Discussion:
Was ist das?
(zu alt für eine Antwort)
Christian Praus
2010-04-06 21:39:01 UTC
Permalink
Hallo Gruppe!

Seit heute findet MS Security Essentials alle paar Minuten den Trojan
"Win32/Boaxxe.E", nach dem Entfernen taucht er nach wenigen Minuten
wieder auf.
Iin C:\Windows\Temp\ wird jedesmal ein Ordner erstellt (Name des
Ordners zufällig, aber immer [ 4 Buchstaben].tmp), in diesem soll der
Übeltäter sein. Immer wenn ich ihn lösche, wird er nach wenigen
Minuten wieder erstellt.

Weiß jemand, welcher Prozess dafür verantwortlich ist?
(Ach ja, Spybot, AdAware finden nichts, eine Systemwiederherstellung
hat auch nichts gebracht, mit Autoruns hab ich auch nichts
Verdächtiges gefunden)

Danke für alle Tipps
Christian
Heiko Schlenker
2010-04-06 23:37:21 UTC
Permalink
Post by Christian Praus
Weiß jemand, welcher Prozess dafür verantwortlich ist?
(Ach ja, Spybot, AdAware finden nichts, eine Systemwiederherstellung
hat auch nichts gebracht, mit Autoruns hab ich auch nichts
Verdächtiges gefunden)
Danke für alle Tipps
Virenscanner o.ä. können dann keine verlässlichen Befunde liefern,
wenn sie auf dem zu untersuchenden System ausgeführt werden. Der
Schädling kann sie nämlich an der Nase herumführen.

Starte beispielsweise ein sog. Live-System
<http://de.wikipedia.org/wiki/Live-System>, das einen Virenscanner
enthält, und untersuche dann das verdächtige System.

Allg. Tipps:
- http://oschad.de/wiki/index.php/Kompromittierung
http://www.malte-wetz.de/index.php?viewPage=sec-compromise.html
http://www.cert.org/tech_tips/win-UNIX-system_compromise.html
http://faq.underflow.de/#SECTION000120000000000000000
http://faq.jors.net/virus.html
- http://www.microsoft.com/technet/security/secnews/articles/gothacked.mspx
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx
- http://www.netzwelt.de/news/70253-trojaner-paedophil-wider-willen.html
- http://www.malte-wetz.de/index.php/?viewPage=sec-removal.html
http://www.heise.de/security/Reinigen-oder-Plattmachen--/artikel/47520
- http://groups.google.com/groups?as_umsgid=***@mid.deneb.enyo.de
in Verbindung mit http://www.microsoft.com/technet/community/columns/secmgmt/sm0504.mspx
bzw. http://technet.microsoft.com/en-us/library/cc512587.aspx

Gruß, Heiko
Juergen Ilse
2010-04-07 03:14:02 UTC
Permalink
Hallo,
Post by Heiko Schlenker
Post by Christian Praus
Weiß jemand, welcher Prozess dafür verantwortlich ist?
(Ach ja, Spybot, AdAware finden nichts, eine Systemwiederherstellung
hat auch nichts gebracht, mit Autoruns hab ich auch nichts
Verdächtiges gefunden)
Virenscanner o.ä. können dann keine verlässlichen Befunde liefern,
wenn sie auf dem zu untersuchenden System ausgeführt werden. Der
Schädling kann sie nämlich an der Nase herumführen.
Starte beispielsweise ein sog. Live-System
<http://de.wikipedia.org/wiki/Live-System>, das einen Virenscanner
enthält, und untersuche dann das verdächtige System.
Korrekt. I.d.R. bedeutet allerdings eine Kompromittierung, dass du das
System nur durch "platt machen und neu installieren" wieder in einen
"sicher sauberen Zustand" versetzen kannst. Denn wenn im System eine
"Hintertuer" etabliert oder weitere Software nachgeladen und installiert
wurde, ist nicht abzuschaetzen, was neben dem urspruenglichen Schaedling
sonst noch alles am System geaendert wurde: es koennen darueberhinaus
noch fast beliebige Veraenderungen am System vorhanden sein, die eine
"Virenbeseitigungssoftware" normalerweise nicht wieder rueckgaengig
machen kann, weil sie dieser Software gar nicht bekannt sind ...

