Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32.VB.dz (https://www.trojaner-board.de/43161-win32-vb-dz.html)

MrDevil 07.09.2007 17:48

Win32.VB.dz
 
Laut Kaspersky hatte ich folgenden Wurm drauf Win32.VB.dz

Das Problem ist nun das ich - wenn ich unter EXTRAS -> Ordneroptionen -> ANSICHT -> Versteckte Dateien und Ordner anziegen dort die Option "Alle Dateien und Ordner anzeigen" makiere und auf übernehmen klicke werden dennoch nicht alle angezeigt. gehe ich wieder in die Optionen - so ist wieder "Verstecke alle....." makiert udn aktiv

Aber erst seit dem das Ding drauf war!

was muss ich wo ändern, damit ich "wieder volle Kontrolle" erhalte?!

Pelzmaus 07.09.2007 17:59

@MrDevil

Zitat:

Laut Kaspersky hatte ich folgenden Wurm drauf Win32.VB.dz
Hm, *hatte* bedeutet ja eigentlich, daß das Dingen weg sein müßte, aber bei einem Wurm, wenn es denn einer war, halte ich das für ein Gerücht.

Wie hast Du ihn denn *weg bekommen*? Über Kaspersky *gelöscht*, in Quarantäne verschoben, oder wie bist Du vorgegangen?

Was hast Du gemacht, kurz vorher, bevor der Wurm installiert wurde, kannst Du Dich daran noch erinnern? ;)

Bzgl. *sichtbar machen* aller Dateiendungen, hast Du es schon im AM ---> abgesicherten Modus --- > versucht?

Ansonsten der altbekannte Rat, poste bitte ein HijackThis-Logfile, und anonymisiere persönliche Angaben (z. B. Dein Benutzerkonto und URLs) durch Aussternen.

HijackThis - bebilderte Anleitung

Gruß

P. S.

Weißt Du zufälligerweise noch den Pfad, wo der Wurm gefunden wurde? Evtl. noch in der Kaspersky-Logdatei?

Dann könntest Du ihn per C+P bei VirusTotal hochladen und prüfen lassen.

VirusTotal - Free Online Virus and Malware Scan

MrDevil 07.09.2007 18:07

Der Wurm war in

C:\Windows\system32\scvhost\svchost.exe//PE_Patch.UPX//UPX


Der wurm wurde mittels Kaspersky entfernt!

Wie er draufgekommen? Ich habe nen USB Stick eingesteckt!


ich werd es mit dem abgesicherten Modus mal versuchen!

Pelzmaus 07.09.2007 18:16

Hi MrDevil

Zitat:

Der wurm wurde mittels Kaspersky entfernt!
Nein, das bezweifle ich, und auch schon deshalb, weil er nicht etwa in einem Temp-Ordner oder Cache gefunden wurde, sondern im System-Ordner von Windows.

Durch einen USB-Stick? Interessant.....

Ich hoffe, daß es im AM geht, lade auch bitte im abgesicherten Modus die fragliche Datei bei VirusTotal hoch, ferner liefere bitte noch das Logfile nach.

Gruß

MrDevil 07.09.2007 18:21

Die Betrffende File war WIRKLICH weg nur das Verzeichnis war noch vorhanden dieses habe ich SELBST gelöscht!


Im Anhang der hijackthis.log



ps.. ES GEHT NICHT UM DIE DATEIENDUNGEN!!

Pelzmaus 07.09.2007 18:45

Hallo MrDevil

In Deinem Logfile kann ich soweit nichts Schlimmes feststellen, aber vllt. schaut auch nochmal ein User in diesen Thread, der das noch besser interpretieren kann als ich.

BTW, Deine Java-Version ist veraltet, schau hier:

C:\Programme\Java\jre1.6.0\bin\jusched.exe

Aktuell ist das Update 2, hier downzuloaden:

Download der Java-Software von Sun Microsystems

Auch hier gilt, wie beim Betriebssystem, es stets aktuell zu halten, vor allem, wenn es sich um Anwendungen handelt, die Verbindung zum Internet aufnehmen können. (auch Browser, Plugins etc.)

Wenn Du das nicht machst, entstehen Lücken, die nicht gepatched sind, und als Einfallstor für Schädlinge mißbraucht werden können.

Das mit den Dateiendungen meinte ich auch so, daß das vielleicht ein *Mitbringsel* vom Wurm ist, denn es macht ja Sinn, die erweiterten Dateiendungen weiterhin zu verstecken, bzw. das *sichtbar machen* zu verhindern, damit Malware sich leichter installieren läßt.

Bei einer .exe oder so wärest Du sicher vorsichtig, um das mal als Beispiel zu nehmen, aber wenn da nur .doc stünde, oder .pdf, ist man doch eher geneigt, ohne großartige Prüfung die betreffende Datei zu installieren.

Und da sich der Wurm nach den Angaben des Scanners im Windows-Systemverzeichnis *befand*, bzw. eher noch befindet, kann er auch nicht so einfach gelöscht werden.

Fakt ist, wenn Dein System kompromittiert wurde, nur mal angenommen, wurde der Scanner ebenfalls manipuliert, da er auf dem zu schützenden System läuft. Eine *Bereinigung* bei einem Wurm halte ich schlicht für unmöglich, jedenfalls nicht so, daß Du wieder ruhigen Gewissens von einem sauberen System ausgehen kannst.

Folgender Link sei Dir *ans Herz gelegt*, lies Dich mal ein, und Du verstehst, was ich meine:

Homepage von Malte J. Wetz

Gibt es denn bei Deinem Rechner noch andere *Auffälligkeiten*, außer der Sache, daß das mit den Dateiendungen nicht klappt?

Gruß

MrDevil 07.09.2007 18:52

Zitat:

Zitat von Pelzmaus (Beitrag 292275)
Gibt es denn bei Deinem Rechner noch andere *Auffälligkeiten*, außer der Sache, daß das mit den Dateiendungen nicht klappt?
Gruß



Die Dateinendungen WERDEN angezeigt!!!!
Sonst gibt es keien auffälligkeiten am System das Sytem ist auch Sauber habe über dsa Netzwer die Platten gescannt!


Aber hast schon recht - wollte sowiso Windows neuinstallieren :-) dann ist ddas nun der Anlass dafür :-)

Pelzmaus 07.09.2007 19:35

Hi nochmal

Zitat:

Die Dateinendungen WERDEN angezeigt!!!!
Sry, dann habe ich Dich falsch verstanden. ;)

Zitat:

Aber hast schon recht - wollte sowiso Windows neuinstallieren :-) dann ist ddas nun der Anlass dafür :-)
Gute Idee, viel Erfolg!

Gruß

BataAlexander 08.09.2007 04:13

Sorry, ich lese erst jetzt mit.
Herr Teufel, neuinstallieren ist hier angesagt.
Du bist immer noch infiziert, siehe hier.
Im Log unter
Zitat:

F2 - REG:system.ini: UserInit=userinit.exe,wuauserv.exe
zu finden.
Wie Du schon sagtest kommt diese Infektion über Wechselmedien, daher diese reinigen.
@ Pelzmaus: Vieles von dem was Du schreibst ist an sich richtig, aber wenn man sich unsicher ist, sollte man einfach mal nicht posten.
In der Regel wird hier jeder Thread von mindestens einem Kompetenzler mitgelesen, aber am Wochenende ist es hier nicht so besetzt, daher lies ruhig erst mal mit und stelle ggf. Fragen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131