22. Juni 200421 j Hallo, ich habe mal wieder ein Problem. Wir haben einen Rechner auf dem mindestens 1 Virus lief oder läuft. Wir haben durch das Ausführen des Removal-Tools (für Sasser) festgestellt, dass dieser Rechner von Sasser infiziert wurde. Nach dem erfolgreichem entfernen, wollten wir das Sicherheitspatch von Microsoft aufspielen. Dies funktionierte aber leider nicht. Wir klickten das Patch an. Dies wird auch kurz aufgerufen, aber dann sofort wieder geschlossen. Wir wollten danach mal in der Prozessliste nachschauen, ob ein verdächtiger Prozess läuft. Einfacher gesagt, als getan. Wenn ich Strg-Alt-Enft drücke, dann erscheint ganz kurz der Task-, bzw. Prozessmanager und wird ebenfalls schnell wieder geschlossen. Habt ihr eine Idee ob und was für ein Virus dies sein könnte. Hilfreich wäre schon, wie man die Prozessliste sich über die Kommandozeile anzeigen lassen kann...! Hier einmal alle Removal-Tools, die wir schon über den Rechner haben rennen lassen: - Sober.H - Sasser - Erkez Verwendetes Betriebssystem: WinXP, Servivepack 1 Hoffe, dass diese Infos erst einmal reichen. Vielen Dank im Vorraus! Gruß Sebastian
22. Juni 200421 j Hier einmal alle Removal-Tools, die wir schon über den Rechner haben rennen lassen: Wieso nur Removal-Tools? Wieso nichtmal einen Virenscanner o.ä.?
23. Juni 200421 j Sorry, hatte ich vergessen zu erwähnen. Haben wir auch schon gemacht. Hat nichts gefunden...! Ist es vllt ein Trojaner... :confused: ! Sebastian
23. Juni 200421 j schau mal mit regedit oder regedt32 in folgende schlüssel ob dort ein Programm ausgeführt wird, das dir verdächtig vorkommt: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
23. Juni 200421 j Hi, wollten wir machen, aber: Die Registry schließt sich auch sofort wieder. Das schlimme dabei ist, dass nun auch ein zweiter Rechner diese Phänomene aufweist. Wie sind gerade dabei einen "externen" Taskmanager zu installieren. Falls wir da etwas "verdächtiges" entdecken, dann melde ich mich hier. Gruß Sebastian
23. Juni 200421 j dann versuch mal die regedit.exe in regedit1.exe umzubenennen, sowas hat bei einem Virus den wir mal hatten funktioniert.
23. Juni 200421 j Man kann sich auch remote von einem "sauberen" Rechner über regedit mit dem "befallenen" Rechner verbinden.
23. Juni 200421 j Hi, ja? Das geht? Hab ich noch nie gehört...wäre ja interessant. Wir haben jetzt aber eine einfachere Lösung gefunden. Wenn wir die regedit.exe oder taskmgr.exe umbenennen, dann können wir diese Programme ohne Probleme aufrufen. Jetzt müssen wir nur noch die verdächtigen Programme finden und entfernen...! Wir lassen auch gleich mal Hijackthis drüber laufen. Gruß Sebastian UPDATE: Wenn man den Spybot drüber rennen lässt, dann funktioniert des Taskmanager, etc. wieder. Aber nach einem Reboot ist alles wieder beim alten - geht nicht!
23. Juni 200421 j So, es gibt mal wieder neue Informationen! Nach längerem Hin und Her haben wir festgestellt, dass der Prozess mit dem Namen "kldjx.exe" an dem Schlamassel Schuld hat. Wenn man diesen beendet, dann funktioniert alles einwandfrei! Das Problem ist, dass man dieses besagte exe-File nicht auf dem Rechner findet. Außerdem kann man diesen Eintrag in der Registry entfernen - aber nach einem Reboot ist er wieder da. Gruß Sebastian
23. Juni 200421 j Hi, wir haben das Problem nun endlich gelöst. Es lag wie vermutet an dem Prozess "kldjx.exe". Man musste alle Einträge in der Registry, die "kldjx.exe" beinhalten und in Run bzw. RunServices liegen, löschen. Trotzdem noch einmal DANKE an alle! Gruß Sebastian :marine
28. Juni 200421 j probiers doch mal mit ner Linux Live CD! Auf Spenneberg.org gibt es ne forensic Rescue CD zum Download ( ca 150 MB) Hat nen Virenscanner und alles mögliche drauf. kannst damit auch windows systeme scannen! Probiers mal aus. gib mir mal ein feedback wies gelaufen ist! habe die CD zwar da, aber habe Sie noch nie zum Einstaz gebracht! Gruß CHaosmaster
29. Juni 200421 j Haben, wie oben schon gesagt, das Problem gelöst! Trotzdem danke. Wir hatten das Problem nun noch einmal. Hier haben wir festgestellt, dass das exe-File nicht "kldjx.exe" heißt, sondern auch beliebig anders. Das einzig gleiche Merkmal, war der Bezug zu Outlook Express. Sebastian
9. Juli 200421 j Hallo, manschaue in einer der letzten c´ts (weis grad nicht welche), dort steht auch was ganz interesantes. Die Bister verändern ihre Signatur, sprich das aussehen, bei jedem hops auf eine andere Maschine. Also denk ich ma so, da können wir uns auf einiges gefasst machen, wenn die das ein bischen verfeinern.
10. Juli 200421 j Hi, in der ct? Da müsst ich auch mal gucken. Aber ich komm ja net zum lesen...! Jaja, die Viren und Würmer werden noch schöner Zeitvertreib werden. Gruß Sebastian
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.