[putzlappen]

Hallo, habe ein Problem auf einem Firmenrechner von daher ziemlich brenzlig.
Werde morgen formatieren wenn sich keine Lösug findet bevor irgendwas in die Kundendaten reingeht.

Also Folgendes:
In unregelmäßigen Abständen wird das Browserfenster (Seamonkey) einfach geöffnet, mit einer Direkt-URL auf eine EXE-Datei auf irgendeinem Webserver (Server und Dateinamen sind immer verschieden).
Wenn man die EXE runtersaugt und scannt ist ein Virus bzw Trojaner drin. Geöffnet habe ich sie natürlich nicht. Haben auch meist nur ein paar KB.

Wer (bzw was) ruft immer diese URLs auf? Im Taskmanager konnte ich keinen außergewöhnlichen Prozess dingfest machen (verwalte bis zu 15 rechner also ich denke das hätte ich gesehen...)
Wenn man "Start-Ausführen" wählt, steht dort immer die zuletzt aufgerufene Viren-URL, also als ob es von dort gestartet wird. Das "Ausführen"-Fenster sieht man aber nie, auch nicht kurz aufblinken (hab mich schonmal ne gute Stunde mit schön was zu essen davor gesetzt und beobachtet )

Ich denke mal auf dem Rechner ist irgendwas eingenistet, nur was? Und wo?
Ausser in diesen EXE-Dateien aus dem Web finden AVG und Antivir nichts. Aber diese Dateien werden ja wie von Geisterhand heruntergeladen (auch nur bis zum Downloaddialog wo man den Spoeicherort auswählt, weiter nicht!)
Ich verstehe das nicht.

Kennt dieses Problem jemand? Wäre über eine Idee / Ansatz superdankbar, da ich echt nicht mehr weiterkomme.

Vielen Dank
lappen

achja: auf dem rechner läuft VNC, und der port 5900 ist frei. kann darüber irgendjemand reingekommen sein? sicherheitsleck in realvnc? sonst ist ja alles per hw firewall zu.

Dieser Beitrag wurde von putzlappen bearbeitet: 10. August 2006 - 15:38

[Witi]

HijackThis drüber laufen lassen, hier das log posten und hoffen dass die Kiste nicht kompromittiert ist...

[gl4di4t0r]

Zitat (Witi: 10.08.2006, 16:40)

HijackThis drüber laufen lassen, hier das log posten und hoffen dass die Kiste nicht kompromittiert ist...

die kiste ist ganz eindeutig kompromittiert - da is irgendein downloader / troajaner am werk
ich würde mal einen kompletten systemcheck mit av machen und da es sich um einen firmenrechner handelt sofort wichtige daten sichern und das system wohl neu installn.

Dieser Beitrag wurde von gl4di4t0r bearbeitet: 10. August 2006 - 15:59

[flo]

Hallo

Poste ma bitte ein mit Hijackthis erstelltes Log hier, vielleicht finden wir den Übeltäter.

Eine oder mehrere der URLs die aufgerufen werden wären auch ganz interresant

[putzlappen]

Hallo Leute,

ich danke euch für eure schnellen Antworten
Habe den Rechner jetzt mal hier und Hijackthis laufen lassen:

Logfile of HijackThis v1.99.1
Scan saved at 17:48:40, on 10.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\DirectUpdate v4\DUEngine.exe
C:\Programme\RealVNC\VNC4\WinVNC4.exe
C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\DirectUpdate v4\DUControl.exe
C:\Programme\TorCP\torcp.exe
C:\Programme\Tor\tor.exe
C:\Programme\Privoxy\privoxy.exe
C:\Programme\Automachron\achron.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\EDGARB~1\LOKALE~1\Temp\Rar$EX00.051\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [DUControl] "C:\Programme\DirectUpdate v4\DUControl.exe"
O4 - HKCU\..\Run: [TorCP] C:\Programme\TorCP\torcp.exe
O4 - Startup: JDWall.lnk = C:\Programme\JDWall.exe
O4 - Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O4 - Global Startup: dnetcc_boot.lnk = C:\Programme\dnetcc\dnetcc_boot.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{E93797A4-0711-41D2-BB75-5D5528A869AD}: NameServer = 192.168.1.1
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: DirectUpdate engine (DirectUpdate) - http://www.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

spontan komisch kommt mir C:\WINDOWS\Explorer.EXE vor. mit EXE großgeschrieben?

Autodata Licence service, dnetcc_boot , DirectUpdate, VNC, Automachron, IRC, SPeedfan und JDWall gehören dorthin. (Tor & privoxy auch)

Sieht jemand definitiv was schadhaftes?
Der Rechner steht jetzt hier, LANkabel vorsichtshalber abgezogen
ich hoffe dass die Daten noch brauchbar sind von dem Rechner.

ich versuche mal noch mehr rauszufinden und melde mich dann nochmal!
Danke nochmal euch dreien ihr habt mich schonmal ne ganze ecke weitergebracht!
@ Flo: Leider habe ich gerade keine URL zur Hand, es waren aber meistens nur IP Adressen, mit einer Exe Datei ninten dran, meistens upd.exe, fix.exe , patch.exe oder sowas einfallsloses
Wenn man die IP Adressen so aufgerufen hat ohne die Datei hintendran kam meistens ne Webseite von irgendeiner seriös aussehenden Firma oder Organisation, zB zuletzt "Irish Kennel Club". Werden deren Server für sowas missbraucht oder wie geht das? *ahnungslos*

PS: Huch ich sehe grad, AVG findet einen Trojaner auf dem Rechner. (Gestern nicht? hm) und zwar Downloader.Generic2.JUL
Wie fängt man sich sowas ein? Email lässt nur Grafiken durch (wurde in letzter zeit auch keine empfangen), RealVNC? Weil sonst sind ja eigentlich alle Ports zu.
edit: mittlerweile 6 objekte mit Downloader.Generic2.JUL, alles EXEn aus zahlen/buchstaben kominationen im Temp-Ordner.

Gruß
Lappen

Dieser Beitrag wurde von putzlappen bearbeitet: 10. August 2006 - 17:11

[chrisx]

Logfile sieht schonmal OK aus Wobei ich mich frage, was Sachen wie WindowBlinds auf nem Firmenrechner zu suchen haben

Die Trojan Downloader kannst du dir auf verschiedenen Wege eingefangen haben, nutzt du den IE zum surfen? Dann wahrscheinlich durch nen Exploit oder ähnliches...

Das einzigste sinnvolle ist auf jedenfall zu formatieren, gerade bei sensiblen Kundendaten kannst du dich nicht auf dein AV Programm verlassen, dein Rechner ist einmal manipuliert und es ist nahezu unmöglich, den wieder 100% clean zu bekommen.

[putzlappen]

Zitat (chrisx: 10.08.2006, 18:50)

Logfile sieht schonmal OK aus Wobei ich mich frage, was Sachen wie WindowBlinds auf nem Firmenrechner zu suchen haben

Da hast Du eigentlich Recht, war aber Wunsch des Anwenders, ich selber benutze dieses bunti Zeugs auch nicht.

Zitat (chrisx: 10.08.2006, 18:50)

Die Trojan Downloader kannst du dir auf verschiedenen Wege eingefangen haben, nutzt du den IE zum surfen? Dann wahrscheinlich durch nen Exploit oder ähnliches...

Zum Surfen wird ausschließlich SeaMonkey genutzt. Was höchstens sein könnte, dass eine andere Anwendung (es laufen diverse Katalog- und betriebsbezogene Programme auf dem Rechner) den IE benutzt um seiten darzustellen, dass sich darüber was eingenistet hat. Schaue mir diese programme mal an.

Zitat (chrisx: 10.08.2006, 18:50)

Das einzigste sinnvolle ist auf jedenfall zu formatieren, gerade bei sensiblen Kundendaten kannst du dich nicht auf dein AV Programm verlassen, dein Rechner ist einmal manipuliert und es ist nahezu unmöglich, den wieder 100% clean zu bekommen.

Werde ich auf jeden Fall machen!
Der Rechner und die Daten darauf werden morgen noch dringend gebraucht, wir haben den vorsichtshalber ohne Netzwerkkabel angeschlossen, wird auch morgen nicht benötigt. Es funktioniert ja eigentlich auch alles wie gewohnt.
Am Wochenende nehm ich mir den dann mal vor mit ner Neuinstallation, es wird dann sowieso auch Hardware gewechselt. AVG findet jetzt schon nichts mehr was ja nicht heisst dass da nicht doch noch was ist

Ich hoffe die Daten die ich jetzt schonmal auf einen USB Stick gesichert habe sind nicht auch mit dem Zeugs durchsetzt.

Vielen Dank nochmal an Alle, ich melde mich wenn ich neue Ergebnisse habe!
Gruß Lappen

Dieser Beitrag wurde von putzlappen bearbeitet: 10. August 2006 - 22:00

[Xandolph]

Hallo!
Hab genau das selbe Problem gehabt, RealVNC 4.1.1 war der Übeltäter, da ist es anscheinend möglich das Passwort zu umgehen (siehe http://www.securityfocus.com/bid/17978). Ich hab jetzt auf die Version 4.1.2 gewechselt, die sollte sicher sein.
LG Xandi