Buieif -Seite 2 - Paules-PC-Forum.de

**AHT** · 03.02.2012, 23:08

Eset Onlinescanner installieren -Komplettscan machen, auch Archive durchsuchen lassen: ESET :: Finden Sie die richtige Sicherheitslöung für Ihre Bedürfnisse! :: ESET Online Scanner
LOG befindet sich im Ordner, in den Eset sich bei dir installiert hat und heißt LOG.TXT.

**AHT** · 03.02.2012, 23:14

Danach zur Kontrolle noch einmal das tun:

PPFScan.exe starten.
Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
Wähle im Untermenü Script laden und ausführen.
Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Ich melde mich morgen, dann machen wir weiter. Bislang sieht's gut aus.
Hattest du vorher mal einen anderen Virenscanner auf dem Gerät? Mal Virenmeldungen gehabt?

zimpi · 03.02.2012, 23:49

Hatte nie ne vierenmeldung und auch noch nie einen andren scanner aber indiesemfalle wird es ein andrer werden

File-Upload.net - log.txt

File-Upload.net - PPF_Scan1.rar

n8 und danke

**AHT** · 04.02.2012, 10:11

OK, kurz Zusammenfassung:

Unter dem Registryschlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run befand sich ein Starteintrag für die Datei C:\Users\Drip\AppData\Roaming\Buieif.exe. Das sieht gewaltig nach einem Backdoor Trojaner aus (ZBOT). Die Datei war zu dem Zeitpunkt, zu dem der Scan mit dem PPFScanner ausgeführt wurde, bereits nicht mehr auf dem Rechner. Nur der Starteintrag war noch vorhanden. Wichtig wäre es zu wissen, wann die Datei gelöscht wurde. Eventuell findest du diesbezüglich noch Hinweise in den LOGs von Kasperky.
Unter dem Registryschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X6va005 wurde ein Treiber initialisiert, um den durch ein Programm zu starten. Der Treiber heißt C:\Users\Drip\AppData\Local\Temp\0053E0A.tmp. Die Dateiendung .TMP ist für einen Treiber sehr ungewöhnlich - normalerweise heißen Treiber .SYS. Der einzige Grund einen Treiber mit dieser Dateiendung zu verwenden wäre eigentlich, dass ein lasch eingestellter Virenscanner den Treiber beim Laden nicht auf Viren hin prüft. Auch diese Datei war zum Zeitpunkt des Scans bereits nicht mehr vorhanden. Es wurde aber noch am 03.02.2012 versucht, diesen Treiber zu laden.
Beim ersten Scan mit dem PPFScanner sah es für mich so aus, als wolle ein anderes Programm Code innerhalb des PPFScanners ausführen - starker Hinweis auf einen laufenden ZBOT Trojaner. Das LOG sieht jetzt OK aus.

Die oben genannten Starteinträge habe ich gelöscht. Machst du Onlinebanking mit dem Gerät?

zimpi · 04.02.2012, 10:46

Ja machte ich, nur was soll ich jetzt tun ist es wieder "sauber" da das file buieif ned mehr vorhanden ist

**AHT** · 04.02.2012, 10:54

Im Augenblick sieht die Kiste sehr gut aus - trotzdem würde ich den Rechner komplett neu aufsetzen (ein Restrisiko bleibt). Setze dich auch sobald es geht mit deiner Bank in Verbindung. Sage denen, dass du dir vermutlich einen ZBOT oder SpyEye Trojaner eingefangen hattest und nicht genau weißt, ob dir Daten abhanden gekommen sind. Frage die, was du weiter tun sollst.
Sinn der Sache: Die sollen vorgewarnt sein, dass unter Umständen jemand versucht, dir Geld zu stehlen.

Nachdem der Rechner aufgesetzt ist, unbedingt alle Passwörter ändern (EBAY, E-MAIL,...). Du kannst damit rechnen, dass die schon jemand anderem bekannt sind und früher oder später genutzt werden.

zimpi · 04.02.2012, 10:57

Ich danke für die hilfe, noch ne frage zum schluss welcher virenscanner wäre den empfehlenswert ?

**AHT** · 04.02.2012, 11:08

Virenscanner sind egal - kannst bei Kaspersky bleiben.
Virenscanner sind signaturbasierend - die erkennen nur das, was schon bekannt ist. Ist erst mal was installiert, ist das heutzutage oft ein RootKit. Selbst wenn der Scanner später Signaturen besitzt, kann er den Trojaner dann nicht finden.

Der beste Schutz beim Surfen ist zur Zeit eine gute Sandbox (zusätzlich zum Virenscanner).
Für sicheres Surfen kann ich dir Sandboxie empfehlen: Sandboxie - Sandbox software for application isolation and secure Web browsing
Sandboxie ist Shareware, du kannst es aber frei benutzen (es erscheint beim Start ein NAG-Screen). Ich habe Sandboxie bei mir so eingestellt, das es nicht generell beim Systemstart ausgeführt wird. Will ich Programme testen, starte ich die in der Regel erst mal über Sandboxie. Browse ich im Internet, erfolgt das auch über Sandboxie (Sandboxie Web Browser - Icon).
Sandboxie führt Anwendungen in einer Art "Käfig" aus. Für die Anwendung ist es so, als würde sie im Betriebsystem laufen und sich dort installieren - in Wirklichkeit läuft sie aber in diesem "Käfig" und kann nichts am Betriebsystem ändern.

