Dateientstehung zurückverfolgen

    Hallo zusammen,


    folgender Fall: In einem Netzwerk, mit Windows 2003 Server und einigen XP-Clients befindet sich seit kurzrem im Hauptverzeichnis eine Datei namens "ffyzsgctz.exe", die von eScan-Antivirus als Virtob.Gen.6 identifiziert wird. Sonst meldet das Programm keinerlei verdächtigen Funde.


    Das Betriebssytem verhält sich bisher nicht auffällig. Löschen der datei ist möglich, diese wird aber sofort wieder neu erzeugt. Das Änderungsdatum in den Attributen ist stets gleich (13.06.2011).


    Im Logfile von ProcessMonitor steht folgendes:


    PHP
    1. <event>
    2. <ProcessIndex>32</ProcessIndex>
    3. <Time_of_Day>10:17:06,8150106</Time_of_Day>
    4. <Process_Name>Explorer.EXE</Process_Name>
    5. <PID>296</PID>
    6. <Operation>CreateFile</Operation>
    7. <Path>D:\</Path>
    8. <Result>SUCCESS</Result>
    9. <Detail>Desired Access: Read Data/List Directory, Synchronize, Disposition: Open, Options: Directory, Synchronous IO Non-Alert, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened</Detail>
    10. </event>


    (Ist natürlich kein PHP-Code)


    Gibts da irgendeine Möglichkeit herauszubekommen, welche Datei/Anweisung für die Neuerzeugung dieses Geschwürs verantwortlich ist?

    Klingt eventuell nach einem Rootkit. Da wirst du wohl Anti-Malware-Software verwenden müssen, die sich auf das Finden von Prozessen spezialisiert hat, die sich aktiv vor Windows verstecken. Das Aufspüren verdächtiger Prozesse oder gar Prozessgruppen per ProcessExplorer erfordert schon etwas Erfahrung und Spürsinn. Tipp: Verdächtige Prozesse mit "Suspend" lahmlegen, nicht beenden; meist startet ein Companion beendete Prozesse wieder. Wenn sich dann die Datei löschen lässt, ohne dass sie wieder erstellt wird, hat man wohl den einen oder anderen kritischen Prozess erwischt.

    Als Besitzer ist der Server eingetragen. An den Server kann aber eigentlich niemand ran, weil ich als einziger das Password kenne.


    Zitat

    Bitdefender behauptet diese Infektion heilen zu können.


    Hast Du da mal nen Link? Beim Versuch die Demoversion von Bitdefender pro zu installieren erscheint die Meldung (sinngemäß): "Dieses Betriebssystem ist nicht geeignet"

    Vielleicht hilft das weiter: http://xml.ssdsandbox.net/arch…f30201b5e1d7112e45220bdd5


    Danach müssten noch eine C:\file.exe, eine %SystemRoot%\system32\ffyzsgctz.exe und ein paar Registryeinträge entfernt werden. Die Dateien sind versteckt (SW_HIDE).


    Zitat

    Opened listening TCP connection on port: 113


    C&C Server:67.19.50.66:7000
    Server Password:
    Username:
    Nickname: