Hallo!

Meine Freundin bekam vorgestern eine mail von einem spanischen Freund mit Anhang...ich fragte sie noch ob die mail auch wirklich von Alberto sei...sie "ja" ich scannte die Datei, kein virus gefunden, klick auf ausführen und patsch! meldet AntiVir eine Infektion. Sie dachte ich meinte die mail an sich, dabei meinte ich natürlich den text...der war nicht von Alberto...

Seitdem logge ich mich sicherheitshalber mit meinem PC nirgends mehr ein. Bei jedem Systemstart meldet mir AntiVir es hätte zwei Dateien gefunden, die mit dem Virus "TR.Spy.Banker.Gen" infiziert seien.

Zum einen handelt es sich um diese Datei:

In der Datei 'C:\WINDOWS\system32\updater.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

und zum anderen um diese:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\XF1EJ1BK\eu_72[1].jpg'
wurde ein Virus oder unerwünschtes Programm 'TR/Spy.Banker.Gen' [TR/Spy.Banker.Gen] gefunden.
Ausgeführte Aktion: Datei löschen

Habe den PC schonmal im abgesicherten modus hochgefahren und zumindest den Temorary Internet Files Ordner gelöscht.
Die Datei updater.dll habe ich erst gar nicht gefunden, obwohl bei mir generell alle Dateien angezeigt werden.

Das HJT logfile habe ich angehängt.

Die Lust auf eine Neuinstallation geht natürlich gegen -7. Mein PC verhält sich bis jetzt auch nicht komisch, bis auf die beiden nicht existenten aber dennoch befallenen Dateien.
Falls jedoch Plattmachen die einzige chance ist, wie siehts mit meinen gespeicherten Emails aus...kann ich die auf DVD sichern und zurückspielen nachdem sich ein virenscanner die DVD zur brust genommen hat? Will ja keinen Datenverlust...da lass ich mich ja schon lieber ausspionieren!

Beste Grüße vom

PowerDremel

Hi, ich würd den Rechner plattmachen. Outlookemails werden in der Datei outlook.pst gespeichert. Die musst Du sichern. Sehe da keine Gefahr, wenn die dann mit einem Virenscanner gescannt hast und dann beim Gebrauch nen Virenscanner im Hintergrund laufen hast.
Gruß,
Klarser

Hi,

lass mal combfix von der Leine und poste das Log!
Wenn die Dateien nicht zu finden sind, ist normalerweise ein Rootkit im Spiel, und das ist zumindest als "heikel" zu betrachten (man weiss nie ob alles erwischt wurde)...

chris

Combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

Moin,

also Combofix startet, ich drücke "1" und Return, dann schließt das Fenster und ich habe das Internet Explorer icon neu auf dem Desktop...aber sonst passiert nix?!
Habe es jetzt 3 mal probiert, 2 mal nach neustart und wirklich alle Programme inkl Daemon tools und rainlendar geschlossen.


@Klarser

Danke wegen der mails. Verwende aber Thunderbird was bezüglich der mails an sich ja nichts ändern wird?!

Besten Dank soweit,

PD

Hi,

schlechtes Zeichen!
Der Start wird wahrscheinlich verhindert... .

Mit HJ-fixen
Öffne das HijackThis -- Button "scan" -- vor den unten genannten Einträge(n) Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein, ein eventuell aktiver Teatimer von Spybot muss unbedingt deaktiviert sein!)

Zitat:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

Scanne mit Dr. Web:
Anleitung: Anleitung: DrWeb - CureIt - Trojaner-Board
Aber bitte den Download von hier nutzen http://freedrweb.com/?lng=de
Poste das Log, wenn was erkannt wird;

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

So,

da bin ich wieder. Hat ne ganze weile gedauert mit DrWeb, habe alle platten schecken lassen. Das Logfile ist daher riesig, zu riesig. Habe es mal um die nötigen Eintragungen gekürzt.
Sieht glaube ich nicht gut aus für mich, obwohl AntiVir beim Systemstart nichts mehr meldet...

Grüße und besten Dank soweit!

PD

P.S.: Stelle gerade fest das die Silentrunner log zu groß ist um sie zu posten...werde da auch noch schnell verkleinern müssen...

Hi,

da könntest Du recht haben:
audiohq.exe - Dangerous

Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, ich bin leider morgen den ganzen Tag unterwegs (ab 05:00 Uhr), d. h.
entweder warten oder einen anderen Fragen ob er sich das Silentrunner-Log anschaut. Wobei wir dem neuaufsetzten immer näher kommen...

Avira "anschärfen":
Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

chris

Ps.: Kennst Du dich mit dem Regedit aus?
Der Key muss noch gerade gebogen werden:
HKCU\Software\Microsoft\Internet Explorer\Download
RunInvalidSignatures sollte den Wert 0
haben... Sonst nutzten alle Signaturen nichts, besonderst die von gefälschten Bankseiten werden dann nicht erkannt...

Hallo!

Hier kommen nun die SilentRunner logs...habe sie aufgesplittet wegen der Größe.
Besten Dank wegen der registry Sache, habe den Wert auf 0 gesetzt. Muss mir jetzt nochmal den log des scharf gestellten AntiVir anschauen...hat glaube ich nur noch Dateien in Quarantäne Verzeichnissen gefunden...mmh. Habe bei Antivir auch die Rootkit überprüfung eingeschaltet...ob die was bringt?

Vielen Dank für die Hilfe Chris4You!

Beste Grüße,

PowerDremel

Hi,

sieht gut aus, jetzt nur noch JAVA auf den neusten Stand bringen und die alte Version löschen, dann wäre es Ok;

Download jre-6u4-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u4
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u4-windows-i586-p.exe”

chris