Ist noch etwas zu retten ?

Helmut · 11. November 2019 um 06:28

Servus Experten !

Der Laptop (XP-Home, SP3) eines Bekannten ist offensichtlich heftig verseucht.
Nachdem der Bekannte eine rtf-Datei vom Laptop auf einen jungfräulichen Stick kopiert hat, waren 5 Trojaner auf dem Stick (lt. Avira u.a. 3 Mal Dropper.Gen und 1 Mal Autorun.inf).
Laptop meldet beim Start fehlende Dateien von ZoneLab(vsinit.dll und vsdata).
Beim Rechtsklick auf eine Worddatei hängt sich der PC auf, alle Desktop-Symbole verschwinden und die Maschine muss neu gestartet werden.
Ein Scan mit der AVIRA-rescue-CD bringt 8 Funde wie folgt:
TR/Dropper.Gen /media/Devices/hda2/WINDOWS/system32/FA6285/B34B18.exe not removable, file renamed

TR/Trash.Gen /media/Devices/hda2/System Volume
Information/_restore {66234F2B-C93E-4D94-8BDB-1899CBBA9319}/RP220/A0185032.exe
not removable, file renamed
(insgesamt 3 Mal)

SPR/AutoIt.Gen /media/Devices/hda2/WINDOWS/system32/csrcs.exe
Contains detection pattern of the SPR/AutoIt.Gen program

ADSPY/Toolbar.P.c.3 /media/Devices/hda2/WINDOWS/system32/pbdev2.dll
not removable, file renamed

ADSPY/Toolbar.P.c.3 /media/Devices/hda1/minint/system32/p000091.zip (
file renamed
(insgesamt 2 Mal)

Nach dem Scan meldet Windows, dass die Datei „B34B18.exe.XXX“ nicht geöffnet werden kann, und dass die Datei „csrcs.exe“ nicht gefunden werden kann.

Nachdem ich nun auf diversen Seiten nach Informationen geschaut habe, komme ich zu dem Schluss, dass hier wohl nur noch eins hilft: Daten retten, System platt machen, neu installieren, Backup machen.

Seht Ihr das auch so, oder würden hier noch andere Rettungsmaßnahmen greifen?

Danke im Voraus und
Grüße aus Wien
Helmut

ExNicki_99e239 · 11. November 2019 um 06:28

Hi Helmut

Nachdem der Bekannte eine rtf-Datei vom Laptop auf einen
jungfräulichen Stick kopiert hat, waren 5 Trojaner auf dem
Stick (lt. Avira u.a. 3 Mal Dropper.Gen und 1 Mal
Autorun.inf).

hm, rtf kann keine Trojaner beinhalten. aber sei’s drum

Laptop meldet beim Start fehlende Dateien von
ZoneLab(vsinit.dll und vsdata).
Beim Rechtsklick auf eine Worddatei hängt sich der PC auf,
alle Desktop-Symbole verschwinden und die Maschine muss neu
gestartet werden.

¨[…]

Nach dem Scan meldet Windows, dass die Datei „B34B18.exe.XXX“
nicht geöffnet werden kann, und dass die Datei „csrcs.exe“
nicht gefunden werden kann.

das erste hört sich nach Virus an, der sich im Autostart niedergelassen hat, und nachdem das Antivirprogi die Datei umbenannt hat, weint Win, das es die Datei nicht mehr findet, das 2. ist ein Systemprogramm, allerdings benennen sich Viren auch gerne so. Meist ist die richtige Datei im system32-Ordner, die falsche in irgendeinem anderen, leider nicht immer.

Nachdem ich nun auf diversen Seiten nach Informationen
geschaut habe, komme ich zu dem Schluss, dass hier wohl nur
noch eins hilft: Daten retten, System platt machen, neu
installieren, Backup machen.

ja sehe ich auch so. Zwar bin ich immer misstrauisch, wenn Malware mit „gen“ auftauchen, das bedeutet, dass sie nach der heurisitschen Methode gefunden wurde, die nicht sehr zuverlässig ist, auf der anderen Seite haben hier Viren offensichtlich Schaden angerichtet, und nachdem Trojaner mitmischen, die als einzigen Zweck das Nachladen von anderer Malware haben, ist eine Neuinstallation wohl angebracht.

Seht Ihr das auch so, oder würden hier noch andere
Rettungsmaßnahmen greifen?

nö, persönliche Daten ausser ausführbare Dateien retten, Platte glattbügeln, Win neu draufspielen.

Gruss
ExNicki

Helmut · 11. November 2019 um 06:30

Danke und Nachfrage
Servus ExNicki !

