5
cn911.exe
cn911.exe cn912.exe usw. werden über Console aufgerufen. Problem schon an vier Geräten. Was ist das?
Guten Morgen Zusammen,
ich habe das Problem, dass auf bereits vier Rechnern nach bzw. bei Anmeldung des Benutzers verschiedene .exe Dateien über die Console gestartet werden: cn911.exe, cn912.exe, cn913.exe usw.
Sind bestimmt so 15 Stück. Passend dazu gibt es eine Meldung, worüber die Fenster wieder geschlossen werden können.
Hab so ne Datei cn911.exe auf einem USB-Stick entdeckt und auch beim löschen taucht die dort immer wieder auf. Ähnlich verhält sich das in den Profilen der Benutzer, wo die Dateien liegen.
Hoffe mir kann hier jemand weiterhelfen bzw. sogar sagen worum es sich hier handelt!?!?!
Grüße
redline
ich habe das Problem, dass auf bereits vier Rechnern nach bzw. bei Anmeldung des Benutzers verschiedene .exe Dateien über die Console gestartet werden: cn911.exe, cn912.exe, cn913.exe usw.
Sind bestimmt so 15 Stück. Passend dazu gibt es eine Meldung, worüber die Fenster wieder geschlossen werden können.
Hab so ne Datei cn911.exe auf einem USB-Stick entdeckt und auch beim löschen taucht die dort immer wieder auf. Ähnlich verhält sich das in den Profilen der Benutzer, wo die Dateien liegen.
Hoffe mir kann hier jemand weiterhelfen bzw. sogar sagen worum es sich hier handelt!?!?!
Grüße
redline
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 61706
Url: https://administrator.de/contentid/61706
Printed on: April 16, 2024 at 19:04 o'clock
5 Comments
Latest comment
Hallo,
schau doch mal hier
http://de.trendmicro-europe.com/smb/vinfo/encyclopedia.php?LYstr=VMAIND ...
schau doch mal hier
http://de.trendmicro-europe.com/smb/vinfo/encyclopedia.php?LYstr=VMAIND ...
Hallo redline!
Bei cn911.exe handelt es sich um den USBStorm.A Wurm, der sich ueber infizierte USB-Sticks verbreitet und ueber Rootkitqualitateten verfuegt.
Fuer die Weiterverbreitung sorgen die beiden Dateien autorun.inf und CN911.exe
Er ist auch unter den Namen:
Trojan-Downloader.Win32.VB.anf, BackDoor.Generic.1563 sowie W32/UsbStorm.A.worm bekannt.
Nachdem der infizierte USB-Stick gemountet worden ist kopiert sich das Schadprogramm in den Ordner C:\Windows\system32\internt.exe, wird ausgefuehrt und laeuft fuerderhin als versteckter Prozess auf dem nun so infizierten System.
Der Schaedling modifiziert dabei auch die Registrierdatenbank, indem er folgenden Schluessel erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe
Je nach Variante des Schaedlings koennen die Namen der erstellten Dateien und Registrierdatenbankschluessel nebst ihrer zugewiesenen Werte variieren.
Bei jedem unqualifizierten Loeschversuch, wird eine neue CNxxx.exe Datei erstellt.
Es wuerde mir sehr gefallen, wenn Du mir die Datei CN911.exe zusenden koenntest. Bitte beachte dabei, dass Du sie mir komprimiert schickst, im *.zip oder *.rar -Format.
Alles andere wird von mir sofort geloescht!
Es leider keine vernuenftigen Informationen darueber, was genau dieser Schaedling tut und wie man Ihn von Hand entfernen kann.
Bitte einsenden an: ceo_at_ampersanded_dot_com [update:vorruebergehend offline ab 01.07.07 bis 08.07.07]]
Entfernung:
1. Systemwiederherstellung aushaengen
2. Auf http://www.bitdefender.de den Onlinescan in Anspruch nehmen und reinigen
3. Auf USB-Stick die autorun.inf und alle CNxxx.exe loeschen
4. Reboot
Ich kann Dir nicht versprechen, dass danach der Rechner wirklich sauber ist!
saludos
gnarff
Bei cn911.exe handelt es sich um den USBStorm.A Wurm, der sich ueber infizierte USB-Sticks verbreitet und ueber Rootkitqualitateten verfuegt.
Fuer die Weiterverbreitung sorgen die beiden Dateien autorun.inf und CN911.exe
Er ist auch unter den Namen:
Trojan-Downloader.Win32.VB.anf, BackDoor.Generic.1563 sowie W32/UsbStorm.A.worm bekannt.
