Hallo!

Ich hoffe, dass ihr mir hier im Forum helfen könnt, da ich schon am verzweifeln bin.

Für jeglichen Rat wäre ich sehr dankbar.

Leider musste ich heute in meiner Firma sämtliche Rechner unter Quarantäne stellen und jegliche Arbeiten auf Papier tätigen.


Warum?


Als ich mich auf meinem Privatrechner in der Firma einloggen wollte, (Windows XP SP3 - Updates alle 2 Wochen - Avira Antivir Workstation (Professional) 10 - alle 3rd-party apps up2date) meldete sich der Rechner sofort - und bevor der Desktop erschien, wieder aus.

Das Spiel lief ungefähr zwei mal, bis sich plötzlich der Text im Anmeldefenster (STRG + ALT + Entf drücken um sich einzuloggen..) veränderte.

Es erschien in dem Label eine Nachricht (live) von einer fremden Person --> irgendeine Art Remote-Reshack.

Sofort habe ich den Rechner vom Internet getrennt, und ich konnte mich auch ohne Probleme einloggen.

Ich ließ den Computer mit dem vorinstalliertem Avira Antivir Workstation (Professional) 10, Spybot S&D sowie MBAM scannen.


Gefunden wurde von Avira Antivir ein Java-Downloader welcher einen Exploit in der Java JVM genutzt hat um schadhaften Code nachzuladen.
Dies habe ich durch öffnen der verseuchten .jar Datei und anschließendem Dekompilieren herausgefunden.

Fest steht also, dass etwas gedownloadet wurde.

Jedoch weiß ich nicht welches schadhafte Programm dies ist, da es durch die oben genannten Scanner nicht gefunden wird.
Auch eine Analyse des Codes lässt kein kontrolliertes Nachladen zu, da die URL zusammengesetzt wird durch einen Parameter,
der bei Ausführung des Applets nur im Broweserkontext existiert (hat).(getParameter(String parameterName)).

Natürlich habe ich sofort Panik bekommen, und mein Notebook überprüft, welches anscheinend auch betroffen ist.
Beim Notebook wurde durch die drei oben genannten Programme nichts gefunden.

Dennoch habe ich 4 verschiedene Onlinescanner benutzt, wovon nur einer (Eset) noch ein schadhaftes Java Applet im JVM Cache fand.
Dieses habe ich auch sofort auseinandergenommen und ich bei diversen Scannersites geuploaded (jottis, etc.) --> ohne Resultat.

Das Dekompilieren dieses Codes förderte jedoch auch einen Downloader zutage.



Beide Downloader (und auf meinen anderen Rechnern sicher weitere) habe ich mir am 23. Oktober eingefangen (lastmodified date) - wahrscheinlich hängt das mit den infizierten Ads eines großen Anbieters zusammen,
der von Unbekannten an eben diesem 23. Oktober manipuliert wurde - und damit auch alle einbindenden Websites wie zum Beispiel die Flugsuche checkfelix.at. (Auch alte Exploits wie der mit dem Windows Supportcenter - welches sich öffnete - wurden probiert).

Ok, die Downloader sind da und wurden ausgeführt - da kann ich nichts mehr machen außer den Cache zu leeren und prophylaktisch Java im Browser zu deaktivieren.


Die große Frage ist jetzt:
Wurde etwas nachgeladen?

Wenn ja, was?
Was tut das Schadprogramm?

Leider musste ich auch festellen, dass alle Rechner in meiner Firma - sowohl meine 2 privaten, als auch die Workstations betroffen sind.
Es handelt durch die verschiedenen Downloader höchstwahrscheinlich auch nicht um die selbe nachgeladene Schadsoftware.

Nur mein Privat-Desktop-PC hat mit sich mit dem ferngesteuerten Outen des Kriminellen (fahr zur Hölle) den Stein ins Rollen gebracht.


Bitte helft mir, und sagt mir was ich außer einer Neuinstallation des Betriebsystems (Auf den Maschinen ist mit Ausnahme eines Rackservers immer Windows XP SP3 installiert) tun kann.
Das neue Aufsetzen würde mich samt Datenrettung mehrere Werktage kosten (und auch das kommende Wochenende würde flöten gehen).

Diesen Stress sowie unnötige Überstunden will ich mir sparen.


Hat jemand von euch Schritt-für-Schrittanleitungen für mich um herauszufinden worum es sich handelt? (Als Informatiker brauche ich nicht unbedingt idiotensichere Instruktionen )


Ihr weiß nämlich nicht was ich tun soll, da meine letzte Infektion 5 Jahre zurückliegt und mich ein Perverser mit "Bifrose" über meine Webcam beobachtet hat. (Server IP entpackt und dem ISP gemeldet - hey hey hey)

Der Fakt, dass WIEDER jemand in meine Privatesphäre eindringt, lässt mich nicht ruhig schlafen (Man bedenke, dass ein Download am 23 Oktober stattgefunden hat).

