Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst cn911.exe

Mitglied: redline

redline (Level 1) - Jetzt verbinden

19.06.2007, aktualisiert 03.07.2007, 8690 Aufrufe, 5 Kommentare

cn911.exe cn912.exe usw. werden über Console aufgerufen. Problem schon an vier Geräten. Was ist das?

Guten Morgen Zusammen,

ich habe das Problem, dass auf bereits vier Rechnern nach bzw. bei Anmeldung des Benutzers verschiedene .exe Dateien über die Console gestartet werden: cn911.exe, cn912.exe, cn913.exe usw.

Sind bestimmt so 15 Stück. Passend dazu gibt es eine Meldung, worüber die Fenster wieder geschlossen werden können.

Hab so ne Datei cn911.exe auf einem USB-Stick entdeckt und auch beim löschen taucht die dort immer wieder auf. Ähnlich verhält sich das in den Profilen der Benutzer, wo die Dateien liegen.

Hoffe mir kann hier jemand weiterhelfen bzw. sogar sagen worum es sich hier handelt!?!?!


Grüße

redline
Mitglied: gnarff
19.06.2007 um 15:37 Uhr
Hallo redline!

Bei cn911.exe handelt es sich um den USBStorm.A Wurm, der sich ueber infizierte USB-Sticks verbreitet und ueber Rootkitqualitateten verfuegt.
Fuer die Weiterverbreitung sorgen die beiden Dateien autorun.inf und CN911.exe
Er ist auch unter den Namen:
Trojan-Downloader.Win32.VB.anf, BackDoor.Generic.1563 sowie W32/UsbStorm.A.worm bekannt.

Nachdem der infizierte USB-Stick gemountet worden ist kopiert sich das Schadprogramm in den Ordner C:\Windows\system32\internt.exe, wird ausgefuehrt und laeuft fuerderhin als versteckter Prozess auf dem nun so infizierten System.

Der Schaedling modifiziert dabei auch die Registrierdatenbank, indem er folgenden Schluessel erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

Je nach Variante des Schaedlings koennen die Namen der erstellten Dateien und Registrierdatenbankschluessel nebst ihrer zugewiesenen Werte variieren.

Bei jedem unqualifizierten Loeschversuch, wird eine neue CNxxx.exe Datei erstellt.

Es wuerde mir sehr gefallen, wenn Du mir die Datei CN911.exe zusenden koenntest. Bitte beachte dabei, dass Du sie mir komprimiert schickst, im *.zip oder *.rar -Format.
Alles andere wird von mir sofort geloescht!

Es leider keine vernuenftigen Informationen darueber, was genau dieser Schaedling tut und wie man Ihn von Hand entfernen kann.
Bitte einsenden an: ceo_at_ampersanded_dot_com [update:vorruebergehend offline ab 01.07.07 bis 08.07.07]]

Entfernung:
1. Systemwiederherstellung aushaengen
2. Auf http://www.bitdefender.de den Onlinescan in Anspruch nehmen und reinigen
3. Auf USB-Stick die autorun.inf und alle CNxxx.exe loeschen
4. Reboot

Ich kann Dir nicht versprechen, dass danach der Rechner wirklich sauber ist!

saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
02.07.2007 um 09:57 Uhr
Hallo,

ich experimentiere oft mit den Schlüssel Winlogon unter Windows NT. Natürlich in der VMWare Umgebung. Dazu lasse ich die Verschiedensten Viren auf das System los, ohne einen Schutz innerhalb des Systems.
In deinen Falle kann ich sagen, das du die internt.exe nicht aus den system32 Ordner entfernen darfst ohne vorher den Eintrag in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

abzuändern in:

Data : C:\Windows\system32\userinit.exe,

Sonst startet das System nicht mehr, genauer gesagt ein Anmelden ist nicht mehr möglich

Xaverdunn
Bitte warten ..
Mitglied: gnarff
02.07.2007 um 14:35 Uhr
@xaverdunn

Das ist so nicht korrekt. Der Pfad C:\Windows\system32\internt.exe in dem besagten Registrierdatenbankschluessel verweist ja direkt auf den Schaedling.
Wird also internt.exe geloescht kann es zu Verbindungs- oder Anmeldeproblemen kommen.
Erstere beheben wir mit der Reparatur von Winsock, Zweite mit einer Reparaturinstallation.

