Trojaner-Board - Taskmanager und RegEdit Hide

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Taskmanager und RegEdit Hide - Virus? (https://www.trojaner-board.de/52828-taskmanager-regedit-hide-virus.html)

Taskmanager und RegEdit Hide - Virus?

Moin erstmal ;)
Hab mich nur wegen dieses Anlasses angemeldet.
Also, seit kurzem schließt sich der Taskmanager sofort nach dem Öffnen wieder...Da hab ich ein bisschen Recherche betrieben, bin aber auf nichts Brauchbares gestoßen. Als ich nun die Registry auf Spyware überprüfen wollte (regedit) hat diese sich ebenfalls wieder geschlossen...

Dann ist mir aufgefallen, dass sich wohl n neues Programm in Autostart eingeschlichen hat, aber nirgends einzusehen ist...Hat sich selbst installiert, als ich beim Surfen auf ne diverse Seite gelangt bin, habs da schon versucht zu stoppen..aber man kennt es ja :D
Gut, den Namen konnte ich nur flüchtig erkennen, "Kernel Network Extentions" oder so ähnlich...

Hier der Logfile (ich hab zwar nichts außergewöhliches festgestellt, bin aber auch kein Experte, vielleicht könnt ihr mir weiterhelfen...)

Logfile of HijackThis v1.98.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

Hi,

rechlich alt, diese Hijackthis-Version, nimm bitte die Installationsdatei fpü die aktuelle, installier sie und mach damit ein neues Log.

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Hier sind zwei Seiten, wo Du gefundene Dateien hochladen kannst, damit sie mit mehreren Scannern untersucht werden.

Mach das mit folgender/n Datei/en auf einer dieser beiden Seiten, bevorzugt bei VirusTotal:

C:\WINNT\system32\OORUUBI.EXE

Die erhaltenen Ergebnisse mit kopieren und einfügen hier posten, dabei auch die Zeilen mit Namen und Größe der Datei, MD5 und SHA1 kopieren (soweit vorhanden). Solltest Du Dateien nicht finden oder hochladen können, dann teile uns das ebenfalls mit.

Gruß, Karl

Danke für die schnelle Antwort ;)

Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

So, hab die Datei gescannt, Ergebnisse dazu liegen bereits vor...
http://www.virustotal.com/de/analisi...e1919de15ec4ea
Mh, scheint n Wurm drin zu sein...

Jotti (sagt dasselbe)
Datei: ooruubi.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH, NTKRNL
Bit9 rapportiert: {BIT9_THREAT}

A-Squared
Keine Viren gefunden

AntiVir
TR/Crypt.XPACK.Gen gefunden

ArcaVir
Worm.Spybot.Gen.173227.MX gefunden

Avast
Keine Viren gefunden

AVG Antivirus
Worm/Spybot.BLT gefunden

BitDefender
Keine Viren gefunden

ClamAV
Trojan.Spybot-417 gefunden

CPsecure
Keine Viren gefunden

Dr.Web
Win32.HLLW.SpyBot gefunden

F-Prot Antivirus
Keine Viren gefunden

F-Secure Anti-Virus
P2P-Worm.Win32.SpyBot.gen gefunden

Fortinet
Keine Viren gefunden

Ikarus
P2P-Worm.Win32.SpyBot gefunden

Kaspersky Anti-Virus
P2P-Worm.Win32.SpyBot.gen gefunden

NOD32
a variant of Win32/SpyBot gefunden

Norman Virus Control
W32/Spybot.CMFW gefunden

Panda Antivirus
Keine Viren gefunden

Sophos Antivirus
Mal/Generic-A gefunden

VirusBuster
Keine Viren gefunden

VBA32
P2P-Worm.Win32.SpyBot.gen gefunden
_________________________________________

Wäre sicher das beste, es mitm Virenscanner zu entfernen, anders hat man ja sonst kaum Zugriff...
Kann man mir n speziellen empfehlen? Hab schon einiges ausprobiert, mit leider wenig Erfolg...selbst Kaspersky hat mein System zum Stehen gebracht :D
MfG
Linn

Das beste bei so einem Backdoorserver ist: Platte formatieren und neu installieren. Alles andere lässt Risiken und Zweifel zurück.

Mh, das hab ich befürchtet, danke trotzdem ;)

Gibt es eventuell ne halbwegs sichere Alternative?

Bei dir besonders schwieirg, wenn dein System noch nicht einmal einen Virenscanner hat und verträgt. Warum eigentlich ohne Scanner: Hardware zu alt, zu wenig Speicher?

"Halbwegs sicher" würde ich es nicht nennen, aber vielleicht: Prozess OORUUBI.EXE im Taskmanager beenden beenden. Moment abwarten und kontrollieren ob er auch nicht wieder gestartet wird. Wenn nicht, dann die C:\WINNT\system32\OORUUBI.EXE löschen und die Einträge

Code:

O4 - HKLM\..\Run: [Winsock2 driver] OORUUBI.EXE

O4 - HKCU\..\RunOnce: [Winsock2 driver] OORUUBI.EXE

mit Hijackthis fixen. System neu starten und kontrollieren, ob irgendwas davon wieder vorhanden ist.

Bei Backdoors besteht aber immer die Möglichkeit, dass der unbekannte Remoteadministrator beliebige Veränderungen am System vorgenommen hat. Vielleicht hat er bereits eine weitere Tür eingebaut, die aber im Gegensatz zu dieser sehr offensichtlichen perfekt versteckt ist, geänderte Systemdateien, was auch immer. Unter Umständen ist die hier sichtbare auch dazu gedacht, dass wir sie finden und dann zufrieden sind. sicherheit und Vertrauen sind erst mit ienem neu installieren System wieder gegeben.

Gab in der Vergangenheit ein paar Komplikation mit Kaspersky - jedoch noch ungeklärt. Meine Tastatur wurde nicht mehr erkannt, nach der Deinstallation lief alles wieder perfekt...Mysteriös, habe nun gerade - auf Gut Glück Kaspersky installiert, mal ohne Nebeneffekt.
In der Zwischenzeit hatte ich einen Alternativvirenscanner, hat mir jedoch kaum weitergeholfen - Spyware habe ich immer manuell gelöscht (und gefunden), was bisher - zumindest sichtbar - gut geklappt hat.

Mh, auf den Taskmanager kann ich ja nicht zugreifen, das ist ja das Hauptproblem...bisher zumindest. Und der Gedanke, dass vielleicht in diesem Moment ein Dritter meine Daten manipuliert, gefällt mir nicht...Formatieren scheint wirklich die einzig sichere Variante zu sein.

Mh, habe wohl n altes Thema neu aufgekrempelt, wie mir grad aufgefallen ist - Die Suchfunktion :D
http://www.trojaner-board.de/12154-a...sicherung.html

Ein sehr guter Freeware-Ersatz für den Taskmanager: Process Explorer

Das hier ist aber keine Spyware sondern einige Klassen schlimmer. Kann zwar auch heftig spionieren, aber unter "Spyware" versteht man normalerweise Sachen, die z.B. übermitteln, welche Webseiten Du besuchst, dir aber nicht auch noch das gesamte System umbauen können.

Wenns mit Kaspersky weiter Probleme gibt, dann probier doch mal Antivir Classic. Kostet nichts, hat eine sehr gute Erkennung und läuft auch auf älteren Systemen recht gut. Ist aber eben nur ein "Virenscanner pur".

Mh, habe nun mit Kaspersky die schädliche Datei gescannt, neutralisiert und gelöscht. Zumindest funktionieren Taskmanager und RegEdit wieder einwandfrei.
Das sind nun erstmal die sichtbaren Veränderungen, was es nicht weniger riskant macht...
Ja, bisher hatte ich es immer nur mit Spyware zu tun - ebenfalls lästig, aber einfacher risikofrei zu entfernen.
Danke, werd ich mal probieren.

Edit:
Da ich den PC momentan brauche, werde ich natürlich nicht sofort neu formatieren. Ist es schwerer sich in den abgesicherten Modus einzuschreiben, bzw. wäre es sicherer, sich dort aufzuhalten oder liegt nun eh alles in den Händen des sogenannten "Hackers"? Gibt es eventuell eine Möglichkeit, den Zugang zu meinen Daten/System etwas einzuschränken?
Sofort neu formatieren kann ich mir nicht leisten...