...an Euer Board

Eigentlich habe ich gedacht, dass mir ein Virus niemals meinen Lappi infizieren würde. Aber gestern Abend war es dann endlich soweit - 14 Tage surfen ohne Scanner, selber Schuld

Da ich zu Hause keinen 2. PC habe, blieb mir nichts anderes übrig, als im Handy nach Lösungen zu googlen, dabei bin ich immer wieder auf Euer Board gestoßen und die gezeigten Lösungen hier kamen mir doch am sinnvollsten vor.

Was ist passiert?
Irgendwann muss ich mir den hartnäckigen Virus 'XP Security 2011' eingefangen haben, der sich gestern installiert hat. Die Folgen sind ja bekannt.
Also hab ich heute im Büro das kleine Tool 'rkill.com' an einem anderen PC runtergeladen, auf den USB-Stick gespielt und auf meinem Lappi gestartet:

Zitat:

Rkill 2.4.5 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
hxxp://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/13/2013 10:31:05 AM in x86 mode.
Windows Version: Microsoft Windows XP Service Pack 3

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* C:\WINDOWS\Installer\{DE06A4DB-5267-4D4E-36FF-E9B116C7C722}\syshost.exe (PID: 760) [WD-HEUR]
* C:\WINDOWS\system32\wbsecsvc.exe (PID: 144) [WD-HEUR]
* C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\uhl.exe (PID: 3788) [UP-HEUR]

3 proccesses terminated!

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.
* HKCU\SOFTWARE\Classes\.exe "@" exists and is set to exefile!
* HKCU\SOFTWARE\Classes\.exe has been deleted!
* HKCU\SOFTWARE\Classes\exefile has been deleted!


Performing miscellaneous checks:

* Windows Firewall Disabled

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = dword:00000000

Checking Windows Service Integrity:

* Sicherheitscenter (wscsvc) is not Running.
Startup Type set to: Disabled

* wuauserv [Missing Service]

* lanmanworkstation => %SystemRoot%\System32\aptwg09hh.dll [Incorrect ServiceDLL]

Searching for Missing Digital Signatures:

* C:\WINDOWS\System32\drivers\rmcast.sys [NoSig]

* C:\WINDOWS\System32\mspmsnsv.dll [NoSig]

* C:\WINDOWS\System32\netlogon.dll [NoSig]

* C:\WINDOWS\System32\UxTheme.dll [NoSig]

* C:\WINDOWS\System32\w32time.dll [NoSig]

Checking HOSTS File:

* HOSTS file entries found:

# Copyright (c) 1993-1999 Microsoft Corp.
127.0.0.1 localhost

Program finished at: 01/13/2013 10:32:14 AM
Execution time: 0 hours(s), 1 minute(s), and 9 seconds(s)

Dann mit dem anderen PC das Programm ' Malwarebytes Anti-Malware ' runtergalden, auf den Stick gespielt, vom Stick installiert und ohne die .exe zu ändern laufen lassen:

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.13.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Jan :: ORANGE [Administrator]

13.01.2013 10:42:17
mbam-log-2013-01-13 (10-42-17).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 224964
Laufzeit: 6 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 3
HKLM\SYSTEM\CurrentControlSet\Services\syshost32 (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Bifrost (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Bifrost (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SYSTEM\CurrentControlSet\Services\syshost32|ImagePath (Trojan.Agent) -> Daten: "C:\WINDOWS\Installer\{DE06A4DB-5267-4D4E-36FF-E9B116C7C722}\syshost.exe" /service -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command| (Hijack.StartMenuInternet) -> Bösartig: ("C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\uhl.exe" -a "C:\Programme\Mozilla Firefox\firefox.exe") Gut: (firefox.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command| (Hijack.StartMenuInternet) -> Bösartig: ("C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\uhl.exe" -a "C:\Programme\Mozilla Firefox\firefox.exe" -safe-mode) Gut: (firefox.exe -safe-mode) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command| (Hijack.StartMenuInternet) -> Bösartig: ("C:\Dokumente und Einstellungen\Jan\Lokale Einstellungen\Anwendungsdaten\uhl.exe" -a "C:\Programme\Internet Explorer\iexplore.exe") Gut: (iexplore.exe) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\AVP 2009 (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\WINDOWS\Installer\{DE06A4DB-5267-4D4E-36FF-E9B116C7C722}\syshost.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
c:\dokumente und einstellungen\all users\local settings\temp\msazmlaku.pif (Trojan.Bublik) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\Jan\Anwendungsdaten\addons.dat (Bifrose.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Der Lappi tut wieder seinen Dienst, allerdings werde ich um eine grundsätzliche Neu-Installation nicht drum rum kommen, den Gedanken hab ich schon seit längerer Zeit.
Nochmals ein großes Danke an Alle, die hier 'ihren Dienst' verrichten!!!

LG Jan

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Zitat:

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

...nee hab ich nicht.
Ich werde von Zeit zu Zeit mal einen Scan machen und wenn sich etwas Neues auftut, kann ich es posten.

LG Jan

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

• Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
  
  
• Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
  
  
• Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
  
  
• Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
  
  
• Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Malwarebytes Anti-Rootkit

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Entpacke das Archiv auf deinem Desktop.
• Im neu erstellten Ordner starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers