# [VIRUS]Virus manipuliert Nutzerkontenstrng, infiltriert Router & klaut Rechte



## Bexx (15. April 2014)

Hallo =(

ich glaub ich war noch nie so unglücklich beim Posten. 

Also, leider habe ich das große Los gezogen, dass auf unserem gemeinschaftlichen Lapi ein Virus ist, den ich versucht habe ausfindig zu machen. Überall im Rechner sind versteckte rpc dateien angelegt, zighunderte Desktop.ini Dateien verstreut und jetzt hat er uns alle Rechte eines Admins geklaut, es geht wirklich gar nichts mehr - alles was Admin oder Lokaladminrechte bräuchte ist unbenutzbar! 
Er hat Avira einfach platt gemacht, es sieht zwar noch irgendwie aus wie Avira was da drauf ist, aber im Vergleich zu dem tatsächlichen GUI sind die Abweichungen für jemanden der damit arbeitet sehr auffällig in der Gegenüberstellung.
Überall liegen seltsam verschlüsselte Dateien auf dem Rechner und es gibt eine versteckte Partition auf die man unter keinem meiner Versuche irgendwie zugreifen konnte.
Kommt der Brüller: Kaspersky Rescue CD gestartet, Scan durchlaufen lassen und immer bei dem selben Verzeichnis wird der Kill Prozess von Linux gestartet und es stürzt einfach ab, bzw bricht alles ab - startet sich dann neu und bootet Windows. Wie kann das sein? Mehr Fragen als Antworten in meinem Kopf.

Sauberen Rechner genommen, ohne Netzwerkerkennung an den Router gehangen und in der MAC Tabelle ein 'unknown' Device gefunden, welches sicher keines von unseren ist! Versucht zu löschen, stürzt mir das ganze Interface ab, der Router hängt sich auf und startet neu. Will mich danach einloggen, kein Zugriff mehr auf den Router! Die Webkonsole kann nicht mehr aufgerufen werden. 
Hab Angst, dass der zweite PC nun auch vulnerabel oder gar bereits irgendwie infiziert ist. Vom Netz genommen, Kasperky dort rein und Scan läuft nun dort lokal. 

Was haltet ihr von dieser Geschichte, wie soll ich mich verhalten? 
Soll ich irgendwas von den Dateien versuchen zu retten oder muss ich das ganze System aufgeben? 
Weiter wollte ich wissen, was geht jetzt mit dem Router? Ist das sozusehen Elektroschrott inzwischen oder kann man da was machen? Hab kabeldeutschland angerufen und gebeten über die Fernwartung das Teil zurückzusetzen und wenn möglich ein Firmwareupdate draufzuspielen, wenns auch die selbe Version nur nochmal ist falls es denn ginge. Keinen sehr kompetenten Mitarbeiter an der Strippe gehabt, keine Ahnung ob er es überhaupt tun konnte und acuh getan hat im Endeffekt. Später rufe ich nochmal an, zur Sicherheit. 

Ich fühl mich echt sehr gedemütigt in meiner Würde =( 
Grad für jemanden der gerne programmiert, tut das richtig weh so hilflos zu sein, weil meine Hardware/Netzwerkskills nachm Standardkrams einfach aufhören. Bitte gebt mir Rat.


----------



## sheel (15. April 2014)

Hi

AV nachahmen, Router übernehmen, Offline-AV übernehmen...?
da hast du ja wirklich einen Jackpot :/

Wie neu/alt ist das letzte Backup, dessen externe Fetplatte (etc.) noch nicht irgendwie mit dem (möglicherweise) infizierten Dingen in Verbindundung gekommen ist?
(bitte nicht sagen "Es gibt keins")

edit:
OS vom Laptop?
Was ist es denn für ein Router? (Modell, Leihgabe vom Provider ja/nein)?


----------



## Bexx (15. April 2014)

sheel hat gesagt.:


> Hi
> 
> AV nachahmen, Router übernehmen, Offline-AV übernehmen...?
> da hast du ja wirklich einen Jackpot :/



Allerdings! =(


sheel hat gesagt.:


> (bitte nicht sagen "Es gibt keins")


Es gibt keins 
Die Festplatte wurde samt Backup zugunsten einer NTFS Formatierung nieder gemacht...Vor nicht einmal 2 Wochen oder so! Systemwiederherstellungspunkte gibt es, aber die kann ich ohne Rechte ja nicht ausführen... Ziel wäre den Ausbruch zu vereiteln, paar Daten zu retten und den Rest der Sintflut zu überlassen, aber die scheint ja jetzt eh das ganze Dateisystem mit sich zu reißen (


Kann ich zumindest irgendwie machen, dass er in Linux die Kill Sequenz nicht initiieren kann? Vlt habe ich eine Chance wenn Kaspersky es schaffen würde durchzulaufen und den Scharlatan an der Wurzel zu packen!?




sheel hat gesagt.:


> OS vom Laptop?
> Was ist es denn für ein Router? (Modell, Leihgabe vom Provider ja/nein)?



