Hilfe zu Security Task Manager

[Roy]

Ich habe Security Task Manager von Neuber installiert. Ganz oben zeigt er mir mit 100% einen bösartigen Prozess an:

ProzessID 1928 (die Zahl ändert sich nach jedem Neustart des Programms)
RAM: 5,4MB
Datei: C:\Windows\System32\mirsihnd.exe (die Datei existiert dort aber nicht - habe auch alle versteckten Dateien einblenden lassen)
Beschreibung: unbekanntes Programm lauscht oder sendet
Eigenschaften: lauscht auf Port 1037 (ändert sich auch nach dem Neustart)
Enthaltene Texte: das System kann die Datei nicht finden

Wenn ich den Prozess entferne/lösche erscheint die Meldung aber kurze Zeit später wieder. Ich habe auch schon mehrere Antispyware-Programme laufen lassen - sie finden aber nichts. Die mirsihnd.exe gibts auch sonst nirgends auf meinem PC. Zu dieser Datei kann ich auch im Internet nichts finden. Was kann ich tun?
Dankeschön.

 

[Giantursus]

riguros löschen!

 

[Ria]

Hallo,

1.) Nur um sicher zu gehen. Hast Du bei den Anzeigeeigenschaften "Erweiterung bei bekannten Dateitypen ausblenden" deaktiviert und siehst dadurch nur "mirsihnd" in der Such- und/oder Exploreransicht?


2.) hast Du die Startbereiche von deinem System überprüft. Hier die Autostart-Ordner und die Registry-Starteinträge. Wenn nicht, starte "msconfig" und überpürfe die Einträge unter: "Systemstart" ob sich hier ein Eintag für das betreffende Programm (mirsihnd.exe) befindet.

3.) wenn Du die File findest, überprüfe über "Dateieigenschaften" wer das Teil herstellt. Vieleicht kannst Du es dann, einem installierten Programm zuordnen.

Wenn es Dir nicht weiterhilft, melde dich wieder.

mfg

Ria


Irgendwo muss das Neuber-Programm die Information her bekommen! Wobei die Angaben von Security Task Manager nicht immer zuverlässig sind. So weit ich mich erinnere, zeigt das Teil alles als "hoch kritisch" an, was nicht in der eigenen Referenzliste ist!

 

[Roy]

ich sehe schon alles - auch die Erweiterungen (exe,...), bei msconfig steht auch nichts zu diesem Programm, ich habe die Registry durchsuchen lassen nach mirsihnd - hat nichts gefunden. Würde mich auch interessieren wo der Security Task Manager diese Informationen her hat. Auch Zonelabs hat vor paar Tagen diese datei angezeigt - ich habe sie sofort gesperrt.
Wie gesagt den Prozess kann ich mittels Security Task Manager kurzzeitig löschen - in Quarantäne verschieben und anschließend löschen, aber wenn ich das Programm wieder starte kommt der Eintrag wieder, nur mit anderer ID und anderem Port.

 

[Roy]

Ich habe jetzt das Problem beseitigen können: Die Dateien sind nur im abgesicherten Modus sichtbar gewesen - da konnte ich sie löschen. Ich begreife nur nicht, wie sich die Dateien so verstecken können??? Im normalen Modus habe ich "alle versteckten Ordner/Dateien" anzeigen lassen. Da nützen doch auch Viren/Antispyware-Programme nichts.

Kann mir das jemand erklären?

 

[arkelanfall]

Das ist eigentlich recht einfach:
Du hast den Schädling vermutlich mit Adminrechten installiert (warum auch immer).
Somit hat(te) der Schädling Administratorrechte, und konnte sich beliebig ins System einnisten.
Autostart durch Anhängen an eine Systemdatei, die regulär geladen wird, ist nichts neues. Oder sich als .dll von Explorer.exe nachladen lassen, oder...
Die Möglichkeiten sind hier nur durch die Phantasie des Programmierers begrenzt.

Und durch einen kleinen Patch am System oder Installieren eines "Treibers", kann man auch gut verhindern, dass die Datei vom explorer angezeigt wird.

Und genau das ist jetzt auch dein Problem: Du hast keine Ahnung, ob du den Schädling wirklich entfernt hast. Geh mal davon aus, dass da noch sehr viele Bruchstücke des Schädlings auf deinem System drauf sind. Ob und inwieweit die nach deinem Eingriff noch funktionstüchtig sind, kann dir maximal der Programmierer des Schädlings sagen.
Außerdem hast du keinerlei Möglichkeit festzustellen, ob der Schädling in der Zwischenzeit nicht duzende andere Schädlinge aus dem Internet nachgeladen hat.

Du hast jetzt also im besten(!) Fall den ursprünglichen Schädling außer Gefecht gesetzt. Du hast aber in keinem Fall deinen Rechner gesäubert (Nein, auch ein Scannen mit AdAware, Virenscanner,... wird dir nichts helfen. Die finden nämlich auch nur verbreitete und bekannte Viren. Und das was du da hattest, war "etwas" heimtückischer).

