hey Arne

Du hast mir ja echt schon weiter geholfen und ich bin mittlerweile schon ein klein wenig paranoid
deshalb hab ich nochmal den Pandascan laufen lassen der eine verdächtige Datei gefunden hat...
Ich brauch auf jeden Fall nocheinmal deinen Rat
Ich hab die Datei bei Virustotal.com hochgeladen zur Analyse, was sich garnicht so einfach gestaltete...
Wie soll ich damit nun verfahren? Ich hab die Logs vom Panda und virustotal nochmal angehängt, mein Avira hat nichts gemeldet und auch sonst wurde nichts gefunden von Malewarebytes oder so...

Code: Alles auswählenAufklappen

ATTFilter

 ;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-09-22 21:27:41
PROTECTIONS: 1
MALWARE: 0
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
AntiVir Desktop                              9.0.1.32                      Yes       Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
SUSPECTS
Sent      Location                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              ͽ
;===================================================================================================================================================================================
No        C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C7TLV8C4\oost[1].exe
;===================================================================================================================================================================================
VULNERABILITIES
Id        Severity   Description                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                ͽ
;===================================================================================================================================================================================
;===================================================================================================================================================================================
         

und Virustotal:

Code: Alles auswählenAufklappen

ATTFilter

 Antivirus	Version	letzte aktualisierung	Ergebnis
a-squared	4.5.0.24	2009.09.22	Trojan.Generic!IK
AhnLab-V3	5.0.0.2	2009.09.22	-
AntiVir	7.9.1.23	2009.09.22	SPR/Tool.Obfuscator.CW.1
Antiy-AVL	2.0.3.7	2009.09.22	-
Authentium	5.1.2.4	2009.09.22	-
Avast	4.8.1351.0	2009.09.21	Win32:Trojan-gen {Other}
AVG	8.5.0.412	2009.09.22	Generic14.AWTZ
BitDefender	7.2	2009.09.22	Trojan.Generic.2440040
CAT-QuickHeal	10.00	2009.09.22	-
ClamAV	0.94.1	2009.09.22	-
Comodo	2405	2009.09.22	TrojWare.Win32.Trojan.Agent.Gen
DrWeb	5.0.0.12182	2009.09.22	-
eSafe	7.0.17.0	2009.09.22	Suspicious File
eTrust-Vet	31.6.6754	2009.09.22	-
F-Prot	4.5.1.85	2009.09.22	-
F-Secure	8.0.14470.0	2009.09.22	-
Fortinet	3.120.0.0	2009.09.22	-
GData	19	2009.09.22	Trojan.Generic.2440040
Ikarus	T3.1.1.72.0	2009.09.22	Trojan.Generic
Jiangmin	11.0.800	2009.09.22	-
K7AntiVirus	7.10.851	2009.09.22	-
Kaspersky	7.0.0.125	2009.09.22	-
McAfee	5749	2009.09.22	-
McAfee+Artemis	5749	2009.09.22	-
McAfee-GW-Edition	6.8.5	2009.09.22	Riskware.Tool.Obfuscator.CW.1
Microsoft	1.5005	2009.09.22	-
NOD32	4448	2009.09.22	a variant of Win32/Kryptik.ALZ
Norman	6.01.09	2009.09.22	-
nProtect	2009.1.8.0	2009.09.22	-
Panda	10.0.2.2	2009.09.22	Suspicious file
PCTools	4.4.2.0	2009.09.22	-
Prevx	3.0	2009.09.22	-
Rising	21.48.14.00	2009.09.22	-
Sophos	4.45.0	2009.09.22	-
Sunbelt	3.2.1858.2	2009.09.22	-
Symantec	1.4.4.12	2009.09.22	-
TheHacker	6.5.0.2.015	2009.09.22	-
TrendMicro	8.950.0.1094	2009.09.22	-
VBA32	3.12.10.10	2009.09.21	-
ViRobot	2009.9.22.1948	2009.09.22	-
VirusBuster	4.6.5.0	2009.09.22	-
weitere Informationen
File size: 37348 bytes
MD5...: a3ad1c0055f7647f52a0dbb0566ea366
SHA1..: 4ebff0dfaadb6a0f01ca4a3178baa37de98fa9a8
SHA256: 6f416677d5019071fe6061293e834c4b690a938d0d172ccd528f4a6ed40b3979
ssdeep: 768:2fDgAb9vSLKiG6ocIvxc6SD03D7QG42nfAnOu92c2Bg7VMQXx1luGfPsO:Wg
AgLKF6ocIZc6SjGVfAOk2cmcMQXx1N
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5b85
timedatestamp.....: 0x47d66f53 (Tue Mar 11 11:38:59 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5185 0x5200 7.80 965dd3952dd2362617842f4e3f6b0477
.rdata 0x7000 0x2bd2 0x2c00 7.78 97cebb83188304a5362df529e1b4f0fb
.data 0xa000 0x2a89f 0xe00 5.48 93bcb25695d35c795d6fceccd505841f