zimpi · 04.02.2012, 11:13

Danke für die rasche lösung

MfG
Zimpi

03.02.2012, 23:08	#16 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Eset Onlinescanner installieren -Komplettscan machen, auch Archive durchsuchen lassen: ESET :: Finden Sie die richtige Sicherheitslöung für Ihre Bedürfnisse! :: ESET Online Scanner LOG befindet sich im Ordner, in den Eset sich bei dir installiert hat und heißt LOG.TXT. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 23:14	#17 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Danach zur Kontrolle noch einmal das tun: PPFScan.exe starten. Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü. Wähle im Untermenü Script laden und ausführen. Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa. Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier. Ich melde mich morgen, dann machen wir weiter. Bislang sieht's gut aus. Hattest du vorher mal einen anderen Virenscanner auf dem Gerät? Mal Virenmeldungen gehabt? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

04.02.2012, 10:11	#19 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	OK, kurz Zusammenfassung: Unter dem Registryschlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run befand sich ein Starteintrag für die Datei C:\Users\Drip\AppData\Roaming\Buieif.exe. Das sieht gewaltig nach einem Backdoor Trojaner aus (ZBOT). Die Datei war zu dem Zeitpunkt, zu dem der Scan mit dem PPFScanner ausgeführt wurde, bereits nicht mehr auf dem Rechner. Nur der Starteintrag war noch vorhanden. Wichtig wäre es zu wissen, wann die Datei gelöscht wurde. Eventuell findest du diesbezüglich noch Hinweise in den LOGs von Kasperky. Unter dem Registryschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\X6va005 wurde ein Treiber initialisiert, um den durch ein Programm zu starten. Der Treiber heißt C:\Users\Drip\AppData\Local\Temp\0053E0A.tmp. Die Dateiendung .TMP ist für einen Treiber sehr ungewöhnlich - normalerweise heißen Treiber .SYS. Der einzige Grund einen Treiber mit dieser Dateiendung zu verwenden wäre eigentlich, dass ein lasch eingestellter Virenscanner den Treiber beim Laden nicht auf Viren hin prüft. Auch diese Datei war zum Zeitpunkt des Scans bereits nicht mehr vorhanden. Es wurde aber noch am 03.02.2012 versucht, diesen Treiber zu laden. Beim ersten Scan mit dem PPFScanner sah es für mich so aus, als wolle ein anderes Programm Code innerhalb des PPFScanners ausführen - starker Hinweis auf einen laufenden ZBOT Trojaner. Das LOG sieht jetzt OK aus. Die oben genannten Starteinträge habe ich gelöscht. Machst du Onlinebanking mit dem Gerät? __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT Geändert von AHT (04.02.2012 um 10:31 Uhr)

04.02.2012, 10:54	#21 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Im Augenblick sieht die Kiste sehr gut aus - trotzdem würde ich den Rechner komplett neu aufsetzen (ein Restrisiko bleibt). Setze dich auch sobald es geht mit deiner Bank in Verbindung. Sage denen, dass du dir vermutlich einen ZBOT oder SpyEye Trojaner eingefangen hattest und nicht genau weißt, ob dir Daten abhanden gekommen sind. Frage die, was du weiter tun sollst. Sinn der Sache: Die sollen vorgewarnt sein, dass unter Umständen jemand versucht, dir Geld zu stehlen. Nachdem der Rechner aufgesetzt ist, unbedingt alle Passwörter ändern (EBAY, E-MAIL,...). Du kannst damit rechnen, dass die schon jemand anderem bekannt sind und früher oder später genutzt werden. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

04.02.2012, 11:08	#23 (Direktlink)
AHT Super-Moderator Registriert seit: 15.02.2009 Beiträge: 10.786	Virenscanner sind egal - kannst bei Kaspersky bleiben. Virenscanner sind signaturbasierend - die erkennen nur das, was schon bekannt ist. Ist erst mal was installiert, ist das heutzutage oft ein RootKit. Selbst wenn der Scanner später Signaturen besitzt, kann er den Trojaner dann nicht finden. Der beste Schutz beim Surfen ist zur Zeit eine gute Sandbox (zusätzlich zum Virenscanner). Für sicheres Surfen kann ich dir Sandboxie empfehlen: Sandboxie - Sandbox software for application isolation and secure Web browsing Sandboxie ist Shareware, du kannst es aber frei benutzen (es erscheint beim Start ein NAG-Screen). Ich habe Sandboxie bei mir so eingestellt, das es nicht generell beim Systemstart ausgeführt wird. Will ich Programme testen, starte ich die in der Regel erst mal über Sandboxie. Browse ich im Internet, erfolgt das auch über Sandboxie (Sandboxie Web Browser - Icon). Sandboxie führt Anwendungen in einer Art "Käfig" aus. Für die Anwendung ist es so, als würde sie im Betriebsystem laufen und sich dort installieren - in Wirklichkeit läuft sie aber in diesem "Käfig" und kann nichts am Betriebsystem ändern. __________________ ______________ Bitte Schnelltest durchführen: Neuer Virus, ahnungslose User seit Monaten infiziert! Mfg AHT

03.02.2012, 23:49	#18 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Hatte nie ne vierenmeldung und auch noch nie einen andren scanner aber indiesemfalle wird es ein andrer werden File-Upload.net - log.txt File-Upload.net - PPF_Scan1.rar n8 und danke

04.02.2012, 10:46	#20 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Ja machte ich, nur was soll ich jetzt tun ist es wieder "sauber" da das file buieif ned mehr vorhanden ist

04.02.2012, 10:57	#22 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Ich danke für die hilfe, noch ne frage zum schluss welcher virenscanner wäre den empfehlenswert ?

04.02.2012, 11:13	#24 (Direktlink)
zimpi Erfolgreich angemeldet Registriert seit: 15.09.2011 Beiträge: 11	Danke für die rasche lösung MfG Zimpi

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln