Problem - kann keine Dateien ausführen die mit VM beginnen -evtl Rootkit?-

Hallo ck!
Dazu kann ich Dir ersteinmal gar nichts sagen, weil die wichtigsten Informationen fehlen:
-Welches Betriebssystem benutzt Du?
-Welche VMware- Version?
-Was steht im Installationslog?
-Heisst die betroffene *.exe-Datei zufaellig vmnat.exe?
-Welche vm*.-Dateien sind davon ausserdem betroffen?
-Welche AV-Loesung und Firewall benutzt Du?

Ist, bzw. war, die vmnat.exe davon betroffen und hast Du eine Windowsbox, koennen wir davon ausgehen, dass es sich um den W32/Tilebot-JE-Wurm handelt oder eine Variante:

W32/Tilebot-JE ist ein Wurm mit IRC-Backdoorfunktionalität für die Windows-Plattform.

W32/Tilebot-JE läuft kontinuierlich im Hintergrund und stellt einen Backdoorserver zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
W32/Tilebot-JE enthält Funktionalität, um auf das Internet zuzugreifen und mit einem remoten Server über HTTP zu kommunizieren.

Wenn er zum ersten Mal ausgeführt wird, kopiert sich W32/Tilebot-JE nach <System>\vmnat.exe.

Die Datei vmnat.exe wird als neuer Systemtreiberdienst namens "COMSysSRC" mit dem Anzeigenamen "COM+ System Source" und dem Starttyp "Automatisch" registriert, damit sie beim Systemstart automatisch ausgeführt wird.

Registrierungseinträge werden an folgendem Speicherort erstellt : HKLM\SYSTEM\CurrentControlSet\Services\COMSysSRC

Daher die zusaetzliche Frage: Existiert der oben genannte Registierdatenbankschluessel?

Ein Rootkit ist auszuschliessen...

saludos
gnarff

@Biber
Danke fuer den Bonbon...wie verschiebt man eigentlich Beitraege??

Hi,

es könnte auch sein, da inzwischen Schadsoftware teilweise auch auf VM Technologie setzt, dass der Antivir da sperrt, musst Du mal in der Konfiguration des Antivir schauen, ob man das
ausschalten kann.

Gruß

cykes

Hast Du mal in die Ereignisanzeige geschaut, ob dort irgendwelche Fehler/Warnungen auftauchen!?

Haste die Konfiguration des Antivor mal komplett durchforstet, könnte der Antivir Rootkit-Schutz
oder Applikations-Schutz sein.

Hallo ck,
poste mir bitte ein Hijackthis-Log, download unter:

Ich weiss nicht warum VMware (ich weiss immer noch nicht die Version) von einem Tag auf den anderen nicht mehr funktionierte, ich kann mir aber vorstellen, dass der Grund warum es jetzt nicht mehr funktioniert zum Einen die unsaubere Installation ist und zum Anderen deine AV-Loesung dazwischenfunkt.

saludos
gnarff

Danke,
hier sind die Kenndaten fuer die fraglichen VM-Files:
[update: die Kenndaten fuer die VM-Files habe ich zu Gunsten eines kuerzeren und uebersichtlicheren Threads geloescht! /gnarff]
1. (FILE) - vmware-remotemks.exe
2. (FILE) - vmware.exe
3. (FILE) - vmware.exe
4. (FILE) - vmapplib.dll
5. (FILE) - vmcuiutil.dll
6. (FILE) - vmapputil.dll
7. (FILE) - vnetinst.dll
8. (FILE) - vmuiRes.dll
9. (FILE) - vmware.chm
10. (FILE) - vmnetmgr.dll
11. (FILE) - vmhwcfg.dll
12. (FILE) - vmdbCOM.dll
13. (FILE) - vmappsdk.dll
14. (FILE) - vmappcfg.dll
15. (FILE) - vmnetui.dll
Nun ist reine Handarbeit angesagt!
Ueberpruefe die MD5-Checksummen bitte mit einem geeigneten Tool, z.B. mit MD5Summer ¹ auf ihre Integritaet, ausserdem ueberpruefe, ob die angegeben Dateigroessen mit den Dateien auf deinem Rechner uebereinstimmen.
So koennen wir feststellen, ob VMware auf deinem Rechner in irgendeiner Form korrumpiert wurde.
Lasss mich bitte die Ergebnisse wissen...
Und da ich einen VMware-Supportaccount habe, werde ich da dein Problem auch noch zum Vortrage bringen...

Ausserdem folgende Hijackthis-Eintraege loeschen, sofern Du alcohol und den Downloadmanager nicht zwingend brauchst:
O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.getright.com
O1 - Hosts: 127.255.255.255 pro.getright.com
O1 - Hosts: 127.255.255.255 www.headlightinc.com

Das sind sogenannte "loopbacksIP-Adressen".
Definition:
"Loopback" IP addresses:

127.0.0.0 - 127.255.255.255

Each computer on the Internet uses 127.0.0.0/8 to identify itself, to itself. 127.0.0.0 to 127.255.255.255 is earmarked for what is called "loopback". This construct allows a computer to establish/validate its IP stack. Most software only uses 127.0.0.1 for loopback purposes (the other addresses in this range are seldom used). All of the addresses within the loopback address are treated with the same levels of restriction in Internet routing, so it is difficult to use any other addresses within this block for anything other than node specific applications, generally bootstraping. This is documented in RFC 3330.

Definition fuer boostraping:
Bootstrapping bezeichnet in der Informatik einen Prozess, der aus einem einfachen System ein komplizierteres System aktiviert. Es ist eine Lösung für das Henne-Ei-Problem, ein System durch sich selbst zu starten. Der Ausdruck wird oft für den Startvorgang eines Computers verwendet, bei dem ein Mechanismus zum Starten der Software benötigt wird, die für das Starten von weiterer Software verantwortlich ist (Betriebssystem).

saludos
gnarff

Hallon ck!
Schicke mir die Datei, im ZIP- oder RAR-Koefferchen gepackt, bitte an ceo_at_ampersand-it.com.

Habe herausgefunden, das CameraFixer auf andere Anwendungen zugreift und versucht, diese zu kontrollieren...

Schalte die Systemwiederherstellung bitte ab!
Suche auf deiner Festplatte bitte nach folgenden Dateien:
tsnpstd3.exe, vsnpstd3.exe, CameraFixer.exe und loesche sie mit einem Eraser, z.B.:
http://www.heidi.ie/eraser/

Dann gehe in die Registrierdatenbank und suche unter HKLM tsnpstd3.exe, vsnpstd3.exe sowie CameraFixer.exe und loesche diese Schluessel, falls diese noch vorhanden sein sollten..

Danach gehst Du zur Sicherheit noch einmal mit dem Bitdefender-Onlinescanner drueber:
http://www.bitdefender.de/

Schalte die Systemwiederherstellung wieder ein.
Schmeisse die WebCam in den Muelleimer.

Nun sollte das Problem endgueltig beseitigt sein...

saludos
gnarff

Hallo ck!
Wenn Du meinen Anweisungen exakt gefolgt bist, musst Du dir keine Gedanken machen ob von deinem PC aus irgendetwas versendet wird, denn er ist nun definitiv sauber.
Ob vor der Entfernung von CameraFixer derartiges geschehen ist, kann ich Dir im Augenblick nicht sagen. Deswegen wollte ich ja, dass Du mir die fragliche Datei zur Untersuchung einschickst.

Ich kann nur soviel sagen, dass CameraFixer versucht andere Anwendungen zu kontrollieren. Nach einer Analyse von CameraFixer werde ich dann wissen warum dies so ist und welchem Zwecke dies dient; und natuerlich werde ich Dich auch informieren.

saludos
gnarff

PS: Dass die Checksummen nicht gestimmt haben, war meine Schuld. Ich habe ausversehen die, von einem anderen Build gepostet,; man moege mir diesen Patzer verzeihen...

Hallo ck!

Ja, tut mir leid, tsnpstd3.exe, vsnpstd3.exe musst Du auch loeschen!

Du hast Dir eine SONiX PC Camera gekauft und die tsnpstd3.exe, vsnpstd3.exe gehoeren zur SONiX PC Camera Monitor MFC Application, genauso wie die CameraFixer.exe.
Diese Firma stellt Microcontroller her, mehr Infos unter:http://www.sonix.com.tw/sonix/home.do

Nein, ich vermute kein Virus.

CameraFixer ist in Assembler geschrieben.
Ich habe mir den Code bis jetzt nur grob angeschaut und dabei festgestellt, dass CameraFixer die wichtigsten Windows-Prozesse zu kontrollieren versucht, dass bei Eingabe oder Uebergabe vordefinierter ASCII-Zeichenketten geprueft wird ob damit ein Prozess gestartet werden soll und dieser wird von CameraFixer dann sogleich unterbunden.
Die im Code abgelegten ASCII-Strings lauten: "VM", "DOMINO" und "BIGDOG"

1. Bei Ein- oder Uebergabe gabe von "VM"wird geprueft ob damit vm.exe ausgefuehrt werden soll, die vm.exe gehoehrt zu Vypress Messenger Application bzw. dem Vypress Messenger Main Executable File Prozess.

Dieser Prozess gehoert zum Vypress Messenger fuer Local Area Networks, mehr Informationen unter: http://www.vypress.com/products/messenger/

2. Bei Ein- oder Uebergabe von "DOMINO" wird geprueft, ob damit nicht etwa domino.exe ausgefuehrt werden soll. Dieser Prozess gehoert zu dem Produkt Vimicro NB PC Camera (VC0321), siehe hierzu auch: http://www.versiontracker.com/dyn/moreinfo/win/61376 .

Vimicro stellt PC Camera Backend Prozessoren mit USB Schnittstellen her, mehr Informationen auf der Herstellerseite:http://www.vimicro.com/english/product/pcmult_n.htm
SONY verbaut uebrigends auch diese Chips.

3. Bei Ein- oder Uebergabe von "BIGDOG" soll geprueft werden, ob nicht etwa der Prozess "bigdog.exe" gestartet werden soll, zu dem auch die vm_sti.exe gehoert, mit dem der vm301b-Treiber angesprochen werden soll.

Zusammenfassend kann ich bis jetzt feststellen, dass es sich hierbei um kein Schadprogramm handelt, sondern dass lediglich Inkompatibiliaeten zu anderen PC-Camera Produkten aufgeloest werden sollen, um die korrekte Funktionalitaet der SONiX PC-Camera zu gewaehrleisten.

Ausserdem soll sichergestellt werden, dass neben dem Microsoft Messenger keine anderen Messengerdienste gestartet werden koennen.

Zugegeben, der Programmierer hat diese Hausaufgabe nur unzureichend geloest, um nicht zu sagen armselig.
Es ist absolut mies geschrieben, verankert sich tief im System und verfuegt nicht einmal ueber eine Deinstallationsroutine und muss daher muehselig von Hand entfernt werden.

Eigentlich sollte die Installation und Benutzung des VYPRESS - Messengers und eines VIMICRO-Produkts verhindert werden.
Da auch andere Softwareprodukte "vm"-Dateien verwenden, koennen diese Softwareprodukte zusammen mit der SONiX PC-Camera Monitor MFC Application nicht verwendet werden, da deren Prozesse rigoros unterbunden werden.

In diesem Fall betrifft das eben auch VMware und Du musst Dich entscheiden, was Dir wichtiger ist.
Beides zusammen wird nicht funktionieren!

saludos
gnarff

Moin gnarff,

Respekt und Hut (oder sombrero?) ab.. *tief verneig*

Das war nun gar nicht meine Absicht, Dir so ein Ei ins Nest zu legen, dass Dich wahrscheinlich das halbe Wochenende gekostet hat.

Ich kann nur hoffen, dass Du nicht deswegen gestern auf die Berichtserstattung vom absolut grandiosen 4:1-Werder-Bremen-Sieg verzichtet hat. Die Parallelen von diesem Spiel und Deinen Kommentaren in diesem Thread sind für mich vor allem die Souveränität und spielerische Leichtigkeit, deshalb kam ich jetzt darauf...

Ich sage jedenfalls ein dickes DANKE im Namen des Forums.

Ist absolut professionell.

Beeindruckt
Biber