Danke für Deine Antwort.
Wie die „Viren“ auf den Stick gekommen sind, weiß ich auch nicht, da mein Bekannter gesagt hat, dass er nur die rtf-Datei kopiert hätte. Jedenfalls waren auf dem Stick noch weitere Dateien drauf (u. a. eben eine autorun.inf, die angeblich infiziert war, und 3 dateien ii.exe, iiii.exe und iiiiii.exe, die alle Dropper.gen enthielten).

Die mit „generics“ infizierten Dateien könnte man natürlich jetzt noch bei virustotal oder jotti hochladen, aber nachdem ich mir jetzt auch noch den dazugehörigen Büro-PC angeschaut habe, der auch 2 Trojaner (keine generics) hat, und bei dem z.B. kein Browser mehr zu öffnen ist und AVIRA nicht mehr automatisch startet, gehe ich mal davon aus, dass die gesamte Hardware des Bekannten versifft ist und man hier radikal vorgehen muss.

Dazu noch eine Nachfrage: Habe bei besagtem Büro-PC auch die AVIRA-Rescue-CD verwendet, die hat aber beim Schritt „Geräte einbinden“ keinen Mucks mehr gemacht, so dass ich auch nicht mehr den Scanner starten konnte.
Hast Du eine Ahnung, wo da der Wurm sitzt?

Danke und
Grüße aus Wien
Helmut

ExNicki_99e239 · 11. November 2019 um 06:30

Hi Helmut

Die mit „generics“ infizierten Dateien könnte man natürlich
jetzt noch bei virustotal oder jotti hochladen, aber nachdem
ich mir jetzt auch noch den dazugehörigen Büro-PC angeschaut
habe, der auch 2 Trojaner (keine generics) hat, und bei dem
z.B. kein Browser mehr zu öffnen ist und AVIRA nicht mehr
automatisch startet, gehe ich mal davon aus, dass die gesamte
Hardware des Bekannten versifft ist und man hier radikal
vorgehen muss.

Yep, das meinte ich. Wozu noch herausfinden, welcher jetzt „echt“ war, wenn es klar ist, dass die Kiste verseucht ist?

Dazu noch eine Nachfrage: Habe bei besagtem Büro-PC auch die
AVIRA-Rescue-CD verwendet, die hat aber beim Schritt „Geräte
einbinden“ keinen Mucks mehr gemacht, so dass ich auch nicht
mehr den Scanner starten konnte.

Hast Du eine Ahnung, wo da der Wurm sitzt?
nein. Vermutlich hat der PC irgendeine exotische Hardware, die das auf der CD befindliche Linux nicht Identifizieren und deshalb auch nicht einbinden kann.
Entweder eine andere Life-CD ausprobieren
http://www.raymond.cc/blog/archives/2008/12/11/13-an…
wobei allerdings die meisten vermutlich auf einem ähnlichen Linux basieren oder schlimmstenfalls die Platte an einem anderen PC scannen (der über ein gutes Image-Backup seiner Winpartition verfügen sollte ^^)
Allerdings würde ich mir die Mühe sparen. Wenn 2 Trojaner aktiv sind/waren, bleibt dir eh nur noch die Neuinstallation.

Gruss
ExNicki

Helmut · 11. November 2019 um 06:36

.

Stefan_50ea10 · 11. November 2019 um 06:45

Hallo,

mit etwas Arbeit koennte man die Kiste wieder retten. Die schnellste Methode waere doch ein Format.

RTF Dateien koennen Viren beinhalten, nur wenn man Doppelendungen miteinbezieht, z.B.

Nacktfoto.jpg.exe
WieGeheIchAufDieToilette.RTF.pif

usw…

Da bei viel zu vielen die Doppelendungen ausgeblendet sind, erkennt man auf Anhieb nicht, ob es ein Virus ist, oder nicht.

Nun, der PC besitzt einen Autorun Trojaner. Sprich, wenn ein neuer USB-Stick angesteckt wird, wird dieser sofort mit einer Autorun.inf datei belegt. Wird nun der USB stick auf einem anderen PC angeschlossen, nistet sich der Trojaner auf dem anderen PC nach einem Neustart ebenfalls ein.

Solch ein Trojaner, besitzt die Faehigkeit, wie ein Wurm zu handeln.

Sollte interesse bestehen das System zu bereinigen, mich einfach kontaktieren. Sollte es per Schriftverkehr nicht so ganz klappen, wie es sein soll, gaebe es noch die Moeglichkeit, dass ich per VNC aushelfe…

Gruesse.