Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   win32.autorun.tmp wie entfernen? (https://www.trojaner-board.de/89881-win32-autorun-tmp-entfernen.html)

amidala 23.08.2010 19:12

win32.autorun.tmp wie entfernen?
 
Hallo!
Ich hoffe hier kann mir jemand helfen :)
Seit einigen Tagen öffnet Firefox ständig neue Fenster.
Ein Scan mit Avast ergab keine Funde
Ein Scan mit Spybot search & destroy ergab: Win32.autoRun.tmp
Wenn ich auf "Beheben" klicke zeigt mir spybot auch an, dass alles behoben wurde, lasse ich Spybot dann nochmal laufen findet er wieder diese Datei

Ich habe schon hier im Forum gesucht und mit OTL heruntergeladen und einen Scan (!?) mit folgenden Angaben durchgeführt (Wurde einem User mit dem gleichen Problem empfohlen) http://www.trojaner-board.de/86870-w...n-tmp-tun.html
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles

Daraufhin habe ich zwei txt-dateien bekommen, die ich versuche anzuhängen.

Ich bin mir nicht sicher, ob ich weiter nach dem anderen Thread vorgehen kann, oder ob die Ausgabe so individuell ist, dass ich mir mit den "reperaturangaben" aus dem anderen Beitrag etwas kaputt machen würde. Deshalb poste ich quasi das gleiche Thema nochmal, sorry!

Ich würde mich sehr freuen, wenn mir hier jemand helfen könnte!
danke :)

john.doe 24.08.2010 19:04

Hallo Kathrin und :hallo:
Zitat:

lasse ich Spybot dann nochmal laufen findet er wieder diese Datei
Deinstalliere Spybot und wenn du schon dabei bist, Zonealarm gleich mit.
Zitat:

Ich bin mir nicht sicher, ob ich weiter nach dem anderen Thread vorgehen kann
Nein, es sei denn, du kannst die Skripte selbst erstellen.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lies die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Vorsichtig geschätzt wird in deinem Fall die Reinigung die dreifache Zeit einer Neuinstallation benötigen.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!)
Code:

:OTL
SRV - (CiscoVpnInstallService) -- C:\Dokumente und Einstellungen\kathi\Lokale Einstellungen\Temp\WZS92.tmp\installservice.exe File not found
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006\..\Toolbar\WebBrowser: (ZoneAlarm-Sicherheit Toolbar) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} http://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159706847550 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab (Java Plug-in 1.5.0_08)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe) - C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe (Pnecfu. Sca)
O20 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006 Winlogon: Shell - (C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe) - C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe (Pnecfu. Sca)
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\AutoRun\command - "" = F:\RAPO\drogeras.exe -- File not found
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\explore\command - "" = F:\RAPO\\drogeras.exe -- File not found
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\open\command - "" = F:\RAPO\\drogeras.exe -- File not found
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\AutoRun\command - "" = nestala\\emilia.exe
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\explore\command - "" = nestala\\\emilia.exe
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\open\command - "" = nestala\\\emilia.exe
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell\AutoRun\command - "" = F:\DPFMate.exe -- File not found
O33 - MountPoints2\{db8f2a1a-74fc-11dd-913b-0060b361c63f}\Shell\AutoRun\command - "" = nymdik.exe
O33 - MountPoints2\{db8f2a1a-74fc-11dd-913b-0060b361c63f}\Shell\open\Command - "" = nymdik.exe
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{f1ea4810-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun\command - "" = G:\ysyjq1bs.exe -- File not found
O33 - MountPoints2\{f1ea4810-dfdb-11de-b385-0060b361c63f}\Shell\open\Command - "" = G:\ysyjq1bs.exe -- File not found
Files:
C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

ciao, andreas

amidala 24.08.2010 19:47

Hallo Andreas, vielen Dank für deine Antwort!

