Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

cn911.exe

Frage Sicherheit Viren und Trojaner

Mitglied: redline

redline (Level 1) - Jetzt verbinden

19.06.2007, aktualisiert 03.07.2007, 8620 Aufrufe, 5 Kommentare

cn911.exe cn912.exe usw. werden über Console aufgerufen. Problem schon an vier Geräten. Was ist das?

Guten Morgen Zusammen,

ich habe das Problem, dass auf bereits vier Rechnern nach bzw. bei Anmeldung des Benutzers verschiedene .exe Dateien über die Console gestartet werden: cn911.exe, cn912.exe, cn913.exe usw.

Sind bestimmt so 15 Stück. Passend dazu gibt es eine Meldung, worüber die Fenster wieder geschlossen werden können.

Hab so ne Datei cn911.exe auf einem USB-Stick entdeckt und auch beim löschen taucht die dort immer wieder auf. Ähnlich verhält sich das in den Profilen der Benutzer, wo die Dateien liegen.

Hoffe mir kann hier jemand weiterhelfen bzw. sogar sagen worum es sich hier handelt!?!?!


Grüße

redline
Mitglied: gnarff
19.06.2007 um 15:37 Uhr
Hallo redline!

Bei cn911.exe handelt es sich um den USBStorm.A Wurm, der sich ueber infizierte USB-Sticks verbreitet und ueber Rootkitqualitateten verfuegt.
Fuer die Weiterverbreitung sorgen die beiden Dateien autorun.inf und CN911.exe
Er ist auch unter den Namen:
Trojan-Downloader.Win32.VB.anf, BackDoor.Generic.1563 sowie W32/UsbStorm.A.worm bekannt.

Nachdem der infizierte USB-Stick gemountet worden ist kopiert sich das Schadprogramm in den Ordner C:\Windows\system32\internt.exe, wird ausgefuehrt und laeuft fuerderhin als versteckter Prozess auf dem nun so infizierten System.

Der Schaedling modifiziert dabei auch die Registrierdatenbank, indem er folgenden Schluessel erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

Je nach Variante des Schaedlings koennen die Namen der erstellten Dateien und Registrierdatenbankschluessel nebst ihrer zugewiesenen Werte variieren.

Bei jedem unqualifizierten Loeschversuch, wird eine neue CNxxx.exe Datei erstellt.

Es wuerde mir sehr gefallen, wenn Du mir die Datei CN911.exe zusenden koenntest. Bitte beachte dabei, dass Du sie mir komprimiert schickst, im *.zip oder *.rar -Format.
Alles andere wird von mir sofort geloescht!

Es leider keine vernuenftigen Informationen darueber, was genau dieser Schaedling tut und wie man Ihn von Hand entfernen kann.
Bitte einsenden an: ceo_at_ampersanded_dot_com [update:vorruebergehend offline ab 01.07.07 bis 08.07.07]]

Entfernung:
1. Systemwiederherstellung aushaengen
2. Auf http://www.bitdefender.de den Onlinescan in Anspruch nehmen und reinigen
3. Auf USB-Stick die autorun.inf und alle CNxxx.exe loeschen
4. Reboot

Ich kann Dir nicht versprechen, dass danach der Rechner wirklich sauber ist!

saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
02.07.2007 um 09:57 Uhr
Hallo,

ich experimentiere oft mit den Schlüssel Winlogon unter Windows NT. Natürlich in der VMWare Umgebung. Dazu lasse ich die Verschiedensten Viren auf das System los, ohne einen Schutz innerhalb des Systems.
In deinen Falle kann ich sagen, das du die internt.exe nicht aus den system32 Ordner entfernen darfst ohne vorher den Eintrag in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

abzuändern in:

Data : C:\Windows\system32\userinit.exe,

Sonst startet das System nicht mehr, genauer gesagt ein Anmelden ist nicht mehr möglich

Xaverdunn
Bitte warten ..
Mitglied: gnarff
02.07.2007 um 14:35 Uhr
@xaverdunn

Das ist so nicht korrekt. Der Pfad C:\Windows\system32\internt.exe in dem besagten Registrierdatenbankschluessel verweist ja direkt auf den Schaedling.
Wird also internt.exe geloescht kann es zu Verbindungs- oder Anmeldeproblemen kommen.
Erstere beheben wir mit der Reparatur von Winsock, Zweite mit einer Reparaturinstallation.

Es macht fuer mich keinen Sinn einen zweiten Pfad C:\Windows\system32\userinit.exe einzutragen und es ist auch nicht damit getan.

Die Entfernung dieses Schaedlings von Hand ist schwierig, daher mein Verweis auf den Onlinescanner, der macht das sauber und aktualisiert die betreffenden Eintraege zugleich.

saludos
gnarff
Bitte warten ..
Mitglied: xaverdunn
03.07.2007 um 00:43 Uhr
Genauso habe ich es auch gemeint.
Erst den Registryeintrag abändern dann den Schädling löschen.

Xaverdunn
Bitte warten ..
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...