Zum Inhalt springen

Virus, Wurm oder was sonst?


Empfohlene Beiträge

Geschrieben

Hallo,

ich habe mal wieder ein Problem. Wir haben einen Rechner auf dem mindestens 1 Virus lief oder läuft. Wir haben durch das Ausführen des Removal-Tools (für Sasser) festgestellt, dass dieser Rechner von Sasser infiziert wurde. Nach dem erfolgreichem entfernen, wollten wir das Sicherheitspatch von Microsoft aufspielen. Dies funktionierte aber leider nicht. Wir klickten das Patch an. Dies wird auch kurz aufgerufen, aber dann sofort wieder geschlossen. Wir wollten danach mal in der Prozessliste nachschauen, ob ein verdächtiger Prozess läuft. Einfacher gesagt, als getan. Wenn ich Strg-Alt-Enft drücke, dann erscheint ganz kurz der Task-, bzw. Prozessmanager und wird ebenfalls schnell wieder geschlossen. Habt ihr eine Idee ob und was für ein Virus dies sein könnte. Hilfreich wäre schon, wie man die Prozessliste sich über die Kommandozeile anzeigen lassen kann...!

Hier einmal alle Removal-Tools, die wir schon über den Rechner haben rennen lassen:

- Sober.H

- Sasser

- Erkez

Verwendetes Betriebssystem: WinXP, Servivepack 1

Hoffe, dass diese Infos erst einmal reichen. Vielen Dank im Vorraus!

Gruß

Sebastian

Geschrieben

schau mal mit regedit oder regedt32 in folgende schlüssel ob dort ein Programm ausgeführt wird, das dir verdächtig vorkommt:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

Geschrieben

Hi,

wollten wir machen, aber: Die Registry schließt sich auch sofort wieder. Das schlimme dabei ist, dass nun auch ein zweiter Rechner diese Phänomene aufweist. Wie sind gerade dabei einen "externen" Taskmanager zu installieren. Falls wir da etwas "verdächtiges" entdecken, dann melde ich mich hier.

Gruß

Sebastian

Geschrieben

Hi,

ja? Das geht? Hab ich noch nie gehört...wäre ja interessant. Wir haben jetzt aber eine einfachere Lösung gefunden. Wenn wir die regedit.exe oder taskmgr.exe umbenennen, dann können wir diese Programme ohne Probleme aufrufen. Jetzt müssen wir nur noch die verdächtigen Programme finden und entfernen...;)! Wir lassen auch gleich mal Hijackthis drüber laufen.

Gruß

Sebastian

UPDATE:

Wenn man den Spybot drüber rennen lässt, dann funktioniert des Taskmanager, etc. wieder. Aber nach einem Reboot ist alles wieder beim alten - geht nicht!

Geschrieben

So, es gibt mal wieder neue Informationen!

Nach längerem Hin und Her haben wir festgestellt, dass der Prozess mit dem Namen "kldjx.exe" an dem Schlamassel Schuld hat. Wenn man diesen beendet, dann funktioniert alles einwandfrei!

Das Problem ist, dass man dieses besagte exe-File nicht auf dem Rechner findet. Außerdem kann man diesen Eintrag in der Registry entfernen - aber nach einem Reboot ist er wieder da.

Gruß

Sebastian

Geschrieben

Hi,

wir haben das Problem nun endlich gelöst. Es lag wie vermutet an dem Prozess "kldjx.exe". Man musste alle Einträge in der Registry, die "kldjx.exe" beinhalten und in Run bzw. RunServices liegen, löschen. Trotzdem noch einmal DANKE an alle!

Gruß

Sebastian :marine

Geschrieben

probiers doch mal mit ner Linux Live CD!

Auf Spenneberg.org gibt es ne forensic Rescue CD zum Download ( ca 150 MB) Hat nen Virenscanner und alles mögliche drauf. kannst damit auch windows systeme scannen!

Probiers mal aus. gib mir mal ein feedback wies gelaufen ist! habe die CD zwar da, aber habe Sie noch nie zum Einstaz gebracht!

Gruß CHaosmaster

Geschrieben

Haben, wie oben schon gesagt, das Problem gelöst! Trotzdem danke.

Wir hatten das Problem nun noch einmal. Hier haben wir festgestellt, dass das exe-File

nicht "kldjx.exe" heißt, sondern auch beliebig anders. Das einzig gleiche Merkmal,

war der Bezug zu Outlook Express.

Sebastian

  • 2 Wochen später...
Geschrieben

Hallo,

manschaue in einer der letzten c´ts (weis grad nicht welche), dort steht auch was ganz interesantes.

Die Bister verändern ihre Signatur, sprich das aussehen, bei jedem hops auf eine andere Maschine. Also denk ich ma so, da können wir uns auf einiges gefasst machen, wenn die das ein bischen verfeinern.

Geschrieben

Hi,

in der ct? Da müsst ich auch mal gucken. Aber ich komm ja net zum lesen...;)!

Jaja, die Viren und Würmer werden noch schöner Zeitvertreib werden.

Gruß

Sebastian

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...