| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Sieht aus wie Conficker, ist es aber nichtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
| |
05.11.2009, 11:33
| #1 |
| |  Sieht aus wie Conficker, ist es aber nicht Hallo, Gemeinde! Nachdem ich mich jetzt durch gefühlte Hundert Threads zu verschiedensten Erkrankungen gewühlt habe, eröffne ich nun doch einen eigenen Thread. Der Hintergrund ist folgender: Eigentlich habe ich AntiVir auf meinem XP-SP2-System, diesen immer schön am updaten, bin allgemein recht vorsichtig (bis auf die XP-Updates, zugegeben). Ich habe aber den Verdacht, dass ich mir über meinen USB-Stick etwas eingefangen habe. Ich komme aber bei allem Suchen nicht auf den "einen" bösen Schädling. Daher beschreibe ich euch das Verhalten: - Am auffälligsten: Seiten wie avira.com, microsoft.com, sophos.com, etc, etc. sind blockiert. Klingt also wie conficker. Habe mir die entsprechenden Microsoft-Tips durchgelesen, die entsprechenden 3 Patches nachinstalliert. Aber: Finde in der Registry nicht die entsprechenden Einträge, die auf Conficker schließen lassen. - Beim Systemscan mit Antivir tauchte in einer 500MB-TMP-Datei namens drw00000.tmp ein Dropper.Gen-Fund auf, eine "20.tmp" in system32\spool\prtprocs\w32x86 war laut antivir ein TR/Cosmu.com (zu dem ich fast nichts im Internet finde), eine "xnsmcweaor.tmp" in lokale einstellungen\temp ist als TR/Crypt.XPACK.Gen erkannt worden. Die erste große Datei habe ich geloescht, die anderen beiden sind in Quarantaene. - DrWebs CureIT glaubte einen Win32 HLLW shadow based in einer DLL in System32 gefunden zu haben. Schon gelöscht. - clamav will einen win32 virut gen gefunden haben in einer scpbw32.dll, die in system32 liegt. Datei bei virustotal hochgeladen: 0/40 springen an. Suche ergibt, dass da wohl ein False Positive ist. - Keine Auffälligkeiten bei der automatisierten Analyse der HiJackThis-Log - Nichts mit RootKitRevealer gefunden - eScan findet nur 2 Null.Corrupted-Sachen, die angeblich keine Bedeutung haben - Ich vergaß zu erwähnen, wie ich auf den USB-Stick kam: Antivir ist angesprungen mit einer Meldung, dass eine autorun.inf infiziert sei. Daher die Conficker-Vermutung. Ich gebe euch hier mal die HiJackThis-log, die RSIT-Logs und die SilentRunners-Log und freue mich auf eure Hilfe! Danke! Gruß shabba Geändert von shabba (05.11.2009 um 11:51 Uhr) |
| Themen zu Sieht aus wie Conficker, ist es aber nicht |
| .dll, antivir, conficker, dll, escan, false positive, folge, gen, hijack, hilfe!, hintergrund, registry, revealer, schließen, seite, seiten, suche, system32, tr/crypt.xpack.ge, update, verdacht, virus, virustotal, virut, win32 |
Baum-Darstellung