Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt (https://www.trojaner-board.de/96414-win32-fakealert-ttam-win32-palevo-via-spybot-entdeckt.html)

Laxyr 10.03.2011 00:39
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt
 
Hallo Leute,
dies ist mein erster Post in eurem Forum und ich hoffe ihr könnt mir helfen. Bin momentan etwas verzweifelt.

Ok folgendes Problem: Bei einem routinemäßigen Scan mit Spybot fanden sich zwei unerwünschte Besucher:

Win32.FakeAlert.ttam
Win32.Palevo

Ich hab zuerst Spybot versuchen lassen die zwei zu beseitige, ohne Erfolg. Dann war ich manuell in der registry unterwegs um die entsprechenden Einträge zu Löschen. Ich habe auch Einträge gefunden die auf csrss.exe und dm*.exe (habe leider den korrekten namen der letzten vergessen) verwiesen haben. Beide. exe befanden sich im "Dokumente und Einstellungen" Bereich meiner Platte.
Ich dachte ich hätte zumindest eine von beiden erledigt weil sich sowohl die .exe (nach beendigung des entsprechenden Prozesses) als auch die registry einträge entfernen ließen aber Fehlanzeige. Auch im abgesicherten Windowsmodus ließ sich nichts dauerhaft entfernen

Nun verschlug es mich zu euch und ich fand auch ein Thema bei dem das Problem aber leider ungelöst blieb
http://www.trojaner-board.de/95491-w...hmt-panik.html

Über google habe ich auch noch einen Kompletten Lösungsansatz gefunden allerdings hat der Helfende dort betont, dass dieser Fix eine Individuallösung ausschließlich für diese Maschine sei.

Ich habe mir, durch euer Board dazu verleitet, malwarebytes heruntergeladen und installiert. Der fand die entsprechenden Datein und entfernte sie. nach einem Neustart hatte ich das Problem dass das Internet nicht mehr ging (was einige Leute in meiner Lage auch beschrieben haben). Die Ursache war, dass auf einmal eine Verbindung über einen Proxy versucht wurde.

Jetzt habe ich malwarebytes nocheinmal durchlaufen lassen und nun findet er zwei vollkommen neue "Freunde"

Hijack.shell
PUM.Bad.Proxy

Beide male registry values
Die habe ich soeben entfernen Lassen.

Hier mal die entsprechenden Logs

Malwarebytes 1. Lauf

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 6005
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
 
09.03.2011 23:59:52
mbam-log-2011-03-09 (23-59-52).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 65303
Laufzeit: 18 Minute(n), 49 Sekunde(n)
 
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
 
Infizierte Speicherprozesse:
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> 3864 -> Unloaded process successfully.
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\dwm.exe (Spyware.Passwords.XGen) -> 2360 -> Unloaded process successfully.
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
 
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Spyware.Passwords.XGen) -> Bad: (C:\DOKUME~1\Besitzer\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\dwm.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\csrss.exe (Spyware.Passwords.XGen) -> Delete on reboot.
Malwarebytes 2. Lauf

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 6005
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
 
10.03.2011 00:24:48
mbam-log-2011-03-10 (00-24-48).txt
 
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138602
Laufzeit: 4 Minute(n), 44 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Ich werde jetzt nocheinmal einen scan mit malwarebytes laufen lassen und sehen ob er noch was findet. Vielen Dank Im Voraus für eure Zeit.
Edit: Jetzt findet Malwarebytes keine infizierten Dateien mehr.. was natürlich nicht heißt dass keine mehr da sind. Auf den ersten Blick macht das System aber auch einen besseren Eindruck (nur noch ein csrss prozess und der dv* fehlt vollständig)


Jetzt würde ich von euch gerne wissen: Wie kann ich denn noch überprüfen ob mein Rechner wieder sauber ist?

mit freundlichen Grüßen, Lax

Ich hab bei euch in den FAQs noch ein bisschen gestöbert und mir ein paar Anleitungen zu diversen Tools angekuckt. Alelrdings steig ich nicht so ganz dahinter welches davon ich jetzt direkt brauchen könnte.

Ich habe jetzt nochmal die Suchmöglichkeiten von AntiVir ausgeschöpft und direkt nach spezielleren dingen wie rootkits alleine suchen lassen ohne Auffälligkeiten.

Das absolut sicherste wäre eine komplette Formatierung der Festplatte die ich aber vermeiden möchte. Es gibt hier zwar keine Daten die ich sichern möchte allerdings ist der Arbeitsaufwand doch ein erheblicher.

mfg, Lax

cosinus 10.03.2011 14:00
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Laxyr 10.03.2011 14:28
Jop, hammer hier:
Sind leider zu lang für einen post, daher hänge ich die sachen als zip an

Ich werd jetzt garnicht groß versuchen diese selbst zu interpretieren. Das einzige was ich weiß ist, dass die Meldung

"Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
i8042prt"

nichts zu sagen hat. War, soweit ich weiß ein standard Maus/Keyboard treiber.

Es sei noch gesagt. Ich habe manuell nochmal nach entsprechenden registry keys suchen lassen (regedit). Die verdächtigen keys die auf die .exe der viren verwiesen haben sind alle Weg.

Mfg, Lax

Laxyr 10.03.2011 15:01
Leute, ich hab nochmal drüber nachgedacht:

Ich denek selbst mit den besten scans kann ich nicht garantieren dass mein system noch sicher ist. Darum werde ich den Rechner wohl platt machen.

Sofern meine Versuche Sp3 in meine XP install CD zu integrieren nicht fehlschlagen werd ich das auch so machen.

Trotzdem wirklich vielen Dank für die Hilfe cosinus, ich schätze das sehr, dass du deine Freizeit dafür hergibst.

mfg, Lax

cosinus 10.03.2011 17:22
Selbstverständlich kannst du auch formatieren wenn dir das lieber ist :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131