redline
Goto Top

cn911.exe

cn911.exe cn912.exe usw. werden über Console aufgerufen. Problem schon an vier Geräten. Was ist das?

Guten Morgen Zusammen,

ich habe das Problem, dass auf bereits vier Rechnern nach bzw. bei Anmeldung des Benutzers verschiedene .exe Dateien über die Console gestartet werden: cn911.exe, cn912.exe, cn913.exe usw.

Sind bestimmt so 15 Stück. Passend dazu gibt es eine Meldung, worüber die Fenster wieder geschlossen werden können.

Hab so ne Datei cn911.exe auf einem USB-Stick entdeckt und auch beim löschen taucht die dort immer wieder auf. Ähnlich verhält sich das in den Profilen der Benutzer, wo die Dateien liegen.

Hoffe mir kann hier jemand weiterhelfen bzw. sogar sagen worum es sich hier handelt!?!?!


Grüße

redline

Content-ID: 61706

Url: https://administrator.de/forum/cn911-exe-61706.html

Ausgedruckt am: 23.12.2024 um 03:12 Uhr

48303
48303 19.06.2007 um 08:17:24 Uhr
Goto Top
gnarff
gnarff 19.06.2007 um 15:37:53 Uhr
Goto Top
Hallo redline!

Bei cn911.exe handelt es sich um den USBStorm.A Wurm, der sich ueber infizierte USB-Sticks verbreitet und ueber Rootkitqualitateten verfuegt.
Fuer die Weiterverbreitung sorgen die beiden Dateien autorun.inf und CN911.exe
Er ist auch unter den Namen:
Trojan-Downloader.Win32.VB.anf, BackDoor.Generic.1563 sowie W32/UsbStorm.A.worm bekannt.

Nachdem der infizierte USB-Stick gemountet worden ist kopiert sich das Schadprogramm in den Ordner C:\Windows\system32\internt.exe, wird ausgefuehrt und laeuft fuerderhin als versteckter Prozess auf dem nun so infizierten System.

Der Schaedling modifiziert dabei auch die Registrierdatenbank, indem er folgenden Schluessel erstellt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

Je nach Variante des Schaedlings koennen die Namen der erstellten Dateien und Registrierdatenbankschluessel nebst ihrer zugewiesenen Werte variieren.

Bei jedem unqualifizierten Loeschversuch, wird eine neue CNxxx.exe Datei erstellt.

Es wuerde mir sehr gefallen, wenn Du mir die Datei CN911.exe zusenden koenntest. Bitte beachte dabei, dass Du sie mir komprimiert schickst, im *.zip oder *.rar -Format.
Alles andere wird von mir sofort geloescht!

Es leider keine vernuenftigen Informationen darueber, was genau dieser Schaedling tut und wie man Ihn von Hand entfernen kann.
Bitte einsenden an: ceo_at_ampersanded_dot_com [update:vorruebergehend offline ab 01.07.07 bis 08.07.07]]

Entfernung:
1. Systemwiederherstellung aushaengen
2. Auf http://www.bitdefender.de den Onlinescan in Anspruch nehmen und reinigen
3. Auf USB-Stick die autorun.inf und alle CNxxx.exe loeschen
4. Reboot

Ich kann Dir nicht versprechen, dass danach der Rechner wirklich sauber ist!

saludos
gnarff
xaverdunn
xaverdunn 02.07.2007 um 09:57:27 Uhr
Goto Top
Hallo,

ich experimentiere oft mit den Schlüssel Winlogon unter Windows NT. Natürlich in der VMWare Umgebung. Dazu lasse ich die Verschiedensten Viren auf das System los, ohne einen Schutz innerhalb des Systems.
In deinen Falle kann ich sagen, das du die internt.exe nicht aus den system32 Ordner entfernen darfst ohne vorher den Eintrag in der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon "Userinit"
Data : C:\Windows\system32\userinit.exe, C:\Windows\system32\internt.exe

abzuändern in:

Data : C:\Windows\system32\userinit.exe,

Sonst startet das System nicht mehr, genauer gesagt ein Anmelden ist nicht mehr möglich

Xaverdunn
gnarff
gnarff 02.07.2007 um 14:35:20 Uhr
Goto Top
@xaverdunn

Das ist so nicht korrekt. Der Pfad C:\Windows\system32\internt.exe in dem besagten Registrierdatenbankschluessel verweist ja direkt auf den Schaedling.
Wird also internt.exe geloescht kann es zu Verbindungs- oder Anmeldeproblemen kommen.
Erstere beheben wir mit der Reparatur von Winsock, Zweite mit einer Reparaturinstallation.

Es macht fuer mich keinen Sinn einen zweiten Pfad C:\Windows\system32\userinit.exe einzutragen und es ist auch nicht damit getan.

Die Entfernung dieses Schaedlings von Hand ist schwierig, daher mein Verweis auf den Onlinescanner, der macht das sauber und aktualisiert die betreffenden Eintraege zugleich.

saludos
gnarff
xaverdunn
xaverdunn 03.07.2007 um 00:43:15 Uhr
Goto Top
Genauso habe ich es auch gemeint.
Erst den Registryeintrag abändern dann den Schädling löschen.

Xaverdunn