Sciroccoforum

Hallo!

Leider hat sich gestern bei mir durch Software-Firewall und AV Programm ein Trojaner installiert, der das Nutzerverhalten ausspioniert. Er lud sich aus dem Netz dann noch jede Menge Zeugs nach, so dass ich später mit "Spybot" und "AntiVir" fast 8 Treffer hatte, die Registry diverse neue Einträge hatte. Laut Vireninfo sammelt er Passwörter und verschickt sie.
Trotz Scannen ist er bei jedem Systemstart wieder da, immer ein neuer Dateiname, immer woanders. Kille ich den Prozess taucht der sofort wieder neu auf oder spätestens beim Neustart liegt die Datei "atmclk.exe" (140 kb) wieder im System32 Verzeichnis. Klickt man auf ihre Eigenschaften so steht da drin "Catch me if you can was ja schon sehr vielsagend ist. Auch Dateinamen wie "wuctrl.exe" entstehen wie aus dem Nichts. Direktes Löschen im system32 Verz. bewirkt, dass sie 2-3 Sekunden später wieder da sind.

Was ich bisher versucht habe:

- Trojaner Prozesse killen und dann mit Reset Neustart und sofortiger Scan vor dem Laden der Treiber indem ich den Virenscanner in die Registry als erstes Startup eingetragen habe. Der läuft dann los bevor der Desktop kommt.
- manuelles Löschen aller Trojanerdateien sofern es ging. (neuestes Datum nach Systemstart suchen)
- Registry Startup gesäubert, da hing er auch drin.
- Registry nach allen bekannten Dateinamen durchsucht, die ich im Laufe der Jagd aufgeschrieben habe.
- beide Virencanner finden die Dateien und löschen sie aber sie finden nicht den eigentlichen Erzeugerprozess der Dateien, sie entstehen bei jedem Booten wieder neu. Verbinde ich DSL saugt er sich sofort neue Programmteile nach, sind die komplett baut er sogar eigenständig Verbindungen auf.

Jetzt sitzt er neuerdings im "System Volume Information" Verzeichnis auf das der User keine Rechte hat, nur das System. Ich kann da nicht dran, auch der Scanner nicht.

Folgende Info aus dem Netz trifft es ganz gut:

--------
Spyware wird häufig von Unternehmen programmiert. Mitunter werden ganze Entwicklungsabteilungen damit beauftragt. Diese Spyware hat demzufolge oft auch ein sehr hohes technisches Niveau. Beispielsweise schützt sich Spyware gegen Löschung dadurch, dass mehrere Prozesse gleichzeitig laufen, die bei Beendigung gleich wieder einen neuen aufmachen und sich selbst kopieren. Auf der Festplatte entziehen sie beispielsweise dem Administrator die Schreib- und damit die Löschberechtigung usw.

----------

Bevor ich ein 4 Wochen altes Image vom Band zurückspiele wollte ich mal fragen ob da jemand noch eine Idee hat? So einen hartnäckigen Bruder hatte ich noch nie.



Beitrag bearbeitet (10.05.06 09:28)

so kommst du an dein system volume ordner dran:

http://www.windows-tweaks.info/html/freespace.html

hoffe es hilft dir weiter.

achja
spybot kann man auch starten bevor die wndowsoberfläche gestartet wird. einfach bei spybot oben modus>erweitert, dann auf einstellungen>einstellungen, dann etwas weiter unten "automatisierung be systemstart" programm bei nächsten systemstart mitstarten und dann "sofort prüfen" dann rechner neu starten und sehen was bei raus kommt

gib die exe-namen mal bei google ein. du wirst nicht der erste sein, der den trojaner hat. wenn du glück hast gibts schon ein removal tool dafür. und wenn du scannst und so tralala machst, dann mach das im abgesicherten modus das bringt mehr.

gruß angel

Bingo!

da steht was:


AW: Entfernen der Dateien (Viren) atmclk.exe und dcomcfg.exe

Also ich hatte eine ziemlich hartnäckige Inkarnation dieses Viruses und hab nach einigem nachforschen jetzt diese Methode rausbekommen:

Systemwiederherstellung abschalten !
Papierkorb leeren
Abgesicherter Modus:

HijackThis fixen:
O2 - BHO: Nothing - {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - C:\WINDOWS\system32\hpXXXX.tmp
R3 - URLSearchHook: (no name) - _{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx} - (no file)

die x gehören zu einer sich immer unterschiedlichen gestaltenden Hexadezimalen Nummer...

Löschen:
Inhalt von c:/windows/temp und c:/windows/prefetch
c:/windows/system32/1024 den Ordner löschen
c:/windows/system32/atmclk.exe
c:/windows/system32/dcomcfg.exe
c:/windows/system32/regperf.exe
Und alle hpXXXX.tmp Dateien löschen

Regedit:
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer
oder
HKLM/Software/Microsoft/Windows/CurrentVersion/policies/explorer/run
oder
HKLM/Software/Microsoft/Windows/CurrentVersion/Run

Alle Keys mit den Werten
"dcomcfg.exe"
"atmclk.exe"
"regperf.exe"
"c:/windows/system32/regperf.exe"
"c:/windows/system32/atmclk.exe"
"c:/windows/system32/dcomcfg.exe"
löschen

Neustarten im normalen Modus und Systemwiederherstellung wieder aktivieren...

MfG
PhoeniXYZ



Beitrag bearbeitet (10.05.06 11:00)

Hallo,

du kannst dir auch eine Windows PE CD erstellen. Hier gibts eine erklärung:

http://www.nu2.nu/pebuilder/

Dann hast du ein löschresistentes Windows auf CD. Wenn du nun damit startest wird kein Virus von der Festplatte mitgeladen. Du kannst von dort aus praktisch alle Programme ausführen die du mit in die Windows PE Registrieung einbindest. Aber auch einfach so Dateien dauerhaft löschen.

Gruß Christian

siehste da hast du die lösung. und fürs nächste mal erst google befragen, den google weiß alles.

gruß angel

Also hi erstmal,Wir hatten auch nen Spybot in meiner firma. Dann kamm ein PC Profi der hats nicht hin bekomm nach 6 std.Aber E-wido,eine free wear zum runterladen hats geschafft.Darauf hin hat mir mein Chef 100 euro gegeben,Kool oder. Also .lade dir mal E-WIDO runter.Mal sehn wie du findest.