Hitron B4irgendwas Modem von Kabeldeutschland geleast und Windows 7 Home Premium
2. Rechner Vista (jaja ich weiß)


grund edit: 3 nachrichten mal als eine zusammengefasst lol - war etwas hektisch und nervös eben


----------



## sheel (15. April 2014)

Also...

die sichere Variante: Alles verschrotten

die wahrscheinlich akzeptablere Variante:

a) Router weg. (Wer für den Schaden verantwortlich ist
muss man mit dem Provider wohl aushandeln)

b) Mit einem eher exotischen OS die wichtigsten (weniger=besser) Daten
auf ein sauberes externen Speicherding sichern.
Da scheinbar Windows und Std-Linux Probleme machen, zB. Haiku.

c) DBAN (http://www.dban.org/) auf dem sicher befallenen Computer versuchen.
"Versuchen" deshalb, weil DBAN Linux ist.
Wenn man sich sicherer sein will: Festplatte verschrotten.

(Und sich bei DBAN _zuerst_ selbst klarmachen, dass "alle Platten löschen" wirklich
"_alle_ Platten löschen" bedeutet. Also, die Backupplatte
vom USB-Anschluss etc. vorher weit weg)

d) Windows neuinstallieren usw.

e) Die gesicherten Dateien am besten alle (auch) händisch durchschauen,
ob irgendwas ungewöhnliches dabei ist.
(oder drin. Notepad++, Hexeditor.. .falls man halbwegs weiß,
wie es ungefähr ausschauen sollte).

f) Da sich die Malware wohl wenig ums Verstecken gekümmert hat
und dafür um so aggressiver war: Wenn einem beim frischen Windows
nichts Komisches mehr unterkommt, einfach hoffen, dass die Sache erledigt ist.
(bzw. dass im Computer die Festplatte das einzig Befallene war und das Backup sauber ist).


edit: Kaspersky ist leider auch kein Magier.
Und auch wenn der Kav eventuell dazu gebracht werden kann,
erfolgreich durchzulaufen und dann sogar noch meldet, alles gerichtet zu haben,
wäre das mir persönlich trotzdem zu riskant,
einfach ohne Neuinstallation etc. weiterzumachen


----------



## Bexx (16. April 2014)

So eine perverse Schweinerei wie dieses Virus habe ich wirklich noch nichtmal im Lehrbuch gesehen. Dass das möglich ist und einem einfachen Endnutzer(mehr bin ich zuhause am Rechner nämlich auch nicht) passieren kann, hätte ich nie für möglich gehalten. Den Router infiltrieren --> das ist so selten, dass es noch nicht mal eine große Palette an Lösungen und Doku gibt. Unglaublich. Die Entwicklerin in mir weiß nicht ob sie den Mann bewundern und respektieren oder einfach nur hassen soll, ich schätze es ist eine ausgewogene Mischung aus beidem...

Danke für deine Tipps, das is ja wunderbar (nicht). Aber naja, so werde ich es wohl auch versuchen. Kann ich Linux in einer Systemdatei die den KILL-Prozess implementiert verändern? Ich würde gerne während des Scans den Killbefehl auskommentieren, so dass er nicht mehr aufgerufen werden kann. Ich will auf jeden Fall einen Namen zu diesem Drecksack von Virus, damit ich die Menschheit davor warnen kann!


----------



## sheel (16. April 2014)

Kill ändern: Dürfte schwer werden:
Es gibt zwar eine einfach zu ersetzende Programmdatei, aber
a) könnte das weitere Sachen kaputtmachen
b) Könnten die Shell(s) das selbst in sich implementieren, statt aufzurufen. Aufgrund Einfachkeit.
(und Shell ersetzen dürfte sehr viel kaputtmachen)


----------



## Thinker (16. April 2014)

Grundsätzlich: Ruhe bewahren, ruhig Schritt für Schritt planen. 

*kopfkratz* Das ganze kommt mir sehr komisch vor. Wenns dir das wert ist, dann kannst du vielleicht deine Festplatte zu einem Forensik-Unternehmen schicken, die können dir dann (natürlich gegen Gebühr) erzählen, was da passiert ist. 

Ausserdem wundert es mich doch sehr, daß ein Linux einfach so abstürzt (und rebootet), immer beim selben Verzeichnis. Eigentlich Hast du mal die Festplatte kontrolliert, ob vielleicht nur nen Schuß weghat? Als welcher User läuft der Scan?

Ich würde vermutlich mir eine zweite Platte schnappen, einen Rechner ohne Netz und die Originalplatte dort auf die zweite Platte spielen. Und dann alle weiteren Experimente mit der zweiten Platte machen: Verschiedene Virenscanner drüberjagen, verdächtige Dateien zu Virustotal hochladen (zwecks Analyse mit vielen Virenscannern gleichzeitig, vorher bitte Nutzungsbedingungen lesen), etc. Und dann je nach Ergebnis weitermachen. 

Aber vielleicht überlässt du das wirklich einem Experten wie dem eingangs erwähnten Expertenteam.


----------



## kalterjava (18. April 2014)

Hi Bexx,

wenn der Virus über den Router kam, wird es wohl das in den Nachrichten verbreitete Leck bei Fritz Box Routern sein oder?

Was ich jetzt nicht ganz verstanden habe - hast du nun Windows oder Linux?
Ich würde mit einer Bart PE CD Booten. dann kannst du i.d.R. all deine Dateien anschauen - sichern würde ich die wohl max. nur noch auf einer DVD und im äußersten Notfall über einen Rechner, der nicht dein Arbeitsrechner ist - auslesen, sofern kein Virus gefunden wurde.

Desweiteren kann ich dir nur raten mit einem Image-Programm in Zukunft zu arbeiten.
Acronis True Image oder andere Software in dem Bereich, haben mir schon sehr viele Stunden Arbeit erspart.

Viel Erfolg.


----------

