Guten Abend,
mein Sohn hat heute Mittag einen angeblichen BetaClient Downloader zu GuildWars 2 runtergeladen, welcher auf youtube angepriesen wird und diese ausgeführt.

Nach dem ausführen der Datei ist diese plötzlich von der Bildfläche verschwunden und es tat sich nichts ersichtliches.
Ihm ist aber aufgefallen, dass sich sein Rechner scheinbar eigenartig benommen hat, beispielsweise hat der Mauszeiger angefangen zu zittern.

Als ob ein Remotecontrol stattfinden würde.
1. Aktion besagten Rechner sofort vom Netz genommen.
2. spybot S&D sowie Avira laufen lassen.

Mit Spybot wurde ein Win32.Agent.adb gefunden.

Parallel zu den Programmen habe ich an meinem zweiten Rechner nach ein paar Informationsfetzen gesucht. Nachdem ich die GW2 grabber mit einem Wordpad unter die lupe genommen habe und mich durch die Zeichenkolonnen gekämpft habe bin ich auf eine Bezeichnung gestoßen

LQBY.EXE <- so der Originalname der datei ursprünglich... zumindest wenn ich von dem bischen ausgehen darf was ich lesen konnte.

Nun, nach lqby.exe gesucht im netz und wohl festgestellt, dass es scheinbar zu einer art Botnet gehört. (sicher bin ich mir aber nicht da ich nicht all zuviel davon verstehe)

fakt ist ich habe in der Registry nach ein paar weiteren Recherchen etwas gefunden was mich sehr stutzig gemacht hat.... ein Registry Eintrag mit Datum und Uhrzeit.... exakt der Moment an dem mein Sohn die verdächtige Datei ausgeführt hat.
S&D sollte mir nach seinem Durchlauf exakt diesen Registry Eintrag als Win32.Agent.adb angeben.

So denke ich habe ich zwar einerseits den Übeltäter finden können, aber ich werde das Gefühl nicht los, dass es noch mehr gibt.


So meine Bitte, ob jemand mit professionellen Kenntnissen sich die besagte Datei genauer ansehen kann? Ein Programmierer oder sowas in der Art?

Wüsste gerne ob ich noch etwas beachten muss oder ob ich doch den Rechner plätten und neu aufsetzen muss.

Hier ist die Datei zu laden:
hxxp://tinyurl.com/6uajl4g

Hoffe da geht in ordnung mit dem Link wenn nicht dann sagt mir bescheid ich kann die Datei auch per PN schicken oder Mail.

Freue mich über jede Hilfe. Danke =)

Ach ich hab vergessen zu sagen, dass Avira nix gefunden hat und selbst ein paar Online Virus Test Seiten haben beim untersuchen der Datei nicht angeschlagen.

Ich scheine keine auffälligen Prozesse im Task Manager gefunden, bei svchost und co kann ich leider nie nachvollziehen was nun echt ist und was nicht.

Meine Sorge ist halt, dass mit dem Ausführen der Datei noch mehrere Sachen ausgeführt wurden ausser dieser eine Trojaner.

Würde mich wirklich sehr freuen über irgendeine rückmeldung hier
Damit ich entscheiden kann ob ich den Rechner wieder ans Netz stellen kann oder nicht.

Nicht dass der Trojaner sich unbemerkt an verschiedenen Orten auf der Festplatte einnistet und nicht von Avira und co erkannt wird.


Danke schonmal im Vorraus

Zitat:

Als ob ein Remotecontrol stattfinden würde.
1. Aktion besagten Rechner sofort vom Netz genommen.
2. spybot S&D sowie Avira laufen lassen.

Mit Spybot wurde ein Win32.Agent.adb gefunden.

Ohne die Logs von Spybot und Co wird das hier nichts.
Alles davon (und evtl. anderen Scannern) muss hier gepostet werden.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log