Viren, Spyware, Datenschutz 11.230 Themen, 94.475 Beiträge

Verfolgung starten Optionen

Ein grauslicher Zombi

jueki / 8 Antworten / Flachansicht Nickles

Man bat mich um Hilfe bei einem PC, der laufend ins Internet sendete und empfing.
Der Eigentümer bemerkte das, weil es ewig dauerte, bis er eine einfache mail senden konnte.
Ich installierte dann mal schnell mein Traffic- Tool (TrafficMonitor) und stellte fest, das der mit maximaler Performance sendete...

Daraufhin hab ich den sofort vom Netz getrennt und mit dem neuen Avira AntiVir Professional untersucht.
Ein klassischer Zombi nach meiner laienhaften Auffassung.
Avira teilte mir mit, das sich im Ordner "System Volume Information" Schädlinge befinden.
Hier ein Text:

D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen

Bevor ich den PC formatierte, habe ich mir die Besitzrechte dieses Ordners übernommen und hineingeschaut.
Besser gesagt - der Reihe nach diese Ordner aller 6 vorhandenen Partitionen.
Nur (seltsam!) der Ordner in C war leer - bei allen anderen, den logischen Laufwerken also, beinhaltete dieser Ordner zwischen 196 bis 274MB.
Inhalt - weitere Ordner "RP0" bis "RP18".

Hab, wie gesagt, den sofort vom Netz getrennt und nach der obigen Aktion formatiert.
Könnt Ihr Euch einen Reim darauf machen, was da wirklich los war?

Danke für Eure Meinungen.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck ... shrek3
jueki shrek3 „Manchmal schaue ich auch genauer in infizierte Rechner, um einen Eindruck von...“
Optionen

Danke für Deine Antwort.
"...ein einzelner Fund in den Systemwiederherstellungspunkten"
Du meinst, das sind alles Systemwiederherstellungspunkte?
Hm - aber ich habe diesen PC selbst vor einiger Zeit installiert. Und eine meiner ersten Handlungen nach der Installation des OS ist, diese Systemwiederherstellung generell abzuschalten. Das war diese definitiv auch noch!
Diese beiden Meldungen, den Ordner "System Volume Information" wurden gemacht:

D:\System Volume Information\_restore{1087C527-F745-416C-A899-F8C959EA2E1F}\RP1\A0000515.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen
D:\System Volume Information\_restore{805468D7-50BF-425C-813D-C7291BFD683E}\RP2\A0000461.exe
[FUND] Ist das Trojanische Pferd TR/Hijacker.Gen

und diese:

D:\Spiele\Moorhuhn1\moorhuhn.exe
[FUND] Enthält Erkennungsmuster des Spielprogrammes GAME/Moorhuhn
D:\XP- Manipulation\KeyChanger\keyfinder_v1.51.exe
[0] Archivtyp: RAR SFX (self extracting)
--> findkey.exe
[FUND] Ist das Trojanische Pferd TR/Agent.542720.C

Weiter nichts.
Da mir bislang nicht bekannt war, das sich im Ordner "SysVoluInf" exe- Dateien befinden können und das diese bei abgeschalteter Systemwiederherstellung derart anschwellen können, vermutete ich sowohl den Trojaner, als auch sein "Material" dort drinnen.
Das scheint nicht richtig zu sein?
Schade, das wäre sicher interessant gewesen, da genauer nachzuforschen.
Wie schon gesagt - mich verblüfft, das nur diese Systemordner in den logischen Laufwerken mit um die 200MB gefüllt waren - der gleiche Ordner in C lediglich die Dateien
MountPointManagerRemoteDatabase = 0b
und
tracking.log = 20kB
enthielt.
Irgend etwas muß doch diesen Traffic verursachte haben, irgend etwas muß doch gesendet haben und gesendet worden sein.
Schade, wird wohl nicht mehr rauszukriegen sein.

Jürgen

- Nichts ist schwerer und nichts erfordert mehr Charakter, als sich im offenem Gegensatz zu seiner Zeit zu befinden und laut zu sagen "NEIN!" Kurt Tucholsky
bei Antwort benachrichtigen
Schädlinge sollten durchaus dazu in der Lage sein, die ... shrek3
um herauszufinden welche anwendung tatsächlich sendet, gibt es dann noch ... Synthetic_codes
Ich hatte auch einmal eine solche Viren Meldung von GDATA 2008. Habe das ... SoulMaster
Ich bedanke mich noch einmal für die Antworten. Mir ging es in der ... jueki
Wie schnell einen doch Halbwissen ereilen kann... Da glaubt man jahrelang, ... shrek3
falscher Ort, sry jueki