Besonders bei sogenannten "Droppern" ist es ueberhaupt nicht mehr nach-
vollziehbar, was fuer weitere Schadsoftware nachgeladen und zusaetzlich
im System installiert wurde (was der "Dropper" bei der Infektion nach-
laedt kann sich nicht nur von einer Minute zur naechsten aendern, es
koennte auch z.B. in Abhaengigkeit von der Systemumgebing, IP-Adresse,
etc. auch bei gleichzeitiger Infektion bei verschiedenen Rechnern etwas
unterschiedliches sein: Wenn also ein Virenscannerhersteller eine be-
stimmte Software als "von Dropper nachgeladen" identifiziert hat, bedeu-
tet das noch lange nicht, dass andere Rechner durch den selben Dropper
nicht gaenzlich andere Software nachladen wuerden ...

Aber das steht ja so auch in den von Heiko genannten URLs mit zhusaetzlichen
Hinweisen: bei "kompromittiertem Rechner" ist i.d.R. "Neuinstallation" an-
gesagt, da andere MEthoden der "Reinigung" i.d.R. nicht zuverlaesig funk-
tionieren (auch wenn gleich wieder irgend welche Leute auftauchen und das
Gegenteil behaupten werden).

Tschuess,
Juergen Ilse (***@usenet-verwaltung.de)
--
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...
Christian Praus
2010-04-07 06:47:33 UTC
Permalink
Post by Heiko Schlenker
Starte beispielsweise ein sog. Live-System
<http://de.wikipedia.org/wiki/Live-System>, das einen Virenscanner
enthält, und untersuche dann das verdächtige System.
THX für die Antwort.
Frage: Kann ich auch ein zuvor erstelltes Systemabbild (Ich verwende
Win7) zurückspielen?

mfg
Christian
Helmut Hullen
2010-04-07 07:20:00 UTC
Permalink
Hallo, Christian,
Post by Christian Praus
Post by Heiko Schlenker
Starte beispielsweise ein sog. Live-System
<http://de.wikipedia.org/wiki/Live-System>, das einen Virenscanner
enthält, und untersuche dann das verdächtige System.
THX für die Antwort.
Frage: Kann ich auch ein zuvor erstelltes Systemabbild (Ich verwende
Win7) zurückspielen?
Vermutlich ja.
Und dann musst Du erneut prüfen (und zwar nicht mit Bordmitteln, sondern
per Live-CD o.ä.), ob das Abbild auch schon befallen war.

Viele Gruesse!
Helmut
Christian Praus
2010-04-07 08:19:50 UTC
Permalink
Post by Helmut Hullen
Vermutlich ja.
Und dann musst Du erneut prüfen (und zwar nicht mit Bordmitteln, sondern
per Live-CD o.ä.), ob das Abbild auch schon befallen war.
Hat definitiv funktioniert. Das Abbild war vom 20.3.10, die Infektion
erfolgte mit Sicherheit auf einer der dubiosen Webseiten, die ich
gestern abend ansurfte.
(Überprüft hab ich's zwar noch nicht, aber bis jetzt zeigt er das im
OP beschriebene Verhalten nicht mehr.)

mfg
Christian
Christian Praus
2010-04-07 11:20:17 UTC
Permalink
On Wed, 07 Apr 2010 10:19:50 +0200, Christian Praus
Post by Christian Praus
Hat definitiv funktioniert. Das Abbild war vom 20.3.10, die Infektion
erfolgte mit Sicherheit auf einer der dubiosen Webseiten, die ich
gestern abend ansurfte.
Überprüft mit Knoppicilin 6.0.2 --> clean

mfg
Christian
Heiko Schlenker
2010-04-07 13:49:31 UTC
Permalink
Post by Christian Praus
On Wed, 07 Apr 2010 10:19:50 +0200, Christian Praus
Post by Christian Praus
Hat definitiv funktioniert. Das Abbild war vom 20.3.10, die Infektion
erfolgte mit Sicherheit auf einer der dubiosen Webseiten, die ich
gestern abend ansurfte.
Überprüft mit Knoppicilin 6.0.2 --> clean
Hat Knoppicilin denn überhaupt den Schädling auf dem
kompromittierten System gefunden? Oder wurde das auch
als "clean" eingestuft?

Gruß, Heiko
Christian Praus
2010-04-07 15:50:10 UTC
Permalink
Post by Heiko Schlenker
Hat Knoppicilin denn überhaupt den Schädling auf dem
kompromittierten System gefunden? Oder wurde das auch
als "clean" eingestuft?
Äh, da hab ich leider in der Schnelle nicht getestet.
Tatsache ist jedoch, daß dieses Phänomen (siehe OP) seither nicht mehr
aufgetreten ist.

mfg
Christian
Harry Hirte
2010-04-26 18:31:49 UTC
Permalink
On Wed, 07 Apr 2010 10:19:50 +0200, Christian Praus wrote:

...
Post by Christian Praus
Hat definitiv funktioniert. Das Abbild war vom 20.3.10, die Infektion
erfolgte mit Sicherheit auf einer der dubiosen Webseiten, die ich
gestern abend ansurfte.
(Überprüft hab ich's zwar noch nicht, aber bis jetzt zeigt er das im OP
beschriebene Verhalten nicht mehr.)
...
Moin,

hab ich das jetzt richtig verstanden: Windoze 7, eine Webseite ansurfen
und *bingo* ?
War das dann als nicht privilegierter Benutzer? Vielleicht möchtest Du ja
Details verraten, damit andere nicht in eine ähnliche Falle tappen...