Bevor ich mich für einen Weg entscheide habe ich noch ein paar Fragen :)

1. Kann meinen (Office- /Open Office- /Foto- /Musik-)Dateien etwas passieren, wenn ich die Bereinigung durchführe? oder sind die von sowas gar nicht betroffen?
Sollte ich sie zur Sicherheit auf eine externe Festplatte kopieren?

2. Wenn ich mir überhaupt zur Sicherheit (ob jetzt Bereinigung oder Formatierung) einige Dateien auf eine externe Festplatte kopiere, kann es dann sein, dass ich den Wurm mit kopiere und ihn womöglich am ende sogar schon wieder draufziehe?

3. Können Programme von der Bereinigung "unbrauchbar" werden?

4. Programme werden bei einer Formatierung auf jeden Fall gelöscht, oder?

5. kannst du herausfinden woher man / ich den Wurm bekommen habe?

6. kannst du mir sagen, was genau der Wurm überhaupt macht? ... also, außer Werbefenster bei Firefox zu öffnen...

7. Besteht die Gefahr, dass ich andere "anstecke", wenn ich mit ihnen Dateien über USB-Sticks austausche?

Grüße, und nochmal Danke für die Antwort :)

john.doe 24.08.2010 20:03

Zitat:

1. Kann meinen (Office- /Open Office- /Foto- /Musik-)Dateien etwas passieren, wenn ich die Bereinigung durchführe?
Nein.
Zitat:

Sollte ich sie zur Sicherheit auf eine externe Festplatte kopieren?
Das solltest du grundsätzlich immer und auch regelmäßig durchführen. Festplatten gehen irgendwann kaputt und dann ist guter Rat mehr als teuer.
Zitat:

Wenn ich mir überhaupt zur Sicherheit (ob jetzt Bereinigung oder Formatierung) einige Dateien auf eine externe Festplatte kopiere, kann es dann sein, dass ich den Wurm mit kopiere und ihn womöglich am ende sogar schon wieder draufziehe?
Grundsätzlich möglich, bei dem gehe ich allerdings nicht davon aus.
Zitat:

3. Können Programme von der Bereinigung "unbrauchbar" werden?
Ja, kann passieren. ComboFix zerschiesst gerne Netzwerktreiber. Selbst Malwarebytes hat schon einmal ein Rechner geschrotet, ist aber eher die Ausnahme.
Zitat:

4. Programme werden bei einer Formatierung auf jeden Fall gelöscht, oder?
Jein. Bei einer Formatierung wird alles gelöscht, allerdings werden die Daten nicht wirklich überschrieben und lassen sich mit speziellen Programmen z.T. wiederherstellen. Wenn du sicher löschen möchtest, bietet sich z.B. Darik's Boot And Nuke | Hard Drive Disk Wipe and Data Clearing an.
Zitat:

5. kannst du herausfinden woher man / ich den Wurm bekommen habe?
Manchmal gelingt es, manchmal nicht. Das hängt davon ab, ob er Spuren hinterlassen hat.
Zitat:

kannst du mir sagen, was genau der Wurm überhaupt macht?
Dazu müsste ich erstmal wissen, um wen es sich eigentlich handelt und was er genau macht. Deshalb lade bitte die Datei
Code:

C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
bei uns hoch => http://www.trojaner-board.de/54791-a...ner-board.html
Zitat:

Besteht die Gefahr, dass ich andere "anstecke", wenn ich mit ihnen Dateien über USB-Sticks austausche?
Bei einigen schon, bei dem vermutlich nicht. Siehe voriger Absatz.

ciao, andreas

Edit: Angekommen.

