Schnittberichte möglicherweise virenverseucht

[Graf Zahl]

Moin!

Scheint als wäre ich gefickt worden. Gestern abend schlug plötzlich mein Virenscanner Alarm und meldete eine Datei nach der nächsten aus dem Drivers-Ordner als Malware-/Rootkitmist. Habe erstmal alles jeweils in den Container verschoben und nicht gelöscht, dann aber nachdem alles kein Ende nahm und ich schon ca. 20-25 Dateien verschoben habe den Rechner ausgeknipst. Das Teil bootet jetzt noch und kommt ins Windows, hängt dann aber auf dem Desktop ganz furchtbar und baut auch keine Internetverbindung mehr auf. Hab jetzt erstmal die Computerbild Notfall-CD mit dem Laptop meiner Frau gesaugt und lasse derzeit Kaspersky laufen. Kennt jemand das Problem (aktuell??) aus eigener Erfahrung oder dem Bekanntenkreis? Besteht noch Hoffnung die Kiste zu retten ohne Windows neu installieren zu müssen? Wäre mir schon lieb. Ist derzeit irgendwas bestimmtes unterwegs? Eigentlich war ich der Meinung, ich wär ganz gut abgesichert...*seufz*

Greetz,

der Graf...
...genervt :wallbash:

[Roughale]

Schwer zu beantworten, weil man aus deinen Infos nicht genau erkennen kann, um welche Malware es sich genau handelt, nromalerweise geht man mit Neuaufsetzen ja immer sicher, allerdings kann ich voll verstehen, wenn man das vermeiden will... Ich kenne die BILD Sache nicht, kann aber sagen, dass man bei CHIP.de sehr verlässliche Tools findet um Recovery, Add Removal und Registry clean-up zu betreiben - nach einer solchen Attacke kann es nicht schaden, wenn man ein Paar mehr Sicherheitsmasnahmen durchlaufen lässt, damit nichts übersehen wird...

Wenn du genauere Angaben (zB Name des/der Trojaner, welche Driver befallen sind, etc) machen kannst, kann ich mal sehen, ob unser Techniker dazu Tips hat, der muss sich andauernd mit sowas rumschlagen...

[Graf Zahl]

Uff, keine Ahnung wie ich an die ganzen Namen jetzt noch drankommen soll. Vllt kann ich irgendwie den Quarantäneordner öffnen über dieses Notfallsystem hier. Ein zweites Notfallsystem lade ich grade und lass es nachher auch nochmal drüberlaufen. Melde mich ggf gleich nochmal.

12.03.2010   00:04:50   1268348690   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\adfs.sys" file. 
12.03.2010   00:05:10   1268348710   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\aec.sys" file. 
12.03.2010   00:05:15   1268348715   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\af15bda.sys" file. 
12.03.2010   00:05:27   1268348727   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\asyncmac.sys" file. 
12.03.2010   00:05:33   1268348733   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\atmarpc.sys" file. 
12.03.2010   00:05:37   1268348737   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\averaf15dmbth.sys" file. 
12.03.2010   00:05:43   1268348743   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\avmeject.sys" file. 
12.03.2010   00:05:46   1268348746   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ccdecode.sys" file. 
12.03.2010   00:05:49   1268348749   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Cdaudio.sys" file. 
12.03.2010   00:05:56   1268348756   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\cdaudio.sys" file. 
12.03.2010   00:05:59   1268348759   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Changer.sys" file. 
12.03.2010   00:06:04   1268348764   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\dmusic.sys" file. 
12.03.2010   00:06:06   1268348766   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\drmkaud.sys" file. 
12.03.2010   00:06:08   1268348768   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\fetnd5b.sys" file. 
12.03.2010   00:06:12   1268348772   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Flpydisk.sys" file. 
12.03.2010   00:06:15   1268348775   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\fwlanusb.sys" file. 
12.03.2010   00:06:16   1268348776   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\hidusb.sys" file. 
12.03.2010   00:06:18   1268348778   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\hpzid412.sys" file. 
12.03.2010   00:06:26   1268348786   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\hpzipr12.sys" file. 
12.03.2010   00:06:31   1268348791   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\hpzius12.sys" file. 
12.03.2010   00:06:32   1268348792   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\i2omgmt.sys" file. 
12.03.2010   00:06:34   1268348794   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\iiusbisp.sys" file. 
12.03.2010   00:06:36   1268348796   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ip6fw.sys" file. 
12.03.2010   00:06:42   1268348802   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ipfltdrv.sys" file. 
12.03.2010   00:06:49   1268348809   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\ipinip.sys" file. 
12.03.2010   00:06:56   1268348816   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\LastGood\TMP9D.tmp" file. 
12.03.2010   00:06:58   1268348818   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\irenum.sys" file. 
12.03.2010   00:07:00   1268348820   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\kbdhid.sys" file. 
12.03.2010   00:07:01   1268348821   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\kmixer.sys" file. 
12.03.2010   00:07:02   1268348822   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\lbrtfdc.sys" file. 
12.03.2010   00:07:04   1268348824   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\Modem.sys" file. 
12.03.2010   00:07:05   1268348825   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mpe.sys" file. 
12.03.2010   00:07:06   1268348826   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mskssrv.sys" file. 
12.03.2010   00:07:09   1268348829   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mspclock.sys" file. 
12.03.2010   00:07:12   1268348832   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mspqm.sys" file. 
12.03.2010   00:07:40   1268348860   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\LastGood\TMPAC.tmp" file. 
12.03.2010   00:08:28   1268348908   SYSTEM   212   Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\drivers\mstee.sys" file. 

