hallo in die Runde,

bevor ich hier poste habe ich mit dem Stichwort
"TR/Autoit.EG" gesucht und nichts gefunden.

Normalerweise sind meine Fragen schon irgendwo besprochen oder ich frage mal wieder falsch.

Mir wurde vom Antiviren-Programm gemeldet, daß der Trojaner
TR/Autoit.EG
auf meiner mobilen 2"-Reise-HD mit 160GB in der Westentasche gefunden wurde.
Der Schädling hat sich das Verzeichnis
System-Cache angelegt und war darin auch zu finden.
Die Löschung gelang, nachdem die Dateiparameter von verborgen und schreibgeschützt auf normal zurückgesetzt wurden.
Der nächste Schritt war die Löschung der angelegten Mülldateien.
Plötzlich wurdegemeldet, daß er dort auch enthalten sei.
Im Verzeichnis "Recycled" sei das Biest auch eingebunden.
Da kam ich aber nicht zum Löschergebnis - wer weiß jetzt wie ich das Verzeichnis komplett durch Tricks oder unterdrückte Gegenwehr vernichten kann ?

Die letzte und besonders wichtige Frage ist:
Was macht der Krüppel noch ausser der eigenmächtigen Umänderung der autorun.Datei ?

Bei mir enthielt die autorun.inf
plötzlich diese Befehle:

[autorun]
open=System_Cache\locale.exe
shell\open=0??????(&O)
shell\open\Command=System_Cache\locale.exe
shell\open\Default=1
shell\explore=?????????
shell\explore\Command=System_Cache\locale.exe

was können Experten daraus erkennen ?

welche Schäden habe ich noch zu erwarten ?

Danke für die Aufmerksamkeit !

Erstelle uns noch ein HijackThis Log

inzwischen konnten weitere Beobachtungen gesammelt werden:

befallene Rechner schreiben die autorun.inf in jeden nur kurz angesteckten Stick und in jedes angeschlossene externe Laufwerk um.
Dazu werden diese Datei und das Verzeichnis mit den Dateiparametern System, schreibgeschützt und verborgen in normalen Dateimanagern nicht zu sehen sein.
Ich nutze den Totalcommander und habe die Einstellungen so verändert, daß die Systemdateien auch sichtbar sind.
Wer diesen Schritten folgen will, muß erst zwingend einen guten Dateimanager auf dem Rechner haben, der die Systemdateien auch anzeigt.
Vor den normalen Betrachtern bleiben diese "bösen Buben" voll verborgen.

Die autorun.inf hat dann immer den vorgenannten gleichen Inhalt.
Eine vorhandene autorun.inf wird grundsätzlich brutal beseitigt, auch wenn diese schreibgeschützt war !

Mehrere Suchvorgänge über alle Laufwerke ergaben weitere abgespeicherte Kopien von locale.exe und ntfsours.exe

diese waren zu finden in
C:\Windows\system32

Das Verzeichnis C:\System Cache wird erst von dem Schädling angelegt.
Wird das Verzeichnis samt Inhalt und die autorun.inf gelöscht, dann schreibt ein vollständig befallener Rechner dieses Verzeichnis und die autorun.inf in Sekunden wieder neu.

Um den Rechnerbefall zu erkunden, wurde TuneUp2009 benutzt.
Mit dem Unterprogramm "Registry edit" wird dazu die Funktion "suchen" eingesetzt.
Das Suchwort "locale.exe" ergab bei einem neu befallenen PC 11 Einträge
Das Suchwort "ntfsours.exe" ergab einen Eintrag.

Auf dem seit dem 6.12.2008 befallenen PC in einem INTERNET-CAFE waren 69 Einträge insgesamt zu finden.

Der Zeitpunkt des ersten Befalls kann an dem Speicherdatum des Verzeichnisse C:\System Cache festgestellt werden.
Um diesen Zeitpunkt festzuhalten, habe ich das Verzeichnis umbenannt in:
System Cache Sik
Sofort wurde mit aktuellstem Datum ein neues Verzeichnis "System Cache" sichtbar.

Der zuerst "gereinigte" PC erkannte dann zwei Tage später beim START zwar die Festplatte, behauptete dann beim Booten I/O-Error.

Ein Versuch die Installation des Betriebssystems mit der Install-CD zu reparierieren ergab gewohnte Abläufe bis die HD ins Spiel kommt.
Das Windows-Installationsprogramm behauptete doch "keine Festplatte vorhanden", obwohl die Festplatte beim Start des PCs im BIOS erkannt wurde.

Jetzt muß im nächsten Schritt die ausgebaute Festplatte an einem USB-Wandleradapter getestet werden.
Ich werde berichten, was dabei .....

In den nächsten Tagen werde ich im INTERNET-CAFE nachfragen, was der PC09 nach der "Reinigung" mit TuneUp2009 ( suchen - Reg-Eintrag mit locale.exe löschen) tat und was die Reinigungsaktion für weitere Folgen hatte.

In den Suchmaschinen waren zu ntfsours.exe und zu locale.exe nur wenige ältere Beiträge zu finden.
Habt Ihr mehr dazu gefunden ?

Der avast-Virenscanner meldet ihn, aber nur einmal "keine Aktion" geklickt und das Unheil mit schwersten Folgen ist entstanden.

Was wird mit den beiden Trojanern locale.exe und ntfsours.exe bezweckt ?

An Hand eines erlebten und nachvollziehbaren Falles können Behauptungen,
die unter Internet-Experten kursieren, auf mögliche Schlüssigkeit überprüft werden.
Nehmen Sie Ihre unaufgeklärten Fälle und vergleichen Sie selbst nach dieser Theorie.
Gerücht 1:
es gibt die Aussage, daß diese beiden Trojaner-Dateien eingesetzt werden, um Datenbestände in fremden Rechnern auszuspähen und dann nach abgeschlossener Erkundung Lösch-Befehle oder andere mögliche Befehle im Rechner auszuführen. Dazu wird auf der Shell-Ebene unter dem sichtbaren Desktop-Bedienfeld gearbeitet. Während ein Trojaner-Befehl abgearbeitet wird, ist die sonstige Bedien- und Kontrollebene vollständig blockiert.
Der/die ahnungslose PC-NutzerIn glaubt, sein/ihr Rechner habe sich aufgehangen. Er kann weder etwas beobachten, kann nicht eingreifen, noch kann ein Vorgang gestoppt werden !
Es gibt die Behauptung, daß diese Programmierungen aus den NSA-Labors stammen und für geheimdienstliche Anwender erschaffen wurden.
Die Internet-Suche nach diesen Angaben bringt wenig Aufklärung. Die wenigen Angaben befassen sich mit der Beseitigung der Schädlinge, falls ein Rechner mal mitbefallen wurde.
Es waren keine Angaben zu finden, was dieses Trojaner-Pärchen eigentlich bewirkt !
Folgt man dem Gerücht,
es sei ein NSA-Werkzeug für Geheimdienste, wird die Beobachtung schon plausibler.
These 1:
Die Zielperson wird im INTERNET mit Hackerwerkzeugen gezielt und genau beobachtet.
Dazu dienen z.B. die email-Server als Kontaktpunkte. Holt die Zielperson emails ab, wird die genutzte IP und mehr festgestellt. Sowie sich die Gelegenheit ergibt, klemmt sich der Verfolger an diese Verbindung, bis auf einem der vielen Wege die Trojaner-Dateien in den Rechner geschleust werden. Jetzt folgt die Einnistung in versteckte Systembereiche und die Einrichtung in die Registry des Betriebssystemes, bis die automatische Wiederherstellung auch nach Löschung durch eines der Virenprogramme bestmöglichst abgesichert ist.
In der folgenden Zeit führt der Schädling die Erkundung des Datenbestandes aus und wartet auf den nächsten Internet-Kontakt, um die Erkundungen an den Master zu berichten.
Mit dem dann folgenden Kontakt wird der vom Master programmierte Befehl ausgeführt.
Das können auch mehrere Befehle sein, die nacheinander erfolgen und immer erst erfolgen, wenn die Folge-Erkundung die Erledigung des vorgehenden Auftrages abgesichert hat.
Da diese Trojaner-Angriffe gezielt gegen einzelne Personen und Firmen eingesetzt werden, kommen die Störungsmeldungen meist erst aus dem zufällig mitbetroffenen Umfeld-Bereich.
Wer merkt schon etwas von einem still ruhenden Kundschafter, wenn es keine Schäden gibt ?
Allein die Ausdehnung der Erkundungen auf externe Datenträger machte die Programmierer sichtbarer, denn eine brutal umprogrammierte autorun.inf bemerkt man schon eher, weil die erwartete AUTOSTART-Funktion regelmäßig nicht mehr klappt.
Da sich die Anwendung von externen Datenträgern massiv ausgeweitet hat, mußte der Auftrags-Trojaner den geschützten Bereich verlassen, um in das gesamte Rechner-System im Umfeld der Zielperson einzudringen. Die Suche nach Dateien konnte so den INTERNET-PC als Einstieg benutzen und alle weiteren PCs ohne Anbindung über USB-Sticks und ext. HDs vollständig mit einbeziehen.
War der Einzelauftrag erledigt, dann schwirrten jetzt nur noch die überflüssigen Trojaner führerlos in den jeweils mitkontakteten PCs herum und "ärgerten nur noch" durch regelmäßig zerstörte autorun.inf.
Hier setzt auch erst die Anti-Viren-Trojaner-Software ein und beseitigt so nur noch den hinterlassenen Müll.
Der Einzelauftrag zur Löschung von Dokumenten-Dateien war da schon längst ausgeführt.
Niemand hat den Zusammenhang erkannt und denkt an Hardwarefehler der Datenträger !
Wer zu diesen Erklärungen und Theorien mehr beisteuern kann, möge es tun !
Wer schon mal von Zerstörung oder spurlosem Untergang von wichtigen Daten betroffen war, möge hier besonders aufmerksam sein ! Die Diskussion ist frei und völlig offen ..

Wo da die NSA ins Spiel kommen soll, ist mir ehrlich gesagt ein Rätsel

Na ja, sich den Rechner auf irgendeiner Schmuddelseite oder mit einem Crack verseucht zu haben ist ja schon etwas peinlich. Wenn man aber von der NSA überwacht wird, putzt das das Ego mächtig raus: Viel Feind - viel Ehr. Manche Leute kommen sich besonders cool vor, wenn sie von der NSA (oder Mossad, MI5, ..., egal) überwacht werden, schließlich würden die nie ihre Ressourcen damit verschwenden, einen komplett unwichtigen Zeitgenossen zu bespitzeln.

Ich glaube aber nicht, dass die NSA auf so primitive Werkzeuge wie Autoit zurückgreift, die haben bestimmt besseres am Start.

Sophos