Hallo!

Auf dem Rechner eines Kollegen tauchte vor ein paar Tagen die Meldung auf, dass sich auf dem Rechner der Trojaner "Generic PWS.y" befände.
Die Meldung tauchte das erste Mal auf einen Tag nachdem auf dem PC eine abgelaufene Version von McAfee durch eine neu gekaufte, aktuelle Version von McAfee ersetzt wurde. Möglicherweise war der Virus also schon vorher drauf, wurde aber mangels aktueller Definitions/Engine vielleicht nicht gefunden. Sinnigerweise gab es keine Meldung das das Abo abgelaufen war. Die automatischen Updates lieferten schlichtweg keine neuen Definitionen mehr.

Die betroffene Datei heisst "wineerwp.dll" (425kb) und befindet sich im System32 Verzeichnis.

MD5: b08d45aa8ee6885f77de73281111f747
SHA1: 3e318b90cd95b7cbc51a14702532d88b98d41ff1

Meist taucht die Meldung auf, wenn man den Firefox nach dem Rechnerstart öffnet, manchmal aber auch beim Start anderer Programme. Der Echzeitschutz von McAfee springt darauf an und meldet, dass der Trojaner automatisch entfernt wurde. Die Datei ist daraufhin auch tatsächlich (erstmal) weg und bis zum nächsten Neustart gibt es auch keine weiteren Meldungen.
Nach einem Reboot im normalen Modus ist die Datei dann aber wieder da und der Spaß geht von vorne los. Im Abgesicherten Modus wird die Datei dagegen nicht wieder neu angelegt.
Ich habe den PC im Abgesicherten Modus einmal komplett mit Dr Web "CureIT" gescannt und mit Spybot SD - ohne Befund.
Offenbar kennen beide aktuell den Schädling oder die Variante nicht, denn auch nach einem Neustart und wieder aufgetauchter Datei (und deaktiviertem Echtzeitschutz) bemängeln die beiden Programme die Datei nicht. Ebenfalls ohne Meldung: ClamAV.

Ich habe die Datei bei Virustotal hochgeladen und von mehreren Scan-Engines die Bestätigung erhalten, dass es sich in der Tat um den Virus/Trojaner Generic PWS.y alias Trojan-PSW.Win32.Agent.mrh alias TR/PSW.Agent.mrh handelt.
Ein Avira Professional auf einem anderen PC erkannte die Datei auf USB Stick auch sofort.

Jetzt ist die Frage, wie ich den Schädling dauerhaft loswerde.

Ich habe während schließlich McAfee einen Komplettscan im abgesicherten Modus machte, ein HijackThis Log gemacht. Das Ergebnis des Scans konnte ich aber nicht mehr abwarten, da Betriebsschluß war und ich nicht länger bleiben konnte, weitere Aktionen kann ich also erst Anfang der Woche machen.
Wie so oft handelt es sich natürlich ausgerechnet um einen PC der nicht "mal eben" neu installiert werden kann - jedenfalls nicht ohne ausreichende Vorlaufzeit.

In den Autostart-Bereichen des Rechners war nichts auffälliges zu finden ("run" in der Registry, Autostart Folder, etc.).
Auf dem PC sind keine Filesharer, keine Spiele oder Software fragwürdigen Ursprungs installiert.

Hallo und

Zitat:

Das Ergebnis des Scans konnte ich aber nicht mehr abwarten, da Betriebsschluß war und ich nicht länger bleiben konnte, weitere Aktionen kann ich also erst Anfang der Woche machen.

Wenn es sich um ein Produktivsystem (Firmenrechner) handelt, sollte sich der zuständige Admin des Problems annehmen und kein öffentliches Forum.
Die Jungs/Mädels werden schließlich für so was bezahlt.

MFG

Wenn es sich um einen Betrieb handeln würde, der sich eine eigene IT Abteilung leisten könnte, dann hätte ich nicht gefragt. Wenn du's genau wissen willst: Geht um ein Institut an einer Uni. Wenn du in solchen Gefilden nach dem "Admin" fragst, kann's dir passieren das du einem Studenten ausm 2. Semester vorgestellt wirst.

Hallo und

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\wineerwp.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

3.) Systemdetails mit RSIT prüfen

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

ciao, andreas