Trojaner-Board - Undefinierbares Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Undefinierbares Problem (https://www.trojaner-board.de/76590-undefinierbares-problem.html)

Du könntest erstmal Dir alle Dateien anzeigen lassen. Auch die versteckten und die geschützten Systemdateien.

Schau dann mal auf die ext. Platten ob da eine autorun.inf vorhanden ist.

Normalerweise solltest Du auch alle ausführbaren Dateien nicht mehr ins neu aufgesetzte System übernehmen, also behalte keine Programm, Spiele sowie deren Setupdateien auf der ext. Platte.

Im log ist mir nur das aufgefallen:

Code:

R0 sojubus;sojubus;c:\windows\system32\drivers\sojubus.sys [05.10.2003 10:41 123520]

R0 sojuscsi;sojuscsi;c:\windows\system32\drivers\sojuscsi.sys [28.09.2003 10:57 5504]

Du könntest mal die betroffenen Dateien auswerten lassen, denn bei denen bin ich mir nicht ganz sicher:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

c:\windows\system32\drivers\sojubus.sys

c:\windows\system32\drivers\sojuscsi.sys

Zitat:

alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Das habe ich jetzt nicht so ganz verstanden... aber ich bin auch gerade nicht mehr zu Hause.
Ich mache das morgen... wird sich wahrscheinlich von allein lösen...

Edit: hab jetzt bisschen im Forum rumgeschaut, wie das andere machen.... einfach das was mir virustotal ausspuckt hier rein posten ja? ^^ Sowas wie Dateigrößen und Prüfsummen werden da wohl schon dabei sein :-D

Die autrun.inf kann man ja einfach löschen und nach nem neustart wird sie neu erstellt oder?

Ich sag mal Gute Nacht und nochmal vielen Dank!

sojubus.sys --> 0/41

Code:

  

Datei sojubus.sys empfangen 2009.08.21 08:25:09 (UTC)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 0/41 (0%)

Laden der Serverinformationen... 

Ihre Datei wartet momentan auf Position: 1.

Geschätzte Startzeit ist zwischen 40 und 57 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen. 

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. 

Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. 

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt. 

 Filter Drucken der Ergebnisse  

Datei existiert nicht oder dessen Lebensdauer wurde überschritten 

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). 

Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, 

oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", 

damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. 

 Email:  

  
 

