reader_s.exe

Hallo!

Ich brauch hier was Hilfe:

Die Kids haben auf meinem Rechner anscheinend was gestartet und jetzt hab ich ein hässliches kleines Virenproblem mit einem Biest, das als reader_s.exe im Taskmanager auftaucht.

Googeln ergab, das das anscheinend ein richtiges Mistviech ist, das man anscheindend nur durch formatieren wirklich los wird.

Allerdings ist die Situation bei mir etwas anders, da bei mir nie als Administrator gearbeitet wird, sondern immer nur als User mit minimalsten Rechten. Daher ist auch nur der User-Account verseucht, sobald ich den Rechner als Admin starte, ich der Virus nicht da.
Er kann sich magels Rechte nur im User-Verzeichnis installieren und nur die User-Autostart-Mechanismen benutzen.

Das Problem: Es ist nicht ausreichend, alle Dateien des Virus und die Autostart-Einträge zu löschen. Nach den Neubooten läuft dann auf einmal eine „VRT2.tmp“, die den Virus innerhalb weniger Sekunden neu installiert.

Und jetzt kommt’s:
Das passiert nur, wenn ich den Rechner mit einer Netzwerkverbindung startet. Wenn ich das Netzwerkkabel abziehe, den Rechner boote und das Netzwerkkabel nach einer Minute wieder einstecke, ist und bleibt auch der Benutzer-Account clean - bis zum nächsten Neustart.
Offensichtlich hat der sich noch irgendwo verewigt, wo er sich mit einem Befehl unmittelbar nach dem LogIn aus dem Internet nachladen kann.
Und ich find’s nicht. Der Autostart-Bereich im Userteil der Egistry ist komplett leer.

Hat irgendjemand eine Idee, wie das funktionieren könnte und wie ich das Biest wieder loswerde?

Heissen Dank schon mal!
mabuse

Den Useraccount der betroffen ist löschen und den MBR komplett neu schreiben wäre eine Möglichkeit ,

Geschafft!
Hab’s hinbekommen.
Win32.Virut.56 heisst er.

Und für alle, die in eine ähnilche Situation geraten:

Zuerst das allerwichtigste:
Nie - Nie, Nie, Niemals - den Benutzerwechsel von Windows benutzen!
Ich weiss nicht wie das Mistviech das hinbekommen hat, aber eine einfach Ab- und Anmeldung überlebt es! Und hat dann Administratorenrechte - und dann geht die Post ab. 580 infizierte Files in knapp 30 Sekunden.
Immer Neustarten und dann erst als Admin anmelden!

Die gängigen Virenscanner haben durch die Bank weg nichts gefunden. Rühmliche Ausnahme war der Cureit von Dr. Web. Auf einem virenfreien Rechner die aktuelle Version saugen (neue Version gbt’s alle paar Stunden), auf einem schreibgeschützen Medium zum Rechner tragen. Netzwerkkabel ziehen und im abgesicherten Modus starten. Taskmanager öffnen und alles Verdächtige abwürgen - das betrifft auch sämtliche svchost-Prozesse!
Dann zuerst mal mit Regedit alles Autostart-Mechanismen leeren. Das Biest verewigt sich in Maschine, Current User und All Users! Außerdem gibt’s einen Haufen verdächtige Einträge unter MS/Advanced INF Setup in den ganzen Explorerschlüsseln. Alles, was dort nach einem Link auf eine TMP-Datei aussieht, löschen.

Alle Temp-Ordner leeren. Nach reader_s.exe systemweit suchen lassen und alles löschen. Dann systemweit nach *.tmp-Files suchen lassen und löschen (natürlich mit etwas Bedacht - aber alles, was im gleichen Pfad wie eine der reader_s.exe lag, sollte weg).

Dann das Fenster des Laufwerkes mit der Cureit öffnen. Den Taskmanager offen daneben halten.
Cureit starten und sofort, während er noch lädt so schnell als möglich alle Explorer-Prozesse und den Tasmanager selber abschiessen. Beide dürften schon verseucht sein und dürfen für die Reinigung nicht laufen.
Curit mehrfach einen vollen Scan durchführen lassen! Den Tasmanager in die Quarantänezone verschieben lassen, den bekommt er nicht gereinigt (was nicht so schlimm ist, denn das Backup im DLLCache wird geputzt).

Wenn er fertig ist abschalten. Und damit meine ich nicht runterfahren, sondern Stecker ziehen.

Das alles in jedem User-Account wiederholen, zuleltzt zur Sicherheit nochmal im Admin-Account. Dannach habt ihr es geschafft. Nur noch den Taskmgr.exe aus dem DLLCache ins System32 kopieren (kopieren! nicht verschieben!).

Interessantes Detail am Rande: Der Virenscanner findet infizierte Files im Mülleimer und im Cache des IE - obwohl laut Windows beide Ordner leer sein sollten!

Da arbeitet man nur mit eingeschrämkten Benutzer-Accounts, hält sein System auf dem aktuellsten Stand, hat den Autostart aller Laufwerke abgeschaltet, überflüssige Dienste deaktiviert, sitzt hinter einem restriktiv konfigurierten Router . . . und trotzdem erwischt es einen.
Und das (natürlich!) am Freitag abend, wenn man die USB-Platte mit den Systemimages und die ganzen nützlichen Boot-CDs in der 80 km entfernten Firma liegen gelassen hat.

Gruß an den Programmierer:
Respekt vor der Programmierleistung. Das war der mit Abstand übelste Virus, den ich je putzen musste (und zum heutigen Tage musste ich immer nur anderer Leute Maschinen reinigen, du bist der erste, der mich erwischt hat).
Dich soll der Blitz beim Scheissen treffen!