:eek:

[Roughale]

OK, wenn es dringend ist, schick ne PM, dann bekomm ich das auch mit!

[shellat]

Vielleicht hilft dir sogar Microsoft weiter, das Tool ist relativ aktuell gehalten und für einen Überblick ganz nützlich:

http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en

[AndreMASTER]

Ich hatte gestern Abend exakt denselben Unsinn auf meinem Rechner. Grund bei mir (wahrscheinlich auch bei dir) ist schnittberichte.com gewesen. Irgendein Kind hielt sich für besonders cool und hat einen Wurm auf die Seite geladen..

http://schnittberichte.com/news.php?ID=1946

Bei mir hat der Virus ein Pseudo-Antiviren-Tool installiert, das mir ganz plötzlich mitteilte, mein Computer wäre böse infiziert und ich solle doch deren Software kaufen, um die Probleme zu beheben. AntiVir tickte auch völlig aus und erkannte Viren in Dateien, die überhaupt nicht infiziert waren. Leider merkte ich das erst spät, sodass ich schon fleißig legitime Systemdateien gelöscht habe. Mein Rechner läuft aber Gott sei Dank noch, ich kann mir eine Neuinstallation des Systems gerade zeitlich nicht leisten, da ich bis nächste Woche zwei Facharbeiten schreiben muss. So ist es bei jedem Booten ein Hoffen und Bangen, dass das System nicht merkt, dass ihm was fehlt.


Ich habe mir dann folgendes Programm runtergeladen: http://www.pctools.com/de/spyware-doctor/

Ein Scan offenbarte mir die Schädlinge, sodass ich sie manuell löschen und aus der Registry entfernen konnte. AntiVir stresst nun auch nicht mehr rum. Ich bin mir nicht sicher, ob mein Rechner wieder komplett sauber ist, so sind unter "Autostart" im msconfig immer noch Spuren der Schädlinge erkennbar. Habe aber erstmal unterbunden, dass die mit hochgefahren werden und wenn ich meine Arbeiten fertig habe, wird noch einmal ordentlich durchgeputzt.

[Graf Zahl]

Jarp, das wirds gewesen sein, da ich kurz nach Mitternacht auf SB.com war. Diese Dreckshacker sollte man an den Eiern aufhängen!
Habs über das Linux-Notsystem (winesm32.exe heißt das Drecksteil) aufgespürt und gelöscht. Den Prefetcheintrag ebenfalls. Sollte das schon reichen?
Nu muss ich nur noch irgendwie die Dateien ausm Quarantäneordner bekommen... :icon_rolleyes:

Edit: Wieso hat mein bisher zuverläsiges und stets upgedatetes Avast! den Mist nicht direkt erkannt, wie es andere Systeme bei anderen Usern von sb.com auch passiert ist??? Total ätzend... :anime:

[Roughale]

Thanks für die UEFA Euro League, da habe ich nicht die Never Ending Story von Caligula auf SB.com verfolgt und blieb uninfiziert ;) Ich hoffe, dass alle Betroffenen gut davon kommen und der Hacker elendlich krepiert :piss:

[quaker]

@AndreMASTER: Hieß der Scheiss "Security Tool"? Das hatte ich nämlich gestern Abend auch auf einmal drauf. Statt Final Fantasy zu zocken, hab ich dann meinen Abend damit verbracht, den Scheiss wieder runterzukriegen. War gar nicht so einfach... :anime:

[AndreMASTER]

Ist richtig, das Teil hieß "Security Tool", war aber nur ein Anhängsel zum eigentlichen Virus "winesm32.exe".