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.5.0.24 2009.08.21 - 

AhnLab-V3 5.0.0.2 2009.08.20 - 

AntiVir 7.9.1.3 2009.08.21 - 

Antiy-AVL 2.0.3.7 2009.08.21 - 

Authentium 5.1.2.4 2009.08.20 - 

Avast 4.8.1335.0 2009.08.20 - 

AVG 8.5.0.406 2009.08.21 - 

BitDefender 7.2 2009.08.21 - 

CAT-QuickHeal 10.00 2009.08.20 - 

ClamAV 0.94.1 2009.08.21 - 

Comodo 2043 2009.08.21 - 

DrWeb 5.0.0.12182 2009.08.21 - 

eSafe 7.0.17.0 2009.08.20 - 

eTrust-Vet 31.6.6692 2009.08.21 - 

F-Prot 4.4.4.56 2009.08.20 - 

F-Secure 8.0.14470.0 2009.08.21 - 

Fortinet 3.120.0.0 2009.08.21 - 

GData 19 2009.08.21 - 

Ikarus T3.1.1.68.0 2009.08.21 - 

Jiangmin 11.0.800 2009.08.21 - 

K7AntiVirus 7.10.823 2009.08.20 - 

Kaspersky 7.0.0.125 2009.08.21 - 

McAfee 5715 2009.08.20 - 

McAfee+Artemis 5715 2009.08.20 - 

McAfee-GW-Edition 6.8.5 2009.08.21 - 

Microsoft 1.4903 2009.08.21 - 

NOD32 4353 2009.08.20 - 

Norman 6.01.09 2009.08.20 - 

nProtect 2009.1.8.0 2009.08.21 - 

Panda 10.0.0.14 2009.08.20 - 

PCTools 4.4.2.0 2009.08.20 - 

Prevx 3.0 2009.08.21 - 

Rising 21.43.41.00 2009.08.21 - 

Sophos 4.44.0 2009.08.21 - 

Sunbelt 3.2.1858.2 2009.08.21 - 

Symantec 1.4.4.12 2009.08.21 - 

TheHacker 6.3.4.3.384 2009.08.21 - 

TrendMicro 8.950.0.1094 2009.08.21 - 

VBA32 3.12.10.9 2009.08.20 - 

ViRobot 2009.8.21.1894 2009.08.21 - 

VirusBuster 4.6.5.0 2009.08.20 - 

weitere Informationen 

File size: 123520 bytes 

MD5...: 218bfa61acdc109df7df6c8aaed1422c 

SHA1..: 729e3ca20f696c74788b80e0c95dbb5a7c24254c 

SHA256: f1370e56dd1281671a291b18db8736064736c63d3a9a33b726d881d4e5ee28ba 

ssdeep: 3072:CzMi7aGMQTUtoBIepjzRci3c4N7nzeAe/PuWUzKZPqn3CFY8Z:CzXa1mUto

B1pj+i3RNLzOuNOZPUC7Z

 

PEiD..: - 

TrID..: File type identification

Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x19a8a

timedatestamp.....: 0x3f7ef9b7 (Sat Oct 04 16:47:51 2003)

machinetype.......: 0x14c (I386)
 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x380 0x11f4b 0x11f80 6.73 ef028e3a7d760a2ffe4d5018554818fd

.rdata 0x12300 0x26b 0x280 4.96 9f8f694f7bcfc58a51ca2a05901895c7

.data 0x12580 0x2ec0 0x2f00 5.89 2307cf546c093a2a195ecd7d7a62fb51

PAGE 0x15480 0x4574 0x4580 6.56 0837a7972e24bd65abbeed0769676089

.edata 0x19a00 0x47 0x80 2.36 bb21e040f68623fbb957bea59db9c9fa

INIT 0x19a80 0x325c 0x3280 6.89 92c4e15f0ca27df3626cab8652754d79

.rsrc 0x1cd00 0x340 0x380 3.11 ec2b15d6485e61e67bc8a6330efe4c7a

.reloc 0x1d080 0x11ea 0x1200 6.59 3273db78631b8b84dea2f5fd18a2ead1
 

( 2 imports ) 

> ntoskrnl.exe: IofCompleteRequest, KeClearEvent, IofCallDriver, ObfReferenceObject, IoDeleteSymbolicLink, IoDeleteDevice, IoCreateSymbolicLink, IoCreateDevice, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlAppendUnicodeStringToString, ZwClose, ZwCreateKey, ZwOpenKey, RtlCopyUnicodeString, RtlInitUnicodeString, KeLeaveCriticalRegion, KeEnterCriticalRegion, sprintf, IoAttachDeviceToDeviceStack, KeInitializeEvent, KeWaitForSingleObject, IoDetachDevice, swprintf, ObfDereferenceObject, IoBuildSynchronousFsdRequest, MmProbeAndLockPages, ZwQuerySystemInformation, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoGetAttachedDevice, MmMapLockedPages, _stricmp, ExInitializeNPagedLookasideList, ExDeleteNPagedLookasideList, KeDelayExecutionThread, RtlEqualUnicodeString, MmUnlockPages, ZwUnmapViewOfSection, ZwMapViewOfSection, ObReferenceObjectByHandle, _alldiv, RtlCompareMemory, IoAllocateMdl, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, KeResetEvent, ZwSetValueKey, wcslen, IoFreeIrp, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, IoAllocateIrp, MmBuildMdlForNonPagedPool, ExfInterlockedRemoveHeadList, KeReleaseSemaphore, ExfInterlockedInsertTailList, KefReleaseSpinLockFromDpcLevel, KefAcquireSpinLockAtDpcLevel, _allmul, ZwQueryValueKey, _allshr, RtlUnicodeStringToAnsiString, memmove, PsGetVersion, KeInitializeSemaphore, KeInitializeSpinLock, _wcsnicmp, ExDeleteResourceLite, ExInitializeResourceLite, IoGetConfigurationInformation, _allrem, RtlUnwind, KeSetEvent, ExFreePool, ExAllocatePoolWithTag, IoReleaseCancelSpinLock, IoAcquireCancelSpinLock, IoFreeMdl, PsGetCurrentProcessId

