Malware: Hidden "Shell" System-Thread gefunden

[PeterK]

Habe heute auf meinem XP-32 SP3 diese Malware-Hinweise erhalten:

Zunächst gab es von Avira AntiVir Free Version die Warnung:
1 versteckter System Thread wurde gefunden, aber kein Virus.

Trend Micro HijackThis v2.0.4 meldete etwa folgendes:
F2 - REG:system.ini: Shell=

GMER 1.0.15.15641 Rootkit Scan meldete:
Thread System [4:152] B9DCA300

RegEdit meldete Lesefehler beim Versuch auf den Eintrag "Shell" zuzugreifen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
normalerweise steht dort: "Shell"="Explorer.exe"

RootKitRevealer meldete ebenfalls "Shell" als "hidden for Windows API". Beim Versuch die Meldungen abzuspeichern, gab es HD-Zugriffsfehler. Eventuell war der Scan-Vorgang von RootKitRevealer aber noch nicht beendet.

Nach dem Killen des RootKitRevealer Prozesses fingen dann sofort sehr intensive Festplattenzugriffe ohne ersichtlichen Grund an zu laufen.

Beim Aufruf von ProcessExplorer zeigte sich dann offen erkennbar ein Shell-Prozess "CMD" dafür verantwortlich und ließ sich killen.

Habe das verseuchte System danach mit Acronis gesichert und mein 14 Tage altes, aber sauberes Backup wieder zurückgespielt.

Wer hat diese Malware ebenfalls schon gehabt und wie entfernt?

 

[Dragon45]

Wer hat diese Malware ebenfalls schon gehabt und wie entfernt?

Nach dem was du beschrieben hast, kingt das für mich eher nach einem Rootkit. Bei einem Rootkit gibt es nur eine gute Lösung: Platt machen und neuaufsetzten oder in denem Fall sauberes Backup aufspielen.
Der sinn hinter guten Rootkits liegt ja drin unaufspühbar zu sein. Windows kann die Dateien nicht sehen, finden, geschweigeden bekämpfen. Sie sind hidden-versteckt/unsichtbar.
Die Chance alle Teile eines Rootkits vollständig zu löschen sind sehr gering.

 

[green-e]

Nach Schädlingen auf dem PC scannt man ja auch von außerhalb des OS, damit diese sich erst nicht verstecken können. Das geschieht ganz einfach mit einer Live-CD und AV-Scannern deiner Wahl.
Besser ist es allerdings in jedem Fall ein sauberes Backup zu besitzen, welches man bei Bedarf wieder aufspielen kann. Neu aufsetzen ist eine der sichersten Methoden, dauert aber je nach System sehr lange.

 

[PeterK]

Wie bitte erkennt man einen versteckten Prozess von Außerhalb mit einer Live-CD. Niun gut, zum Viren-Scannen kann man das sicher so machen, aber eben nicht, um bereits aktive Prozesse zu erkennen. Neu-Aufsetzen halte ich für die wirklich allerletzte Möglichkeit, wenn wirklich nichts anderes mehr hilft. Aber normalerweise wird ein sauberes Backup wohl kaum von außen nachträglich verseucht worden sein.. Das System wurde 2006 installiert und nie neu aufgesetzt.

Ich habe den Verursacher erstmal einfach "Malware" genannt, weil ich mich noch nicht endgültig festlegen will und kann, ob es denn nun ein Rootkit oder ein Trojaner oder sonstwas ist? Keine Ahnung. Auf meinem Backup war davon jedenfalls noch keine Spur.

 

[SEL33]

Wie bitte erkennt man einen versteckten Prozess von Außerhalb mit einer Live-CD. Niun gut, zum Viren-Scannen kann man das sicher so machen, aber eben nicht, um bereits aktive Prozesse zu erkennen.

Das stimmt ja nun überhaupt nicht.Gerade Live CD's der diversen Hersteller finden versteckte
Rootkit-Funktionen zuverlässiger und effizenter als ein Sannen im laufenden Windows-Betrieb.
Dafür wurden die Live-CD's von den AV-Herstellern u.a. entwickelt

 

[Tigerass 2.0]

Ach und noch ein Tipp:
Was zur hölle machst du mit nem Admin-Account unter win-XP
Mit Eingeschränkten Rechten wäre dir sowas erst garnicht passiert...

LG Tigerass

 

[PeterK]

@cc207

Was stimmt nicht? Unter Linux kann ich keine aktiven (versteckten) Windowsprozesse erkennen. Avira Antivir, HijackThis, Gmer und RootkitRevealer hatten unter Windows ja keine Probleme damit. HijackThis zeigt den Hinweis sogar schon nach wenigen Sekunden. Man muß ihn dann nur als neuen und verdächtigen Eintrag von den normal üblichen Einträgen unterscheiden können. Aber einen F2-Hinweis hatte ich vorher nie.

Klar, unter Linux lassen sich wahrscheinlich die Rootkit-Spuren sicherer erkennen, weil es ja keinen aktiven Rootkit-Prozess gibt, der sie verschleiern könnte.

HijackThis, Gmer und Avira Antivir sind da auf jeden Fall deutlich schneller als die Suche per Live-CD oder USB-Stick.

@Tigerass 2.0

Ich werde nach dem nächsten Backup mal testweise einen zusätzlichen Account mit reduzierten Rechten für das Internet einrichten und prüfen, ob die Handhabung nicht zu umständlich ist.

 

[SEL33]

Was stimmt nicht? Unter Linux kann ich keine aktiven (versteckten) Windowsprozesse erkennen.

Man findet unter einer Live-Cd mit Linux versteckte Rootkit-Funktionen,die im laufenden Windows diese
versteckten Prozesse auslösen.

HijackThis, Gmer und Avira Antivir sind da auf jeden Fall deutlich schneller als die Suche per Live-CD oder USB-Stick.

ES kommt hierbei nicht auf die Schnelligkeit an,sondern das solche Prozesse überhaupt gefunden werden.