[cassandro]

Hallo, im Januar habe ich einiges über seltsame Dateivorgänge, wie z.B. die, die seltsame Z - Dateien (ZZ.Z...Z.ZZ oder Z...Z...ZZ.Z usw) erstellen, geschrieben. Heute weiß ich, dass diese nicht auslesbaren Dateien ein eindeutiger Hinweis auf einen gefährlichen Trojaner, auch "Zorro Wurm" genannt, sind. Das Programm heißt canibal.exe. Es ist in Delphi (Sprache) geschrieben, seit 2001 bekannt und spioniert persönliche Daten, Passwörter und Kontakte aus. Leider ist canibal.exe durch keine Firewall aufzuhalten, installiert sich selber - ohne, dass der Benutzer es bemerkt und verbreitet sich auch eigenständig weiter, indem es alle gefundenen Kontakte angreift. Auch wird es von fast allen Antivirenprogrammen nicht erkannt. Manuell kan man canibal.exe auch feststellen, indem man S-1-5-2 in das Suchfeld eingibt. Die dann angezeigten Dateien oder Programme sind befallen bzw. die Knotenpunkte für diesen Trojaner. Andere Suchoptionen sind S-1-5-18, S-1-5-19, S-1-5-21. Es ist nicht so einfach Informationen zu diesem Thema zu finden... Wäre schön, wenn andere, von diesem Problem Betroffene von ihren Erfahrungen berichten oder Infos zur nachhaltigen Entfernung oder zur Abwehr einer Neuinfektion posten würden!

[Matteo]

Hallo, im Januar habe ich einiges über seltsame Dateivorgänge, wie z.B. die, die seltsame Z - Dateien (ZZ.Z...Z.ZZ oder Z...Z...ZZ.Z usw) erstellen, geschrieben. Heute weiß ich, dass diese nicht auslesbaren Dateien ein eindeutiger Hinweis auf einen gefährlichen Trojaner, auch "Zorro Wurm" genannt, sind. Das Programm heißt canibal.exe. Es ist in Delphi (Sprache) geschrieben, seit 2001 bekannt und spioniert persönliche Daten, Passwörter und Kontakte aus. Leider ist canibal.exe durch keine Firewall aufzuhalten, installiert sich selber - ohne, dass der Benutzer es bemerkt und verbreitet sich auch eigenständig weiter, indem es alle gefundenen Kontakte angreift. Auch wird es von fast allen Antivirenprogrammen nicht erkannt. Manuell kan man canibal.exe auch feststellen, indem man S-1-5-2 in das Suchfeld eingibt. Die dann angezeigten Dateien oder Programme sind befallen bzw. die Knotenpunkte für diesen Trojaner. Andere Suchoptionen sind S-1-5-18, S-1-5-19, S-1-5-21. Es ist nicht so einfach Informationen zu diesem Thema zu finden... Wäre schön, wenn andere, von diesem Problem Betroffene von ihren Erfahrungen berichten oder Infos zur nachhaltigen Entfernung oder zur Abwehr einer Neuinfektion posten würden!

Wat? Was du da auflistest sind Windows Security IDs.
In den Suchergebnissen tauchen also immer die Benuterverzeichnisse derjenigen Benutzer auf, die der jeweiligen Gruppe angehören.
S-1-5-21 listet z.B. alle Stammverzeichnisse von Usern auf, die Administratorrechte haben.
S-1-5-2 tut das auch, weil S-1-5-2 nunmal ein Teilstring von S-1-5-21 ist.
Darf ich fragen, woher du diese Infos hast?

[cassandro]

@ Matteo:

Ich kenne dieses Gerücht von den angeblichen Sicherheitsupdates... In meinem Fall habe ich S-1-5-2... usw. unter Eigenschaften > Registerkarte Sicherheit als "unbekannte Konten", die Zugriffsberechtigungen auf Programme und Dateien ererbt haben, gefunden.
Auch war ich plötzlich nicht mehr Administrator, es finden sich nur noch Admistratoren in den Berechtigungszuweisungen.

