Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verdacht auf "Festi"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.01.2013, 14:50   #1
timmi31061
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hallo,

als ich mich vorhin im Mosfetkiller-Forum anmelden wollte, erschien folgende Meldung:
Zitat:
Deine IP-Adresse 77.21.28.135 wurde gesperrt, da sie auf der schwarzen Liste steht. Details findest du unter h**p://search.atlbl.com/search.php?q=77.21.28.135.
Ein Eintrag in einer schwarzen Liste kann folgende Urschen haben:
1. Du bist ein bekannter Spammer.
2. Ein bekannter Spammer verwendete zuletzt deine vom ISP (Internet Service Provider) zugewiesene dynamische IP-Adresse.
3. Dein ISP ist dafür bekannt, dass er viele Spammer als Kunden hat und nicht viel dagegen unternimmt.
Die Seite ist leider tot, aber durch googlen kam ich zu folgender Seite: h**p://www.spamhaus.org/query/bl?ip=77.21.28.135
Durch einen Klick auf "CBL" kam ich zu einer Seite mit viel Text, wo ziemlich weit oben etwas mit "Festi spambot" steht. Meine Frage wäre jetzt, da es sich um dynamische IPs handelt, ist mein Netzwerk infiziert, und wenn ja, wie werde ich den Bot los?

Mit freundlichen Grüßen,
Tim Schiewe

Alt 04.01.2013, 15:24   #2
markusg
/// Malware-holic
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hi schaun wir uns den PC mal an:
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die
    OTL.exe
    .
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die
    Textbox.
Code:
ATTFilter
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere
    nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread
__________________

__________________

Alt 04.01.2013, 15:52   #3
timmi31061
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hallo markusg,

Wie gesagt das ist ein Netzwerk mit sieben Rechnern. Soll ich jetzt jeden Rechner einzeln bearbeiten und das hier posten? Oder gibts einen anderen Weg? Ich frage, weil die Logs ja nicht kurz sind.
//Edit: Der Link ist tot.

Mit freundlichen Grüßen,
Tim Schiewe
__________________

Alt 04.01.2013, 21:01   #4
timmi31061
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hallo markusg,

hab das Tool per Google bekommen, also hier jetzt die Logs.
//Edit: Ich habe gerade mal in die Blacklist geschaut ob sich da was getan hat, und ich sehe, dass das jetzt ein anderer Bot ist: "kelihos spambot". Gibt es mehrere Namen oder sind das verschiedene Bots?

Mit freundlichen Grüßen,
Tim Schiewe

Geändert von timmi31061 (04.01.2013 um 21:14 Uhr)

Alt 05.01.2013, 14:55   #5
markusg
/// Malware-holic
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hi
gibt verschiedene.
Frage:
tritt das Problem an allen PC's auf?
download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 05.01.2013, 15:39   #6
timmi31061
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hallo markusg,

Wir haben hier ein Netzwerk, das über einen Router und Kabelmodem mit dem Internet verbunden ist. Die (dynamische) IP des Kabelmodems ist in mehreren IP-Blacklists eingetragen. Daher sind alle PCs betroffen, allerdings ohne Symptome auf Malware. Da die IP dynamisch zugewiesen wird (ja ich wiederhole mich) kann es sein, dass jemand Mist gebaut hat und wir jetzt diese IP haben und unser Netzwerk gar nicht betroffen ist. Ich kenne mich zwar sehr gut mit Computern aus aber bei Malware hört mein Verständnis auf.

Mit freundlichen Grüßen,
Tim Schiewe

Alt 05.01.2013, 15:42   #7
markusg
/// Malware-holic
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hi, schon mal einen Reset des Routers versucht?
Du kannst ja mal Malwarebytes über alle PC's laufen lassen.
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

den pc, den ich grad gesehen hab, müsste man auch noch absichern, fehlene updates etc. aber das können wir ja noch machen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.01.2013, 14:45   #8
timmi31061
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hallo markusg,

es ist einige Zeit vergangen, da ich leider im Krankenhaus war. Jedenfalls hab ich den Blacklist-Eintrag von Hand entfernt. Mal sehen ob wir wieder gelistet werden. Was halten Sie eigentlich von AntiVir Free? Damit werden 4 der 7 PCs geschützt. Die restlichen drei von Kaspersky Security Suite.

Mit freundlichen Grüßen,
Tim Schiewe

Alt 15.01.2013, 19:11   #9
markusg
/// Malware-holic
 
Verdacht auf "Festi" - Standard

Verdacht auf "Festi"



Hi
ich nutze emsisoft, ist so gut wie kaspersky, verzichtet aber auf unnötige Module, wodurch es übersichtlicher und nicht so fehleranfällig ist.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Verdacht auf "Festi"
anmelden, blacklist, botnetz, dynamische, eintrag, festi, folge, folgende, folgender, frage, gesperrt, google, infiziert, interne, internet, klick, kunde, liste, melde, melden, meldung, netzwerk, schwarze, seite, service, spambot, tot, verdacht, zuletzt



Ähnliche Themen: Verdacht auf "Festi"


  1. Danke an COSINUS betr. "Online-Banking-Account gesperrt - Verdacht auf Trojaner"
    Lob, Kritik und Wünsche - 06.09.2015 (1)
  2. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  3. Verdacht auf Trojaner, Rechner stürzt bei Virenscan ab "KERNEL_DATA_INPAGE_ERROR"
    Plagegeister aller Art und deren Bekämpfung - 04.09.2014 (7)
  4. "monstermarketplace.com" Infektion und ihre Folgen; "Anti-Virus-Blocker"," unsichtbare Toolbars" + "Browser-Hijacker" von selbst installiert
    Log-Analyse und Auswertung - 16.11.2013 (21)
  5. "Antiviren Werbung" "Langsamer PC" "PC stürzt ab" Banner und Popups beim surfen
    Plagegeister aller Art und deren Bekämpfung - 05.11.2013 (28)
  6. Trojaner-Verdacht in E-Mail Anhang "Vertragliche Mahnung vom 13.05.2013 inkasso.com"
    Log-Analyse und Auswertung - 13.09.2013 (8)
  7. "Abuse-Meldung" von Telekom erhalten - Verdacht auf Schadsoftware..
    Log-Analyse und Auswertung - 03.09.2013 (13)
  8. Malware-Verdacht entpuppt sich als "privates Outsourcing"
    Nachrichten - 16.01.2013 (0)
  9. "Deutsche Post(eMail-Anhang)" Alle "EXE(Programme)" werden blockiert "WIN 7 Defender"
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (3)
  10. Laptop Windows 7 Professional (SP1) 64bit Verdacht auf "eyestye"
    Log-Analyse und Auswertung - 20.11.2012 (11)
  11. "The document has moved. Redirecting"+"Popup unten rechts"+"Nicht alle Links anklickbar"
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (38)
  12. www.searchqu.com/410 als Startseite trotz Antivir "Trojaner verdacht"
    Log-Analyse und Auswertung - 27.09.2011 (42)
  13. Maleware Verdacht: Recovery-Aufforderung mit Meldung "Festplatte beschädigt"
    Mülltonne - 16.06.2011 (1)
  14. Öffentliches Netzwerk: Opera sendet/empfängt Daten an/von "Dani-PC", "Anne-PC", "PAULA-HP"...
    Netzwerk und Hardware - 02.05.2011 (14)
  15. "Adware.Virtumonde"/"Downloader.MisleadApp"/"TR/VB.agt.4"/"NewDotNet.A.1350"/"Fakerec
    Plagegeister aller Art und deren Bekämpfung - 22.08.2008 (6)
  16. Beheben des Problems "kein Internet"/"rsvp32_2.dll"/"Can't load library from memory"
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (22)
  17. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)

Zum Thema Verdacht auf "Festi" - Hallo, als ich mich vorhin im Mosfetkiller-Forum anmelden wollte, erschien folgende Meldung: Zitat: Deine IP-Adresse 77.21.28.135 wurde gesperrt, da sie auf der schwarzen Liste steht. Details findest du unter h**p://search.atlbl.com/search.php?q=77.21.28.135. - Verdacht auf "Festi"...
Archiv
Du betrachtest: Verdacht auf "Festi" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.