Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 50,-€-Virus unter Win2000

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.02.2012, 20:19   #1
Cubitus
 
50,-€-Virus unter Win2000 - Standard

50,-€-Virus unter Win2000



Hallo,
hier gibt es ja bereits einige Fäden zum sog. "50,-€-Virus", der in diesem Faden im Eingangsposting beschrieben wird.
Ich habe ihn mir nun auch unter Windows2000 eingefangen. Als Virenscanner habe ich Avira Antivir. Nachdem ich den Rechner vom Netz getrennt und mich neu (wie immer als Administrator) angemeldet habe, habe ich damit einen Komplettscan durchgeführt und es wurden drei infizierte Dateien und ein "verstecktes Objekt" gefunden. Zwei Dateien enthielten Erkennungsmuster des Backdoorprogrammes BDS/Offend.696372.2 und eine weitere Datei wurde als das Trojanische Pferd TR/Crypt.XPACK.Gen2 identifiziert. Sie wurden in Quarantäne verschoben und anschließend von mir manuell gelöscht. Das "versteckte Objekt" wurde leider nicht näher spezifiziert. Habe also keine Ahnung, was es damit auf sich hat.

Während des vorhergehenden Virenscans im Offline-Modus kam ferner eine Windows-Fehlermeldung mit Nennung irgendeiner Speicheradresse: eine "torrent.exe" konnte nicht ausgeführt werden und wurde beendet. Vielleicht ein vor einiger Zeit von BitTorrent automatisch heruntergeladenes Update? Aber ich hatte BitTorrent gar nicht gestartet! Im Antivir Report stand dann zwar "Durchsuche Prozess 'torrent.exe' - '46' Modul(e) wurden durchsucht", aber es wurde merkwürdigerweise nicht als Trojaner identifiziert. Ich habe die torrent.exe dann ebenfalls gelöscht.

Nach Neustart mit Netzgugang und Update von Antivir wurde der 50,-€-Virus aber kurze Zeit später schon wieder aktiv. Wieder ausloggen, Netzverbindung trennen, wieder einloggen - und siehe da: kurze Zeit später kam im Offline-Modus schon wieder die Windows-Fehlermeldung einer "torrent.exe". Plötzlich war sie wieder da, im gleichen Ordner wie zuvor. Also wieder gelöscht und diesmal vorsichtshalber auch das auf anderer Partition installierte BitTorrent deinstalliert, dessen EXE-Datei aber µtorrent.exe lautete. Ferner habe ich mit Regedit alle Registry-Einträge, die die Zeichenfolge "torrent" enthielten gelöscht.

Im Moment herrscht Ruhe, aber ich trau dem Frieden noch nicht. Da einem anderem User mit demselben Problem empfohlen wurde einmal Kapersy TDSSKiller zu starten, habe ich es mir nun auch heruntergeladen. Dummerweise kommt beim Versuch es zu Starten (als Admin angemeldet) immer die Fehlermeldung "tdsskiller.exe ist keine zulässige Win32-Anwendung". Läuft dies unter Windows2000 evtl. nicht?
Was sollte ich sonst noch tun? Mein System ist doch sicher noch nicht wieder clean?

wichtiger Nachtrag:
wenn ich richtig überlege, bin ich mir nicht 100%ig sicher, ob ich die torrent.exe nach der ersten Windows-Fehlermeldung zu dem Abbruch der torrent.exe sofort gelöscht habe, d.h. ob sie danach wirklich "von selbst" wieder aufgetaucht ist.

Ein wichtiges erwähnenswertes Ereignis heute war dafür noch der Download eines scriptgesteuerten PDF-Formulars von DHL für den Nachforschungsauftrag eines verschwundenen Auslandspäckchens, in der letzten Sitzung bevor der Virus in Erscheinung trat. Es handelte sich um ein PDF-Formular mit Eingabefeldern sowie einem Klick-Feld, das dann automatisch meinen Browser zum Versenden aufrief. Also wohl Java-Scripte. Installiert habe ich nicht Adobe Acrobat, sondern zum PDF-Lesen den Foxit-Reader und zum Erzeugen von PDF-Dateien den PDFCreator.
Als nach dem ersten Scan mit Antivir der Virus wieder aktiv wurde, habe ich im anschließenden Offline-Modus vorsichtshalber auch das genannte PDF-Formular gelöscht.

Zu früh gefreut. Er ist immer noch da. Und auch die torrent.exe ist schon wieder aufgetaucht. Ich habe mal Malwarebytes Anti-Malware installiert und ein Quickscan erbrachte folgende Funde:

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{95CB10C1-6B53-11DB-B925-806D6172696F} (Backdoor.Messa) -> Daten: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\torrent.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0.4221225852249674.exe (Exploit.Drop.2) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\torrent.exe (Backdoor.Messa) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Mache morgen nochmal einen vollständigen Suchlauf mit der Anti-Malware.
Ich trau der Sache aber auch dann noch nicht, irgendwie wäre das zu einfach, wenns das schon war.

Vielleicht meldet sich ja noch jemand und kann mir erklären, wie ich das System auf verbleibende Infektionen testen kann. Ich tappe hier leider völlig im Dunkeln und habe keine Ahnung, ob ich mich an die Ratschläge der vorhandenen threads zu dieser Rogue- Malware halten kann, oder ob ich unter Windows2000 anders vorgehen muss .

Alt 28.02.2012, 15:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50,-€-Virus unter Win2000 - Standard

50,-€-Virus unter Win2000



Darf man erfahren warum du nich Windows 2000 verwendest? Ist das ein so alter Rechner oder gar ein Bürorechner? Windows 2000 wird seit fast 2 Jahren nicht mehr mit Updates versorgt!

Außerdem sind alle Logs vollstöndig zu posten! Dieser halbe Kram bringt rein garnichts. POste auch alle Logs von AntiVir

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Alt 28.02.2012, 19:18   #3
Cubitus
 
50,-€-Virus unter Win2000 - Standard

50,-€-Virus unter Win2000



Hallo,
hast Recht, ich habe den Faden mit der Anleitung zur Eröffnung eines Themas zu spät gelesen.
Mein Rechner ist ein alter P3-600 mit 512MB RAM und 40GB-FP. Ich dachte immer für WinXP wäre er schon zu lahm. Nun stelle ich aber fest, daß es auf der Kiste doch ordentlich läuft. Habe den Bootsektor unter einem Linux Live System überschrieben, die festplatte neu partitioniert und formatiert und WinXP mit allen Updates installiert.

Allerdings hatte ich die ganzen zu sichernden Daten noch unter dem infizierten Win2000-System auf DVD gebrannt und da sind auch ein paar Programme (aber nicht die installierten Programmordner) sowie massig PDF's und viele Officedokumente darunter. Sie sind mir nun einerseits nicht ganz geheuer, aber löschen kann ich diese Daten auf keinen Fall. Habe die DVD's nun unter dem neuen WinXP-System mit Malwarebytes Anti Malware und Avast Antivirus gescannt. Zumindest bei diesen Scans wurden keine infizierten Dateien gefunden. Ich weiß nicht, ob es sinnvoll ist sie noch mit einem weiteren Scanner zu untersuchen, oder ob ich es dabei belassen soll.
USB-Stick und MP3-Player (altes Ding) werde ich unter dem Linux Live System neu formatieren.

BTW, Avast Antivirus bietet ja recht umfangreiche Konfigurationsmöglichkeiten. Sind die Default-Einstellungen da ok bzw. falls nicht, gibt es eine empfehlenswerte Anleitung zum optimieren der Konfiguration?
__________________

Geändert von Cubitus (28.02.2012 um 19:48 Uhr)

Alt 28.02.2012, 22:12   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
50,-€-Virus unter Win2000 - Standard

50,-€-Virus unter Win2000



Zitat:
falls nicht, gibt es eine empfehlenswerte Anleitung zum optimieren der Konfiguration?
Halte Dich am besten grob an diese Regeln:
  1. Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
  2. Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
  3. Führe regelmäßig Backups auf externe Medien durch
  4. Arbeite mit eingeschränkten Rechten
  5. Nutze sicherere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen
  6. automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
  7. Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
  8. Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
  9. Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
  10. dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu 50,-€-Virus unter Win2000
administrator, automatisch, avira, backdoor.messa, clean, dateien, einloggen, exploit.drop.2, folge, ide, infizierte, infizierte dateien, modul, neu, neustart, ordner, problem, prozess, rechner, regedit, scan, starten, system, torrent.exe, tr/crypt.xpack.ge, tr/crypt.xpack.gen, trojaner, update, win32-anwendung, windows



Ähnliche Themen: 50,-€-Virus unter Win2000


  1. Win2000 friert ein
    Log-Analyse und Auswertung - 20.08.2009 (6)
  2. combofix startet nicht unter Win2000 / gegen TR/Vundo.FUL.9.A
    Plagegeister aller Art und deren Bekämpfung - 24.11.2008 (11)
  3. Supreme Commander für win2000?!
    Alles rund um Windows - 10.04.2007 (1)
  4. Win2000 Server verseucht
    Log-Analyse und Auswertung - 03.04.2007 (12)
  5. Hijackthis-Log Win2000
    Log-Analyse und Auswertung - 30.04.2006 (4)
  6. Win2000 IExplorer
    Log-Analyse und Auswertung - 21.04.2006 (11)
  7. Benutzerkonto unter WIN2000
    Alles rund um Windows - 14.12.2005 (1)
  8. wie löst man das desktopproblem unter win2000?
    Log-Analyse und Auswertung - 29.03.2005 (2)
  9. Lexmark X1130 und Win2000
    Netzwerk und Hardware - 10.11.2004 (3)
  10. win2000 Bootvorgang - Pause
    Alles rund um Windows - 06.06.2004 (1)
  11. Win2000 De-Installieren ???
    Alles rund um Windows - 06.05.2004 (19)
  12. Small.DLO.FO! auf Win2000
    Plagegeister aller Art und deren Bekämpfung - 27.04.2004 (5)
  13. Win2000 ServicePack4 - DEINSTALLIEREN???
    Alles rund um Windows - 21.03.2004 (7)
  14. PIF und LNK-Erweiterungen bei Win2000 anzeigen?
    Alles rund um Windows - 03.10.2003 (4)
  15. Win2000 Netzlaufwerke
    Alles rund um Windows - 13.04.2003 (0)
  16. Fehlermeldung von ZoneAlarm unter Win2000
    Antiviren-, Firewall- und andere Schutzprogramme - 11.04.2003 (4)
  17. Nachrichtendienst unter Win2000 deaktivieren
    Alles rund um Windows - 02.02.2003 (2)

Zum Thema 50,-€-Virus unter Win2000 - Hallo, hier gibt es ja bereits einige Fäden zum sog. "50,-€-Virus", der in diesem Faden im Eingangsposting beschrieben wird. Ich habe ihn mir nun auch unter Windows2000 eingefangen. Als Virenscanner - 50,-€-Virus unter Win2000...
Archiv
Du betrachtest: 50,-€-Virus unter Win2000 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.