ckbaxter
Goto Top

Problem - kann keine Dateien ausführen die mit VM beginnen -evtl Rootkit?-

Hi,

ich habe ein total komisches Problem, wollte heute Vmware starten, ging nit warum auch immer kam keine fehlermeldung nix ging halt nit, okay dacht ich machst du es neu drauf, installatzion brach sofort ohne meldung ab, okay bissel rum probiert, datein umbenannt zack ging es, konnt es installieren, hab ejtzt rausbekommen was das problem ist, mein pc führt keine dateien aus die mit "vm" im namen beginnen, ich kann beliebige exen umbenennen die zuvor gingen, wenn "vm" dann davor steht geht sie nimmer, was is das?? raff ich nit

mfg ckbaxter

Content-ID: 58171

Url: https://administrator.de/contentid/58171

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

Biber
Biber 03.05.2007 um 22:20:44 Uhr
Goto Top
Moin ckbaxter,

ist vermutlich ein so genanntes "Rootkit", einer der neumodischeren Schädlinge unter M$-Systemen.

Befrage mal eine Suchmaschine nach "Rootkit" bzw. lade Dir mal ein entsprechendes Gegenmittel herunter.

Ich verschiebe den Beitrag mal nach "Viren und Trojaner" und setze ein "- evtl Rootkit?-" in den Titel.
Dann werden sich auch eher Experten melden.

Gruss
Biber
gnarff
gnarff 04.05.2007 um 01:12:46 Uhr
Goto Top
Hallo ck!
Dazu kann ich Dir ersteinmal gar nichts sagen, weil die wichtigsten Informationen fehlen:
-Welches Betriebssystem benutzt Du?
-Welche VMware- Version?
-Was steht im Installationslog?
-Heisst die betroffene *.exe-Datei zufaellig vmnat.exe?
-Welche vm*.-Dateien sind davon ausserdem betroffen?
-Welche AV-Loesung und Firewall benutzt Du?

Ist, bzw. war, die vmnat.exe davon betroffen und hast Du eine Windowsbox, koennen wir davon ausgehen, dass es sich um den W32/Tilebot-JE-Wurm handelt oder eine Variante:

W32/Tilebot-JE ist ein Wurm mit IRC-Backdoorfunktionalität für die Windows-Plattform.

W32/Tilebot-JE läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
W32/Tilebot-JE enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Tilebot-JE nach <System>\vmnat.exe.

Die Datei vmnat.exe wird als neuer Systemtreiberdienst namens "COMSysSRC" mit dem Anzeigenamen "COM+ System Source" und dem Starttyp "Automatisch" registriert, damit sie beim Systemstart automatisch ausgeführt wird.

Registrierungseinträge werden an folgendem Speicherort erstellt : HKLM\SYSTEM\CurrentControlSet\Services\COMSysSRC

Daher die zusaetzliche Frage: Existiert der oben genannte Registierdatenbankschluessel?

Ein Rootkit ist auszuschliessen...

saludos
gnarff

@Biber
Danke fuer den Bonbon...wie verschiebt man eigentlich Beitraege??
ckbaxter
ckbaxter 04.05.2007 um 06:50:15 Uhr
Goto Top
erstmal thx für die schnelle hilfe

windows xp pro sp2 mit allen updates, antivir prem, firewall vom router,die darei heißt nit vmnet.exe, es ist bei ejder exe datei die vm.exe heißt, das heißt die datei abc.exe kann ich einwandfrei ausführen nenn ich sie nun in vmabc.exe um, geht sie nicht mehr zu starten, es kommt auch keine fehlermeldung, mir ist nur aufgefallen wenn es eine installationsdatei ist, wird nur ein teil davon etnpackt, also nie komplett, egal mit wlechen installationsprogramm die datei "gepackt" ist.
der registry schlüssel existiert nicht...

mfg ckbaxter
cykes
cykes 04.05.2007 um 07:55:33 Uhr
Goto Top
Hi,

es könnte auch sein, da inzwischen Schadsoftware teilweise auch auf VM Technologie setzt, dass der Antivir da sperrt, musst Du mal in der Konfiguration des Antivir schauen, ob man das
ausschalten kann.

Gruß

cykes
ckbaxter
ckbaxter 04.05.2007 um 09:59:08 Uhr
Goto Top
mal ne andere idee könnte es vllt an irgendeinen windows update liegen? ich hab vor 2wochen fast 30 updates installiert, ich kann aber nit genau sagen ob es daran liegt, könnte das vllt sein???
cykes
cykes 04.05.2007 um 10:07:08 Uhr
Goto Top
Hast Du mal in die Ereignisanzeige geschaut, ob dort irgendwelche Fehler/Warnungen auftauchen!?
ckbaxter
ckbaxter 04.05.2007 um 11:56:32 Uhr
Goto Top
ne da steht nixface-sad zumindest hat das nix mit den problem zu tun

mfg ckbaxter
cykes
cykes 04.05.2007 um 12:07:35 Uhr
Goto Top
Haste die Konfiguration des Antivor mal komplett durchforstet, könnte der Antivir Rootkit-Schutz
oder Applikations-Schutz sein.
ckbaxter
ckbaxter 04.05.2007 um 12:13:00 Uhr
Goto Top
hab antivir deaktiviert...geht immer noch nicht, ich raff das nicht..so ein ###

wenn ich versuche die datei mehrmals aufzurefen kommt manchmal diese meldung nit immer aber manchmal, also is egal welche datei bei manchen kommt es manchmal bei manchen nit...

http://img79.imageshack.us/img79/2895/komischgw8r1c1la7.jpg

[edit: damit der Thread wieder auf den Monitor passt, habe ich das von ck gepostete Image verkleinert /gnarff-el moderator]
gnarff
gnarff 04.05.2007 um 16:21:32 Uhr
Goto Top
Hallo ck,
poste mir bitte ein Hijackthis-Log, download unter:

Ich weiss nicht warum VMware (ich weiss immer noch nicht die Version) von einem Tag auf den anderen nicht mehr funktionierte, ich kann mir aber vorstellen, dass der Grund warum es jetzt nicht mehr funktioniert zum Einen die unsaubere Installation ist und zum Anderen deine AV-Loesung dazwischenfunkt.

saludos
gnarff
ckbaxter
ckbaxter 04.05.2007 um 16:34:58 Uhr
Goto Top
mLogfile of HijackThis v1.99.1
Scan saved at 16:33:36, on 04.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe

https://www.strato.de/cgi-bin/kundenserviceTDSL/kundenServiceDSL.pl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.getright.com
O1 - Hosts: 127.255.255.255 pro.getright.com
O1 - Hosts: 127.255.255.255 www.headlightinc.com

O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

ich benutze vmware 5.5.2.18...

es geht ja keine exe mehr die mit "vm" beginnt wie oben schon beschrieben

[Diese Posting von ck enthielt das komplette Hijackthis-Log. Ich habe, um die Uebersichtlichkeit und eine bessere Lesbarkeit des Threads zu gewaehrleisten, alle nicht die Fragestellung betreffenden Eintraege geloescht. /gnarff-el moderator]
gnarff
gnarff 04.05.2007 um 19:50:19 Uhr
Goto Top
Danke,
hier sind die Kenndaten fuer die fraglichen VM-Files:
[update: die Kenndaten fuer die VM-Files habe ich zu Gunsten eines kuerzeren und uebersichtlicheren Threads geloescht! /gnarff]
1. (FILE) - vmware-remotemks.exe
2. (FILE) - vmware.exe
3. (FILE) - vmware.exe
4. (FILE) - vmapplib.dll
5. (FILE) - vmcuiutil.dll
6. (FILE) - vmapputil.dll
7. (FILE) - vnetinst.dll
8. (FILE) - vmuiRes.dll
9. (FILE) - vmware.chm
10. (FILE) - vmnetmgr.dll
11. (FILE) - vmhwcfg.dll
12. (FILE) - vmdbCOM.dll
13. (FILE) - vmappsdk.dll
14. (FILE) - vmappcfg.dll
15. (FILE) - vmnetui.dll
Nun ist reine Handarbeit angesagt!
Ueberpruefe die MD5-Checksummen bitte mit einem geeigneten Tool, z.B. mit MD5Summer 1 auf ihre Integritaet, ausserdem ueberpruefe, ob die angegeben Dateigroessen mit den Dateien auf deinem Rechner uebereinstimmen.
So koennen wir feststellen, ob VMware auf deinem Rechner in irgendeiner Form korrumpiert wurde.
Lasss mich bitte die Ergebnisse wissen...
Und da ich einen VMware-Supportaccount habe, werde ich da dein Problem auch noch zum Vortrage bringen...

