Schadprogramm finden

Hallo!

Ich habe hier einen verseuchten XP-SP2-PC, der als Mailversender
mißbraucht wird. "netstat -an" zeigt ständig neue Verbindungen zu Port
25 (SMTP) auf verschiedenen Mailservern rund um den Globus.

Der PC ist jetzt von sämtlichen Netzen getrennt und wird in den nächsten
Tagen neu aufgesetzt. Allerdings interessiert mich der Schädling selbst,
den ich nämlich bisher nicht lokalisieren konnte. Ein aktuelles AntiVir
findet nichts. Ebenso Spybot S&D und die Online-Scanner von Symantec und
ESET.

Per "netstat -ano" wird als Prozess-ID z.B. 908 angezeigt. Lt.
Task-Manager ist das die svchost.exe. Mittels Sysinternals Process
Explorer wird als Kommandozeile "svchost -k DcomLaunch" angezeigt. Wenn
ich den Prozeß beende, wird mit dem Herunterfahren innerhalb von 60
Sekunden "gedroht", was ich mit "shutdown /a" abbrechen kann.

Danach hört das Mailversenden auf. Aber wie finde ich nun den Verursacher?

--
Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!

Robert Riebisch wrote:
> Hallo!
>
> Ich habe hier einen verseuchten XP-SP2-PC, der als Mailversender
> mißbraucht wird. "netstat -an" zeigt ständig neue Verbindungen zu Port
> 25 (SMTP) auf verschiedenen Mailservern rund um den Globus.
>
> Der PC ist jetzt von sämtlichen Netzen getrennt und wird in den
> nächsten Tagen neu aufgesetzt. Allerdings interessiert mich der
> Schädling selbst, den ich nämlich bisher nicht lokalisieren konnte.
> Ein aktuelles AntiVir findet nichts. Ebenso Spybot S&D und die
> Online-Scanner von Symantec und ESET.
>
> Per "netstat -ano" wird als Prozess-ID z.B. 908 angezeigt. Lt.
> Task-Manager ist das die svchost.exe. Mittels Sysinternals Process
> Explorer wird als Kommandozeile "svchost -k DcomLaunch" angezeigt.
> Wenn ich den Prozeß beende, wird mit dem Herunterfahren innerhalb von
> 60 Sekunden "gedroht", was ich mit "shutdown /a" abbrechen kann.
>
> Danach hört das Mailversenden auf. Aber wie finde ich nun den
> Verursacher?

Mach mal ein Online-Check mit:
http://housecall.trendmicro.com/
MfG H.I.

Robert Riebisch schrieb:

> Ich habe hier einen verseuchten XP-SP2-PC, der als Mailversender
> mißbraucht wird. "netstat -an" zeigt ständig neue Verbindungen zu Port
> 25 (SMTP) auf verschiedenen Mailservern rund um den Globus.
>
> Der PC ist jetzt von sämtlichen Netzen getrennt und wird in den nächsten
> Tagen neu aufgesetzt. Allerdings interessiert mich der Schädling selbst,
> den ich nämlich bisher nicht lokalisieren konnte. Ein aktuelles AntiVir
> findet nichts. Ebenso Spybot S&D und die Online-Scanner von Symantec und
> ESET.
>
> Per "netstat -ano" wird als Prozess-ID z.B. 908 angezeigt. Lt.
> Task-Manager ist das die svchost.exe. Mittels Sysinternals Process
> Explorer wird als Kommandozeile "svchost -k DcomLaunch" angezeigt. Wenn
> ich den Prozeß beende, wird mit dem Herunterfahren innerhalb von 60
> Sekunden "gedroht", was ich mit "shutdown /a" abbrechen kann.
>
> Danach hört das Mailversenden auf. Aber wie finde ich nun den Verursacher?

Ich würde mir das mal mit dem Process Explorer ansehen:
http://technet.microsoft.com/en-us/s.../bb896653.aspx

Bei der entsprechenden PID 908 siehst Du unten die dazugehörigen
Dateinamen. Mausklick rechts, vorzugsweise, wo der Herausgeber nicht M$
oder Dir unbekannt ist, könnte Mausklick rechts auf den Dateinamen und
'Search Online' Aufschluss bringen.



--
Viele Grüsse

Jörg

Robert Riebisch wrote:
> Der PC ist jetzt von sämtlichen Netzen getrennt und wird in den
> nächsten Tagen neu aufgesetzt. Allerdings interessiert mich der
> Schädling selbst, den ich nämlich bisher nicht lokalisieren konnte.^

Start/Ausführen: msconfig --> Systemstart: "*Alle deaktivieren*"
--> Dienste: "*Alle Microsoft-Dienste ausblenden*", die übrigen
deaktivieren --> Neustart. Schau ob das Problem noch besteht.

http://support.microsoft.com/kb/310560/de

Sonst schau mal bei "AutoRuns" Unter Optionen "Hide Microsoft Entries"
anhaken.

http://www.microsoft.com/germany/tec.../Autoruns.mspx

http://sicher-ins-netz.info/analyse/hjt.html
http://www.hijackthis.de/

Gruß

Hermann

Jörg Burzeja wrote:

> Ich würde mir das mal mit dem Process Explorer ansehen:
> http://technet.microsoft.com/en-us/s.../bb896653.aspx

Hatte ich ja bereits.

