Herzlichen Glückwunsch Sie haben Level 1 geschafft!
Nein im Ernst, jetzt kann ich definitiv sagen (und notfalls auch beweisen), dass mein System Infiziert wurde.

Log von SASW:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 07/18/2011 at 09:01 PM

Application Version : 4.55.1000

Core Rules Database Version : 7421
Trace Rules Database Version: 5233

Scan type       : Complete Scan
Total Scan Time : 01:43:32

Memory items scanned      : 559
Memory threats detected   : 0
Registry items scanned    : 12681
Registry threats detected : 0
File items scanned        : 348354
File threats detected     : 8

Trojan.Agent/Gen-UsrMgr
	D:\QTSDK\MAEMO\4.6.2\MADBIN\MD5SUM.EXE
	D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA1SUM.EXE
	D:\QTSDK\MAEMO\4.6.2\MADBIN\SHA256SUM.EXE
	D:\QTSDK\MAEMO\4.6.2\MADBIN\TARLISTED.EXE
	D:\QTSDK\MAEMO\4.6.2\MADLIB\UTFS-SERVER.EXE
	D:\QTSDK\MAEMO\4.6.2\TARGETS\FREMANTLE-PR13\BIN\GCC.EXE
	D:\QTSDK\MAEMO\4.6.2\TEMPLATES\TOOLWRAPPER.EXE

Trojan.Agent/CDesc[Generic]
	D:\SPIELE\EPS\PLUGINS\SPUIORI.DLL
         

Für mich sehen diese Agent/Gen-UsrMgr nach False-Positives aus, die Dateien werde ich in den nächsten Tagen aber genauer prüfen (Surfe momentan mit einem Surfstick und die Volumenbegrenzung wurde erreicht)

Die SPUIORI.DLL scheint jedoch ein Volltreffer zu sein.
Mir ist auch aufgefallen, dass die Datei eine nette Botschaft in der Dateibeschreibung enthält "のろってやる!!" (Auf dt. etwa "Ich werde verflucht!!").
Das seltsame daran ist, der Explorer zeigt einen Zeitstempel von 2001 an, vielleicht wurde dieser manipuliert falls so etwas möglich ist.

EDIT: Mist zu früh gefreut... nur 2 der Scanner auf Virustotal haben etwas gefunden und auch nur heuristische Funde:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus results
AhnLab-V3 - 2011.07.19.02 - 2011.07.19 - -
AntiVir - 7.11.11.232 - 2011.07.19 - -
Antiy-AVL - 2.0.3.7 - 2011.07.15 - -
Avast - 4.8.1351.0 - 2011.07.19 - -
Avast5 - 5.0.677.0 - 2011.07.19 - -
AVG - 10.0.0.1190 - 2011.07.19 - Suspicion: unknown virus 
BitDefender - 7.2 - 2011.07.19 - -
CAT-QuickHeal - 11.00 - 2011.07.19 - -
ClamAV - 0.97.0.0 - 2011.07.19 - -
Commtouch - 5.3.2.6 - 2011.07.19 - -
Comodo - 9438 - 2011.07.19 - -
DrWeb - 5.0.2.03300 - 2011.07.19 - -
Emsisoft - 5.1.0.8 - 2011.07.19 - -
eSafe - 7.0.17.0 - 2011.07.19 - -
eTrust-Vet - 36.1.8452 - 2011.07.19 - -
F-Prot - 4.6.2.117 - 2011.07.19 - -
F-Secure - 9.0.16440.0 - 2011.07.19 - -
Fortinet - 4.2.257.0 - 2011.07.19 - -
GData - 22 - 2011.07.19 - -
Ikarus - T3.1.1.104.0 - 2011.07.19 - -
Jiangmin - 13.0.900 - 2011.07.19 - -
K7AntiVirus - 9.108.4924 - 2011.07.19 - -
Kaspersky - 9.0.0.837 - 2011.07.19 - -
McAfee - 5.400.0.1158 - 2011.07.19 - -
McAfee-GW-Edition - 2010.1D - 2011.07.19 - -
Microsoft - 1.7000 - 2011.07.19 - -
NOD32 - 6307 - 2011.07.19 - -
Norman - 6.07.10 - 2011.07.18 - -
nProtect - 2011-07-19.01 - 2011.07.19 - -
Panda - 10.0.3.5 - 2011.07.19 - -
PCTools - 8.0.0.5 - 2011.07.13 - -
Prevx - 3.0 - 2011.07.19 - -
Rising - 23.67.01.05 - 2011.07.19 - -
Sophos - 4.67.0 - 2011.07.19 - -
SUPERAntiSpyware - 4.40.0.1006 - 2011.07.19 - Trojan.Agent/CDesc[Generic] 
Symantec - 20111.1.0.186 - 2011.07.19 - -
TheHacker - 6.7.0.1.257 - 2011.07.18 - -
TrendMicro - 9.200.0.1012 - 2011.07.19 - -
TrendMicro-HouseCall - 9.200.0.1012 - 2011.07.19 - -
VBA32 - 3.12.16.4 - 2011.07.19 - -
VIPRE - 9904 - 2011.07.19 - -
ViRobot - 2011.7.19.4577 - 2011.07.19 - -
VirusBuster - 14.0.130.1 - 2011.07.19 - -
File info:
MD5: 43e8e948c6c9a7b56939d5eb1e3c7ddc
SHA1: 72dfb0155624c372638d6951f686b983f0bfe15d
SHA256: 7155a9901158b60e993a0c11bf96d03f9979405f0ef846c5133a25865260b24c
File size: 44020 bytes
Scan date: 2011-07-19 16:46:21 (UTC)
         