Ausserdem folgende Hijackthis-Eintraege loeschen, sofern Du alcohol und den Downloadmanager nicht zwingend brauchst:
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.getright.com
O1 - Hosts: 127.255.255.255 pro.getright.com
O1 - Hosts: 127.255.255.255 www.headlightinc.com

Das sind sogenannte "loopbacksIP-Adressen".
Definition:
"Loopback" IP addresses:

127.0.0.0 - 127.255.255.255

Each computer on the Internet uses 127.0.0.0/8 to identify itself, to itself. 127.0.0.0 to 127.255.255.255 is earmarked for what is called "loopback". This construct allows a computer to establish/validate its IP stack. Most software only uses 127.0.0.1 for loopback purposes (the other addresses in this range are seldom used). All of the addresses within the loopback address are treated with the same levels of restriction in Internet routing, so it is difficult to use any other addresses within this block for anything other than node specific applications, generally bootstraping. This is documented in RFC 3330.

Definition fuer boostraping:
Bootstrapping bezeichnet in der Informatik einen Prozess, der aus einem einfachen System ein komplizierteres System aktiviert. Es ist eine Lösung für das Henne-Ei-Problem, ein System durch sich selbst zu starten. Der Ausdruck wird oft für den Startvorgang eines Computers verwendet, bei dem ein Mechanismus zum Starten der Software benötigt wird, die für das Starten von weiterer Software verantwortlich ist (Betriebssystem).

saludos
gnarff
ckbaxter
ckbaxter 05.05.2007 um 01:33:26 Uhr
Goto Top
so hier mal die md5 checksums:
http://rapidshare.com/files/29529202/VMware.md5

von welcher ganuen version sind deine checksums??

also die hauen hinten und vorne nit hin..

was ich aber nit verstehe wenn vmware irgendwie ne macke hat, warum gehen dann andere dateien auch nit die mit "vm" beginnen, das raff ich nit ganz..

mfg ckbaxter
ckbaxter
ckbaxter 05.05.2007 um 15:59:29 Uhr
Goto Top
hi leute hab das problem lösen können, ich echt der hammer woran es lag..

ich habe mir vor kurzen eine Webcam bei ebay ersteigert wohlgemerkt bei einen Unternehmen, also kein Privatkauf oder so, zu der Webcam war ein Treiber, hab den natürlich installiert und der hat 3 Sachen in den Autorun geschrieben u.a. die Datei CameraFixer.exe die im c:/Windows/ Verzeichnis liegt, die Datei ist nur 20KB groß und ich weiß nicht wozu sie da is, aber wenn cih sie im Taskmanager abschieße geht alles wieder einwandfrei, also vmware läuft wiederface-smile würde gerne wissen was das für ne datei ist sehr komisch, wenn interesse besteht kann ich sie mal hochladen, vllt kann ja einer rausbekommen wozu sie da ist..

und nochmals vielen dank für die vielen antworten und den bemühungenface-smile

fettes thx..

mfg ckbaxter
gnarff
gnarff 05.05.2007 um 16:46:40 Uhr
Goto Top
Hallon ck!
Schicke mir die Datei, im ZIP- oder RAR-Koefferchen gepackt, bitte an ceo_at_ampersand-it.com.

Habe herausgefunden, das CameraFixer auf andere Anwendungen zugreift und versucht, diese zu kontrollieren...

