|
Windows-Update-Tool ermittelt TrojanSpy:Win32/Bancos.gen!A, kann aber nicht entfernen Hi Leute, leider bin ich erst neu hier und bin auch wirklich kein Crack (schon erst recht nicht was PC-Viren anbelangt) und habe nun schon erfolglos seit gestern nacht und stundenlang hier im Forum und bei Google & Co nach Antworten zu meinem Trojan Problem gesucht , bin aber nicht wirklich fündig geworden und weiß jetzt wirklich nicht mehr weiter : Deshalb meine herzliche Bitte um Hilfe an die Spezialisten unter Euch : Wer kennst sich aus und kann netterweise in möglichst verständlichen Worten helfen ? : Der konkrete Fall : Ich habe gestern ein (neues) Windows XP (home) Sicherheits-Update erhalten, welches als "Tool zum Entfernen bösartiger Software" angezeigt war und nach der Installation des Updates dann bedauerlicherweise den TrojanSpy:Win32/Bancos.gen!A irgendwo ( leider ohne Angabe wo genau ) als Malware gefunden hatte und unter "Überprüfungsergebnisse" aber dann nur mitteilt : "Ermittelt, aber nicht entfernt". In dem entsprechenden Microsoft Bulletin : http://www.microsoft.com/security/portal/Entry.aspx?Name=TrojanSpy%3aWin32%2fBancos.gen!A wird darauf hingewiesen, dass sich hier eine >>> explori.exe <<< im Systemordner eingenistet haben könnte und dass man ggf. in der Registry unter HKLM einen hinzugesetzten Wert >>> explorer <<< finden könne. All diese Suche hat aber zu keinerlei Erfolg geführt , sodass ich schon fast glauben möchte, dass die Microsoft-Update-Meldung "gefunden , aber nicht entfernt" vielleicht falsch oder verfrüht ausgegeben worden sein könnte, und dass dieses Update-Tool zum Entfernen bösartiger Software vielleicht ja sogar noch durchgegriffen haben könnte.. z.B. kurz nach der bereits ausgegebenen Meldung "...nicht entfernt". ( Oder wäre das unmöglich ? ) Denn auch nach dem dann über Nach von mir durchgeführten Intensiv-Scan (also auch alle Archivdateien) mit meiner AVAST Antiviren Software kam nichts an die Oberfläche : Ergebnis : 0 Viren found. AVAST Antivir hat hier lediglich noch zwei Hinweise ausgegeben, wonach 1) eine Prüfung nicht möglich sei, da ein Archiv passwort-geschützt sei. (DataBecker-ZipGenie). Und dann gab es noch einen Hinweis : C:\.. \onJanuary 1,2004. For complete details, visit#154684988 . Ergebnis : Prüfung nicht möglich. Die Datei ist eine Dekomprimierungsbombe. (Letzteres hört sich natürlich erst einmal furchtbar erschreckend an. Dazu habe ich aber Hinweise beim Google gefunden , wonach solche Meldungen auch bei allen möglichen , harmlosen, gepackten Dateien erfolgen sollen; z.B. bei .vob Dateien , die auf virtuellen Laufwerken meine Lern-Software-'CD' startet ) Ich habe hier zwar nun auch mehrere Sicherheiten an bzw. auf diesem XP-Rechner : 1. DSL Fritz Box SL 2. Windows XP Firewall 3. Search & Destroy .. mit aktueller Immunierung gegen Schadsoftware Aber ich möchte natürlich unbedingt und vor allem wissen , *OB* und -falls ja- *WO* der verdammte Mist sich eingenistet hat. Es ist ja wirklich zu blöde, dass die Windows-Update-Meldung (zum Finden und "Entfernen" bösartiger Software nach einem Auffinden zwar den unerfreulichen 'Erfolg' meldet, aber nicht in der Lage zu sein scheint, wenigstens mitzuteilen, WO der Trojaner denn nun "gefunden" wurde. Ich wäre einem liebenswürdigen Zeitgenossen also über alle Maßen dankbar, wenn er/sie mir hier einen wertvollen Tip geben könnte, wie ich hier zum tatsächlichen Aufspüren kommen kann um das Mistding wieder loszuwerden. Das System und alle Programme mit allen Einstellungen komplett neu aufzusetzen würde Tage vernichten und diese Zeit habe ich leider nicht. Wer weiß also Bescheid und kann den "Goldenen Hinweis" geben ? Herzlichen Dank im Voraus Mic |
Halli hallo mic3005 :hallo: Poste bitte ein ZHPDiag log. Überprüfe den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs. Danach: ISeeYouXP - XP
ISeeYouXP - VISTA
|
Hallo undoreal, vielen Dank für die sehr freundlichen Hinweise. Ich habe nun mit ZHPDiag den Log erstellt und versucht, diesen als Code über das Raute-Symbol anzuhängen. Das habe ich aber irgendwie nicht richtig gemacht, weil beim Absenden dieses kurzen Begleit-Textes die Fehlermeldung 'Text zu lang' erschien. Ich packe diesen LOG deshalb jetzt mal kurz separat hier auf meinen Arcor Server Space : http://home.arcor.de/tupolev/ZHPDiag.txt Kann man das jetzt lesen und kann man damit jetzt was herausfinden ? 1000 Dank und Beste Grüsse Mic ------------ |
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. LopSDDeaktiviere deine Sicherheitsprogramme wie Antivirus etc., du kannst sie nach dem Scan wieder aktivieren. * Lade dir Lop S&D herunter*Das generierte Logfile wird unter C:\lopR.txt abgespeichert. *Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein. Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach folgender Phrase suchen lassen: Zitat:
Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. PS: Deinstalliere Java über die Systemsteuerung. Die Version ist veraltet und stellt damit ein großes Sicherheitsrisiko da. |
Gaaaanz, gaanz herzlichen Dank für die sehr entgegenkommende Mühe !! Das Log aus Superantispyware habe ich inzwischen erstellt ; es ist aber anscheinend nicht sonderlich spektakulär . siehe hier : http://home.arcor.de/tupolev/SUPERAntiSpyware Scan Log - 04-15-2009 - 19-39-34.log Den weitere Hinweis bzgl. Virtustotal konnte ich jetzt allerdings leider nicht ganz nachvollziehen, denn einen "Durchsuchen"Button finde ich hier nicht. Wenn ich in dem Feld Suchen eine der angeg. Dateien eintrage ( also z.B. C:\WINDOWS\System32\wininet.dll ) dann passiert anscheinend gar nichts. siehe : http://home.arcor.de/tupolev/virtus_hmpage.jpg Und wie und auf welche Weise und wohin soll ich dann "die Dateien nacheinander hochladen" ? Ein kleiner Tip hierzu würde mir bestimmt weiterhelfen. Den weiteren Weg / Scan mit Lop S&D möchte ich dann erst danach machen.. (und will ihn dann auch noch als lopR.txt bereitstellen) Ich will das aber alles gerne so der Reihenfolge nach abarbeiten, um hier den Überblick nicht zu verlieren, ... bei all den vielen Scans und Logs , die offenbar gemacht werden müssen, um den Brutkasten dieses Teufelteils TrojanSpy ausfindig zu machen und hoffentlich eliminieren noch zu können. Nochmals 1000 Dank für die sehr freundliche Unterstützung ! Beste Grüße Euer Mic |
Gemeint ist Virustotal. Da hat sich undoreal wohl vertippt, aber du hättest nur auf den Link klicken brauchen, um zu Virustotal zu kommen. Also nochmal bei Virustotal hochladen und das gesamte Ergebnis kopieren und hier posten. mfg, Kaos. |