[McHolsten]

...war aber nur ein Anhängsel zum eigentlichen Virus "winesm32.exe".

Wie kriege ich das weg?
Habe ich meine ich auch drauf. Rechner fährt tw. nicht mehr runter. Bin aber mom. kaum daheim weil Vollzeitstelle 70 km entfernt und 2t Wohnsitz und kaum daheim und 0 Nerv die wenige Freizeit die ich habe noch für diesen Dreck aufzuwenden.

[Graf Zahl]

Also ich hab mir die Computerbild-Notfall CD geladen (knapp 400mb) und damit gebootet. Auf der Linuxbasis läßt sich dann dieser "winesm32.exe" suchen und beide Einträge hab ich manuell gelöscht.
Dann über den abgesicherten Modus den Wiederherstellungspunkt von vor 2 Tagen gewählt und nun läuft wieder alles. Sicherheitshalber noch AdAware und Spyware Doctor sowie Avast! die gefährdeten Ordner scannen und säubern lassen - nu is wieder alles gut.

[mali]

Jetzt würde mich mal interessieren, mit welchem Browser/Version ihr auf sb.com wart.

[AndreMASTER]

Firefox 3.6

[Graf Zahl]

Firefox 3.6

+1

[mali]

Und auf den bloßen Besuch der Webseite hin, habt ihr euch dann sofort den Scheiß eingefangen? Mit FF 3.6?

[666psheiko]

@Mods

Ist vielleicht etwas voreilig, jedoch sollten eventuell die Links zu sb.com, hier aus dem Forum gelöscht werden.

[Graf Zahl]

Und auf den bloßen Besuch der Webseite hin, habt ihr euch dann sofort den Scheiß eingefangen? Mit FF 3.6?

Righty right! :kotz:

@666psheiko: das Problem ist ja behoben. Das Cinefacts hatte das gleiche Problem vor einigen Tagen auch schon. Würd mich nicht wundern wenns hier auch noch irgendwann ankommt... :icon_eek:

[666psheiko]

Ich bin froh, dass ich das Upgrade auf FF 3.6 aufgeschoben habe (never change a running system), wenn es wirklich damit zusammenhängt.

@666psheiko: das Problem ist ja behoben.

Gut.  :D

[mali]

Und auf den bloßen Besuch der Webseite hin, habt ihr euch dann sofort den Scheiß eingefangen? Mit FF 3.6?

Righty right! :kotz:

Ihr habt doch wohl aber nicht FF so eingestellt, das "Addons" & Co. automatisch und/oder ohne Anzeige runtergeladen und installiert werden? Oder?

Auf den reinen Besuch der Webseite hin kann es IMHO nicht passiert sein, da habt ihr dann noch mit laschen Einstellungen "nachhelfen" müssen :) Soweit ich lass, wird für diesen winesm32 Scheiß eine bekannte Crossscripting-Lücke ausgenutzt, es findet dann wohl eine "Weiterleitung" statt und das Rootkit wird automatisch heruntergeladen - wenn es nicht durch Einstellungen verhindert wird!

Könnt ihr mal nachsehen, ob in den FF-Einstellungen im Tab Sicherheit das Häckchen bei "Warnen, wenn Websites versuchen, Addons zu installieren" gesetzt ist?

Hilfreich ist es auch im Tab Allgemein sowohl "Den Download-Manager anzeigen, wen ein Download startet" und "Jedes mal nachfragen, wo eine Datei gespeichert werden soll" anzuhaken.