> HAL.dll: KfReleaseSpinLock, KeStallExecutionProcessor, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock
 

( 1 exports ) 

_PnpA@20

 

PDFiD.: - 

RDS...: NSRL Reference Data Set

-

sojuscsi.sys --> 1/41

Code:

Datei sojuscsi.sys empfangen 2009.08.21 08:52:40 (UTC)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt 
 
 

Ergebnis: 1/41 (2.44%)
 

Antivirus Version letzte aktualisierung Ergebnis 

a-squared 4.5.0.24 2009.08.21 - 

AhnLab-V3 5.0.0.2 2009.08.20 - 

AntiVir 7.9.1.3 2009.08.21 - 

Antiy-AVL 2.0.3.7 2009.08.21 - 

Authentium 5.1.2.4 2009.08.20 - 

Avast 4.8.1335.0 2009.08.20 - 

AVG 8.5.0.406 2009.08.21 - 

BitDefender 7.2 2009.08.21 - 

CAT-QuickHeal 10.00 2009.08.20 - 

ClamAV 0.94.1 2009.08.21 - 

Comodo 2043 2009.08.21 - 

DrWeb 5.0.0.12182 2009.08.21 - 

eSafe 7.0.17.0 2009.08.20 - 

eTrust-Vet 31.6.6692 2009.08.21 - 

F-Prot 4.4.4.56 2009.08.20 - 

F-Secure 8.0.14470.0 2009.08.21 - 

Fortinet 3.120.0.0 2009.08.21 - 

GData 19 2009.08.21 - 

Ikarus T3.1.1.68.0 2009.08.21 - 

Jiangmin 11.0.800 2009.08.21 - 

K7AntiVirus 7.10.823 2009.08.20 - 

Kaspersky 7.0.0.125 2009.08.21 - 

McAfee 5715 2009.08.20 - 

McAfee+Artemis 5715 2009.08.20 - 

McAfee-GW-Edition 6.8.5 2009.08.21 Heuristic.BehavesLike.Win32.Rootkit.L 

Microsoft 1.4903 2009.08.21 - 

NOD32 4353 2009.08.20 - 

Norman 6.01.09 2009.08.20 - 

nProtect 2009.1.8.0 2009.08.21 - 

Panda 10.0.0.14 2009.08.20 - 

PCTools 4.4.2.0 2009.08.20 - 

Prevx 3.0 2009.08.21 - 

Rising 21.43.41.00 2009.08.21 - 

Sophos 4.44.0 2009.08.21 - 

Sunbelt 3.2.1858.2 2009.08.21 - 

Symantec 1.4.4.12 2009.08.21 - 

TheHacker 6.3.4.3.384 2009.08.21 - 

TrendMicro 8.950.0.1094 2009.08.21 - 

VBA32 3.12.10.9 2009.08.20 - 

ViRobot 2009.8.21.1894 2009.08.21 - 

VirusBuster 4.6.5.0 2009.08.20 - 

weitere Informationen 

File size: 5504 bytes 

MD5...: 122fbabc9af1ab0a1a5394945c2e36a7 

SHA1..: 056b9e0fbc81778dfa5a5a5d67aad498db47c24a 

SHA256: dde2fc2ac45f56736ac5ba3e4d1a3426b826fb57f6e25be6e854317d12b4fcfe 

ssdeep: 96:0PuWa0CHJ5iU5YZwk75KsF5+yKJGwg/iPw3:xWa0CHS35P6yKYUI3

 