Was solltest du jetzt also tun?
- Trenne den Rechner physikalisch vom Netz (Stecker ziehen).
- Ändere von einem anderen, definitiv sauberen, Rechner aus alle Passwörter (Online-Banking, Online-Shopping, E-Mail,...).
- Mach ein Backup der Nutzdaten (Bilder,...) auf DVD, externe Festplatte,... Übernimm auf keinen Fall ausführbare Dateien (.exe,...) vom alten System.
- Formatiere alle Partitionen
- Installiere Windows neu.
- Lade die aktuellen Patches (vor allem SP2) von einem anderen Rechner herunter, und installiere sie auf dem neu installierten Windows
- Verbinde den Rechner erst jetzt wieder mit dem Netzwerk und lade als allererstes alle anderen Patches runter.
- Richte einen "eingeschränkten Benutzer" ein, mit dem du in Zukunft arbeiten solltest. Ohne Adminrechte kann sich ein Schädling nämlich erst gar nicht so tief einnisten.
- Spiele die gesicherten Daten zurück
- Verzichte nach Möglichkeit auf IE und OE und pass in Zukunft besser darauf auf, was du auf deinem Rechner installierst/ausführst. (Vor Allem Cracks, obskure Programme aus Tauschbörsen,... führen sehr oft zu Infektionen des Rechners)

Schonmal vorweg: Nein, die Festplatte mit einem Virenscanner,... zu scannen reicht in deinem Fall beim bestem Willen nicht mehr aus. So wie sich der Schädling auf deinem System eingenistet hat, kannst du davon ausgehen, dass das kein 0815-Virus/Wurm war. Da Virenscanner prinzipbedingt nur bekannte Schädlinge finden und selbst diese nur manchmal komplett entfernen können, helfen sie dir kein Stück weiter.

 

[Roy]

Vielen Dank arkelanfall,

der Security Task Manager hat mir auch das Verzeichnis angezeigt wo sich die fingxpr5.exe befand. Der Ordner war auch nicht sichtbar. Im abgesicherten Modus habe ich auch den Ordner durchsucht und er enthielt auch u.a. (ich glaube es waren log) Dateien - diese enthielten aber nichts. Ich habe den kompletten Ornder gelöscht. Ich habe die mirsihnd.exe und die fingxpr5.exe mit Zonelabs gesperrt (als sie sich das erste Mal meldeten) - so glaube ich kaum, dass sie was gesendet haben.

Ich bin als Administrator angemeldet, ist das ein Problem? Wenn ich mich als ein anderer Benutzer anmelde, kann ich doch z.B. keine Windowsupdates mehr machen. Oder verstehe ich da auch was falsch?

Ob ich das System nochmal neu aufsetze weiß ich noch nicht, werde mir bald (evtl. im Frühjahr) einen neuen Rechner kaufen.

 

[arkelanfall]

Ich muss dich leider enttäuschen: Dein ZoneAlarm bringt dir hier absolut gar keine zusätzliche Sicherheit.
Der CCC Ulm hat vor einer Weile sehr anschaulich demonstriert, wie einfach ein bösartiges Programm beliebige PFWs umgehen kann.
Du kannst dir hier ein Video des Vortrags runterladen und anschauen:
http://ulm.ccc.de/old/chaos-seminar/windows-security/recording.html

Kurze Zusammenfassung: PFWs lassen sich, wenn man will, extrem leicht umgehen. Durch eine PFW lassen sich nur Programme aufhalten, bei denen man den selben Effekt auch durch simple Konfiguration in den Programmeinstellungen erwirken könnte.


Als Administrator zu arbeiten ist ein gewaltiges Problem. Einen der Nebeneffekte hast du soeben zu spüren bekommen.
Prizipiell gilt: Immer nur so viele Rechte innehaben, wie man wirklich benötigt. Wenn du eine Software installieren willst: Rechtsklick auf die .exe-Datei-->Ausführen als. Funktioniert hervorragend. Die meisten aktuellen Spiele kommen mit der Rechtetrennung zurecht. Bei allen anderen musst du dann eben als Admin dem eingeschränkten Benutzer Schreibrechte auf das Spieleverzeichnis geben. Ein geringer Mehraufwand, der dir mehr Sicherheitsgewinn bringt als jede PFW.
Um trotzdem Windowsupdates zu bekommen, kannst du dich entweder einmal im Monat (Stichwort "Patch-Day") als Admin anmelden, oder du aktivierst einfach das automatische Update in der Systemsteuerung. Dafür ist das nämlich da.

Ich würde dir auf jeden Fall zu einer Neuinstallation raten. Dein Rechner gehört dir nicht mehr.
Alleine daran, dass der Ordner "unsichtbar" war, kannst du doch sehen, wie tief sich der Schädling eingenistet hat. Dieser eine Ordner war mit Sicherheit nicht der gesmate Schädling. Um Ordner so zu verstecken sind Eingriffe auf Treiber-/Systemebene notwendig.

Und möchtest du wirklich die nächsten 3-4 Monate auf einem Rechner arbeiten, der nebenher als Zombie für Hacker-Angriffe, Spamschleuder,... verwendet wird, und nebenbei deine Passwörter an irgendjemanden schickt?

Ja, ich weiß, dass Neuinstallationen lästig sind. Aber du hast dir nunmal einen Schädling installiert, also musst du auch die Konsequenzen ziehen. Auch wenn es weh tut.