Hallo,

ich bin mittlerweile nach einer durchgemachten Nacht und einigen Litern Cola ziemlich am verzweifeln mit meinem System, ich scheine mir Trojaner eingefangen zu haben obwohl ich mein System aktuell halte und natürlich auch nicht einfach mal irgendwelche email Anhänge starte oder dergleichen. Ich kenne mich auf dem Gebiet nicht wirklich aus, habe seit Montag fast pausenlos gegoogelt, in eurem Forum ne Menge gelesen, meine ganzen Prozesse und verdächtige Dateien mit VirusTotal akribisch durchgeganen und bin mittlerweile echt platt und seit >30h wach , bitte nehmt mir nicht übel, wenn ich mittlerweile schon etwas konfus schreibe oder mir andere Fehler unterlaufen.


es fing am Montag damit an, dass sich Firefox von alleine startete (keine neue hp soweit ich mich erinnern kann, aber ich hab ne menge Tabs offen standardmäßig). Habe ziemlich chaotisch erstmal AVG AV Testversion installiert & aktualisiert (hatte eine veraltete Sophos AV Lösung drauf - ja ich weiß ) und mir von Sophos das Anti-Rootkit (SAR) gezogen und letzteres anfangen lassen zu scannen. Scheinbar beim scannen vom SAR ist der ResidentScanner von AVG angesprungen mit folgender Meldung:



Weil SAR immer einen 6-letter random process erzeugt und mir das erst nicht klar war, dass es von SAR ausgeht, habe ich zu dem Zeitpunkt den Scan beendet. (Asche auf mein Haupt, den dummen Fehler habe ich später nochmal begangen)
Die gefundenen Dateien habe ich in die Virenquarantäne bzw. gelöscht
Da SAR massenweise "unknown hidden files" reported hat (altes w2k servicepack install zeugs) und ich Angst hatte das Ding wär evtl kompromitiert (s.o.), habe ich das sein lassen, habe u.a. über das Trojaner Board Malwarebytes AntiMalware gefunden, ein QuickScan ergab allerdings nichts. Im Anschluss von der SysInteralsSuite den RookitRevealer gestartet und wieder ist AVG angesprungen wie wohl RootkitRevealer Dateien gescannt hat:



habe im Halbschlaf in bewährter Dummheit den unten im Screen angezeigten Progress geschlossen (...ja den RootkitRevealer).
Ich hatte zu dem Zeitpunkt kein Vertrauen mehr in die lokalen Tools und habe einen OnlineScan von Panda gestartet und mich die Nacht durch Foren, Threads, Virenlexika gewühlt und alle möglichen Prozesse mit VirusTotal geprüft .... Panda's Scan hat wohl seine 9h beansprucht.
Am Ende des Scans kann man den Report speicher, habe ich gemacht, allerdings ist das File jetzt komplett leer (nach nem Neustart), obwohl ich davor noch einige Male drauf zugegriffen habe. Die Meldungen waren einige Tracking Cookies, Trojaner funde wieder in den SysVolumeInfos und ein möglicher Vundo Fund in einem allerdings uralten Rar-Filearchiv (Partition mit altem Müll).

Heute morgen nach dem Panda Scan habe ich dann einen weiteren Malwarebyte Scan gestartet (immer vorher updated), diesmal einen Full Scan, hier der Report, wo auch das erstemal wieder dieser "df.exe","di.exe" (vom 1. Screen, Benennung je nach Laufwerksnamen?) gefunden wurde innem recycler ordner und wieder mal trojaner in den SysVolumeInfos (vermutlich vorher nicht gefunden, weil ich die AntiRooktkits panisch zu früh beendet hab):

Zitat:

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4387

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 14:24:18
mbam-log-2010-08-04 (14-24-18).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|M:\|N:\|O:\|P:\|)
Durchsuchte Objekte: 438418
Laufzeit: 1 Stunde(n), 40 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-1409082233-413027322-1417001333-1003\Dc8\Keygen.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C8D9FC2A-BE62-4873-9323-9E6CD8E0DD1B}\RP160\A0047906.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
D:\Programme\CDBurnerXP Pro 3\Resources\xplibico.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\RECYCLER\S-1-5-21-1409082233-413027322-1417001333-1003\Df1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
I:\RECYCLER\S-1-5-21-1409082233-413027322-1417001333-1003\Di1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Sind denn diese Trojaner im Recycler aktive Varianten, oder habe ich den/die womöglich noch gar nicht gefunden? Die Trojaner in den SysVolumeInfos scheinen Altlasten zu sein die nur noch wegen Wiederherstellungspunkten von XP vorhanden sind oder so ähnlich, wenn ich das richtig verstanden habe aus einigen Threads die ich gelesen hab?

Im Moment lasse ich nochmal einen Voll-Scan laufen, nach bisschen mehr als der Hälfte gibt es scheinbar noch keine Hits.

Ich wäre echt saufroh wenn mir jemand helfen könnte und hoffe dass ich die Board Regeln auch wie gewünscht umgesetzt habe.

schöne grüße

flo

PS: bzgl Vundo Trojaner oder generell alten JREs, ich muss jetz mal so dumm fragen: spielen alte 1.2-1.5er Java Installationen eine Rolle oder geht es nur um im aktuellen System registrierte / installierte Java Versioinen? Ich habe in einigen Partitionen noch diverse JREs rumliegen von früher

sorry ich habe vorhin keine OTL logs angehängt, der 2. Lauf von Malwarebytes' Anti-Malware hat wieder 2 Treffer gefunden, die vorher nicht erkannt wurden / da waren:

Zitat:

Malwarebytes' Anti-Malware 1.46
w*w.malwarebytes.org

Datenbank Version: 4388

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04.08.2010 17:44:51
mbam-log-2010-08-04 (17-44-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|M:\|N:\|O:\|P:\|)
Durchsuchte Objekte: 432843
Laufzeit: 2 Stunde(n), 23 Minute(n), 20 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
F:\System Volume Information\_restore{C8D9FC2A-BE62-4873-9323-9E6CD8E0DD1B}\RP179\A0050659.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
I:\System Volume Information\_restore{C8D9FC2A-BE62-4873-9323-9E6CD8E0DD1B}\RP179\A0050728.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

ich habe desweiteren die Systemwiederherstellungspunkte deaktiviert und wieder aktiviert + danach einen aktuellen OTL Scan gemacht (siehe Anhang)

Ich kenn mich damit nicht aus aber in der OST.txt wurden unter *Files - Modified Within 30 Days* absurd klingende pc_*.dat files gefunden, die heute nachmittag erstellt wurden

Zitat:

C:\RECYCLER\S-1-5-21-1409082233-413027322-1417001333-1003\Dc8\Keygen.exe

Erklärung oder willste gleich formatieren

hi, danke für die antwort

Ich hatte nach dem Panda Online Scan eine Menge uralte als verdächtig bezeichnete Rar's und Zip's gelöscht, da Panda auch zip Archive durchgegangen ist. (auch Sachen wie uraltes mIRC). C ist ne ziemlich alte Partition wo mal Windows 2000 drauf war oder hat das nichts damit zu tun in welchem Recycler das gefunden wird? (L:\ ist die Systempartition, auch was installierte Programme betrifft) Ausgeführt dergleichen habe ich nichts, habe das auch nicht weiter beachtet, da ich sowas nicht mehr anfasse und die Daten auf C im Prinzip auch alte Geschichte sind.
Das gleiche übrigens mit D:\ und dem gefundenen CDBurnerXP Pro, was ich damals als empfohlenes Freeware Programm in Erinnerung hatte?

Ist mein System generell verseucht wenn in den Recycler Ordnern und SystemVolumeInfos Trojaner gefunden werden? Ich habe keine Ahnung wie die Trojaner in diesen Orndern aktiv werden und habe Angst, dass sich so ein Trojaner hält auch wenn ich die Systempartition neu aufsetzen würde? Bzw können das Altlasten sein von einer alten Windows Installation? :/

Die gefundenen Treffer von Anti-Malware wurden alle in Quarantäne gepackt bzw gelöscht, seitdem hat Anti-Malware nichts mehr gefunden, auch im abgesicherten Modus, ich habe halt Angst dass sich immer noch was versteckt, evtl eben auch wenn ich die Windowspartition platt mache.

lg

flo

Wenn alles nur uralt ist und nicht mehr verwendet mach einfach alles platt und fertig

Dateien, die crack.exe, keygen.exe oder patch.exe sind zu 99,9% gefährliche Schädlinge, mit denen man nicht Spaßen sollte.
Ausserdem sind diese illegal und somit beschränkt sich der Support auf
Anleitung zum Neu aufsetzten

Bin bereits am durchgehen, ob es was zu sichern gibt, hatte immer die alte Windows Partition am Leben gelassen und parallel das neue Windows auf eine andere Partition, um im Notfall nochmal darauf zurückgreifen zu können (installiertes DB Projekt und dergleichen).
Werde C und D formatieren, L natürlich auch, es sind allerdings insgesamt 3 Fesplatten und alles in Partitionen aufgeteilt, ich kann nie alles zusammen formatieren. Laufe ich dann Gefahr Trojaner zu übernehmen oder ist die Sache gegessen indem ich die Systempartition formatiere? (grade wegen dieser Recycler Ordner Sache, die es ja auf jeder Partition gibt)

lg

flo

C und D: sind verseucht. Was die anderen angeht habe ich keine Ahnung wie du was partitioniert hast, welche Daten du wohin kopiert hast etc

Downloade dir bitte CKScanner

Wichtig: Save Speichere die Datei am Desktop.

• Doppelklick auf die CKScanner.exe und klicke auf Search For Files.
• Danach klick auf Save List To File.
• Es wird eine Box aufpoppen was dir mitteilt das die Datei gespeichert wurde (file saved)
• Öffne die CKFiles.txt auf deinem Desktop und poste den Inhalt hier.

hi, danke nochmal

Zitat:

CKScanner - Additional Security Risks - These are not necessarily bad
c:\programme\ssh communications security\ssh secure shell\ssh-keygen2.exe
scanner sequence 3.NA.11
----- EOF -----

die ssh-keygen2 dient dazu ein Auth-Key-Paar zu erstellen für die ssh Verbindung
h**p://www.urz.uni-heidelberg.de/bin/man-cgi?ssh-keygen2

Habs auch auf VirusTotal gescannt ohne Treffer

schön' gruß

flo

Downloade Dir bitte Load.exe

Das Tool benötigt eine aktive Internetverbindung, aber keinen offenen Browser
Sollte deine Firewall meckern, die Anwendung bitte zulassen.

• Speichere die Datei am Desktop.
• Doppelklick auf die load.exe
• Belasse die Häckchen wie sie sind.
• Schließe nun alle offenen Programme.
• Klicke auf Download
• Bitte während dem Download nicht in das Fenster klicken.
• Folge den Anweisungen auf dem Bildschirm.
• Wenn das Fenster Status aufpoppt klicke Start.

Nach dem Neustart findest Du einen Ordner MFTools auf dem Desktop. Darin befindet sich eine Anleitung.pdf.
Diese bitte öffnen und die darin beschriebenen Schritte abarbeiten.

Hi, ich habe die Anleitung so durchgearbeitet, nach GMER Scan konnte ich Windows nicht mehr beenden oder neustarten.
Ich habe alles beendet und deaktiviert an AV Software (oder Spybot Search&Destroy) was ging, es tauchen aber dennoch AVG Sachen auf (hätte wohl die Prozesse per Taskmanager beenden müssen?).
Der OTL Scan hat auch beim 2. Scan keine EXTRAS.txt erstellt, hätte ich noch was spezielles auswählen sollen?

schönen Gruß

flo

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button (<< klick) drücken.
  
  
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
  
  
• Setze den einen Hacken bei Yes, i accept the Terms of Use.
• Drücke den Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Remove found threads" und "Scan archives".
• drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt suchen und mit Deinem Editor öffnen.
• Logfile hier posten.

hier der Eset Log:

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=0c2ebe413839d34285c64d1cb82876ef
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-08-07 07:09:38
# local_time=2010-08-07 09:09:38 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1024 16777215 100 0 15939540 15939540 0 0
# compatibility_mode=8192 67108863 100 0 20468 20468 0 0
# scanned=210373
# found=0
# cleaned=0
# scan_time=9700

Downloade Dir bitte SecurityCheck

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.

Poste den Inhalt bitte hier.


Schritt 2

Starte bitte OTL.exe.
Wähle unter
Extra Registrierung: Benutze Safe List und klicke auf den Scan Button.

hi, diesmal wurde auch eine EXTRAS.txt erstellt - Security Check hat paar Sachen gefunden die ich wohl gleich mal updaten sollte, danke schon mal.

Zitat:

Results of screen317's Security Check version 0.99.5
Windows XP Service Pack 3
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
AVG 9.0
ESET Online Scanner v3
Antivirus up to date!
```````````````````````````````
Anti-malware/Other Utilities Check:
Malwarebytes' Anti-Malware
HijackThis 2.0.2
CCleaner
Java DB 10.5.3.0
Java(TM) 6 Update 20
Java(TM) SE Development Kit 6 Update 20
Out of date Java installed!
Adobe Flash Player 10.1.53.64
Adobe Reader 9.1 - Deutsch
Out of date Adobe Reader installed!
Mozilla Firefox (3.6.8)
Mozilla Thunderbird (2.0.0) Thunderbird Out of Date!
````````````````````````````````
Process Check:
objlist.exe by Laurent
AVG avgwdsvc.exe
AVG avgtray.exe
AVG avgrsx.exe
AVG avgnsx.exe
AVG avgemc.exe
````````````````````````````````
DNS Vulnerability Check:
nslookup.exe missing!
GREAT! (Not vulnerable to DNS cache poisoning)

``````````End of Log````````````

schönen Gruß

flo