HH
Gabriele Neukam
2010-04-27 13:57:17 UTC
Permalink
Post by Harry Hirte
War das dann als nicht privilegierter Benutzer? Vielleicht möchtest Du ja
Details verraten, damit andere nicht in eine ähnliche Falle tappen...
Möglicherweise

http://www.heise.de/security/meldung/Kriminelle-versuchen-ungepatchte-Reader-Luecke-auszunutzen-979037.html


Gabriele Neukam

***@t-online.de
--
Reality is something, people cannot cope with.
If they could, they would not play.
Ralph Angenendt
2010-04-27 21:55:38 UTC
Permalink
Post by Gabriele Neukam
Post by Harry Hirte
War das dann als nicht privilegierter Benutzer? Vielleicht möchtest Du ja
Details verraten, damit andere nicht in eine ähnliche Falle tappen...
Möglicherweise
http://www.heise.de/security/meldung/Kriminelle-versuchen-ungepatchte-Reader-Luecke-auszunutzen-979037.html
Adobe Reader (bzw. das Plugin) scheint ja eh die diversen
Microsoft-Brausen als Haupteinfalltor in Systeme abzulösen.

Ralph
--
E.E. CUMMINGS BELIEVES IN CAPSLOCK
-- @amandapalmer

Nicht schreiben können: http://lestighaniker.de/
Juergen P. Meier
2010-04-07 05:48:00 UTC
Permalink
Post by Christian Praus
Seit heute findet MS Security Essentials alle paar Minuten den Trojan
"Win32/Boaxxe.E", nach dem Entfernen taucht er nach wenigen Minuten
wieder auf.
Iin C:\Windows\Temp\ wird jedesmal ein Ordner erstellt (Name des
Ordners zufällig, aber immer [ 4 Buchstaben].tmp), in diesem soll der
Übeltäter sein. Immer wenn ich ihn lösche, wird er nach wenigen
Minuten wieder erstellt.
Weiß jemand, welcher Prozess dafür verantwortlich ist?
(Ach ja, Spybot, AdAware finden nichts, eine Systemwiederherstellung
hat auch nichts gebracht, mit Autoruns hab ich auch nichts
Verdächtiges gefunden)
Danke für alle Tipps
http://faq.jors.net/virus.html

Dein System ist kompromittiert und est ist somit nicht laenger
moegllich, das System von sich aus zu bereinigen.

Wenn du zu viel Zeit hast, kannst du von externen (optischen) Medien
booten und dann versuchen den Schaden zu beheben. Vorher kaltstart
(aus-einschalten), falls dein Rechner Virtualisierungsfeatures
besitzt (sonst kannst du einen virtualisierten Reboot nicht von einem
echten Reboot unterscheiden und selbst eine Boot-CD findet im
vermeindlich sauberen System unterhalb eines malware-Hypervisors
nichts mehr).

HTH,
Juergen
Jens Hektor
2010-04-08 05:29:31 UTC
Permalink
Post by Christian Praus
Seit heute findet MS Security Essentials alle paar Minuten den Trojan
"Win32/Boaxxe.E", nach dem Entfernen taucht er nach wenigen Minuten
wieder auf.
Liefer das Ding doch mal bei www.virustotal.com o.ä. ab,
nur um Fehlalarme auszuschliessen.
Ottmar Freudenberger
2010-04-08 07:28:55 UTC
Permalink
Post by Christian Praus
Seit heute findet MS Security Essentials alle paar Minuten den Trojan
"Win32/Boaxxe.E", nach dem Entfernen taucht er nach wenigen Minuten
wieder auf.
Herzlichen Glückwunsch, Du hast ein Neuaufsetzen Deines Systems gewonnen:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDropper%3AWin32%2FBoaxxe.E
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aWin32%2fBoaxxe.I

Bye,
Freudi
--
Macht euer Windows sicherer: http://windowsupdate.microsoft.com - jetzt!
Aktion bis 30.04.2010: Verlosung einer Windows 7 Professional Vollversion
Teilnahmebedingungen unter http://patch-info.de/artikel/2010/04/03/824
Loading...