Schalte die Systemwiederherstellung bitte ab!
Suche auf deiner Festplatte bitte nach folgenden Dateien:
tsnpstd3.exe, vsnpstd3.exe, CameraFixer.exe und loesche sie mit einem Eraser, z.B.:
http://www.heidi.ie/eraser/

Dann gehe in die Registrierdatenbank und suche unter HKLM tsnpstd3.exe, vsnpstd3.exe sowie CameraFixer.exe und loesche diese Schluessel, falls diese noch vorhanden sein sollten..

Danach gehst Du zur Sicherheit noch einmal mit dem Bitdefender-Onlinescanner drueber:
http://www.bitdefender.de/

Schalte die Systemwiederherstellung wieder ein.
Schmeisse die WebCam in den Muelleimer.

Nun sollte das Problem endgueltig beseitigt sein...

saludos
gnarff
ckbaxter
ckbaxter 05.05.2007 um 16:54:27 Uhr
Goto Top
so email is raus, ahb diir auch noch was geschrieben in der mail..

Schmeisse die WebCam in den Muelleimer.

upps hab das gerade erst gelesen, kannst du irgendwie sagen was das für nen virus oder was auch immer ist?? muss ich mir gedanken machen das mein pc irgendwas verschickt hat???

ich habe auch den anbieter bei ebay eine nicht so nette email geschrieben wo ich um eine stellungnahme gebeten habe, bin mal gespannt was rauskommt..

mfg ckbaxter
gnarff
gnarff 05.05.2007 um 22:44:31 Uhr
Goto Top
Hallo ck!

> Scmeisse die WebCam in den Muelleimer.

upps hab das gerade erst gelesen, kannst du
irgendwie sagen was das für nen virus
oder was auch immer ist?? muss ich mir
gedanken machen das mein pc irgendwas
verschickt hat???

Wenn Du meinen Anweisungen exakt gefolgt bist, musst Du dir keine Gedanken machen ob von deinem PC aus irgendetwas versendet wird, denn er ist nun definitiv sauber.
Ob vor der Entfernung von CameraFixer derartiges geschehen ist, kann ich Dir im Augenblick nicht sagen. Deswegen wollte ich ja, dass Du mir die fragliche Datei zur Untersuchung einschickst.

Ich kann nur soviel sagen, dass CameraFixer versucht andere Anwendungen zu kontrollieren. Nach einer Analyse von CameraFixer werde ich dann wissen warum dies so ist und welchem Zwecke dies dient; und natuerlich werde ich Dich auch informieren.

saludos
gnarff

PS: Dass die Checksummen nicht gestimmt haben, war meine Schuld. Ich habe ausversehen die, von einem anderen Build gepostet,; man moege mir diesen Patzer verzeihen...
gnarff
gnarff 07.05.2007 um 04:06:53 Uhr
Goto Top
Hallo ck!

Ja, tut mir leid, tsnpstd3.exe, vsnpstd3.exe musst Du auch loeschen!

Du hast Dir eine SONiX PC Camera gekauft und die tsnpstd3.exe, vsnpstd3.exe gehoeren zur SONiX PC Camera Monitor MFC Application, genauso wie die CameraFixer.exe.
Diese Firma stellt Microcontroller her, mehr Infos unter:http://www.sonix.com.tw/sonix/home.do

Nein, ich vermute kein Virus.

CameraFixer ist in Assembler geschrieben.
Ich habe mir den Code bis jetzt nur grob angeschaut und dabei festgestellt, dass CameraFixer die wichtigsten Windows-Prozesse zu kontrollieren versucht, dass bei Eingabe oder Uebergabe vordefinierter ASCII-Zeichenketten geprueft wird ob damit ein Prozess gestartet werden soll und dieser wird von CameraFixer dann sogleich unterbunden.
Die im Code abgelegten ASCII-Strings lauten: "VM", "DOMINO" und "BIGDOG"

1. Bei Ein- oder Uebergabe gabe von "VM"wird geprueft ob damit vm.exe ausgefuehrt werden soll, die vm.exe gehoehrt zu Vypress Messenger Application bzw. dem Vypress Messenger Main Executable File Prozess.

