Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

cn911.exe

Frage Sicherheit Viren und Trojaner

Mitglied: redline

redline (Level 1) - Jetzt verbinden

19.06.2007, aktualisiert 03.07.2007, 8655 Aufrufe, 5 Kommentare

cn911.exe cn912.exe usw. werden über Console aufgerufen. Problem schon an vier Geräten. Was ist das?

Guten Morgen Zusammen,

ich habe das Problem, dass auf bereits vier Rechnern nach bzw. bei Anmeldung des Benutzers verschiedene .exe Dateien über die Console gestartet werden: cn911.exe, cn912.exe, cn913.exe usw.

Sind bestimmt so 15 Stück. Passend dazu gibt es eine Meldung, worüber die Fenster wieder geschlossen werden können.

Hab so ne Datei cn911.exe auf einem USB-Stick entdeckt und auch beim löschen taucht die dort immer wieder auf. Ähnlich verhält sich das in den Profilen der Benutzer, wo die Dateien liegen.

Hoffe mir kann hier jemand weiterhelfen bzw. sogar sagen worum es sich hier handelt!?!?!


Grüße

redline
Mitglied: gnarff
19.06.2007 um 15:37 Uhr
Hallo redline!

Bei cn911.exe handelt es sich um den USBStorm.A Wurm, der sich ueber infizierte USB-Sticks verbreitet und ueber Rootkitqualitateten verfuegt.
Fuer die Weiterverbreitung sorgen die beiden Dateien autorun.inf und CN911.exe
Er ist auch unter den Namen:
Trojan-Downloader.Win32.VB.anf, BackDoor.Generic.1563 sowie W32/UsbStorm.A.worm bekannt.

Nachdem der infizierte USB-Stick gemountet worden ist kopiert sich das Schadprogramm in den Ordner C:\Windows\system32\internt.exe, wird ausgefuehrt und laeuft fuerderhin als versteckter Prozess auf dem nun so infizierten System.

Der Schaedling modifiziert dabei auch die Registrierdatenbank, indem er folgenden Schluessel erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

Je nach Variante des Schaedlings koennen die Namen der erstellten Dateien und Registrierdatenbankschluessel nebst ihrer zugewiesenen Werte variieren.

Bei jedem unqualifizierten Loeschversuch, wird eine neue CNxxx.exe Datei erstellt.

Es wuerde mir sehr gefallen, wenn Du mir die Datei CN911.exe zusenden koenntest. Bitte beachte dabei, dass Du sie mir komprimiert schickst, im *.zip oder *.rar -Format.
Alles andere wird von mir sofort geloescht!

Es leider keine vernuenftigen Informationen darueber, was genau dieser Schaedling tut und wie man Ihn von Hand entfernen kann.
Bitte einsenden an: ceo_at_ampersanded_dot_com [update:vorruebergehend offline ab 01.07.07 bis 08.07.07]]

Entfernung:
1. Systemwiederherstellung aushaengen
2. Auf http://www.bitdefender.de den Onlinescan in Anspruch nehmen und reinigen
3. Auf USB-Stick die autorun.inf und alle CNxxx.exe loeschen
4. Reboot

Ich kann Dir nicht versprechen, dass danach der Rechner wirklich sauber ist!

saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
02.07.2007 um 09:57 Uhr
Hallo,

ich experimentiere oft mit den Schlüssel Winlogon unter Windows NT. Natürlich in der VMWare Umgebung. Dazu lasse ich die Verschiedensten Viren auf das System los, ohne einen Schutz innerhalb des Systems.
In deinen Falle kann ich sagen, das du die internt.exe nicht aus den system32 Ordner entfernen darfst ohne vorher den Eintrag in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

abzuändern in:

Data : C:\Windows\system32\userinit.exe,

Sonst startet das System nicht mehr, genauer gesagt ein Anmelden ist nicht mehr möglich

Xaverdunn
Bitte warten ..
Mitglied: gnarff
02.07.2007 um 14:35 Uhr
@xaverdunn

Das ist so nicht korrekt. Der Pfad C:\Windows\system32\internt.exe in dem besagten Registrierdatenbankschluessel verweist ja direkt auf den Schaedling.
Wird also internt.exe geloescht kann es zu Verbindungs- oder Anmeldeproblemen kommen.
Erstere beheben wir mit der Reparatur von Winsock, Zweite mit einer Reparaturinstallation.

Es macht fuer mich keinen Sinn einen zweiten Pfad C:\Windows\system32\userinit.exe einzutragen und es ist auch nicht damit getan.

Die Entfernung dieses Schaedlings von Hand ist schwierig, daher mein Verweis auf den Onlinescanner, der macht das sauber und aktualisiert die betreffenden Eintraege zugleich.

saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:43 Uhr
Genauso habe ich es auch gemeint.
Erst den Registryeintrag abändern dann den Schädling löschen.

Xaverdunn
Bitte warten ..
Ähnliche Inhalte
Windows 10
gelöst Jabswitch.exe funktioniert nicht mehr - Programm schließen (9)

Frage von ToniHo zum Thema Windows 10 ...

Windows Server
Windows Server 2012 R2 - SETUPSQMT.EXE (1)

Frage von Sunny89 zum Thema Windows Server ...

Windows Server
gelöst exe aus Netzwerk über Client ausführen (Windows Server 2012 R2) (6)

Frage von peterpa zum Thema Windows Server ...

Neue Wissensbeiträge
Windows 10

Windows 8.x oder 10 Lizenz-Key aus dem ROM auslesen mit Linux

(6)

Tipp von Lochkartenstanzer zum Thema Windows 10 ...

Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Windows 10
gelöst Windows 10 Home "Netzlaufwerk nicht bereit" (19)

Frage von Oggy01 zum Thema Windows 10 ...

Viren und Trojaner
Verschlüsselungstrojaner simulieren (18)

Frage von AlbertMinrich zum Thema Viren und Trojaner ...

Exchange Server
Exchange Postfach leeren - nicht löschen (11)

Frage von AndreasOC zum Thema Exchange Server ...