[Windows XP-32 bit] Maleware/Virusfund - Paules-PC-Forum.de

JKJan · 15.09.2011, 13:17

Hallo,

hatte schon hier im Windows XP-Froum gepostet, weil seit einigen Tagen bei mir Windows-Update nicht mehr funktioniert. Dann habe ich hier mal so bissl weitergeblättert und bin auf das Angebot der Maleware-Überprüfung gestoßen und wollte eure Anleitung abarbeiten...
RSIT installieren u.s.w. ...und da bemerkte ich etwas bisher bei mir nicht dagewesenes....

Der Download lief aber die Datei war nicht auf dem Desktop gespeichert. Dann habe ich den Download nochmals in meinen Download-Ordner ausführen wollen, aber auch dort war dann die Datei einfach nicht gespeichert.

So habe ich Malewarebytes gestartet - Aktualisierung funktionierte - Scan gestartet...und plötzlich meldete sich Antivir mit folgender Meldung:

Malewarebytes-Logfile folgt.

JKJan · 15.09.2011, 14:28

So, hier nun der Link für das Malewarebytes Logfile

File-Upload.net - mbam-log-2011-09-15--14-24-23-.txt

Edit:

Habe mit Malewarebytes die Sachen entfernt. Nach Neustart und erneuter Überprüfung folgendes Logfile:

http://www.file-upload.net/download-...7-27-.txt.html

Aber weiterhin besteht das Problem, dass ein Download von RSIT nicht möglich ist, weil er die Datei bei mir - egal wo - einfach nicht speichert. Habe probehalber versucht irgendetwas anderes zu downloaden - aber keine Chance - er speichert bei mir keine Downloads mehr ab.

**AHT** · 15.09.2011, 22:17

Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

CREATE_FOLDER->C:\PPFS_SCAN2
SET_OPTIONS->-102
SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders
READ_EVENTS->System,WinDefend,500,3,1,1
SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir
READ_EVENTS->Application,Avira AntiVir,500,3,1,1
COPY_SCANFILES->C:\PPFS_SCAN2
OPEN->C:\PPFS_SCAN2
END->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPFS_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum.

**AHT** · 15.09.2011, 22:22

Danach das hier tun:

PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

JKJan · 16.09.2011, 02:11

Hallo, Danke für die Rückmeldung...

hier die Links für die Textdateien des PPFS_Scan2:

File-Upload.net - Eventlog.txt
File-Upload.net - Scripting.txt

und die Textdateien aus PPF_Scan1:

File-Upload.net - Drivers.txt
File-Upload.net - Eventlog.txt
File-Upload.net - Files.txt
File-Upload.net - Firewall.txt
File-Upload.net - Hidden.txt
File-Upload.net - MD5.txt
File-Upload.net - Modules.txt
File-Upload.net - ppFiles.txt
File-Upload.net - ppRegistry.txt
File-Upload.net - Processes.txt
File-Upload.net - Scripting.txt
File-Upload.net - Services.txt
File-Upload.net - Threads.txt
File-Upload.net - Threads.txt

Zur Info:
Nach meinem letzten Posting häuften sich die Probleme an meinem PC, so dass ich zwischenzeitliche eine Systemwiederherstellung zu einem früheren Zeitpunkt durchführte. Somit konnte ich wenigstens wieder Dateien downloaden und installieren. Nur das Problem mit den Windows XP und Sicherheitsupdates besteht nach wie vor ("fehlgeschlagen").

Hoffentlich hab ich mir nix schlimmes eingefangen.

**AHT** · 16.09.2011, 12:21

Da scheint noch mindestens ein Trojaner zu laufen. Keine geschäftlichen Sachen von dem Rechner aus tätigen, kein Online Banking, keine Einkäufe.
Verdacht auf RootKit Befall!
Melde mich gleich wieder, muss noch den Rest ansehen.

**AHT** · 16.09.2011, 12:51

PPFSCAN.EXE Starten.
Im Menü des PPFScanner auf Programm und PPFScanner mit Servicerechten starten klicken. Der Scanner startet sich dann neu.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code:

SEND_MESSAGE->92.252.89.73
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.89.73
->81
->C:\Recycle.Bin\Recycle.Bin.exe

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.

Einmal bitte melden, wenn du das durchgeführt hast.

JKJan · 16.09.2011, 16:32

Onlinebanking hab ich von dem Rechner aus eh eingestellt.

Gut, Skript ausgeführt:

SEND_MESSAGE->92.252.89.73
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->92.252.89.73
->81
->C:\Recycle.Bin\Recycle.Bin.exe
#################################
Zeile 1: SEND_MESSAGE->92.252.89.73
Zeile 4: SLEEP->24000
Zeile 5: SEND_FILE->92.252.89.73
Datei konnte nicht gesendet werden! C:\Recycle.Bin\Recycle.Bin.exe

Nun fahr ich übers Wochenende fort. Bin dann ab Montag wieder an dem Rechner.