Würde es sich wirklich um ein Sicherheitstool handeln, dann würde mein Betriebssytem (Windows 7) diese Konten wohl kaum als "unbekannt" einstufen..?

Zu Deiner Frage: Die Infos über canibal.exe (nicht mit cannibal.exe zu verwechseln) fand ich bei Google. Leider gibts zu dem Thema keine Seiten in Deutscher Sprache, aber viele gut verständliche in Englisch.

[cassandro]

Übrigens: Ich habe niemandem Zugriffsrechte auf meinen PC gewährt, auch ist mein Rechner nicht mit anderen vernetzt (weder privat, beruflich noch mit einem Fernwartungsdienst). Wenn doch, dann geschah das ohne mein Einverständnis und unbemerkt.
Ich habe nicht mal ein Gastkonto einerichtet.

Also frage ich mich, wer die anderen Administratoren sind... Und welche Absichten sie verfolgen. Was mich interessieren würde: Kann man diejenigen Anhand der Kontennamen zurückverfolgen?

[Matteo]

Ich kann dir nicht ganz folgen, aber allein die Tatsache, dass man unbekannte Konten Sicherheitseinstellungen findet ist eigentlich kein Indiz für Virenbefall.
Ein unbekanntes Konto wird immer dann angezeigt, wenn Windows die SID des Ordners keinem Benutzerkonto zuordnen kann. Dafür kann es mehrere Gründe geben:
- Der Ordner wurde z.B. von einer externen Festplatte herüberkopiert, die vorher an einem PC mit anderem Benutzerkonto hing.
- Der Ordner gehörte einmal einem Konto, das umbenannt oder gelöscht wurde.
Normalerweise solltest du die Berechtigungen übernehmen und das unbekannte Konto löschen können.

[cassandro]

@ Matteo:

Danke für die schnelle Antwort! Wenn ich Dich richtig verstehe, kann z.B. das Herunterladen eines eMail Anhanges (auch eines nicht mit Viren belasteten), einer Datei (Firefox, Open Office oder einfach nur ein Bild oder ein Song) dazu führen, dass ich nicht mehr Adminstrator, sondern einer von mehreren Administratoren bin?

So ganz überzeugt bin ich davon nicht... Ich habe mein Nutzerverhalten in den letzten 10 Jahren so gut wie gar nicht geändert - Probleme traten erst 2012/13 auf.

Gemeinsam mit den unbekannten Konten. Diese führen leider dazu, dass ich Probleme habe, meine Accounts zu nutzen bzw. überhaupt (trotz intakter Verbindung) online zu gehen.

Und diese "unbekannten Konten" (S-1-5-2... usw.) dürfen sich Berechtigungszuweisungen für andere auf meinem Rechner befindliche Programme "ererben"? Sogar den "Sicheren Zahlungsverkehr" - das ist ein Unterprogramm von Kaspersky IS 15 für sich beanspruchen?

Da muss irgendwo ein "Wurm" drin sein... Bezüglich der Benutzerkonten/Stammverzeichnisse möchte ich nicht an Deiner Erklärung zweifeln - sie ist logisch. Aber: mit irgendeiner Datei habe ich mir was eingefangen; und leider deutet alles auf den "Zorro.Worm" hin.

Darf ich fragen, ob Du solche Konten/Berechtigungszuweisungen auch auf Deinem Betriebssystem findest? Ich bin kein Einzelfall, über diese Konten wird in einigen Internetforen diskutiert... Wie siehst Du die Problematik im Zusammenhang mit den Z.ZZ.Z...Z (oder ähnlich) Dateien? Diese entdeckte ich auf Laufwerk C, als meine Administratorenrechte (alleiniger Admin.) durch "Admistratoren" und "unbekannte Konten" ersetzt wurden.

[MöffMöff]

Bei mir wurde die ganzen Ordner von CCleaner ertstellt während ich die Option "Freien Speicher sicher löschen" aktiviert habe.

