Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Virus, Rootkit, Trojaner oder anderen Schädling eingefangen?

Benni11 / 0 Antworten / Baumansicht Nickles

Hallo an die Viren-Experten,

ich weiß nicht, ob sich mein Notebook (Betriebssystem Windows 2000 professional und Internetexplorer 6 mit allen aktuellen Updates) gestern einen Schädling eingefangen hat.

Mein Notebook arbeitet in einem Firmen-Netzwerk und geht üblicherweise auch von dort aus über einen Proxy in das Internet. Vor dem Proxy liegen eine Firewall und 3 (möglicherweise auch 5) Virenscanner, die die eingehenden Daten prüfen.
Lediglich für ein sonst nicht erreichbares eMail-Konto nehme ich täglich für kurze Zeit über das eingebaute Notebook-Modem eine analoge Verbindung mit dem Internet auf. Aber auch hier werden die eingehenden Daten von Zone Alarm professional (Sicherheitseinstellungen sind auf hoch gesetzt) und dem täglich gepflegten McAfee-Virenscanner untersucht. Im täglichen Betrieb bin ich am Notebook lediglich als normaler Nutzer angemeldet. Außer mir hat kein anderer Nutzer Zugang zum Notebook.

Obwohl das morgendliche Virenscanning mit McAfee nichts Verdächtiges entdeckt hat, ist das Arbeiten am Notebook immer zäher geworden, bis letztlich beim Hin- und Herschalten zwischen den Programmen weder in der Taskleiste noch auf dem Desktop die Programm-Icons mehr sichtbar waren. Der Task-Manager hat sich erst gar nicht mehr aufrufen lassen.

Ich habe deshalb das Notebook vom Netz genommen, neu gestartet und als Administrator den RootkitRevealer sowie von F-Secure den Scanner BlackLight laufen lassen - ohne Ergebnis. Doch dann der Schreck: Der Hintergrundscanner von McAfee meldete einen Zugriffsversuch der Datei UGHGUDGK.exe auf das System; ich habe diesen Zugriff verweigert.

Auf meiner Suche nach dieser Datei bin ich im Verzeichnis C:\Temp fündig geworden. Die UGHGUDGK.exe ist mit einem Totenkopfsymbol versehen gewesen und hat eine Größe von 567 KB ausgewiesen, der Zeitstempel hat das gestrige Datum und 13:52 Uhr angezeigt, beim Darüberfahren mit der Maus über den Dateinamen ist als Erstelldatum der 02.09.2008 8:54 Uhr zu sehen gewesen. Eigentümlich ist für mich auch die Feststellung, dass die in der Auflistung des Temp-Verzeichnisses direkt darüber befindliche Datei jusched.log (= Protokoll für die Prüfung auf JAVA-Updates) genau denselben Zeitstempel trägt wie die "Totenkopf"-Datei UGHGUDGK.exe, als Eintrag aber lediglich ausweist, dass mangels Anmeldung des Benutzers als Administrator im Zeitpunkt des Prüfversuchs die nächste Update-Prüfung auf Mittwoch, den 17.09./16:00 Uhr verschoben wird.

Meine mehrmaligen Versuche, die "Totenkopf-" Datei mit SHIFT + ENTF zu entfernen, sind mit der sinngemäßen Meldung "Zugriff nicht erlaubt" abgewehrt worden, doch dann ist plötzlich die Datei von selbst verschwunden.

Ich wollte der Sache noch mehr auf den Grund gehen und habe das Notebook im abgesicherten Modus gestartet. Die Suche nach der "Totenkopf-" Datei blieb ergebnislos, bei der Suche nach dem Namen der "Totenkopf"-Datei bin ich lediglich in der Registry fündig geworden, die im Zweig Hkey-Local_Machine\SYSTEM\ControlSet001 (sowie in ...\ControlSet002 und ....\CurrentControlSet) \Enum\Root den Schlüsselnamen LEGACY_UGHGUDGK enthält. Im Unterschlüssel ist u.a. als Class LegacyDriver vermerkt, als DeviceDesc und Service ist jeweils die Buchstabenfolge UGHGUDGK eingetragen, unter Legacy ist als REG_DWORD 0x00000001 (1) vermerkt.

Da sich dieser Schlüsselname bis in meine Backups der Registry vom Oktober 2005 zurückverfolgen lässt und ich bisher keinerlei Auffälligkeiten an meinem Notebook bemerkt habe, dürfte dieser Registry-Eintrag wohl kaum von der "Totenkopf-"Datei stammen.

Im Internet habe ich bei den Trojaner-Boards keine aufschlussreichen Meldungen finden können.

Habt ihr hilfreiche Antworten zu folgenden Fragen:
- handelt es sich bei der "Totenkopf-"Datei lediglich um ein (übles "Scherz-")Programm, das sich aus den Einträgen der Registry einen beliebigen Dateinamen mit der Extension .exe zusammenbastelt und sich nach mehreren Löschversuchen von selbst ohne weitere Folgen für das Betriebssystem verabschiedet?

- ist ein Online-Scanning angeraten, wenn ja, welche Online-Scanner im Internet sind sicher und arbeiten zuverlässig?

- kann mein Notebook nach mehreren ergebnislosen Scan-Versuchen wieder an das Firmen-Netzwerk angeschlossen werden oder besteht Infektionsgefahr für die angeschlossenen Server und Arbeitsplatzrechner?

Vielen Dank für euere Hilfe und Unterstützung.

Benni11
Windows 7, MS-Office, OpenOffice (Apache + Libre)
bei Antwort benachrichtigen