PEiD..: - 

TrID..: File type identification

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) 

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0xb74

timedatestamp.....: 0x3f76947f (Sun Sep 28 07:57:51 2003)

machinetype.......: 0x14c (I386)
 

( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x300 0x3ae 0x400 5.83 f2fd02fb898bedaa3cce5430901fe9e4

.rdata 0x700 0xa4 0x100 2.74 ad001d03dd0acf3347c1b469a30edea2

.data 0x800 0x124 0x180 0.85 25b8000ebb22071c23e11eaa5c850245

INIT 0x980 0x708 0x780 6.13 cc31ec91b0ae003f9050d21d9defe273

.rsrc 0x1100 0x328 0x380 2.99 33e9f908d22ee2a7f2e6a3fa0e02e95e

.reloc 0x1480 0xcc 0x100 4.15 815c5ecaae17d9644d68e46c87901054
 

( 2 imports ) 

> ntoskrnl.exe: IoAllocateErrorLogEntry, KeWaitForSingleObject, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, _stricmp, ZwQuerySystemInformation, IoWriteErrorLogEntry, RtlWriteRegistryValue, RtlIntegerToUnicodeString, IoQueryDeviceDescription, RtlCreateRegistryKey, RtlAppendUnicodeStringToString, RtlInitUnicodeString, RtlCopyUnicodeString, ExFreePool, PsGetVersion, ExAllocatePoolWithTag

> SCSIPORT.SYS: ScsiPortNotification, ScsiPortInitialize
 

( 0 exports ) 

 

PDFiD.: - 

RDS...: NSRL Reference Data Set

-

Ich werde das System jetzt neu aufsetzten... hoffe es bleibt nichts mehr übrig von dem mist...
Scheinbar ist die eine Datei ja ein rootkit oder so...
Vielen Dank nochmal für die Hilfe, sobald system wieder läuft, schau ich wieder rein!

Zitat:

Zitat von update (Beitrag 458053)

Die autrun.inf kann man ja einfach löschen und nach nem neustart wird sie neu erstellt oder?

Was ich meinte, bezog sich nur auf den Typus Malware, der sich auch auf USB-Sticks/-Platten einnisten will. Da wird eben eine Schädlingsdatei irgendwo auf dem ext. medium kopiert und eine autorun.inf vom Schädling ertzeugt - diese sorgt dafür, dass beim Autoplay die Schädlingsdatei auch ausgeführt wird.

Wieso sollte sie nach dem Neustart neu erstellt werden (sollen)? Sowas hat auch auf ext. Medien eigentlich nichts zu suchen (außer bei CDROM, da ist ein Neustart ja gewollt, für mich aber lästig)

Du könntest - falls so eine autorun.inf auf einen Deiner Sticks oder ext. Platten drin ist - die mal mit dem Editor öffnen. Sie ist so aufgebaut:

Code:

[AutoRun]

open=programm.exe

icon=programm.ico

action=Programm starten

Nach "open" steht der Pfad zum Programm drin, also die mutmaßliche Schädlingsdatei.

Zitat:

Scheinbar ist die eine Datei ja ein rootkit oder so...

Wegen der Sojobus...Nein ich denke das ist kein Rootkit! Da hat nur ein Scanner angeschlagen, und das wird sehr wahrscheinlich ein Fehlalarm sein. Die Hinweise bei der sojubus verdichten sich auf BIOS PlugnPlay Extensions.

Ob Du jetzt noch neu aufsetzen möchtest, ist Deine Entscheidung, die offensichtliche Schädlinge sind entfernt worden.

Wenn Du erstmal mit dem System so weiterarbeiten willst, solltest Du noch die Systemwiederherstellung deaktivieren , denn im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

Also vielen Dank an dich für deine Hilfe.. hab mal wieder viel gelernt :-D

Ich hab jetzt neu aufgesetzt und läuft wieder alles prima!
War aber auch eh mal wieder Zeit dafür...

Danke nochmal!