[cassandro]

Ich vermute der Überodner nennt sich 3590FABA9E48586C100C1A9DAFFZ.ZZ...

Hast Du sonstige Auffälligkeiten bemerkt oder in den Berechtigungszuweisungen "unbekannte Konten" entdeckt? Hast Du Probleme beim Aufrufen bestimmter Websites?

Der Dateivorgang, der diese Ordner erstellt, ist kein Bestandteil des CCleaners.

Wenn Du einen Suchlauf mit Deinem Antivirenprogramm machst, wird vermutlich keine relevante Bedrohung gefunden...

Wahrscheinlich besteht aber eine, die heißt canibal.exe und ist ein Meister im Versteckspielen.

[cassandro]

Ergänzend möchte ich noch erklären, warum ich einen Zusammenhang zwischen dem Dateivorgang 3590ABA9E4858... (usw.), der sich beim Löschen / Überschreiben des freien Speichers per CCleaner zeigt und Ordner mit Z..Z.ZZZ...Z (und ähnliche Kombis aus Zs und Punkten) Dateien erstellt mit den unbekannten Konten in Verbindung bringe:

Ich habe diesen Ordner in den Papierkorb verschoben, dann aber nicht auf "Papierkorb leeren" geklickt, sondern den o.g. Ordner auf einen USB Stick verschoben. Hier wurde der Ordner nicht mehr 3590ABA9E4858... genannt, sondern ich erhielt die Anzeige: "Verschieben von S-1-5-21 nach Wechseldatenträger F"!!!

Das nur zum besseren Verständnis für mein Misstrauen gegenüber dieser Konten (auch wenn es möglicherweise in anderen Fällen legitime Stammverzeichnisse von Security IDs sind) und der Vermutung dass all dies auf den Zorro.Worm hindeutet.

[cassandro]

Habe mich gestern bezüglich der SIDs schlau gemacht: Die Security ID S-1-5-21 deutet auf ein Netzwerk hin. Leider ist die Netzwerkkennung in der Systemsteuerung ausgeschaltet.
Während ich alle Funktionen aktivieren oder deaktivieren kann, habe ich bisher keinen Weg gefunden, die Netzwerkkennung zu reaktivieren.
Dieses Problem besteht schon lange...
Da ich jedes mal, wenn ich online war, beim nächsten Neustart unerwünschte Veränderungen (die ich nicht aktiv veranlasst habe) an meinem Betriebsystemes bemerke, misstraue ich diesem "unbekannten Konto S-1-5-21"; dieses veranlasst anscheinend auch den Dateivorgang (Herausgeber unbekannt), der die Z Dateien schreibt. Dass S-1-5-21 auch sinnvoll und rechtens sein kann, möchte ich nicht bestreiten. In meinem Fall gehe ich davon aus, dass diese SID missbräuchlich verwendet wird - aber ich habe keine Ahnung von wem.

Hier noch ein interessanter Link: http://www.vsantivirus.com/scorpion.htm (Spanisch)

[Lookbehind]

...
Heute weiß ich, dass diese nicht auslesbaren Dateien ein eindeutiger Hinweis auf einen gefährlichen Trojaner, auch "Zorro Wurm" genannt, sind.
...
seit 2001 bekannt
...
Leider ist canibal.exe durch keine Firewall aufzuhalten,
...
Auch wird es von fast allen Antivirenprogrammen nicht erkannt. Manuell kan man canibal.exe auch feststellen, indem man S-1-5-2 in das Suchfeld eingibt. Die dann angezeigten Dateien oder Programme sind befallen bzw. die Knotenpunkte für diesen Trojaner. Andere Suchoptionen sind S-1-5-18, S-1-5-19, S-1-5-21.
...

Entschuldigung, aber das klingt einfach total unglaubwürdig.
Ein Schädling der seit 2001 bekannt ist, durch ein simples Pattern-Matching erkannt werden kann, und bei dem trotzdem kein Virenwächter Alarm schlägt? Ich gebe ja echt keine großen Stücke auf dieses Schlangenöl namens Antiviren-Software, aber das is doch mal ernsthaft ZU einfach.