[Graf Zahl]

Bin noch auf der Arbeit, aber ich schau daheim mal nach. Normalerweise wird immer gefragt wo was hingespeichert werden soll. Wäre für so ein Drecksprog ja auch etwas zu offensichtlich, wenn erst gefragt werden würde. "Sorry, darf ich ihren PC fi*ken?" :D

[mali]

Bin noch auf der Arbeit, aber ich schau daheim mal nach. Normalerweise wird immer gefragt wo was hingespeichert werden soll. Wäre für so ein Drecksprog ja auch etwas zu offensichtlich, wenn erst gefragt werden würde. "Sorry, darf ich ihren PC fi*ken?" :D

Normal ja ;-)

Ich suche auch nur nach "Ideen" wie es passieren konnte, denn nur der Aufruf der Seite allein kann es IMHO nicht gewesen sein.

[Graf Zahl]

Und auf den bloßen Besuch der Webseite hin, habt ihr euch dann sofort den Scheiß eingefangen? Mit FF 3.6?

Righty right! :kotz:

Ihr habt doch wohl aber nicht FF so eingestellt, das "Addons" & Co. automatisch und/oder ohne Anzeige runtergeladen und installiert werden? Oder?

Auf den reinen Besuch der Webseite hin kann es IMHO nicht passiert sein, da habt ihr dann noch mit laschen Einstellungen "nachhelfen" müssen :) Soweit ich lass, wird für diesen winesm32 Scheiß eine bekannte Crossscripting-Lücke ausgenutzt, es findet dann wohl eine "Weiterleitung" statt und das Rootkit wird automatisch heruntergeladen - wenn es nicht durch Einstellungen verhindert wird!

Könnt ihr mal nachsehen, ob in den FF-Einstellungen im Tab Sicherheit das Häckchen bei "Warnen, wenn Websites versuchen, Addons zu installieren" gesetzt ist?

Hilfreich ist es auch im Tab Allgemein sowohl "Den Download-Manager anzeigen, wen ein Download startet" und "Jedes mal nachfragen, wo eine Datei gespeichert werden soll" anzuhaken.

Tja, alles so wie du geschrieben hast eingestellt. Nur gesurft und wahrscheinlich durch den Port getunnelt gekommen. Fiese Sache das. Was mich ja auch sehr ärgert neben der Tatsache des Angriffs an sich, ist immernoch das lapidare Verhalten von Avast!.

[shellat]

Hat einer von euch Betroffenen zufällig 2 Firewalls laufen, also eine Softwarelösung und eine über den Router? Ich würde gern wissen ob diese Kombination einen Alarm ausgelöst hätte, denn einige Teile des Virencodes wurden offensichtlich ja nachgeladen, was denke ich doch hätte evt. auffallen können.

An dieser Stelle möchte ich für nicht ganz so versierte Nutzer auch immer mal wieder darauf hinweisen das ein gelegentliches Systembackup mit Programmen wie Acronis True Image und Co. in einem solchen Fall bares Gold wert sein kann, denn schneller und unkomplizierter kann man seine Systempartition im Notfall kaum wieder herstellen. Noch besser wäre es natürlich die Infektion ggf. via Sandboxing auf ein virtuelles System zu leiten, auch das beruhigt die Nerven ungemein! Da hat´s dann ausgefi**t, lol!

... ich weiß allerdings auch: 100% Sicherheit ist eine Illusion ...

[Graf Zahl]

Hat einer von euch Betroffenen zufällig 2 Firewalls laufen, also eine Softwarelösung und eine über den Router? Ich würde gern wissen ob diese Kombination einen Alarm ausgelöst hätte, denn einige Teile des Virencodes wurden offensichtlich ja nachgeladen, was denke ich doch hätte evt. auffallen können.

Ja. Nein. :algo:

[shellat]

Wow, dann war das Teil ja wirklich listig, danke für die Info!

[Kill Mum!]

Kann man schnittberichte.com nun wieder gefahrlos besuchen?

[Deer Hunter]

Kann man schnittberichte.com nun wieder gefahrlos besuchen?

Laut einer offiziellen Stellungnahme von sb.com ja.

[Kingpin]

Möglicherweise hat sich der Virus über die Lücke in Firefox 3.6 verbreitet, daher sei jedem das Update auf 3.6.2 Beta nahegelegt:
https://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/3.6.2-candidates/build3/win32/de/
Die Final soll am 30.03. kommen ... :andy:

[Graf Zahl]

Besten Dank! Kann ich die einfach so drüberbügeln?