Nachdem der infizierte USB-Stick gemountet worden ist kopiert sich das Schadprogramm in den Ordner C:\Windows\system32\internt.exe, wird ausgefuehrt und laeuft fuerderhin als versteckter Prozess auf dem nun so infizierten System.
Der Schaedling modifiziert dabei auch die Registrierdatenbank, indem er folgenden Schluessel erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe
Je nach Variante des Schaedlings koennen die Namen der erstellten Dateien und Registrierdatenbankschluessel nebst ihrer zugewiesenen Werte variieren.
Bei jedem unqualifizierten Loeschversuch, wird eine neue CNxxx.exe Datei erstellt.
Es wuerde mir sehr gefallen, wenn Du mir die Datei CN911.exe zusenden koenntest. Bitte beachte dabei, dass Du sie mir komprimiert schickst, im *.zip oder *.rar -Format.
Alles andere wird von mir sofort geloescht!
Es leider keine vernuenftigen Informationen darueber, was genau dieser Schaedling tut und wie man Ihn von Hand entfernen kann.
Bitte einsenden an: ceo_at_ampersanded_dot_com [update:vorruebergehend offline ab 01.07.07 bis 08.07.07]]
Entfernung:
1. Systemwiederherstellung aushaengen
2. Auf http://www.bitdefender.de den Onlinescan in Anspruch nehmen und reinigen
3. Auf USB-Stick die autorun.inf und alle CNxxx.exe loeschen
4. Reboot
Ich kann Dir nicht versprechen, dass danach der Rechner wirklich sauber ist!
saludos
gnarff
Hallo,
ich experimentiere oft mit den Schlüssel Winlogon unter Windows NT. Natürlich in der VMWare Umgebung. Dazu lasse ich die Verschiedensten Viren auf das System los, ohne einen Schutz innerhalb des Systems.
In deinen Falle kann ich sagen, das du die internt.exe nicht aus den system32 Ordner entfernen darfst ohne vorher den Eintrag in der Registry unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe
abzuändern in:
Data : C:\Windows\system32\userinit.exe,
Sonst startet das System nicht mehr, genauer gesagt ein Anmelden ist nicht mehr möglich
Xaverdunn
ich experimentiere oft mit den Schlüssel Winlogon unter Windows NT. Natürlich in der VMWare Umgebung. Dazu lasse ich die Verschiedensten Viren auf das System los, ohne einen Schutz innerhalb des Systems.
In deinen Falle kann ich sagen, das du die internt.exe nicht aus den system32 Ordner entfernen darfst ohne vorher den Eintrag in der Registry unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe
abzuändern in:
Data : C:\Windows\system32\userinit.exe,
Sonst startet das System nicht mehr, genauer gesagt ein Anmelden ist nicht mehr möglich
Xaverdunn
@xaverdunn
Das ist so nicht korrekt. Der Pfad C:\Windows\system32\internt.exe in dem besagten Registrierdatenbankschluessel verweist ja direkt auf den Schaedling.
Wird also internt.exe geloescht kann es zu Verbindungs- oder Anmeldeproblemen kommen.
Erstere beheben wir mit der Reparatur von Winsock, Zweite mit einer Reparaturinstallation.
Es macht fuer mich keinen Sinn einen zweiten Pfad C:\Windows\system32\userinit.exe einzutragen und es ist auch nicht damit getan.
Die Entfernung dieses Schaedlings von Hand ist schwierig, daher mein Verweis auf den Onlinescanner, der macht das sauber und aktualisiert die betreffenden Eintraege zugleich.
saludos
gnarff
Das ist so nicht korrekt. Der Pfad C:\Windows\system32\internt.exe in dem besagten Registrierdatenbankschluessel verweist ja direkt auf den Schaedling.
Wird also internt.exe geloescht kann es zu Verbindungs- oder Anmeldeproblemen kommen.
Erstere beheben wir mit der Reparatur von Winsock, Zweite mit einer Reparaturinstallation.
Es macht fuer mich keinen Sinn einen zweiten Pfad C:\Windows\system32\userinit.exe einzutragen und es ist auch nicht damit getan.
Die Entfernung dieses Schaedlings von Hand ist schwierig, daher mein Verweis auf den Onlinescanner, der macht das sauber und aktualisiert die betreffenden Eintraege zugleich.
saludos
gnarff
Genauso habe ich es auch gemeint.
Erst den Registryeintrag abändern dann den Schädling löschen.
Xaverdunn
Erst den Registryeintrag abändern dann den Schädling löschen.
Xaverdunn