Ich habe eher das Gefühl, dass die Z-Files wirklich "nur" vom CCleaner kommen und du entweder Gespenster jagst, oder da noch was ganz anderes am Werk ist. Mit den wagen Angaben, die du hier machst, kommt man da allerdings nicht sonderlich weit.

[Multithread]

Wenn du das Gefühl hast dein Rechner sei Infiziert: Rechner neu Aufsetzen und mit einem Linux Live System die Passwörter deiner Internetkonten ändern -> Damit wärst du wieder sicher
Wichtig daabei: KEINE .exe,.bat und .dll Dateien sichern/wieder einspielen.

Alles andere bringt dir nichts, und wirklich helfe können wir bei den Teils schwerverständlichen Angaben auch nicht.

EDIT: Da neu Aufsetzen wurde dir ja andernorts auch schon empfohlen.

[Günter Taube]

Bei dem Thema würde ich cassandro schon Recht geben, es dürfte sich um einen Wurm handeln, der noch nicht allgemein bekannt ist. Diese Dateien habe ich schon diverse Male gelöscht, am nächsten Tag sind sie aber wider da. Die Datei S-1-5-21-3129931147-262095653-1672376073-1001 mit den 2 asc Dateien, 62 docx Dateien und 1 ini Datei habe ich auch schon oft gelöscht, sind aber auch am nächsten Tag wieder da.So langsam fällt mir dazu auch nichts mehr ein.Auffällig sind für mich 276.000 Dateien mit 0 bytes die von Recuva angezeigt werden und von keinem Programm gelöscht werden können. (00000000000000000000000000000000975.0x0 C:\?\ 0Bytes Unwiederherstellbar)

[Marthog]

Bei dem Thema würde ich cassandro schon Recht geben, es dürfte sich um einen Wurm handeln, der noch nicht allgemein bekannt ist. Diese Dateien habe ich schon diverse Male gelöscht, am nächsten Tag sind sie aber wider da. Die Datei S-1-5-21-3129931147-262095653-1672376073-1001 mit den 2 asc Dateien, 62 docx Dateien und 1 ini Datei habe ich auch schon oft gelöscht, sind aber auch am nächsten Tag wieder da.So langsam fällt mir dazu auch nichts mehr ein.Auffällig sind für mich 276.000 Dateien mit 0 bytes die von Recuva angezeigt werden und von keinem Programm gelöscht werden können. (00000000000000000000000000000000975.0x0 C:\?\ 0Bytes Unwiederherstellbar)

Muss nichts bedeuten. Das Betriebssystem selber oder irgendwelche Treiber verwenden haeufig solche kryptischen Namen, um kollisionen mit anderen Programmen zu verhindern. Die legen den kram auch oft wieder selbst an, wenn es weg ist.

[Günter Taube]

Das Betriebssystem läuft ja schon ohne Veränderung lange Zeit ohne diese Dateien. Bei Avira und G-Data scheinen diese Dateien auch unbekannt zu sein. PrivaZer löscht die Daten super, aber einige Stunden später lachen diese mich wieder unter C:\ an. Auch ein Überschreiben sehr hoch – US DoD hat keinen Erfolg gebracht. Auch ein kompletter Prüfdurchlauf brachte nur einen Fund, PUA/SpeedUpMPC.10629

[Multithread]

Ich drücks mal anders aus: Je nachdem kann dir auch der Internet anbieter das internet abdrehen, sollte dieser bemerken das dein Rechner ne Spam Schleuder ist.

Wenn sich der Rechner verdächtig verhält hiollft nur noch eine Komplette neuinstallation

[cassandro]

Das Problem kommt mir sehr bekannt vor... Wenn Du schreibst: "...am nächsten Tag sind sie wieder da..." - ist dafür ein Neustart ausreichend, oder meinst Du, dass die benannten Dateien wieder auftauchen, wenn Du das nächste Mal online bist?