> Bei der entsprechenden PID 908 siehst Du unten die dazugehörigen
> Dateinamen. Mausklick rechts, vorzugsweise, wo der Herausgeber nicht M$
> oder Dir unbekannt ist, könnte Mausklick rechts auf den Dateinamen und
> 'Search Online' Aufschluss bringen.

WIMRE konnte ich nichts Verdächtiges finden.

Ich vergaß noch: Kaspersky Online-Scanner und RootkitRevealer haben
gestern ebenfalls nicht angeschlagen. Das "Ding" muß also sehr selten
und/oder sehr neu sein.

--
Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!

Robert Riebisch schrieb:

> Das "Ding" muß also sehr selten und/oder sehr neu sein.

Du kannst es ja mal hiermit probieren:

<http://www.threatfire.com/de/> (kostenfreie Version mit vollem
Funktionsumfang)

Auf einem Vista 32-bit-PC lief es gut bis zum nächsten Neustart, dann
war das System überwiegend blockiert und ich es habe es wieder
deinstalliert (ThreatFire). Um den Schädling zu identifizieren wäre es
vielleicht einen Versuch wert.

--
CS

> Um den Schädling zu identifizieren

d.h. die involvierte(n) Datei(en), einen Virus-"Namen" erfährst du damit
natürlich auch nicht, wenn den noch niemand erfaßt hat

Robert Riebisch schrieb:

>> Ich würde mir das mal mit dem Process Explorer ansehen:
>> http://technet.microsoft.com/en-us/s.../bb896653.aspx
>
> Hatte ich ja bereits.
>
>> Bei der entsprechenden PID 908 siehst Du unten die dazugehörigen
>> Dateinamen. Mausklick rechts, vorzugsweise, wo der Herausgeber nicht M$
>> oder Dir unbekannt ist, könnte Mausklick rechts auf den Dateinamen und
>> 'Search Online' Aufschluss bringen.
>
> WIMRE konnte ich nichts Verdächtiges finden.
>
> Ich vergaß noch: Kaspersky Online-Scanner und RootkitRevealer haben
> gestern ebenfalls nicht angeschlagen. Das "Ding" muß also sehr selten
> und/oder sehr neu sein.

Dann versuche es mal abtelle von netstat -an / netstat -ano mit:
netstat -anobv

(dauert eine Weile)

Schau auch mal hier:
http://forums.comodo.com/virusmalwar...-t23002.0.html

Sichere unbedingt vor Neuinstallation die verseuchte Installation. Nur
damit würden sich letztlich Nachweise erbringen lassen, sollten über
diesen Weg auch strafbare Handlungen begangen worden sein.

--
Viele Grüsse

Jörg

Hallo Robert Riebisch
Du meintest

[..]
> Per "netstat -ano" wird als Prozess-ID z.B. 908 angezeigt. Lt.
> Task-Manager ist das die svchost.exe. Mittels Sysinternals Process
> Explorer wird als Kommandozeile "svchost -k DcomLaunch" angezeigt.
> Wenn ich den Prozeß beende, wird mit dem Herunterfahren innerhalb von
> 60 Sekunden "gedroht", was ich mit "shutdown /a" abbrechen kann.
>
> Danach hört das Mailversenden auf. Aber wie finde ich nun den
> Verursacher?

Offline in den Services danach forschen - in LSASS eingeklinkter RootCode


--
mfg
Michael
Bitte nur in der NewsGroup antworten
www.mbormann.de

Hermann wrote:

> Start/Ausführen: msconfig --> Systemstart: "*Alle deaktivieren*"
> --> Dienste: "*Alle Microsoft-Dienste ausblenden*", die übrigen
> deaktivieren --> Neustart. Schau ob das Problem noch besteht.

Problem besteht/bestand weiterhin.

> Sonst schau mal bei "AutoRuns" Unter Optionen "Hide Microsoft Entries"
> anhaken.

Mittels Autoruns, Process Explorer und viiieeel Zeit bin ich ein Stück
weitergekommen. Auf dem Tab "Winlogon" existiert ein Notify-Eintrag, der
auf die Datei "%windir%\system32\gpkcsp32.dll" verweist. Deaktiviere ich
den Eintrag oder benenne die Datei um und starte den PC neu, hört den
Spuk sofort auf.

Spaßeshalber habe ich noch Wireshark angeworfen und einen kurzen
Mitschnitt des SMTP-Verkehrs gemacht. Der Inhalt dessen führt zu
<http://www.castlecops.com/postitle217658-15-0-.html> und
<http://en.wikipedia.org/wiki/Russian_Business_Network>.

Die DLL scheint aber nur ein kleiner Teil der Malware zu sein. Ich habe
sie jetzt zusammen mit meinen Erkenntnissen zur Analyse an Sophos
geschickt. Mal schauen, was dabei herauskommt.

> http://sicher-ins-netz.info/analyse/hjt.html
> http://www.hijackthis.de/

Nichts Verdächtiges gefunden.

--
Robert Riebisch
Bitte NUR in der Newsgroup antworten!
Please reply to the Newsgroup ONLY!