Dieser Prozess gehoert zum Vypress Messenger fuer Local Area Networks, mehr Informationen unter: http://www.vypress.com/products/messenger/

2. Bei Ein- oder Uebergabe von "DOMINO" wird geprueft, ob damit nicht etwa domino.exe ausgefuehrt werden soll. Dieser Prozess gehoert zu dem Produkt Vimicro NB PC Camera (VC0321), siehe hierzu auch: http://www.versiontracker.com/dyn/moreinfo/win/61376 .

Vimicro stellt PC Camera Backend Prozessoren mit USB Schnittstellen her, mehr Informationen auf der Herstellerseite:http://www.vimicro.com/english/product/pcmult_n.htm
SONY verbaut uebrigends auch diese Chips.

3. Bei Ein- oder Uebergabe von "BIGDOG" soll geprueft werden, ob nicht etwa der Prozess "bigdog.exe" gestartet werden soll, zu dem auch die vm_sti.exe gehoert, mit dem der vm301b-Treiber angesprochen werden soll.

Zusammenfassend kann ich bis jetzt feststellen, dass es sich hierbei um kein Schadprogramm handelt, sondern dass lediglich Inkompatibiliaeten zu anderen PC-Camera Produkten aufgeloest werden sollen, um die korrekte Funktionalitaet der SONiX PC-Camera zu gewaehrleisten.

Ausserdem soll sichergestellt werden, dass neben dem Microsoft Messenger keine anderen Messengerdienste gestartet werden koennen.

Zugegeben, der Programmierer hat diese Hausaufgabe nur unzureichend geloest, um nicht zu sagen armselig.
Es ist absolut mies geschrieben, verankert sich tief im System und verfuegt nicht einmal ueber eine Deinstallationsroutine und muss daher muehselig von Hand entfernt werden.

Eigentlich sollte die Installation und Benutzung des VYPRESS - Messengers und eines VIMICRO-Produkts verhindert werden.
Da auch andere Softwareprodukte "vm"-Dateien verwenden, koennen diese Softwareprodukte zusammen mit der SONiX PC-Camera Monitor MFC Application nicht verwendet werden, da deren Prozesse rigoros unterbunden werden.

In diesem Fall betrifft das eben auch VMware und Du musst Dich entscheiden, was Dir wichtiger ist.
Beides zusammen wird nicht funktionieren!

saludos
gnarff
Biber
Biber 07.05.2007 um 07:39:24 Uhr
Goto Top
Moin gnarff,

Respekt und Hut (oder sombrero?) ab.. *tief verneig*

Das war nun gar nicht meine Absicht, Dir so ein Ei ins Nest zu legen, dass Dich wahrscheinlich das halbe Wochenende gekostet hat.

Ich kann nur hoffen, dass Du nicht deswegen gestern auf die Berichtserstattung vom absolut grandiosen 4:1-Werder-Bremen-Sieg verzichtet hat. Die Parallelen von diesem Spiel und Deinen Kommentaren in diesem Thread sind für mich vor allem die Souveränität und spielerische Leichtigkeit, deshalb kam ich jetzt darauf...

Ich sage jedenfalls ein dickes DANKE im Namen des Forums.

Ist absolut professionell.

Beeindruckt
Biber
ckbaxter
ckbaxter 07.05.2007 um 16:53:28 Uhr
Goto Top
da kann ich mich wirklich nur anschließen, vielen vielen dank für deine hilfe!!!!!!!!!!!!!!

werde jetzt die kamera umtauschen, is zum glück nicht all zu lange her wo ich die gekauft habe...

aber echt unglaublich, ich glaube der programmierer dieses treibers hat sich nix aber überhaupt nix dabei gedacht wo er die überprüfung eingebaut hat, kanns irgendwie nit fassen..

nochmal ein großes dankeschön an dich für deine sehr kompetente hilfe!!!

mfg ckbaxter