Wenn ich die Thematik, bzw. einzelne Probleme google, finde ich etliche Foren, in denen Windows User die selbe Kombination von Problemen haben.

Anfangs glaubte ich, dass es einige Kleinigkeiten wären (Installationsfehler, Kompatibilitätsprobleme oder unerwünschte Programme / harmlosere Viren, die ich mir beim Besuch einer Website oder einem Download eingefangen habe).
Mittlerweile sehe ich einen Zusammenhang > z.B.W32Zorro@mm, canibal.exe, I.Scorpion.exe (all diese Programme sind Trojaner, die sich wie ein Wurm verbreiten).

Sie sind zwar entfernbar (ich habe es im letzten halben Jahr zwei mal geschafft, sie zu löschen), sobald ich online bin, kommen sie aber wieder. Sie lesen alle Kontakte aus und greifen diese an. Von dort aus verbreiten sie sich weiter. Da all meine Kontakte folglich betroffen sind, werde ich auch sofort wieder infiziert, sobald eine Verbindung mit dem Internet besteht.

[Multithread]

Ich glaube ja eher das der 'installer' dieser Würmer bei dir aufm Rechner verbleibt, welcher natürlich den eigentlichen Wurm wieder nachlädt, sobald Inet besteht

Und da dein System Verseucht ist, kannst du auch deinem Viorenscanner nicht mehr trauen, der ist auch Komprimiert.
Neu aufsetzen oder mit einem Live System eines Antiviren herstellers versuchen zu putzen.

[Günter Taube]

"ist dafür ein Neustart ausreichend, oder meinst Du, dass die benannten Dateien wieder auftauchen, wenn Du das nächste Mal online bist?"

Neustart ist nicht erforderlich, online bin ich ja immer und die Dateien tauchen manchmal erst Stunden später wieder auf, manchmal auh erst am nächsten Tag.

Zu Multithread: Auch wenn ich die Dateien von AVIRA prüfen lasse kommt ja keine Fehlermeldung oder Warnung. Malwarebytes zeigt ja auch keinen Fehler, welche Programme sollen diese Dateien dann stoppen. G-Data meldet ja auch keinen Fehler oder eine Warnung.

[Pursuivant]

Das Problem kommt mir sehr bekannt vor... Wenn Du schreibst: "...am nächsten Tag sind sie wieder da..." - ist dafür ein Neustart ausreichend, oder meinst Du, dass die benannten Dateien wieder auftauchen, wenn Du das nächste Mal online bist?

Wenn ich die Thematik, bzw. einzelne Probleme google, finde ich etliche Foren, in denen Windows User die selbe Kombination von Problemen haben.

Anfangs glaubte ich, dass es einige Kleinigkeiten wären (Installationsfehler, Kompatibilitätsprobleme oder unerwünschte Programme / harmlosere Viren, die ich mir beim Besuch einer Website oder einem Download eingefangen habe).
Mittlerweile sehe ich einen Zusammenhang > z.B.W32Zorro@mm, canibal.exe, I.Scorpion.exe (all diese Programme sind Trojaner, die sich wie ein Wurm verbreiten).

Sie sind zwar entfernbar (ich habe es im letzten halben Jahr zwei mal geschafft, sie zu löschen), sobald ich online bin, kommen sie aber wieder. Sie lesen alle Kontakte aus und greifen diese an. Von dort aus verbreiten sie sich weiter. Da all meine Kontakte folglich betroffen sind, werde ich auch sofort wieder infiziert, sobald eine Verbindung mit dem Internet besteht.

Mal im Ernst, diese Dinger (W32 Zorro und seine Abarten) sind über 15 Jahre alt und älter, stammen noch aus der Win 98er Zeit. Kann mir nicht vorstellen, dass die heute noch verbreitet sind und das ein Virenproggy die Signaturen nicht erkenen soll.