--Nun zum eigentlichen Problem--
Auffällig ist die, wahrscheinlich nach dem Einsatz von TDSSKiller, entfallene Rootkit Funktion des eigentlichen Schädlings.
Momentan werden beim Aufrufen des Firefox zahlreiche Verbindungen zum Host dd3728.kasseserver.com hergestellt (nachladen von neuem Schadcode?).
Die Verbindungen werden Firefox zugeordnet, ob auch Verbindungen geöffnet werden wenn ich einen anderen Browser verwende habe ich noch nicht überprüft.
Momentan gehe ich davon aus, dass der PC mit einer relativ neuen Version eines online Banking Trojaners infiziert ist.

Und ich dachte schon ich werde bald paranoid

Edit: Malwarebytes hat nichts gefunden und ESET braucht ja eine Internetverbindung (IMHO momentan kontraproduktiv)

Zitat:

Trojan.Agent/CDesc[Generic]
D:\SPIELE\EPS\PLUGINS\SPUIORI.DLL

Hm und aus welcher Quelle stammt dieses Spiel?

Zitat:

Zitat von cosinus

Hm und aus welcher Quelle stammt dieses Spiel?

Es handelt sich nicht direkt um ein Spiel, sondern um einen Emulator [1] für eine Homebrew Plattform.
Auf diesem Emulator können Spiele, welche mit einem SDK [2] für die PSX programmiert wurden, ohne BIOS für den Emulator entwickelt und gespielt werden.
Nach meinen Recherchen ist diese Art der Verwendung nicht illegal.

[1] XEBRA/ARBEX dieser Emulator kann ohne ein illegales BIOS Homebrew Spiele emulieren.
[2] z.B. Mit diesem Open Source Tool hxxp://code.google.com/p/psxsdk/

--On Topic--
Diese DLL ist jedoch sehr unwahrscheinlich für die Infektion verantwortlich, oder siehst du das anders?

Auch wenn es angeblich nicht illegal ist würde ich die dubiosen Sachen max. mit der Kneifzange anfassen. Ist wie mit allen anderen ausführbaren Dateien aus dubiosen Quellen, allen vorans Keygens und Cracks

Wenn man sich mit dem Thema beschäftigt erscheint es einem nicht mehr dubios, irgendwann empfindet man es auch nicht mehr als Risiko.

Was mich noch stört, der eigentliche Schädling ist bis jetzt in noch keinem Logfile aufgetaucht und kann, dadurch impliziert, auch nicht entfernt werden.
Außerdem kann ich auch nicht sagen wodurch das System infiziert wurde, vielleicht Flash oder Adobe Reader oder eben die spuiori.dll aber es gibt keine handfesten Hinweise darauf, das stört mich ein wenig.

Wie könnte ich denn jetzt am besten weitermachen? Oder machen weitere Scans keinen Sinn mehr?

Die spuiori.dll könnte ich zur Analyse an entsprechende Stellen schicken, halte aber die Wahrscheinlichkeit für sehr gering, dass die Datei wirklich Malware enthält, hätte da gerne noch eine zweite Meinung.

Aber bis hier hin vielen Dank schon mal, werde mich jedoch frühstens nach dem Wochenende melden.

Zitat:

Wie könnte ich denn jetzt am besten weitermachen? Oder machen weitere Scans keinen Sinn mehr?

Ist die Frage ob du den Rechner so belassen willst oder alles komplett neu installierst.
Wie ist es denn um den Rechner jetzt bestellt?

Es sind keine wichtigen Dokumente auf dem PC gespeichert und die Hardware ist auch noch "aktuell", jedoch ist es sehr aufwändig die Applikationen wieder zu installieren.
Bei den Programmen welche keinen Export der Einstellungen unterstützen, werde ich die Konfiguration wohl nicht mehr so hinbekommen.
Außerdem müsste ich die Programme welche man nur im Netz bekommt über meinen Surfstick runterladen (Steam games..)

Insgesamt müsste ich, außer Windows, etwa 60GB an Programmen neu installieren, Steam macht davon 32GB und das Qt SDK mit Erweiterungen etwa 9GB aus (es handelt sich um die Größe auf dem Datenträger).


Aber so lassen will ich den Rechner wirklich nicht, die Spiele sind nicht so wichtig und um die Konfigurationen ist es schade, aber ein sauberer Rechner ist wichtiger.