Bitte helft mir.

Grüßen und vielen Dank im Voraus,
Phil

PS

Wer interessiert ist, kann sich den harmlosen Sourcecode des zweiten Downloaders (von meinem Laptop) ansehen (ZIP-passwort: infected).
Der Downloader des ersten PCs ist beim Bereinigen leider verlorengegangen. (War jedoch: hxxp://www.threatexpert.com/report.aspx?md5=21338e8683d39d631475ea048b8669d5).

fangen wir mal mit pc1 an.
ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten.

Wie gewünscht, habe ich Computer1 (der, auf dem die Labels verrückt spielen) einer Untersuchung durch OTL unterzogen.

Die Logs wurden diesem Post angehängt (aufgrund der Größe komprimiert).

mfg
Filip

PS

Ist es normal, dass sich das Windows Support Center während der Ausführung von OTL öffnet?

deinstaliere mal spybot, es stört die reinigung, starte neu.
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

Hallo,

MBAM ist soeben fertig geworden und ich habe das Logfile angehängt.

Gefunden wurde 1 Datei (Trojan.Zbot) in:

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5SWJ950H\smile[1].gif

Dies hat jedoch sicher nichts mit meinem derzeitigen Problem zu tun, da der betroffene User (Administartor) zuletzt Ende 2008 eingeloggt war.

Na ja, entfernt habe ich ihn (nur eine gif Datei?!) samt Neustart welcher von MBAM gefordert wurde.


Wie geht's weiter?

eine .gif datei kann auch einen trojaner enthalten. wie wir ja bereits per pm besprochen haben, ist das sicherste das neu aufsetzen, aus den gründen die wir besprochen hatten, ich bezweifle auch, dass du wirklich gut weg kommst, wenn wir alle pcs prüfen, das wird mehr zeit kosten als sie neu aufzusetzem.

Huhu,

Es wird wahrscheinlich sowieso auf das erneute Aufsetzen der Computer herauslaufen.
Gibt es nicht dennoch die Möglichkeit - zumindest auf diesem einen Computer - herauszufinden um WAS es sich bei der Geschichte handelt?

Somit kann ich herausfinden ob vielleicht Daten gestohlen wurden (Passwörter, etc.), ob ich nur die Systempartition formatieren muss, und meine Partition mit Dokumenten bestehen lassen kann, ob ich vielleicht live per Screenshots beobachtet wurde, etc.

Ich weiß ja, dass etwas über den Java Agent geladen wurde, aber nicht was.
Diese Ungewissheit macht mich fertig...

mfg,
Filip

hi, du hast mir ja den link gesendet, ich konnte da ja einiges an infos finden, du tust gut daran, alle passwörter zu endern, es reicht c: zu formatieren, du kannst also auch daten sichern.
ob du beobachtet wurdest kann ich nicht abschließend beantworten, aber ich denke nicht.

Zitat:

Zitat von markusg

ob du beobachtet wurdest kann ich nicht abschließend beantworten, aber ich denke nicht.

Na ja, immerhin wurde das Loginfenster live manipuliert (ohne dass ich angemeldet war).

Das erinnert mich vom Verhalten her stark an Bifrose bzw. Bifrost...

Edit:

Gibt es eine Möglichkeit extern Pakete zu sniffen die von der infizierten Maschine ausgehen?

ja, kann man, aber so gut kenne ich mich damit nicht aus, sorry.

Hallo,

Zuallererst: Vielen Dank für die Unterstützung.

Ich habe letztenendes alle Festplatten samt MBR usw. gewiped und setzte meine Systeme neu auf.

Was die Schadsoftware selbst betrifft - mein Router zeigte Verbindungen nach Kuwait an.
Prophylaktisch habe ich den ganzen Providerblock gebanned.


Habt ihr irgendwelche Sicherheitstipps für mich?

Aktiv geschützt bin ich derzeit durch Avira Antivir Professional (ehemals Workstation) 10.0.

Als zweite Sicherheitslinie ist Spybot S&D installiert.

Als extra on-demand scanner verwende ich MBAM.

Ich habe mich endlich überwunden und den IE8 installiert. (hey, DEP hat mir diesen Freitag wieder den Arsch gerettet).

Ich halte wie immer alle Programme up2date, sei es MS Windows oder MS Office über den Microsoft Updater, oder Browserplugins, die Java VM, etc.


Kann ich sonst noch etwas für meine Sicherheit tun?

mfg,
Filip

noch das selbe betriebssystem?

Zitat:

Zitat von markusg

noch das selbe betriebssystem?

Wenn du damit meinst, ich soll auf ein anderes System umsteigen - Leider kommt bei mir etwas anderes ausser Windows eigentlich nicht in Frage.

Viele Tools und Applikationen die ich verwende, funktionieren nur auf Windows PCs.

Klar, für viele Sachen wie zum Beispiel die Microsoft Office Suite gibt es kostenlose und betriebssystemunabhängige Alternativen.

Jedoch trifft dies nicht auf alles zu.


Das Einzige in Frage kommende OS wäre Mac OSX.
Jedoch scheue ich die hohen Anschaffungskosten für einen Apple Computer.
Sollte ich in der Arbeit ausserdem irgendeine Applikation verwenden müssen, die nicht auf dem anderen OS läuft, bin ich aufgeschmissen.

Auch ein emuliertes Windows wäre da nur eine Notlösung.

mfg,
Filip

nein nein, keine angst, ich wollte keinen wechsel vor schlagen...

evtl. solltest du überlegen, nur noch in einem eingeschrenkten konto zu arbeiten / zu surfen, das admin konto nur für instalationen nutzen.
Benutzerkonten in Windows XP - Teil 1: Neue Benutzerkonten anlegen
die folgenden konfigurationen als admin:
dep für alle prozesse:
Datenausführungsverhinderung (DEP)
• "Datenausführungsverhinderung für alle Programme und Dienste mit Ausnahme der ausgewählten einschalten:".
wenn es zu problemen kommen sollte, kann man die betroffenen prozesse aus der Überwachung entfernen.


als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
wenn er dir gefällt, deinstaliere den firefox.
Opera Webbrowser | Schneller & sicherer | Die neuen Internet-Browser kostenlos herunterladen
mit diesem tool lässt sich ein werbeblocker laden
Opera AdBlock Configurator - Freeware - DE - Download.CHIP.eu
zusätzlich kannst du das auch manuell erledigen, falls mal etwas nicht geblockt wird:
Computerbase - Werbung blockieren
auch diese tutorial seite mal ansehen.
Opera Tutorial- Übersicht
hier besonders die abschnitte sicherheit (kookies) und passwort durchlesen


um das surfen sicherer zu machen, würde ich Sandboxie empfehlen.
Download:
drop.io
(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn ihr das programm instaliert habt, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

autorun deaktivieren:
über diesen weg werden sehr häufig schaddateien verbreitet, schalte die funktion also ab.
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
usb sticks, festplatten etc, sollte man mit panda vaccine impfen:
ANTIMALWARE: Panda USB Vaccine - Download FREE - PANDA SECURITY
so holt man sich keine infektionen ins haus, wenn man mal die festplatte etc verleit.
hake an:
hake an:
run panda usb vaccine automatically when computer boots
automatically vaccine any new insert usb key
enable ntfs file suport

Updates sind für dein system genauso wichtig, wie ein antivirenscanner. Sehr häufig gelangen schädlinge nur aufs system, weil der user veraltete software nutzt.
instaliere die folgenden update checker.
Secunia:
http://www.trojaner-board.de/83959-s...ector-psi.html
und file hippo update checker:
FileHippo.com Update Checker - FileHippo.com
das file Hippo Symbol wird im infobereich neben der uhr auftauchen, mache bitte nen rechtsklick darauf, wähle settings, results, setze einen haken bei "hide beta updates" klicke ok.
dann doppelklicke file hippo, eine Internetseite wird geöffnet, auf der dier die aktuellsten updates gezeigt werden, diese downloaden und instalieren.

Beide programme sollten im autostart bleiben, und sobald eines der programme updates anzeigt sollten diese umgehend instaliert werden.

regelmäßige Backups des systems sind sehr wichtig, du weist nie, ob deine festplatte mal kaputt geht.
Paragon Backup & Recovery Free Edition - Das Produkt
außerdem kannst du, bei neuerlichem malware befall das system zurücksetzen.
Das Backup sollte möglichst auf eine externe festplatte etc emacht werden, nicht auf die selbe, wo sich die zu sichernden daten befinden.
Von sehr wichtigen Daten könnte man noch eine zusätzliche Sicherung auf dvds/cds erstellen, dazu könnte man auch wiederbeschreibbare verwenden (rws) falls die sammlung mal erneuert werden soll.



allgemeines.
- verzichte auf tuning programme, sie bringen nichts.
- keine illegalen downloads.
90 % bringen malware mit sich!
- keine streaming seiten wie kino.to sie verbreiten malware.
- wenn möglich, instalationen immer benutzerdefiniert ausführen, dann kannst du unnötiges zeug abwählen.

online banking:

ich würde zu online banking mit chipcard raten, dazu benötigst du, ein lesegerät, lasse dich von deiner bank beraten, es sollte aber mindestens ein klasse2 lesegerät sein, besser sogar ein klasse3 leser, das sind die besten für den privat kunden.
Kartenlesegerät ? Wikipedia


danach, bitte nur noch im standard nutzer konto einloggen, und dort in der sandbox surfen, mit klick auf "sandboxed web browser".