Es macht fuer mich keinen Sinn einen zweiten Pfad C:\Windows\system32\userinit.exe einzutragen und es ist auch nicht damit getan.

Die Entfernung dieses Schaedlings von Hand ist schwierig, daher mein Verweis auf den Onlinescanner, der macht das sauber und aktualisiert die betreffenden Eintraege zugleich.

saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:43 Uhr
Genauso habe ich es auch gemeint.
Erst den Registryeintrag abändern dann den Schädling löschen.

Xaverdunn
Bitte warten ..
Ähnliche Inhalte
Batch & Shell

Batch-Datei in Exe-Datei umwandeln - .exe im Autostart

gelöst Frage von Luuke257Batch & Shell7 Kommentare

Hallo zusammen! Ich habe mir (mit reichlicher Hilfe) eine Batch-Datei geschrieben, die informationen über den PC ausliest und in ...

Batch & Shell

Problem mit Batch - starten einer Exe

Frage von jan99Batch & Shell2 Kommentare

Moin ! ich habe auf einem Server eine EXE liegen die immer lokal aktuell gestartet werden soll und dafür ...

Batch & Shell

PS1 Skript in EXE

gelöst Frage von 112TimoBatch & Shell4 Kommentare

Hallo Leute, wie der Tietel schon sagt, möchte ich ein PowerShell-Skript (.ps1) in eine funktionsfähige .exe kompilieren. Bitte keine ...

Windows Server

Anzeigen wer eine EXE geöffnet hat

gelöst Frage von DippsWindows Server2 Kommentare

Hallo ich möchte auf einem Windows 2008 R2 Prüfen ob eine bestimmte EXE ausgeführt wir und von welchen Personen. ...

Neue Wissensbeiträge
Windows 10
Zero-Day-Lücke in Microsoft Edge
Information von kgborn vor 1 TagWindows 10

In Microsofts Edge-Browser klafft wohl eine nicht geschlossene (0-Day) Sicherheitslücke im Just In Time Compiler (JIT Compiler) für Javascript. ...

Sicherheit
Microsoft und Skype: Sicherheit
Information von kgborn vor 1 TagSicherheit

Die Tage gab es ja einige Berichte zur Sicherheit des Skype-Updaters. Der Updater von Skype läuft unter dem Konto ...

Datenschutz

Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10

Information von Penny.Cilin vor 2 TagenDatenschutz8 Kommentare

Hallo, passend zum Thema Ablösung LIMUX in München ein interessanter Beitrag dazu: Behörden ignorieren Sicherheitsbedenken gegenüber Windows 10 Anscheinend ...

Sicherheit
Information Security Hub Munich airport
Information von brammer vor 2 TagenSicherheit

Hallo, Neues Center für Cyber Kriminalität am Münchener Flughafen brammer

Heiß diskutierte Inhalte
DSL, VDSL
Mindestgeschwindigkeiten DSL Telekom
Frage von justlukasDSL, VDSL14 Kommentare

Hallo zusammen, Seit diesem Jahr habe ich Verständnisprobleme mit dem Verhalten der Telekom. Wir haben seit einem Jahr VDSL ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1011 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Humor (lol)
Was könnte man mit einem Server machen? Idee gesucht
Frage von 2SeitenHumor (lol)11 Kommentare

Hey Zusammen Ich habe einen alten HP G2 Rackserver zu Hause rumliegen. 28GB Ram, 1xAMD Prozi mit etwa 2GHz. ...

Switche und Hubs
LANCOM-Switch: Probleme (no link) mit SFP-Modulen?
Frage von THETOBSwitche und Hubs11 Kommentare

Hi zusammen, ich habe folgendes Problem: Und zwar habe ich an einem Standort drei Switche verbaut - LANCOM GS-2326P+, ...