Paules-PC-Forum.de - Einzelnen Beitrag anzeigen - [Windows 7-32 bit] da is was faul

**AHT** · 16.04.2012, 19:22

Bei deinem Befall handelt es sich scheinbar um eine Abart des Mediyes Trojaners: Trojaner Mediyes trickst mit gestohlenem Conpavi-Zertifikat
- aber nicht um die Version, um die es in dem Link oben geht.
Die Version, um die es bei dir geht, tritt in vielen unterschiedlichen Versionen auf und macht scheinbar auch zusätzlich unterschiedliche Sachen. Oft ist ein Treiber auf dem Rechner zusätzlich installiert - bei dir zum Beispiel auch.
Zusätzlich dazu lädt sich das Ding laufend neue Versionen der DLL und des Treibers nach. Seit gestern haben wir eine DLL, die ich bei dir jetzt zusätzlich gelöscht habe, im starken Verdacht, der Downloader für das Ding zu sein.
Wenn du dir diese DLL ansiehst, wirst du bemerken, dass auch die digital signiert ist - die ist also quasi von einer Firma als vetrauenswürdig markiert und mit Zeitstempel abgestempelt.

Ich möchte gerne andere vor diesem Befall schützen und muss deshalb wissen, ob sich deine Rechner nach dem Löschen der signierten DLL wieder neu infizieren. Mache mit dem Rechnern, den wir bereinigt haben, folgendes:
Starte in den nächsten drei Wochen, jedesmal, wenn du den Rechner neu hochfährst, die LanmanCheck.exe. Meldet der Test erneut einen Befall, gib hier bitte Rückmeldung! Setze den Rechner nach einer Meldung eines neuen Befalls komplett neu auf (alte Partition erst löschen, dann neu partitionieren - nicht nur drüberbügel). auf keine Fall eine Sicherung aufspielen!
Jeweils nach Ablauf einer Woche mache nochmals mit den Rechnern das, egal ob ein Befall gemeldt wurde oder nicht (also jede Woche ein Mal)!

PPFScanner im normalen Modus starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

16.04.2012, 19:22	#14 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 17.228	Bei deinem Befall handelt es sich scheinbar um eine Abart des Mediyes Trojaners: Trojaner Mediyes trickst mit gestohlenem Conpavi-Zertifikat - aber nicht um die Version, um die es in dem Link oben geht. Die Version, um die es bei dir geht, tritt in vielen unterschiedlichen Versionen auf und macht scheinbar auch zusätzlich unterschiedliche Sachen. Oft ist ein Treiber auf dem Rechner zusätzlich installiert - bei dir zum Beispiel auch. Zusätzlich dazu lädt sich das Ding laufend neue Versionen der DLL und des Treibers nach. Seit gestern haben wir eine DLL, die ich bei dir jetzt zusätzlich gelöscht habe, im starken Verdacht, der Downloader für das Ding zu sein. Wenn du dir diese DLL ansiehst, wirst du bemerken, dass auch die digital signiert ist - die ist also quasi von einer Firma als vetrauenswürdig markiert und mit Zeitstempel abgestempelt. Ich möchte gerne andere vor diesem Befall schützen und muss deshalb wissen, ob sich deine Rechner nach dem Löschen der signierten DLL wieder neu infizieren. Mache mit dem Rechnern, den wir bereinigt haben, folgendes: Starte in den nächsten drei Wochen, jedesmal, wenn du den Rechner neu hochfährst, die LanmanCheck.exe. Meldet der Test erneut einen Befall, gib hier bitte Rückmeldung! Setze den Rechner nach einer Meldung eines neuen Befalls komplett neu auf (alte Partition erst löschen, dann neu partitionieren - nicht nur drüberbügel). auf keine Fall eine Sicherung aufspielen! Jeweils nach Ablauf einer Woche mache nochmals mit den Rechnern das, egal ob ein Befall gemeldt wurde oder nicht (also jede Woche ein Mal)! PPFScanner im normalen Modus starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT