die Virenscanner Avira und ClamAV haben ihn nicht gefunden, beide
Dateien waren in der Systempartition nicht mehr vorhanden (der Trick!).
das Ding ist aufgefallen, weil es die Namensauflösungen irgendwie so vergoben hat, daß der Browser microsoft, bitdefender, clamav etc nicht mehr erreichen konnte, ganz normale harmlose Seiten aber schon.
Schadensauslöser: Unbekannt, email oder ein fremder Stick
Nach Installation:
Wurm installiert sich als dll (hier:fvmmezc) und trägt einen Phantasienamen (hier: tyshhyzs) als "legacy-Treiber" als Service bei den Diensten ein, trägt in die Registrierung einen Zeiger ein, der auf die richtige DLL zeigt. Die Besitzerrechte an den Registrierungsschlüssel und an der DLL werden eingeschränkt, und die Ursprünglichen Dateien Autorun und .vmx werden gelöscht.
Die DLL ist zu sehen im Explorer, kann aber, da ein Dienst, nicht gelöscht werden.
Lösung:
- alle autorun.inf und jwgkvsq.vmx auch in Netz und Unterverzeichnissen suchen, jeweils als Administrator die Besitz- und Zugriffsrechte übernehmen,
dann den alten Benutzer löschen, dann das "System"-Dateiattribut wegnehmen, und dann die Dateien löschen.
- den Phantasienamen-Namen in der Registrierung suchen, für Schlüssel auch wieder Besitz übernehmen und dann Schlüssel löschen (ca 4-6*)
- neu booten im abgesicherten Modus, die Treiber-DLL mit dem Wurm suchen, Besitzer Adnministrator hinzufügen, dann Attribut ändern, dann löschen.
Dran denken: aktuell finden Scanner wohl nur die Installations-Dateien, aber nicht das fertig installierte Setup mit der Treiber-Datei. also am besten beim Virenhersteller meckern
Und dran denken, es geht um die Registrierung, besser eine Sicherung machen

Schaden: weiß ich nicht, internet ist wieder erreichbar.

Zum Testen: Solange der Virus vorhanden ist, befinden sich auf einem jungfräulichden USB-Stick nach dem Andocken eine auforun.inf und im Ppaierkorb die jwgkvsq.vmx. Der Wurm verbreitet sich, wenn die Autorun-Funktion nicht ausgeschaltet ist. Das gleiche gilt für angeschlossene Lokale Freigaben(gemappte Laufwerke). Gibt es auf dem Netz-Laufwerk keinen Papierkorb, wird einer angelegt und das Ding dort reingeschoben. Lustig: Wird das Ding "normal" gelöscht, verschieb man es nur in den regulären Papierkorb, man muß es also endgültig löschen.

hoffe, das hilft.
mh

markusg 19.06.2011 16:10

ein system welches mit updates versorgt wird hilft noch viel besser.
auch software von dritt anbietern.
und ob weitere malware aktiv ist weist ja auch nicht.

mhonline 19.06.2011 16:57

sorry, kannst Du das bitte etwas ausführen, ich hab nicht verstanden, was Du meinst.

Übrigens, falls das untergegangen ist:
NACH dem Einnisten erkennen CLAM und AVIRA den Wurm NICHT !
Man findet ihn nur händisch im System oder indirekt über die neue Verseuchung beim Scan von frisch angestöpselten USB-Sticks. AV-Updates helfen da erstmal nicht

mh

markusg 19.06.2011 16:59

es gibt nicht "den wurm" jeden tag gibts viele neue variannten.
windows updates helfen aber, und das updaten der sonstigen software. denn dieser wurm nutzt sicherheitslücken.
schließt diese und ihr habt ruhe.
oder deaktiviere zusätzlich autorun. das hilft ebenfalls. man kann einiges an maßnamen zur vorbeugung treffen.

mhonline 19.06.2011 20:24

wie bitte? Ich verstehe Dich nicht. Sei doch froh, daß hier jemand was dazu geschrieben hat, daß Scanner diese conficker-variante bisher nicht erkennen, und wie man sie trotzdem los wird. Deine Belehrungen dazu empfinde ich grade mal als unpassend.
mh

markusg 19.06.2011 20:28

ja, aber wenn man windows aktuell hällt ist es überhaupt nicht nötig etwas zu entfernen
außerdem ist davon abzuraten selbst in der registry zu arbeiten wenn man davon keine ahnung hatt, desweiteren kommt eine malware selten allein, deswegen ist eine weitere analyse des systems nötig


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131