Code:

File name:
gnja.exe
Submission date:
2010-08-24 19:19:12 (UTC)
Current status:
finished
Result:
17/ 41 (41.5%)        VT Community

not reviewed
 Safety score: -

Compact
Print results  Antivirus        Version        Last Update        Result
AhnLab-V3        2010.08.24.00        2010.08.23        -
AntiVir        8.2.4.38        2010.08.24        -
Antiy-AVL        2.0.3.7        2010.08.23        -
Authentium        5.2.0.5        2010.08.24        W32/Rimecud.J.gen!Eldorado
Avast        4.8.1351.0        2010.08.24        Win32:MalOb-BZ
Avast5        5.0.594.0        2010.08.24        Win32:MalOb-BZ
AVG        9.0.0.851        2010.08.24        Cryptic.AUG
BitDefender        7.2        2010.08.24        Gen:Variant.Bredo.15
CAT-QuickHeal        11.00        2010.08.24        Win32.Packed.Katusha.o.3.Pack
ClamAV        0.96.2.0-git        2010.08.24        -
Comodo        5845        2010.08.24        Heur.Suspicious
DrWeb        5.0.2.03300        2010.08.24        -
eSafe        7.0.17.0        2010.08.24        -
eTrust-Vet        36.1.7810        2010.08.23        -
F-Prot        4.6.1.107        2010.08.24        W32/Rimecud.J.gen!Eldorado
F-Secure        9.0.15370.0        2010.08.24        Gen:Variant.Bredo.15
Fortinet        4.1.143.0        2010.08.24        -
GData        21        2010.08.24        Gen:Variant.Bredo.15
Ikarus        T3.1.1.88.0        2010.08.24        Trojan.Win32.Rimecud
Jiangmin        13.0.900        2010.08.23        -
Kaspersky        7.0.0.125        2010.08.24        P2P-Worm.Win32.Palevo.jub
McAfee        5.400.0.1158        2010.08.24        -
McAfee-GW-Edition        2010.1B        2010.08.24        -
Microsoft        1.6103        2010.08.24        Trojan:Win32/Rimecud.A
NOD32        5394        2010.08.24        a variant of Win32/Kryptik.FZG
Norman        6.05.11        2010.08.24        -
nProtect        2010-08-24.01        2010.08.24        -
Panda        10.0.2.7        2010.08.24        -
PCTools        7.0.3.5        2010.08.24        -
Prevx        3.0        2010.08.24        High Risk Cloaked Malware
Rising        22.62.01.04        2010.08.24        -
Sophos        4.56.0        2010.08.24        Mal/FakeAV-EW
Sunbelt        6785        2010.08.24        -
SUPERAntiSpyware        4.40.0.1006        2010.08.24        -
Symantec        20101.1.1.7        2010.08.24        -
TheHacker        6.5.2.1.355        2010.08.24        -
TrendMicro        9.120.0.1004        2010.08.24        -
TrendMicro-HouseCall        9.120.0.1004        2010.08.24        -
VBA32        3.12.14.0        2010.08.24        Malware-Cryptor.Grygoryi.3
ViRobot        2010.8.24.4005        2010.08.24        -
VirusBuster        5.0.27.0        2010.08.24        -
Additional information
Show all
MD5  : d526417f55df8e86b7be2cb8fe68ec2a
SHA1  : 8b1e76d32b6b7f126678fe5bdb57f5dae084a6d7
SHA256: eb900216bc2f9e0fd8104d137e8d5f8e5dc8cdbff6598976e48b858bb970b595
ssdeep: 1536:wsG8H3RZKpcu1uBHRqpWlpOYsZeQo36PWbUKhFp80ZvQpctbuUi+3YyM71iPm8i:DxRgWu
kBI8vOY5Q9EpdtQEbubku1iPm
File size : 108544 bytes
First seen: 2010-08-24 19:19:12
Last seen : 2010-08-24 19:19:12
TrID:
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
sigcheck:
publisher....: Pnecfu. Sca
copyright....: Gyqsqe, Cpfjamk. Drmnta
product......: Aekahowwyo Iqf Fnh Pi
description..: Orvtpq Cdwep, Wleke
original name: Ugsil, Hy
internal name: Bytlwbj Lp
file version.: 9.5.2500.5700
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (Authentium): UPX
packers (F-Prot): UPX
packers (Kaspersky): UPX
PEInfo: PE structure information

[[ basic data ]]
entrypointaddress: 0x2A650
timedatestamp....: 0x483C0633 (Tue May 27 13:01:39 2008)
machinetype......: 0x14c (I386)

[[ 3 section(s) ]]
name, viradd, virsiz, rawdsiz, ntropy, md5
UPX0, 0x1000, 0x16000, 0x0, 0.00, d41d8cd98f00b204e9800998ecf8427e
UPX1, 0x17000, 0x14000, 0x13800, 7.96, dd3a7f2e1f893269641738b343dcaa93
.rsrc, 0x2B000, 0x7000, 0x6C00, 5.73, 127dbeb9191493ddd7ce66189e9b69c8

[[ 1 import(s) ]]
KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
Prevx Info:
http://info.prevx.com/aboutprogramtext.asp?PX5=5EB7D29A003180FCA81D01734B9677003ED0FEE8
Symantec reputation:Suspicious.Insight

:confused: Avast erkennt ihn doch, warum ist deine Virenklingel nicht angesprungen?

amidala 24.08.2010 20:32

Liste der Anhänge anzeigen (Anzahl: 1)
hui, das ging ja schnell, dankeschön :)

Zitat:

Dazu müsste ich erstmal wissen, um wen es sich eigentlich handelt und was er genau macht. Deshalb lade bitte die Datei....
ich hab die Datei hochgeladen wie es da stand...aber sie wird hier nicht angezeigt, ist da alles richtig gelaufen?

Ich habe diese Einstellungen befolgt und kann jetzt überall leicht transparente Dateien und Ordner sehen, und dann wollte ich gerade eine Datei auf meinen USB Stick ziehen, da meldet mir Avast (ja....ich habs noch nicht de-installiert...) drogeras.exe und ich seh auch auf dem USB stick zwei transparente Ordner: RAPO und nestala (in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde)

Ich schick mal ein Bild vom Container mit..weiß nicht, ob das was bringt, wenn nicht, einfach ignorieren ;)

muss ich damit jetzt auch noch irgendwas spezielles machen? ist das was harmloses? soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe...
kommt der Wurm daher???

Grüße

amidala 24.08.2010 20:36

Zitat:

Zitat von john.doe (Beitrag 559543)
:confused: Avast erkennt ihn doch, warum ist deine Virenklingel nicht angesprungen?

da kam nix (nur eben jetzt gerade als ich den USB-Stick reingesteckt hab..ist er das?)

ich hab avast zwei Mal ne anderthalbstündige komplette Systemprüfung machen lassen und jedes Mal wurden mir "keine Funde" berichtet

john.doe 24.08.2010 20:38

Mittlerweile ist auch die Analyse von TE da => ThreatExpert Report: P2P-Worm.Win32.Palevo.jub, Mal/FakeAV-EW

Verbreitet sich über Netzwerke und P2P. :eek:

Bist du Teil eines lokalen Netzwerkes?
Zitat:

ist da alles richtig gelaufen?
:daumenhoc
Zitat:

in dem laut Avast container auch letztens irgendwas "böses" gefunden wurde
Was wurde gefunden? Bitte alle verfügbaren Logs posten.
Zitat:

muss ich damit jetzt auch noch irgendwas spezielles machen?
Ja.
Zitat:

ist das was harmloses?
Leider nein.
Zitat:

soll ich den Stick drin lassen wenn ich Fixe?..falls ich fixe...
Ja. Egal ob du dich für Reinigung oder Neuinstallation entscheidest, der Stick muss vorher sauber sein. Das gilt auch für alle externen Datenträger. Steht dir noch ein anderer Rechner zur Verfügung?
Zitat:

kommt der Wurm daher???
Möglich ist das. Gibt es eine autorun.inf auf dem Stick?

Falls die Dateien sich aus dem Container holen lassen, bitte auch bei uns hochladen.

ciao, andreas

amidala 24.08.2010 20:54

ohje ohje ohje....

Zitat:

Zitat von john.doe (Beitrag 559574)

Verbreitet sich über Netzwerke und P2P. :eek:

Bist du Teil eines lokalen Netzwerkes?

ja, zumindest Zeitweise
Im Moment gerade aber nicht


Zitat:

Zitat von john.doe (Beitrag 559574)
Was wurde gefunden? Bitte alle verfügbaren Logs posten.
Falls die Dateien sich aus dem Container holen lassen, bitte auch bei uns hochladen.

ich finde nichts (Hilfe-Funktioon + google) wie man mit avast ein Logfile erstellen kann?!?

Edit: was heißt aus dem Container holen?...kann ich nicht so versuchen sie vom USB stick hochzuladen?

ich hab gestern mal ein hijackthis dings laufen lassen, der hat aber nichts gefunden.
soll ich das vielleicht nochmal machen mit eingestecktem USB-Stick??

Zitat:

Zitat von john.doe (Beitrag 559574)
Egal ob du dich für Reinigung oder Neuinstallation entscheidest, der Stick muss vorher sauber sein.

soll ich alles, was auf dem Stick ist löschen? oder defragmentieren oderso?...wenn ja, wie geht das?? :stirn:

Zitat:

Zitat von john.doe (Beitrag 559574)
Möglich ist das. Gibt es eine autorun.inf auf dem Stick?

ja autorun setup informationen steht da...auch in transparent

LG, kathi

amidala 24.08.2010 21:06

Hier mal mein Hijackthis logfile von gerade eben...falls du das meintest...

john.doe 24.08.2010 21:39

Jetzt ist auch Sunbelt fertig => Sunbelt Security - CWSandbox Report
Zitat:

Hier mal mein Hijackthis logfile von gerade eben...falls du das meintest...
:nixda:
Völlig sinnlos war es allerdings nicht.
Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Jemand bezeichnete Outlook als Sicherheitslücke, die sich als Email-Programm getarnt hat. Das gilt genauso gut für das Betriebssystem. Wenn Sicherheitslücken bekannt gemacht werden, dann werden sie meistens auch behoben. D.h. Windowsupdates ist ein absolutes Muß, wenn du einen (halbwegs) sicheren Rechner haben möchtest.

Stattdessen sind auf dem Rechner völlig sinnfreie Programme wie Spybot und Zonealarm installiert. :headbang:
Zitat:

ja, zumindest Zeitweise
Im Moment gerade aber nicht
Dann solltest du in naher Zukunft das Netzwerk meiden.
Zitat:

wie man mit avast ein Logfile erstellen kann?!?
K.A., nie mit dem Programm gearbeitet.
Zitat:

ich hab gestern mal ein hijackthis dings laufen lassen, der hat aber nichts gefunden.
Im HJT-Log sieht man so gut wie gar nichts mehr. Da müssen ganz andere Programme ran.
Zitat:

soll ich alles, was auf dem Stick ist löschen?
Ja. Formatieren am Besten, aber von einem sauberen Rechner aus. Lade bitte vorher die Dateien bei uns hoch (das geht auch von der verseuchten Kiste).

Doppelklicke auf die Datei autorun.inf (Editor öffnet sich) und poste den Inhalt. Jetzt ist so gut wie sicher, dass du dich über den Stick infiziert hast. Hier sind die Übeltäter:
Zitat:

F:\RAPO\drogeras.exe
nestala\\emilia.exe
F:\DPFMate.exe
nymdik.exe
G:\ysyjq1bs.exe
Bitte bei uns hochladen, falls du sie findest.

Sichere jetzt im ersten Schritt alle deine Dateien. Falls dir kein sauberer Rechner zur Verfügung steht, kommt als nächstes ComboFix zum Einsatz, um deinen externen Datenträger (und zwar alle!) zu reinigen. Ansonsten bringt selbst eine Neuinstallation nichts, denn ein Anstecken würde reichen, dich sofort wieder zu infizieren.

ciao, andreas

amidala 24.08.2010 22:08

Zitat:

Sichere jetzt im ersten Schritt alle deine Dateien. Falls dir kein sauberer Rechner zur Verfügung steht, kommt als nächstes ComboFix zum Einsatz, um deinen externen Datenträger (und zwar alle!) zu reinigen. Ansonsten bringt selbst eine Neuinstallation nichts, denn ein Anstecken würde reichen, dich sofort wieder zu infizieren.
wenn ich alle meine Daten jetzt auf eine externe Festplatte lade und die dann bereinige wird doch alles gelöscht, oder???

nein leider steht mir kein anderer Rechner zur Verfügung

Zitat:

F:\RAPO\drogeras.exe
nestala\\emilia.exe
F:\DPFMate.exe
nymdik.exe
G:\ysyjq1bs.exe
die drogeras.exe kann ich finden, ich schick sie gleich sofort

die nestala\\emilia.exe wird mir im avast Conatiner angezeit, aber der Ordner auf dem USB Stick ist leer.
ich könnte die Datei extrahieren oder wiederherstellen, soll ich das machen, und sie dann schicken, oder lieber im Container lassen?

die anderen kann ich nicht finden. Gibt es da einen Trick, wie man die sucht?
die suchfunktion zeigt nichts an

LG, kathi

john.doe 24.08.2010 22:23

Zitat:

wenn ich alle meine Daten jetzt auf eine externe Festplatte lade und die dann bereinige wird doch alles gelöscht, oder???
Nein. ComboFix löscht nur die autorun.inf Dateien.
Zitat:

nein leider steht mir kein anderer Rechner zur Verfügung
Macht nichts. Das schaffen wir auch so.
Zitat:

die drogeras.exe kann ich finden, ich schick sie gleich sofort
Ist nicht angekommen, das bedeutet sie ist aktiv. :(
Zitat:

die nestala\\emilia.exe wird mir im avast Conatiner angezeit, aber der Ordner auf dem USB Stick ist leer.
Macht auch nichts.
Zitat:

die anderen kann ich nicht finden.
Macht auch nichts.

Jetzt hat erstmal Priorität die externen Datenträger zu säubern, damit du nicht dich und andere weiterhin gefährdest. Nachdem du deine Daten gesichert hast, kommt

1.) Deinstalliere Spybot und Zonealarm.

2.) Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!)
Code:

:OTL
SRV - (CiscoVpnInstallService) -- C:\Dokumente und Einstellungen\kathi\Lokale Einstellungen\Temp\WZS92.tmp\installservice.exe File not found
O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKLM\..\Toolbar: (ZoneAlarm-Sicherheit Toolbar) - {fc2b76fc-2132-4d80-a9a3-1f5c6e49066b} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006\..\Toolbar\WebBrowser: (ZoneAlarm-Sicherheit Toolbar) - {FC2B76FC-2132-4D80-A9A3-1F5C6E49066B} - C:\Programme\ZoneAlarm-Sicherheit\tbZon1.dll (Conduit Ltd.)
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe File not found
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} http://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159706847550 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-0015-0000-0008-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_08-windows-i586.cab (Java Plug-in 1.5.0_08)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab (Reg Error: Key error.)
O20 - HKLM Winlogon: TaskMan - (C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe) - C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe (Pnecfu. Sca)
O20 - HKU\S-1-5-21-1642414677-707387940-3519431362-1006 Winlogon: Shell - (C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe) - C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe (Pnecfu. Sca)
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\AutoRun\command - "" = F:\RAPO\drogeras.exe -- File not found
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\explore\command - "" = F:\RAPO\\drogeras.exe -- File not found
O33 - MountPoints2\{070eb9df-e7fb-11de-a36f-0060b361c63f}\Shell\open\command - "" = F:\RAPO\\drogeras.exe -- File not found
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\AutoRun\command - "" = nestala\\emilia.exe
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\explore\command - "" = nestala\\\emilia.exe
O33 - MountPoints2\{1b8d3738-0518-11de-92f1-0060b361c63f}\Shell\open\command - "" = nestala\\\emilia.exe
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5060238c-a19d-11dc-8e9c-0060b361c63f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{8047750c-0840-11df-88d4-0060b361c63f}\Shell\AutoRun\command - "" = F:\DPFMate.exe -- File not found
O33 - MountPoints2\{db8f2a1a-74fc-11dd-913b-0060b361c63f}\Shell\AutoRun\command - "" = nymdik.exe
O33 - MountPoints2\{db8f2a1a-74fc-11dd-913b-0060b361c63f}\Shell\open\Command - "" = nymdik.exe
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell - "" = AutoRun
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f1ea480f-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -- File not found
O33 - MountPoints2\{f1ea4810-dfdb-11de-b385-0060b361c63f}\Shell\AutoRun\command - "" = G:\ysyjq1bs.exe -- File not found
O33 - MountPoints2\{f1ea4810-dfdb-11de-b385-0060b361c63f}\Shell\open\Command - "" = G:\ysyjq1bs.exe -- File not found
Files:
C:\Dokumente und Einstellungen\kathi\Anwendungsdaten\gnja.exe
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

3.) Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
ciao, andreas

amidala 24.08.2010 22:36

oh mann...vielen vielen dank, dass du hier so oft mit mir schreibst!!!!
entschuldige, wenn ich etwas blöd frage!
aber ich habe jetzt gerade meine kleine externe Festplatte angeschlossen und da hat mir avast schon wieder den drogeras gemeldet, und ich seh einen transparenten RAPO Ordner auf der Festplatte...bringt das jetzt wirklich was, alle meine noch ungesicherten Dateien (viele hab ich natürlich schon drauf) da rüber zu ziehen?

Bzw. was machen wir jetzt?
Dateien sichern und PC formatieren und Datenträger bereinigen (ohne Dateien zu löschen?)
ich schreibe gerade an einer Projektarbeit und habe etwas angst um meine Dateien :(


LG, kathi

Edit: was hältst du von der Idee mal meine Projekt-Dateien zu brennen??...oder brenn ich mir den scheiß dann mit drauf? :(

john.doe 24.08.2010 22:45

Zitat:

aber ich habe jetzt gerade meine kleine externe Festplatte angeschlossen und da hat mir avast schon wieder den drogeras gemeldet, und ich seh einen transparenten RAPO Ordner auf der Festplatte...bringt das jetzt wirklich was, alle meine noch ungesicherten Dateien (viele hab ich natürlich schon drauf) da rüber zu ziehen?
Ja.
Zitat:

Dateien sichern und PC formatieren und Datenträger bereinigen (ohne Dateien zu löschen?)
Für die ersten Schritte spielt es keine Rolle ob wir bereinigen oder formatieren. Die autorun.inf Dateien müssen in jedem Fall weg. Wenn sie gelöscht sind, sind die Schädlinge nicht mehr aktiv und können dann problemlos gelöscht werden.
Zitat:

ich schreibe gerade an einer Projektarbeit und habe etwas angst um meine Dateien
Genau aus diesem Grund sollst du ja alle deine Dateien sichern. Sollte ein Formatieren stattfinden, dann wären deine Daten verloren.

Die Schritte, die jetzt stattfinden, sind in jedem Fall notwendig, egal ob du dich letztendlich für Säuberung oder Neuinstallation entscheidest.

Selbst für den Fall, dass dein Rechner abrauchen sollte, hast du immer noch deine Daten auf der externen Festplatte und kannst mit ihnen weiterarbeiten.

ciao, andreas

amidala 24.08.2010 23:12

Dankeschön!!!!

ich sicher jetzt alles und geh dann nach deinen Angaben vor..

noch eine Frage :)
Zitat:

Solltest du noch irgendetwas mit dem Computer verbinden, wie Memorysticks, Speicherkarten, Digitalkameras, Handy, externe Laufwerke, ... dann stecke vor dem Scan alles an.
was ist, wenn ich nicht so viele Eingänge habe?
soll ich meinen Drucker auch anschließen?!?

Grüße, kathi


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131