Unbekannte Dienste

[klamic]

Ihr Lieben
wenn die Festplatte während des surfens im Internet mal wieder ungefragt rödelt schaue ich mittels ProcessExplorer und TCPView gerne mal nach wer da aktiv ist.

Im ProcessExplorer fallen mir auf: afisicx.exe, tdctxte.exe und sopidkc.exe.
Diese sind in der Computerverwaltung/ Dienste aufgeführt als gestartet/ automatisch.
Unter Eigenschaften der Dateien ist zu finden: Version 2.0.0.11, Sprache Arabisch (Kartar), geändert 19.06.2003 11:05.
In der Auswertung von Hijackthis werden diese als unbekannte Prozesse/ Dienste geführt.
Außerdem gibt es im ProcessExplorer noch tpszxyd.sys mit dxonool32.sys.

Der Scan bei VirSCAN.org hat ergeben das 8% der Scanner Malware gefunden haben. Da ist die Rede von Backdoor:Win32/Refpron.M, Troj/Comsa-E und Win32 Shadow Driver Install die Rede.

Im TCPView konnte ich folgendes beobachten:
afisicx.exe:1192 war mit 5a.49.85ae.static.theplanet.com:http,
dxonool32.sys:1336 mit colo-69-31-86-70 pilosoft.com:http und
tpszxyd.sys:276 mit 2.7e.85ae.static.theplanet.com.8392 established.

Was bedeutet das Alles und wer hilft mir aus meiner Ahnungslosigkeit?

[Santa]

Gib die Dateien mal in Google ein. Da wirst du fündig. Das sind alles Trojaner.

[klamic]

Trojaner, so so.
Bevor ich C: neu formatiere hätte ich da doch noch ein paar Fragen:

1.) Das Datum der Dateien 19.06.2003 11:05 ist dann erstunken und erlogen?
2.) Kann man irgendwie nachvollziehen seit wann die Dateien wirklich auf dem Rechner sind?
3.) Dienste in der Computerverwaltung auf Aus und Manuell stellen reicht nicht?
4.) Dateien löschen reicht auch nicht?
5.) 8% der Scanner bei VirSCAN.org haben Malware gefunden, was ist mit den anderen 92%?
6.) Muss ich mir Sorgen bezüglich Passwörter machen?

[Torricanyon]

1.) Das Datum der Dateien 19.06.2003 11:05 ist dann erstunken und erlogen?

Sehr wahrscheinlich ja.

2.) Kann man irgendwie nachvollziehen seit wann die Dateien wirklich auf dem Rechner sind?

Wenn, dann am Erstellungsdatum. Das kann aber auch manipuliert sein.

3.) Dienste in der Computerverwaltung auf Aus und Manuell stellen reicht nicht?

Nein, denn Du weißt nicht, wo die Malware noch gestartet wird.

4.) Dateien löschen reicht auch nicht?

Nein, denn Du weißt nicht, wo die Malware sich noch versteckt hat.

5.) 8% der Scanner bei VirSCAN.org haben Malware gefunden, was ist mit den anderen 92%?

Evtl. haben diese noch keine Signatur für die Malware.

6.) Muss ich mir Sorgen bezüglich Passwörter machen?

Sehr wahrscheinlich ja. Denn Du weißt nicht, welche Daten bereits übermittelt wurden.

Ergo:

1. Ändere Deine Passwöter von einem System, von dem Du weißt, dass es sauber ist.
2. Trenne Deinen PC vom Netz und sichere Deine Daten am Besten von einem Live-System
3. Installiere Dein Betriebssystem neu (oder spiele eine saubere Sicherung zurück).
4. Scanne vor dem Zurückspielen Deiner gesicherten Daten diese mit verschiedenen Virenscannern, z.B. von einem Live-System.

Microsoft selbst sagt zu Help: I Got Hacked. Now What Do I Do? Answer: The only way to clean a compromised system is to flatten and rebuild. http://technet.microsoft.com/en-us/l.../cc512587.aspx

Grüße
Frank

[klamic]

Ihr Lieben
Torricanyon kann ich nur zustimmen. Bestehen Zweifel was das System betrifft sollte so verfahren werden.
Trotzdem habe ich mich entschlossen bei den oben beschriebenen Dateien zunächst nur die Endung umzubenennen und mit regedt32 in HKeyLokalMachine/System/CurrentControlSet/Services die Einträge für die Computerverwaltung/ Dienste zu löschen. Nun ist Ruhe im Karton.

Ich hatte mir vorher noch etwas mittels TCPViewer angesehen wohin diese Dateien „telefonieren“ und dann nach den Adressen gegoogelt. Erstaunlich die Anzahl der verschiedenen Adressen und das scheinen überwiegend „Firmen“ zu sein, die die Surfgewohnheiten für Statistiken sammeln. Übrigens schlug der Virenscanner beim Besuch einer der Firmen nach kurzer Zeit an.

Ich möchte nochmals meine Frage wiederholen: Kann man denn wirklich nirgendwo nachvollziehen zu welchem Zeitpunkt diese Dateien auf dem Rechner gelangt sind? Denn das wäre ja ein entscheidender Hinweis.
Und was ist die eleganteste Möglichkeit einen weiteren Angriff abzuwehren? Auf was sollte ich achten, falls die umbenannten Trojaner aus dem Schlaf erwachen?

[Santa]

Und was ist die eleganteste Möglichkeit einen weiteren Angriff abzuwehren? Auf was sollte ich achten, falls die umbenannten Trojaner aus dem Schlaf erwachen?

die Antword hat dir Torricanyon doch schon gegeben.

[Torricanyon]

Kann man denn wirklich nirgendwo nachvollziehen zu welchem Zeitpunkt diese Dateien auf dem Rechner gelangt sind?

Da Erstellungsdatum, Änderungsdatum, und das Datum des letzten Zugriffs manipulierbar sind, besteht IMO keine Möglichkeit festzustellen, wann die Dateien auf den Rechner gelangten.

Und was ist die eleganteste Möglichkeit einen weiteren Angriff abzuwehren?

Nach der System-Neuinstallation alle verfügbaren Updates und Patches installieren - sowohl für Windows als auch für die installierten Programme. Und Brain.exe verwenden - sprich nicht auf alles Klicken, was dahergelaufen kommt sowie dubiose und unseriöse Seiten meiden.

Auf was sollte ich achten, falls die umbenannten Trojaner aus dem Schlaf erwachen?

Die Frage ist, ob Du überhaupt mitbekommst, dass die Trojaner aus dem Schlaf erwachen. Dieses Risiko kannst Du nur durch Neuinstallation bekämpfen.

Grüße
Frank