Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Rimecud.B bzw Palevo Wurm (https://www.trojaner-board.de/86809-rimecud-b-bzw-palevo-wurm.html)

Borte 07.06.2010 07:52

Rimecud.B bzw Palevo Wurm
 
Hi.

Vor einigen Tagen meinte mein Avira AntiVir plötzlich auf einen Wurm namens "Palevo" gestoßen zu sein. Er befindet sich anscheinend in
"C:\Users\meinusername\AppData\Local\Temp\872.exe"
als auch in:
"C:\Users\meinusername\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\97DU1V35\quit79[1].exe"

Das letztere ist eigenartig, denn eigentlich benutze ich nur den Firefox, und nie den IE (höchstens wenn irgendein Programm automatisch nen Browser startet aus irgendeinem Grund, z.B. um auf eine FAQ Seite zu gehen, und manchmal dann den IE nimmt).

Hatte Avira gesagt es sollte die Dateien löschen, dann nochmal per Hand beiden Browsern gesagt sie sollen komplett die Caches löschen. Dann habe ich noch nachgegoogelt um mehr über den Wurm herauszufinden. Da wurde was von Registry-Einträgen erwähnt, die er anlegt. Also habe ich per Regedit danach gesucht, aber nix gefunden. Ich dachte das wäre damit erledigt. Beim nächsten PC Start jedoch kam die gleiche Meldung wieder.

Ich bin auch etwas verwirrt, weil in dem Ereignisbericht von Avira der Wurm als "Rimecud.B.532" bezeichnet wird, jedoch in dem Warn-Fenster das nach der Anmeldungin Windows angezeigt wird, "Palevo" heißt.

In dem einen Guide hier im Forum hieß es, man solle sich ein Anti-Malware-Programm installieren und laufen lassen, aber beißen sich solche Scanner nicht untereinander? Glaube das mal irgendwo gelesen zu haben. Muss ich dafür meinen Avira abschalten? Würde ich ziemlich ungern.

Ebenso: ich hätte per Online-Banking einiges wichtiges zu erledigen, aber irgendwo lass ich etwas über Sicherheitslücken in Bezug auf den Wurm, und nun weiß ich nicht ob ich sowas derzeit noch auf diesem PC erledigen kann.

Würde mich über Hilfe freuen. :)

cosinus 07.06.2010 09:08

Hallo und :hallo:

bitte nen Vollscan mit malwarebytes machen und Log posten. Danach OTL:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Borte 07.06.2010 11:15

Hi, danke für die Antwort. Hier schonmal das Log vom Anti-Malware. Komischerweise werden die Dateien, die Avira Anti-Vir beim Windows-Start als infiziert identifizierte nicht aufgelistet. Hm... Und von Rimecud oder Palevo steht da auch nix, aber von einem andren Wurm.



Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4174

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

07.06.2010 12:12:12
mbam-log-2010-06-07 (12-12-12).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 543837
Laufzeit: 1 Stunde(n), 58 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (explorer.exe,C:\RECYCLER\S-1-5-21-7204055769-6580966995-023815765-8416\nissan.exe) Good: (Explorer.exe) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\RECYCLER\S-1-5-21-7204055769-6580966995-023815765-8416\nissan.exe (Worm.Autorun.B) -> No action taken.



Die OTL Dateien habe ich angehängt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131