Danke Kaos, hätte ich natürlich auch selbst drauf kommen können... aber da es die Webseite Vir't'ustotal auch tatsächlich gab dachte ich, dass das dann schon seine Richtigkeit haben soll. Die Scanergebnisse aus Virustotal folgen also dann in Kürze.. Hier jetzt erst mal noch kurz das Ergebnis aus dem eingangs ebenfalls empfohlenen Check mit Malwarebytes (keine Malware gefunden) : http://home.arcor.de/tupolev/malware...s0_16apr09.jpg Logdatei siehe hier : http://home.arcor.de/tupolev/mbam-lo...(09-40-44).txt Vielen Dank für Eure sehr freundliche Unterstützung ! Euer Mic |
...und hier ist auch noch das Ergebnis mit ISEEYOU : http://home.arcor.de/tupolev/ISeeYouXP.txt ( im wesentlichen also offenbar auch alles eher 'NOT FOUND' ) P.S. : Bezgl. des eingangs erfolgten Hinweises zum "veralteten" Java noch kurz um Missverständnisse zu vermeiden : Auch wenn die Angabe im LogFile auf ein 'Java1999-2000' hinweist, so ist es aber tatsächlich hier das wirklicvh aller-aktuellste auf dem Rechner.. Ich habe es gerade noch einmal überprüft. siehe : http://home.arcor.de/tupolev/java-aktuell_11apr09.jpg Jetzt folgt noch das Log mit Virustotal.. Bis gleich.. Besten Dank Euer Mix |
.. So. Und hier sind nun noch die Überprüfungen der genannten Dateien C:\Programme\Brother\BRAdmin Professional 3\bratimer.exe C:\WINDOWS\system32\drivers\ip6fw.sys C:\WINDOWS\system32\DRIVERS\secdrv.sys C:\WINDOWS\system32\drivers\SSHDRV86.sys C:\WINDOWS\system32\drivers\SSHDRV59.sys C:\WINDOWS\System32\wininet.dll mit Virustotal : http://home.arcor.de/tupolev/bratime...hk_16apr09.pdf http://home.arcor.de/tupolev/ip6fw-s...hk_16apr09.pdf http://home.arcor.de/tupolev/secdrv_...hk_16apr09.pdf http://home.arcor.de/tupolev/sshdrv8...hk_16apr09.pdf Hierzu der Hinweis zum Ergebnis "eSafe = suspecious file" ( Datei sshdrv86.sys ) : Dabei handelt es sich um einen virtuellen Safe von der Firma Steganos. (Steganos Security Suite 2007) http://home.arcor.de/tupolev/sshdrv5...hk_16apr09.pdf http://home.arcor.de/tupolev/wininet...hk_16apr09.pdf Nach erster Inaugenscheinnahme also auch hier nichts auffälliges. Oder ? Frage bleibt also : Wo steckt das Teufelsding ? Oder ist es schon weg ? Weiterhin vielen vielen Dank für alle, die sich hier soo viel Mühe geben, um zu helfen. Beste Grüsse Euer Mic |
...und hier nun -last but not least - noch den abschließenden Check mit dem von Euch angeratenen LopSD : http://home.arcor.de/tupolev/lopR.txt Auch hier scheint sich nichts gefunden, oder ? Beste Gruesse Euer Mic |
Im log taucht eine PID auf die ich unter deinen laufenden Prozessen nicht wiederfinde. Hattest du evtl. irgendwelche "ungewöhnlichen" Programme/Prozesse laufen während das Microsoft Windows Malicious Software Removal Tool gelaufen ist? Das könnten Updates, Steganos Applicationen oder ähnliche sein. Lasse das Tool bitte nocheinmal laufen: http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en |