Ich wünsch euch allen noch ein schönes (und Virenfreies) Wochenende,
mabuse

offene Fragen

Hab’s hinbekommen.
Win32.Virut.56 heisst er.

Der Virut baut eine IRC-BAckdoor auf. Wie hast du festgestellt, welche Aktionen während der Infektion über diese Backdoor auf deinem Rechner von Dritten ausgeführt wurden? Wie hast du die Folgen dieser Aktionen rückgängig gemacht? Wie hast du die Backdoor erkannt und geschlossen?

Welche Maßnahmen hast du ergriffen, im Anschluß an deine naive ‚Putzerei‘ von aussen festzustellen, welche Aktionen dein PC im Internet durchführt?

Deiner dummen Heldengeschichte mangelt es, wie den meisten Selbsbeweihräucherungen, ganz arg an Substanz. Du magst ein paar Dateien von deinem Rechner entfernt haben, du hast aber keinerlei Beleg, dass du die Folgen dieser Infektion auch nur erkannt, gechweige denn beseitigt hast.

Als EDV-Leiter stehen dir hoffentlich ein paar Fachleute zur Seite.

Gruß

Moin,
ich sags ungern, aber dein System ist nicht sauber.
Daten sichern und neu installieren, alles andere wäre nicht tragbar.
Außerdem bringt es nicht viel, auf einem verseuchten System zu arbeiten, da der Virus

1. weiter aktiv bleibt und auch Schaden verursacht
2. er sich ideal verstecken kann.

Wenn du schon Daten reinigen musst, dann nimm wenigsten sowas
http://www.f-secure.com/linux-weblog/2008/11/25/resc…

gruß

Hei!

Der Virut baut eine IRC-BAckdoor auf. Wie hast du
festgestellt, welche Aktionen während der Infektion über diese
Backdoor auf deinem Rechner von Dritten ausgeführt wurden?

Der Virus hat zwei Trojaner nachgeladen. Die tauchten im Prozess-Explorer auf und wurden ebenfalls vom Virenscanner entsorgt.

Welche Maßnahmen hast du ergriffen, im Anschluß an deine naive
‚Putzerei‘ von aussen festzustellen, welche Aktionen dein PC
im Internet durchführt?

netstat /a

Deiner dummen Heldengeschichte mangelt es, wie den meisten Selbsbeweihräucherungen, ganz arg an Substanz.

Das sollte weder eine Heldengeschichte sein, noch eine Selbstbeweihräucherung. Nur eine Möglichkeit, wie man es schafft, das Mistvieh loszuwerden, wenn man es erwischt hat. Normalerweise hät ich mir damit keinen Abgebrochen, sondern einfach ein Image zugeschrieben - aber wie gesagt, die liegen in der Firma, da komm ich erst morgen wieder dran.

Du magst ein paar Dateien von deinem Rechner entfernt haben, du hast aber keinerlei Beleg, dass du die Folgen dieser Infektion auch nur erkannt, gechweige denn beseitigt hast.

Keine unerwünschten Prozesse mehr im Prozessexplorer, keine unaufgeforderten Verbindungen mehr ins Internet.
Virenscanner findet auch nichts mehr.
Mir genügt das als Beleg.

lg, mabuse

netstat /a

[…]

Keine unerwünschten Prozesse mehr im Prozessexplorer, keine
unaufgeforderten Verbindungen mehr ins Internet.
Virenscanner findet auch nichts mehr.

Du hast ein System, welches mit mehreren Trojanern verseucht war und nutzt zur Prüfung auf Verseuchungsfolgen Funktionen dieses kompromittierten Systems? Du bist nicht einmal hingegangen und hast den Netzwerkverkehr von aussen betrachtet und analysiert? Was machst du nochmal beruflich? Kesselflicker?

Mir genügt das als Beleg.

Und die Kinder bringt der Osterhase…

Gruß

Hallo Herrmann,

Du hast ein System, welches mit mehreren Trojanern verseucht war und nutzt zur Prüfung auf Verseuchungsfolgen Funktionen dieses kompromittierten Systems?

Durchaus nicht.
Mittlerweile hat auch ein Scan mit einem Life-System Virenfreiheit bestätigt.

Du bist nicht einmal hingegangen und hast den Netzwerkverkehr von aussen betrachtet und analysiert?

Da hab ich zuhause leider nicht die Möglichkeiten für.

Aber ich hab auch noch nie von einem Virus (also, in the wild, „Breitband“-Virus), gehört, der sich vor netstat versteckt hätte. Wozu auch, 98% aller User kennen diesen Befehl ja nicht mal, geschweige denn, könnten dessen Aussagen interpretieren.
Gleiches gilt für den Prozess-Explorer. Vor dem Taskmanager verstecken sich ja einige, mit dem Prozess-Explorer findet man meines Wissens nach immer noch 100%.

Wie auch immer, auffälligstes Syndrom der Infektion war die Sperrung sämtlicher bekannter Virenscanner-Seiten. Da das jetzt nicht mehr der Fall ist, geh ich davon aus, das er nicht mehr aktiv ist.

Was machst du nochmal beruflich? Kesselflicker?

Nein, ich bin Lebensmittelchemiker und geb hier nebenbei den Admin.
Und du? Beleidiger?

Mir genügt das als Beleg.

Und die Kinder bringt der Osterhase…

Gegenfrage:
Was wäre dir denn Beweis genug, das ein beliebiges, von dir nicht seit seiner Erstinstallation vollständig überwachtes System Virenfrei ist?

Mit deiner Einstellung kann ein System doch nur als sicher betrachtet werden, solange du es nach seiner Installation nicht mehr aus den Augen gelassen hast, oder?

lg, mabuse