( 4 imports ) 
> ntdll.dll: DbgPrint, RtlAddAce, NtQueryInformationFile, RtlUpcaseUnicodeString, RtlFreeUnicodeString, RtlFormatMessage
> KERNEL32.dll: InterlockedIncrement, GetCurrentThread, GetConsoleOutputCP, LocalAlloc, ResetEvent, GetThreadLocale, InterlockedDecrement, InterlockedExchange, SetEvent, lstrcpyA, SetHandleCount, DeleteCriticalSection, GetStartupInfoW
> MSVCRT.dll: fopen, time, __set_app_type, _iob, __set_se_translator@@YAP6AXIPAU_EXCEPTION_POINTERS@@@ZP6AXI0@Z@Z, printf, rand, _adjust_fdiv, wcscpy
> ulib.dll: _Initialize@PATH_ARGUMENT@@QAEEPADE@Z, _SetFileName@FSN_FILTER@@QAEEPBVWSTRING@@@Z, __0PATH@@QAE@XZ, _Initialize@ARGUMENT_LEXEMIZER@@QAEEPAVARRAY@@@Z, _GetStandardInput@PROGRAM@@UAEPAVSTREAM@@XZ, _Initialize@WSTRING@@QAEEPBGK@Z, __1ARGUMENT_LEXEMIZER@@UAE@XZ, __1OBJECT@@UAE@XZ, _Initialize@WSTRING@@QAEEPBDK@Z, _GetStandardError@PROGRAM@@UAEPAVSTREAM@@XZ, _QueryString@WSTRING@@QBEPAV1@KK@Z, __0PROGRAM@@IAE@XZ, __0LONG_ARGUMENT@@QAE@XZ

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
         

Danke Schon mal

LG
Flausch

Das dürfte ein Überbleibsel in den temporären Dateien Internetdateien des lokalen Systemkontos sein. Solange das Teil nicht ausgeführt wird, ist das okay.
Kannst Du prüfen, welches Erstell- und Änderungsdatum diese Datei hat?

Code: Alles auswählenAufklappen

ATTFilter

c:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\
         

Diesen Ordner kannst Du leeren.

hey Arne
danke für die schnelle Antwort.
Die exe wurde am 13. september erstellt und geändert, was mit der Infektion übereinstimmen könnte...

Leider lässt sich das biest nicht so einfach löschen. Soll ich es irgendwie mit dem File Assassin von Malewarebytes versuchen?

LG und danke

Flausch

Den Avenger hast Du schonmal angewendet

Vorbereitungen:
a) Deaktiviere den Hintergrundwächter vom Virenscanner.
b) Stöpsele alle externen Datenträger vom Rechner ab.


Danach:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:



3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld (pass auf, dass Du den kompletten Pfad auch kopierst):

Code: Alles auswählenAufklappen

ATTFilter

folders to delete:
c:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5
         

4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

Morgen Arne

hab den Avemger noch mal laufen lassen hier das LOg:

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  folder "c:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5" not found!
Deletion of folder "c:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         

Die Meldung hat mich ein wenig verwundert, (nix gefunden?) als ich dann nocheinmal nachgeschaut hatte, war der Ornder tatsächlich nicht mehr zu finden ...

Ich hoffe das ist jetzt endgültig weg...

Ich danke dir eintausendundeinmal für Deine Hilfe

Flausch

Okay, Du kannst ja als Abschluss nochmal ein frisches RSIT Log zur Überprüfung posten.

GUTEN abend

so hier noch das -hoffentlich- letzte RSIT-Log

http://www.file-upload.net/download-1906764/log.txt.html

Danke Dir fürdie Mühe.

LG
Gwen

Hallo Gwen,

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
         

Wenn Du unbedingt Spybot verwenden willst, solltest Du den Teatimer entfernen. Das Teil ist sinnfrei und kann Laien ziemlich verunsichern.

Logfile ist ansonsten unauffällig. Melde Dich falls noch akute Probleme da sind.

Hallo Arne

Danke Dir für deine geduldige Hilfe...
Das System läuft wieder einwandfrei und offenbar ist auch nichts böses mehjr zu finden...

Also noch mal Allerherzliebstendank für deine Bemühungen - leider nur virtuell aber es geht auf mich

ganz liebe Grüsse

Gwen