Hallo liebe Leute, hier sende ich noch zur besseren Übersicht einmal die Zusammenfassung aller von Euch angeratenen Scans in der Reihenfolge der Ergebnisse. Nach der Windows-Update-Meldung "TrojaSpy... ermittelt, kann aber nicht entfernt werden" ( siehe 000 ) habe ich auch in den folgenden Scans nichts auffälliges finden können .. Nur der ISEEYOU-scan verrät : Windows XP update hatte eben die Meldung (s.o.) ausgegeben. Das nützt natürlich auch nichts, weil ich noch immer nicht weiß, ob das Ding nun evtl. doch schon verschwunden ist oder noch irgendwo hockt... Wer kennt sich aus und hat vielleicht noch eine zündende Idee ?? Beste Grüsse Mic Hier die shots, scans und logs in Reihenfolge : http://home.arcor.de/tupolev/000_bancos-vir.jpg http://home.arcor.de/tupolev/001_ISEEYOU found.jpg http://home.arcor.de/tupolev/002_mal...s0_16apr09.jpg http://home.arcor.de/tupolev/003_lopR.txt http://home.arcor.de/tupolev/004_ZHPDiag.txt http://home.arcor.de/tupolev/005_SUPERAntiSpyware .log http://home.arcor.de/tupolev/006_ISeeYouXP.txt http://home.arcor.de/tupolev/007_mbam-log.txt http://home.arcor.de/tupolev/008_bra...hk_16apr09.pdf http://home.arcor.de/tupolev/009_ip6...hk_16apr09.pdf http://home.arcor.de/tupolev/010_sec...hk_16apr09.pdf http://home.arcor.de/tupolev/011_ssh...hk_16apr09.pdf http://home.arcor.de/tupolev/012_ssh...hk_16apr09.pdf http://home.arcor.de/tupolev/013_win...hk_16apr09.pdf |
Hallo Leute, kurze Info, ab den 1. Jänner 2010 gibt es einen qualitativ hochwertigen Webspace. Das bedeutet Ihr bekommt die Domain mit die Zugangsdaten in einem Augeblick. Cool odor? ;-) *** Hier bitte keine Werbung *** |
Zitat:
Leider ... - oder Gott sei Dank - (?) blieb auch diese Prüfung ohne Befund. siehe hier : http://home.arcor.de/tupolev/no-virus.jpg Seltsam, seltsam, seltsam !!! Vielleicht hatte ich ja doch recht mit meiner eingangs erwähnten Vermutung, dass das Windows Removal Tool erst nach der Meldung "..kann nicht entfernen" im letzten Rucker und Zucker das Ding doch noch weggeblasen hat... Oder wäre das blanke Illusion ? Nochmals 10000x Dank für die umfassende Mühe, die ausgezeichneten Tips und das hervorragende "wie scanne ich alles bis ins letzte-Schlupfloch-Seminar". Eine bessere Schulung kann man nicht bekommen !... auch wenn es hier jetzt offenbar keine klare Antwort gibt auf die Frage : 'Wo sitzt das Mistding.. bzw. ist es wirklich weg?' Letzteres scheint aber wohl wahrscheinlich, oder ? Beste Grüsse Euer Mic :dankeschoen::dankeschoen: |
Ist das wieder lustig bei Euch! Microsoft schreibt: Suche C:\Windows\System32\explori.exe -> eindeutig! Da wieder Scriptkiddies oder Volldeppen am Werk waren natürlich auch HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Warum muss ich dazu wininet.dll mit Gurkensoftfrickelflickware auf was auch immer untersuchen? Kleiner Tip: Mit wininet.dll gehen wir seit Windows 95 ins - Na? - Richtig! - Internet. (Kompetenzteam?) Lustigerweise haben alle mit Virenbefall mindestens 2 Virenscanner laufen, der TO mindestens 3. Ich frage lieber nicht. Damit es auch der Letzte begreift, hier die Tips von Symantec: Disable System Restore (Windows Me/XP). Update the virus definitions. Run a full system scan. Knaller! Was kostet der Quatsch? 50 Euro - 100 im Monat? Jahr? 1 Datei löschen und 1 Registry-Key entfernen, fertig. Mit eingeschränkten Rechten hätte dieser Mist wieder keine Chance gehabt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board