Hi Leute,

leider bin ich erst neu hier und bin auch wirklich kein Crack (schon erst recht nicht was PC-Viren anbelangt) und habe nun schon erfolglos seit gestern nacht und stundenlang hier im Forum und bei Google & Co nach Antworten zu meinem Trojan Problem gesucht , bin aber nicht wirklich fündig geworden und weiß jetzt wirklich nicht mehr weiter :

Deshalb meine herzliche Bitte um Hilfe an die Spezialisten unter Euch :

Wer kennst sich aus und kann netterweise in möglichst verständlichen Worten helfen ? :

Der konkrete Fall :

Ich habe gestern ein (neues) Windows XP (home) Sicherheits-Update erhalten, welches als "Tool zum Entfernen bösartiger Software" angezeigt war und nach der Installation des Updates dann bedauerlicherweise den TrojanSpy:Win32/Bancos.gen!A irgendwo ( leider ohne Angabe wo genau ) als Malware gefunden hatte und unter "Überprüfungsergebnisse" aber dann nur mitteilt : "Ermittelt, aber nicht entfernt".

In dem entsprechenden Microsoft Bulletin :

http://www.microsoft.com/security/portal/Entry.aspx?Name=TrojanSpy%3aWin32%2fBancos.gen!A

wird darauf hingewiesen, dass sich hier eine >>> explori.exe <<< im Systemordner eingenistet haben könnte und dass man ggf. in der Registry unter HKLM einen hinzugesetzten Wert >>> explorer <<< finden könne.

All diese Suche hat aber zu keinerlei Erfolg geführt , sodass ich schon fast glauben möchte, dass die Microsoft-Update-Meldung "gefunden , aber nicht entfernt" vielleicht falsch oder verfrüht ausgegeben worden sein könnte, und dass dieses Update-Tool zum Entfernen bösartiger Software vielleicht ja sogar noch durchgegriffen haben könnte.. z.B. kurz nach der bereits ausgegebenen Meldung "...nicht entfernt". ( Oder wäre das unmöglich ? )

Denn auch nach dem dann über Nach von mir durchgeführten Intensiv-Scan (also auch alle Archivdateien) mit meiner AVAST Antiviren Software kam nichts an die Oberfläche : Ergebnis : 0 Viren found.

AVAST Antivir hat hier lediglich noch zwei Hinweise ausgegeben, wonach 1) eine Prüfung nicht möglich sei, da ein Archiv passwort-geschützt sei. (DataBecker-ZipGenie).
Und dann gab es noch einen Hinweis :
C:\.. \onJanuary 1,2004. For complete details, visit#154684988 . Ergebnis : Prüfung nicht möglich. Die Datei ist eine Dekomprimierungsbombe.

(Letzteres hört sich natürlich erst einmal furchtbar erschreckend an. Dazu habe ich aber Hinweise beim Google gefunden , wonach solche Meldungen auch bei allen möglichen , harmlosen, gepackten Dateien erfolgen sollen; z.B. bei .vob Dateien , die auf virtuellen Laufwerken meine Lern-Software-'CD' startet )


Ich habe hier zwar nun auch mehrere Sicherheiten an bzw. auf diesem XP-Rechner :
1. DSL Fritz Box SL
2. Windows XP Firewall
3. Search & Destroy .. mit aktueller Immunierung gegen Schadsoftware

Aber ich möchte natürlich unbedingt und vor allem wissen , *OB* und -falls ja- *WO* der verdammte Mist sich eingenistet hat.

Es ist ja wirklich zu blöde, dass die Windows-Update-Meldung (zum Finden und "Entfernen" bösartiger Software nach einem Auffinden zwar den unerfreulichen 'Erfolg' meldet, aber nicht in der Lage zu sein scheint, wenigstens mitzuteilen, WO der Trojaner denn nun "gefunden" wurde.

Ich wäre einem liebenswürdigen Zeitgenossen also über alle Maßen dankbar, wenn er/sie mir hier einen wertvollen Tip geben könnte, wie ich hier zum tatsächlichen Aufspüren kommen kann um das Mistding wieder loszuwerden.

Das System und alle Programme mit allen Einstellungen komplett neu aufzusetzen würde Tage vernichten und diese Zeit habe ich leider nicht.

Wer weiß also Bescheid und kann den "Goldenen Hinweis" geben ?

Herzlichen Dank im Voraus

Mic

Halli hallo mic3005

Poste bitte ein ZHPDiag log.

Überprüfe den Rechner danach mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Danach:

ISeeYouXP - XP

• Lade dir das Tool IseeYouXp by ShadowPuterDude
  
• Deaktiviere alle Wächter deiner AntiViren Programme und schließe diese vollständig!
  
• Schließe auch alle anderen Anwendungen!
  
• Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  
• Das Programm startet danach automatisch. Sollte das nicht der Fall sein, doppelklicke die ISeeYouXP Verknüpfung auf deinem Desktop.
  
• Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)

ISeeYouXP - VISTA

• Lade dir das Tool IseeYouXp by ShadowPuterDude
  
• Deaktiviere den UAC-User Account Control -(dran denken ihn danach wieder zu aktivieren).
  • Start> Systemsteuerung
  • Doppelklick auf Benutzerkonten
  • Klicke auf Deaktivieren und bestätige.
• Doppelklicke die ISeeYouXP.exe -> Die Datei wird entpackt nach C:\ISeeYouXP
  
• Klicke mit der Rechten-Maustaste auf die ISeeYouXP Verknüpfung die sich nun auf deinem Desktop befindet und wähle: Als Administrator ausführen!
  
• Warte den Scan ab. Nach dem Scan findest du das ISeeYouXP.txt log auf deinem Desktop. Hänge es bitte an deinen nächsten Post an. (Nicht direkt in den Thread posten da es sehr lang sein kann!)

Hallo undoreal,

vielen Dank für die sehr freundlichen Hinweise.

Ich habe nun mit ZHPDiag den Log erstellt und versucht, diesen als Code über das Raute-Symbol anzuhängen. Das habe ich aber irgendwie nicht richtig gemacht, weil beim Absenden dieses kurzen Begleit-Textes die Fehlermeldung 'Text zu lang' erschien.

Ich packe diesen LOG deshalb jetzt mal kurz separat hier auf meinen Arcor Server Space :

http://home.arcor.de/tupolev/ZHPDiag.txt

Kann man das jetzt lesen und kann man damit jetzt was herausfinden ?

1000 Dank und

Beste Grüsse

Mic

------------

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Rufe die Seite Virtustotal auf.

* Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch.

Zitat:

C:\Programme\Brother\BRAdmin Professional 3\bratimer.exe
C:\WINDOWS\system32\drivers\ip6fw.sys
C:\WINDOWS\system32\DRIVERS\secdrv.sys
C:\WINDOWS\system32\drivers\SSHDRV86.sys
C:\WINDOWS\system32\drivers\SSHDRV59.sys
C:\WINDOWS\System32\wininet.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren!
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

LopSD

Deaktiviere deine Sicherheitsprogramme wie Antivirus etc., du kannst sie nach dem Scan wieder aktivieren.

* Lade dir Lop S&D herunter
* Starte die Installation per Doppelklick. Dort "Je suis d'accord avec les termes" anwählen und dann jeweils auf "suivant" klicken
* Nach beenden der Installation erscheint eine Verknüpfung zu Lop S&D auf deinem Desktop, bitte per Doppelklick ausführen.
* Wähle die Sprache deiner Wahl aus und danach die Option 1
* Es kann sein, dass dein Rechner neustartet, lasse dies zu.
* Warte ab bis der Scan beendet ist und das Logfile angezeigt wird.
* Poste das Log hier

*Das generierte Logfile wird unter C:\lopR.txt abgespeichert.
*Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.



Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach folgender Phrase suchen lassen:

Zitat:

C314CE45-3392-3B73-B4E1-139CD41CA933

Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.


PS: Deinstalliere Java über die Systemsteuerung. Die Version ist veraltet und stellt damit ein großes Sicherheitsrisiko da.

Gaaaanz, gaanz herzlichen Dank für die sehr entgegenkommende Mühe !!

Das Log aus SUPERAntiSpyware habe ich inzwischen erstellt ; es ist aber anscheinend nicht sonderlich spektakulär .

siehe hier :
http://home.arcor.de/tupolev/SUPERAntiSpyware Scan Log - 04-15-2009 - 19-39-34.log


Den weitere Hinweis bzgl. Virtustotal konnte ich jetzt allerdings leider nicht ganz nachvollziehen, denn einen "Durchsuchen"Button finde ich hier nicht. Wenn ich in dem Feld Suchen eine der angeg. Dateien eintrage ( also z.B. C:\WINDOWS\System32\wininet.dll ) dann passiert anscheinend gar nichts.

siehe : http://home.arcor.de/tupolev/virtus_hmpage.jpg

Und wie und auf welche Weise und wohin soll ich dann "die Dateien nacheinander hochladen" ?
Ein kleiner Tip hierzu würde mir bestimmt weiterhelfen.

Den weiteren Weg / Scan mit Lop S&D möchte ich dann erst danach machen.. (und will ihn dann auch noch als lopR.txt bereitstellen)

Ich will das aber alles gerne so der Reihenfolge nach abarbeiten, um hier den Überblick nicht zu verlieren, ... bei all den vielen Scans und Logs , die offenbar gemacht werden müssen, um den Brutkasten dieses Teufelteils TrojanSpy ausfindig zu machen und hoffentlich eliminieren noch zu können.

Nochmals 1000 Dank für die sehr freundliche Unterstützung !

Beste Grüße

Euer
Mic

Gemeint ist Virustotal. Da hat sich undoreal wohl vertippt, aber du hättest nur auf den Link klicken brauchen, um zu Virustotal zu kommen.

Also nochmal bei Virustotal hochladen und das gesamte Ergebnis kopieren und hier posten.

mfg, Kaos.