**AHT** · 17.09.2011, 13:29

Du scheinst einen Zeus oder SpyeEye Trojaner auf dem Rechner gehabt zu haben. Die Reste davon sehe ich noch in der Registry.
Ich würde zuerst jetzt die Hardwaredaten auslesen und mir ein LOG speichern (zum Beispiel mit Everest Home) und dann den Rechner komplett neu aufsetzen (formatieren).
Ich sehe da einige offene Handles auf den InternetExplorer - den Prozess kannst du (in diesem Fall) nicht sebst gestartet haben. Backdoor Trojaner nutzen den IE gerne, um an der Firewall vorbei dem User Daten zu stehlen.
Um das Problem (den Backdoor) genau zu lokalisieren, brauchen wir Ewigkeiten - deshalb komplett neu aufsetzen. Schließe nach dem Neuaufsetzen erst mal keine externen Festplatten oder USB-Sticks an - installieren zuerst wieder AntiVir! SpyeEye und Zeus infizieren externe Datenträger - ist AntiVir installiert, blockt AntiVir mit den Standardeinstellungen AUTORUN.INF Dateien, die der Trojaner zum Ausführen nutzt.
Wenn du Onlinebanking nutzt, müssen wir unter Umständen weitere Sachen tun - nutzt du Online-Banking?
Untersuche alle deine externen Daträger nach dem Neuaufsetzen mit AntiVir. Schiebe alle Funde in die Quarantäne.
Meldet AntiVir, dass eine Autorun.inf Datei geblockt wurde, lege den Datenträger erst bei Seite - den untersuchen wir dann später noch mal zusammen.

15.09.2011, 13:17	#1 (Direktlink)
JKJan Ist öfter hier Registriert seit: 17.02.2004 Ort: Dresden Beiträge: 76	Maleware/Virusfund Hallo, hatte schon hier im Windows XP-Froum gepostet, weil seit einigen Tagen bei mir Windows-Update nicht mehr funktioniert. Dann habe ich hier mal so bissl weitergeblättert und bin auf das Angebot der Maleware-Überprüfung gestoßen und wollte eure Anleitung abarbeiten... RSIT installieren u.s.w. ...und da bemerkte ich etwas bisher bei mir nicht dagewesenes.... Der Download lief aber die Datei war nicht auf dem Desktop gespeichert. Dann habe ich den Download nochmals in meinen Download-Ordner ausführen wollen, aber auch dort war dann die Datei einfach nicht gespeichert. So habe ich Malewarebytes gestartet - Aktualisierung funktionierte - Scan gestartet...und plötzlich meldete sich Antivir mit folgender Meldung: Malewarebytes-Logfile folgt.

15.09.2011, 14:28	#2 (Direktlink)
JKJan Ist öfter hier Registriert seit: 17.02.2004 Ort: Dresden Beiträge: 76	So, hier nun der Link für das Malewarebytes Logfile File-Upload.net - mbam-log-2011-09-15--14-24-23-.txt Edit: Habe mit Malewarebytes die Sachen entfernt. Nach Neustart und erneuter Überprüfung folgendes Logfile: http://www.file-upload.net/download-...7-27-.txt.html Aber weiterhin besteht das Problem, dass ein Download von RSIT nicht möglich ist, weil er die Datei bei mir - egal wo - einfach nicht speichert. Habe probehalber versucht irgendetwas anderes zu downloaden - aber keine Chance - er speichert bei mir keine Downloads mehr ab. Geändert von JKJan (15.09.2011 um 16:48 Uhr)

15.09.2011, 22:17	#3 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS). PPFScan.exe starten. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: CREATE_FOLDER->C:\PPFS_SCAN2 SET_OPTIONS->-102 SET_HEADLINE->Windows Defender Messages#Meldungen des Windows Defenders READ_EVENTS->System,WinDefend,500,3,1,1 SET_HEADLINE->Messages for AntiVir#Meldungen von AntiVir READ_EVENTS->Application,Avira AntiVir,500,3,1,1 COPY_SCANFILES->C:\PPFS_SCAN2 OPEN->C:\PPFS_SCAN2 END-> Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Nach dem Scan beendet sich der Scanner. Es befinden sich danach im Ordner C:\PPFS_Scan2 einige Textdateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier im Forum. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

15.09.2011, 22:22	#4 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Danach das hier tun: PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

16.09.2011, 12:21	#6 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Da scheint noch mindestens ein Trojaner zu laufen. Keine geschäftlichen Sachen von dem Rechner aus tätigen, kein Online Banking, keine Einkäufe. Verdacht auf RootKit Befall! Melde mich gleich wieder, muss noch den Rest ansehen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

16.09.2011, 02:11	#5 (Direktlink)
JKJan Ist öfter hier Registriert seit: 17.02.2004 Ort: Dresden Beiträge: 76	Hallo, Danke für die Rückmeldung... hier die Links für die Textdateien des PPFS_Scan2: File-Upload.net - Eventlog.txt File-Upload.net - Scripting.txt und die Textdateien aus PPF_Scan1: File-Upload.net - Drivers.txt File-Upload.net - Eventlog.txt File-Upload.net - Files.txt File-Upload.net - Firewall.txt File-Upload.net - Hidden.txt File-Upload.net - MD5.txt File-Upload.net - Modules.txt File-Upload.net - ppFiles.txt File-Upload.net - ppRegistry.txt File-Upload.net - Processes.txt File-Upload.net - Scripting.txt File-Upload.net - Services.txt File-Upload.net - Threads.txt File-Upload.net - Threads.txt Zur Info: Nach meinem letzten Posting häuften sich die Probleme an meinem PC, so dass ich zwischenzeitliche eine Systemwiederherstellung zu einem früheren Zeitpunkt durchführte. Somit konnte ich wenigstens wieder Dateien downloaden und installieren. Nur das Problem mit den Windows XP und Sicherheitsupdates besteht nach wie vor ("fehlgeschlagen"). Hoffentlich hab ich mir nix schlimmes eingefangen.

16.09.2011, 12:51	#7 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	PPFSCAN.EXE Starten. Im Menü des PPFScanner auf Programm und PPFScanner mit Servicerechten starten klicken. Der Scanner startet sich dann neu. In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen: Code: SEND_MESSAGE->92.252.89.73 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->92.252.89.73 ->81 ->C:\Recycle.Bin\Recycle.Bin.exe Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja. Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff. Einmal bitte melden, wenn du das durchgeführt hast. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

16.09.2011, 16:32	#8 (Direktlink)
JKJan Ist öfter hier Registriert seit: 17.02.2004 Ort: Dresden Beiträge: 76	Onlinebanking hab ich von dem Rechner aus eh eingestellt. Gut, Skript ausgeführt: SEND_MESSAGE->92.252.89.73 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->92.252.89.73 ->81 ->C:\Recycle.Bin\Recycle.Bin.exe ################################# Zeile 1: SEND_MESSAGE->92.252.89.73 Zeile 4: SLEEP->24000 Zeile 5: SEND_FILE->92.252.89.73 Datei konnte nicht gesendet werden! C:\Recycle.Bin\Recycle.Bin.exe Nun fahr ich übers Wochenende fort. Bin dann ab Montag wieder an dem Rechner.

17.09.2011, 13:29	#9 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Du scheinst einen Zeus oder SpyeEye Trojaner auf dem Rechner gehabt zu haben. Die Reste davon sehe ich noch in der Registry. Ich würde zuerst jetzt die Hardwaredaten auslesen und mir ein LOG speichern (zum Beispiel mit Everest Home) und dann den Rechner komplett neu aufsetzen (formatieren). Ich sehe da einige offene Handles auf den InternetExplorer - den Prozess kannst du (in diesem Fall) nicht sebst gestartet haben. Backdoor Trojaner nutzen den IE gerne, um an der Firewall vorbei dem User Daten zu stehlen. Um das Problem (den Backdoor) genau zu lokalisieren, brauchen wir Ewigkeiten - deshalb komplett neu aufsetzen. Schließe nach dem Neuaufsetzen erst mal keine externen Festplatten oder USB-Sticks an - installieren zuerst wieder AntiVir! SpyeEye und Zeus infizieren externe Datenträger - ist AntiVir installiert, blockt AntiVir mit den Standardeinstellungen AUTORUN.INF Dateien, die der Trojaner zum Ausführen nutzt. Wenn du Onlinebanking nutzt, müssen wir unter Umständen weitere Sachen tun - nutzt du Online-Banking? Untersuche alle deine externen Daträger nach dem Neuaufsetzen mit AntiVir. Schiebe alle Funde in die Quarantäne. Meldet AntiVir, dass eine Autorun.inf Datei geblockt wurde, lege den Datenträger erst bei Seite - den untersuchen wir dann später noch mal zusammen. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (17.09.2011 um 16:04 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
bei win vista update maleware	Shit	Allgemein	2	05.12.2009 18:15
OneClickStarter.exe von TuneUpUtilities2008=Maleware?	doclehmut	Viren-Forum	6	16.04.2009 12:31
HKEY_LOCAL_MACHINE ----> Virusfund hilfe!	Verseuchter PC	Viren-Forum	82	23.11.2007 22:45
RUNDLL Fehler nach Virusfund !!!	gixxer	Viren-Forum	18	21.03.2007 10:55