Hallo zusammen ,

mit diesem Thread möchte ich mich mit einem Problem an euch wenden, an welchem sich schon einige die Zähne ausgebissen haben. Es zeigt folgende seltsame Symptome:

(Anmerkung: Ein Virus hat vor ca. einem Monat 87 Dateien infiziert, bevor ich ihn davon aufhalten konnte, die ganze Festplatte zu infizieren. Win32:RmnDrp und VBS:Agent-KZ , wovon letzterer ein Trojaner ist. Quelle: exe ausm Netz Exploit: Dummer Benutzer welcher Adminrechte verschenkt)


1. Erste Auffälligkeit war eine firefox.exe im Taskmanager, welche immer kleiner als 3mb war. Dies ist ziemlich unüblich, allerdings habe ich zuverlässig herausgefunden, dass es sich um die echte und auch virenfreie exe handelt.

2. Steam startet vehement keine Spiele, solange diese 2,5mb firefox.exe läuft ("Anwendung läuft bereits). Beim Starten eines Spiels durch Steam, wird eine firefox.exe mitgestartet.
Ich habe Steam bereits neuinstalliert, selbes für besagtes Spiel. Die Dateien sind einwandfrei, ein Virenbefall ist hier also ausgeschlossen.

3. So kam es, dass ich zu Chrome wechselte. Nun startete keine firefox.exe mehr - dafür aber... (langsamer Trommelwirbel setzt ein) ... eine Chrome.exe. Als Bonus war diese deutlich größer und wurde als Fenster angezeigt, so wie wenn man Chrome ganz normal startet. Scheinbar wird also der Standardbrowser gestartet.
Von hier an war mir klar, dass das Problem deutlich tiefer liegt als erwartet.
(Anmerkung: Tritt nach wie vor nur bei manchen Anwendungen auf, die ich leider aber dauernd starte.)

4. Wenn ich Fl Studio (DAW zum produzieren von Musik) starte, werden mehrere Prozesse gestartet. Mein Computer entschied sich entsprechendermaßen genügend Fenster von Chrome bereitzustellen.
Sollte ich nun ein VST-Plugin laden, wird jeweils ein Fenster nachgeliefert.
(Anmerkung: Ich weiß, dass der Virus einige meiner Plugins voll erwischt hat.)
Wenn ich jetzt also ein Projekt mit 20 oder mehr Plugins lade, gibt das ein ziemlich lustiges weggeklicke, was einem über einen längeren Zeitraum ziemlich auf den Sack geht.


Wenn ich mein Antivirensystem aktiviere, geht es immer wieder auf die Fl studio.exe los und packt sie in den Container. Trotzdem scheint die echte Datei nie wirklich zu verschwinden.

5. Ich habe detailliert nach versteckten Prozessen und Diensten gesucht, und jegliche Datenströme auf Festplatte und Ethernet überwacht. Trotzdem konnte ich keinen seltsamen Prozess finden...
(Weswegen ich mir die Logs irgentwelcher Abbildprogramme hier erspare)



Ich hoffe mal, dass sich hier jemand findet, welcher mir nicht mit 0815 Geplänkel kommt, sondern mir wirklich hilft und weiß, was zu tun ist.

Grüße und Danke im Vorraus,
MrTechnik

Zitat:

Zitat von mrtechnik

die ganze Festplatte zu infizieren. Win32:RmnDrp

DU weißt vielleicht auch, dass Du bei Ramnit nicht um eine Neuinstallation herumkommen wirst?

Zitat:

Zitat von deeprybka

DU weißt vielleicht auch, dass Du bei Ramnit nicht um eine Neuinstallation herumkommen wirst?

Ich habe bereits versucht, die File-Infector-Routine umzudrehen, allerdings hat das Skript nicht wirklich funktioniert. Eine Neuinstallation ist sowieso mal von Nöten, allerdings würde ich mich gerne noch etwas davor drücken, da ich *100% garantiert* Probleme mit VST-Plugins bekommen werde. Ich habe ein paar große Aufträge zurzeit und möchte nichts riskieren.

Naja, können ja mal die Logs anschauen.

Schritt 1


Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Lesestoff
Posten in CODE-Tags: So gehts...
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert uns massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu groß für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:

• Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
• Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
• Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
• Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.

Da hab ich ihn doch...
Irgentetwas ist mit der desktoplayer.exe faul...
Ich gucke mir dir mal genauer an, von Tools mache ich später gebrauch.

EDIT: Irgentwie sind hier bei einigen Beispiel.exe's gewisse beispielsrv.exe's aufgetaucht. Kommt das hier jmdm bekannt vor?

DU suchst hier kostenlosen Support, befolgst aber keine Anweisungen.

Zitat:

Ich gucke mir dir mal genauer an, von Tools mache ich später gebrauch.

ICH verschwende ungern meine Zeit.

Naja, ich denke, der Thread ist hiermit hinfällig. Die Datei habe ich manuell repariert, und den infizierten Rest identifiziert und gelöscht. Werde diverse Programme neuinstallieren müssen, aber ums Windows neu aufsetzen komm ich herum.

War tatsächlich eine Fehlfunktion von Ramnit im Zusammenhang mit meiner Firewall.
Habe jetzt Kaspersky draufgepackt und alles repariert/entfernt (insgesamt 7 verschiedene Viren).
Nach einer überwachung der festplattenzugriffe und des netzwerkverkehrs scheint alles wieder normal zu sein.

Große Empfehlung für Kaspersky, hat offenbar alles erkannt und sogar meine geliebten Dateien gerettet

Zitat:

Zitat von mrtechnik

War tatsächlich eine Fehlfunktion von Ramnit im Zusammenhang mit meiner Firewall.

WHAT?

ich habe vor nem guten jahr ein bisschen mit selbstgebastelten schutzsystemen experimentiert, welche besonders dadurch effektiv sind, dass sie einmalig sind, und viren nicht darauf vorbereitet werden können.
Es war ein dienst, der die "beliebten" dateien wie desktoplayer.exe, services, winlogon, etc... überwacht und schreibzugriffe von "ausserhalb" verhindert.

Auch die von normalen Programmen nicht genutzten Teile der registry werden geschützt, und genau dort ist wohl der fehler entstanden:
Durch einen eintrag in der registry lässt er eine infizierte watermark.exe mit jeder dll starten (soweit ich das verstanden habe). Da die der zugriff auf die registry allerdings verwehrt blieb, startete das wohl den standardbrowser...