Hallo!

Ich hatte von der Telekom ein Schreiben bekommen, dass mein Internetanschluss als Ausgangspunkt für bösartige Angriffe/ Teil eines Botnetzes identifiziert wurde.

Als BS nutze ich Windows 7 Ultimate (64Bit), als Sicherheitssoftware McAfee,
beinhaltet Security Center Version 11.0; Virus Scan Version 15.0; Personal Firewall Version 12.0; Anti-Spam Version 12.0; Parental Controls Version 13.0;
jeweils letzte Aktualisierung 13.06.2012. (Abo läuft noch bis 2013)

Der vollständige Scan mit McAfee brachte keine infizierten Dateien, ich erhielt die Meldung "Ihr Computer ist sicher (keine Aktion erforderlich).

Daraufhin habe ich entsprechend der Anleitung im Telekom-Schreiben auf der Symantec-Website einen Online-Check gemacht, hier wurden mir 2 infizierte Dateien angezeigt. Leider habe ich den genauen Text nicht mehr.

Als nächstes habe ich mir "Malwarebytes Anti Malware" heruntergeladen, als Testversion der vollständigen Software.

Direkt nach dem Installieren wurde eine Verbindung von svhost.exe zu einer IP 91.207.60.10 durch Malwarebytes geblockt.

Der erste Scan mit Malwarebytes hat folgendes Ergebnis gebracht:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.14.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
CAD11 :: CAD11-PC [Administrator]

Schutz: Aktiviert

14.06.2012 20:42:02
mbam-log-2012-06-14 (20-42-02).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 551312
Laufzeit: 2 Stunde(n), 15 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 1
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe139.dll (Trojan.Banker) -> Löschen bei Neustart.

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Userinit (Backdoor.Agent) -> Daten: C:\Users\CAD11\AppData\Roaming\appconf32.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe139.dll (Trojan.Banker) -> Löschen bei Neustart.
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe116.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe122.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe124.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe130.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe133.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\CAD11\AppData\Roaming\BAcroIEHelpe135.dll (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\CAD11\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Löschen bei Neustart.

(Ende)
         

Nach dem Fund der schadhaften Dateien habe ich diese entfernen lassen und der nächste Scan ergab folgendes:

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.14.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
CAD11 :: CAD11-PC [Administrator]

Schutz: Aktiviert

14.06.2012 23:01:22
mbam-log-2012-06-14 (23-01-22).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 550651
Laufzeit: 2 Stunde(n), 25 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

Leider habe ich das Forum und die entsprechenden Anleitungen zu spät entdeckt, ich habe nur in diversen Threads gelesen, dass noch weitere Schritte nötig sind.

Was muss ich noch machen, oder ist mit dem Entfernen der Dateien durch Malwarebytes alles erledigt?

Vielen Dank im Vorraus für Eure Hilfe!

PS: Ich nutze den PC zum Arbeiten, vorrangig CAD-Anwendungen, CAD-Daten-Download, Bestellungen.

Zitat:

PS: Ich nutze den PC zum Arbeiten, vorrangig CAD-Anwendungen, CAD-Daten-Download, Bestellungen.

Firmenrechner? Werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:

3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Bei dem Rechner handelt es sich um einen Firmenrechner, allerdings haben wir auch keinen IT-Bereich/-Abteilung (kleine Firma). Und natürlich sind wir da auch bereit, eine Spende zu machen.

Kannst Du mir vielleicht noch eine Info zukommen lassen, in welcher Höhe die Spenden bei Euch üblich sind? (kann auch per PN sein).

Danke.

Gruß Multo

Dann ist das natürlich ok. Es ist aber gerade bei Firmenrechnern empfohlen und gerade bei diesem Befall => (Backdoor.Agent) in

Code: Alles auswählenAufklappen

ATTFilter

C:\Users\CAD11\AppData\Roaming\appconf32.exe
         

würde ich dir auch eine Neuinstallation lieber empfehlen.
Dem Hostnamen nach, dürfte das eine professionelle Workstation sein, auf der Zeichentools wie AutoCAD oder zB CATIA laufen oder? Das sollte doch möglichst stabil wie möglich sein...