Virus eingefangen [?]

Alitis

Alitis

0
Hi,

ich glaube ich hab mir etwas eingefangen, mir sind letztens Script Fehler vom IE aufgefallen die sich "von selbst" geöffnet haben. Da ich kein IE benutze fand ich das seltsam hatte mich aber nicht weiter gekümmert.

Jetzt surfte ich grade so im Inet als sich plötzlich die Seite
http://www.gegen-tierquaeler.de/

einfach öffnete. Dies ist die gleiche Seite die auch schon in den Fehlermeldungen drin war.
Wenn man sich http://ipcounter.de/stats/62248436 ansieht dann sieht das für mich sehr komisch aus.
245 Hits im Vormonat nun fast 12k.

Ist sowas schon bekannt und kann mir jemand nen Tipp geben?
Habe KIS2010 drauf aber er findet momentan nichts...
 
Benutzt du ICQ oder MSN? Ich glaube die benutzen beide die IE Engine und Sicherheitslücken sind in den Programmen auch nicht gerade selten.

Dann kannst du noch ein HiJackThis-Log posten, vielleicht erkennt man da etwas.
 
proxy hat gesagt.:
Benutzt du ICQ oder MSN? Ich glaube die benutzen beide die IE Engine und Sicherheitslücken sind in den Programmen auch nicht gerade selten.

Dann kannst du noch ein HiJackThis-Log posten, vielleicht erkennt man da etwas.
Zum Vergrößern anklicken....

Ja MSN und ICQ aber beides sehr selten in Betrieb.
Ich habe grad mal mein bisschen selbst gesucht da mein Virenscanner ja nichts findet und habe in der msconfig sehr seltsame einträge für c:/windows/system32/install/microsoft.exe gefunden.

Geiler Name auf jeden fall :) Virustotal meint:
http://www.virustotal.com/de/analis...182fc50ff91390655075090f214d084707-1266193957

ich hoffe das war der übeltäter...
 
Ich hab gerade mal etwas über den Besitzer besagter Webseite gegoogelt und er hat noch diverse andere Webseiten am Laufen. Entweder haben sie was mit "Hacken" oder mit "Tierschutz" zu tun... aber beides wird eher weniger professionell behandelt.
Eine ehemalige Seite von ihm ist sogar bei ohost gesperrt wegen der Verbreitung von Malware (siehe Bild).



Auffällig ist auch, dass es auf all seinen Seiten im April-Mai 2009 einen rapiden Besucher-Anstieg gab. Er scheint also absichtlich oder unwissentlich öfters mal Malware zu verteilen. :rolleyes:
 
Scheint das "er" sowas öfter macht. Hab mal ne Infomail zu Strato geschickt die sollen da mal was gegen tun.

Danke auf jeden Fall für eure Hilfe =)
 
Ok Problem...

diese Microsoft.exe erstellt sich sofort neu wenn man sie löscht.

KIS2010 und Spybot S&D finden beide nichts.
In der registry gabs ein paar einträge für diese .exe aber anscheinend hats nichts gebracht diese zu löschen.

Jetzt bin ich ratlos :D
Anhang anzeigen 3123

Mir ist grad auch diese firefox.exe aufgefallen mit 9,5k Ram verbrauch. Die kommt auch immer neu....
oh mann..
 
Zuletzt bearbeitet:
Da dein Rechner ja augenscheinlich mit Malware infiziert ist, und weder du noch die gängigen AV-Scanner den wahren Schädling finden können, würde ich dir empfehlen das System komplett neu aufzusetzen.
 
Also eine auffällige firefox.exe sehe ich in dem Log erstmal nicht, aber das muss ja nichts heißen, da die auch von der microsoft.exe erstellt werden kann.

Also zum Säubern:
Idealerweise das System von einer Live-CD oder einem 2. Betriebssystem aus starten und die Datei C:\Windows\System32\install\Microsoft.exe und ggf. auch die von dir erwähnte firefox.exe löschen (aber natürlich nicht die von deinem Browser ;) )
Wenn das mit der Live-CD nicht möglich ist, dann probiere es im abgesicherten Modus.
Nach dem Löschen dann im abgesicherten Modus starten, Hijackthis laufen lassen und dort die folgenden Einträge markieren und fixen:

O4 - HKLM\..\Run: [HKLM] C:\Windows\System32\install\Microsoft.exe

O4 - HKCU\..\Run: [HKCU] C:\Windows\System32\install\Microsoft.exe

O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\install\Microsoft.exe

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\install\Microsoft.exe

Danach Windows wieder normal starten. Wenn das dann noch immer wieder zurückkommt, rate ich dir auch ganz dringend, das System neu zu installieren, aber ich denke, nach der Bereinigung ist zumindest dieses Problem behoben.
 
Also, der TE war so nett mir die Datei zukommen zu lassen und ich konnte die Datei grob untersuchen.

Das Programm ist sehr fleißig. Es kopiert sich, falls möglich, von c:\microsoft.exe nach c:\windows\system32\install\ und erstellt u.a. die oben genannten Registry-Keys zum automatischen Startup.
Danach läd es so gut wie jede System-DLL und klinkt sich in den Adressraum des IE ein. Zudem liest es haufenweise ini-Files, Registry-Keys und sonstigen Krempel aus (IE, Outlook, zuletzt geöffnete Dokumente, usw).
Und allem Anschein nach ist es neben einem Trojaner auch noch ein Passwort-Grabber. Darauf deuten zumindest einige Variablen-Namen und angelegte Dateien hin.
Zum Versenden der angelegten Logs startet die Malware eine neue Explorer-Instanz und injeziert sich dort mit fast identischer Programm-Funktionalität, erstellt ein TCP-Socket und sendet die Daten.
Danach löscht es alle angelegten Log-Files und erstellt ggf. die microsoft.exe neu.

Die Malware legt noch u.U. noch folgende Registry-Keys und Log-Dateien an, also bitte löschen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run = "C:\WINDOWS\system32\install\Microsoft.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run = "C:\WINDOWS\system32\install\Microsoft.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = "C:\WINDOWS\system32\install\Microsoft.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run = "C:\WINDOWS\system32\install\Microsoft.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CLSID} = "C:\WINDOWS\system32\install\Microsoft.exe Restart"
Zum Vergrößern anklicken....
Die CLSID ändert sich leider von System zu System. Du musst sie also von Hand raussuchen bzw nach dem Value suchen.

Log-Dateien:
c:\microsoft.exe
%AppData%\logs.dat
%Temp%\UuU.uUu
Zum Vergrößern anklicken....

Den DynDNS-Name und zugehörige IP habe ich dem TE per PM zukommen lassen, falls er eine Anzeige erstatten möchte.

EDIT:
Ich habe ganz vergessen zu erwähnen, dass du nach erfolgreicher Desinfektion bzw. Neuinstallation ALLE deine Passwörter ändern solltest!
 
Zuletzt bearbeitet:
@Dresko: good job!

@Alitis: falls du dich zur Anzeige entscheidest, wäre es toll, wenn du uns auf dem Laufenden halten könntest! (also nicht, dass ich neugierig wäre, aber es würde zumindestens bei positivem Ausgang diejenigen bestärken, die sich nicht sicher sind, ob es was bringt...)
 
Naja, in dem Fall ist es eine Telekom-IP und der DynDNS-Name fängt schon mit 1337h4xx0r an. Von daher stehen die Chancen nicht schlecht...
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben