Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Sieht aus wie Conficker, ist es aber nicht

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.11.2009, 10:33   #1
shabba
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



Hallo, Gemeinde!

Nachdem ich mich jetzt durch gefühlte Hundert Threads zu verschiedensten Erkrankungen gewühlt habe, eröffne ich nun doch einen eigenen Thread. Der Hintergrund ist folgender:

Eigentlich habe ich AntiVir auf meinem XP-SP2-System, diesen immer schön am updaten, bin allgemein recht vorsichtig (bis auf die XP-Updates, zugegeben). Ich habe aber den Verdacht, dass ich mir über meinen USB-Stick etwas eingefangen habe. Ich komme aber bei allem Suchen nicht auf den "einen" bösen Schädling. Daher beschreibe ich euch das Verhalten:

- Am auffälligsten: Seiten wie avira.com, microsoft.com, sophos.com, etc, etc. sind blockiert. Klingt also wie conficker. Habe mir die entsprechenden Microsoft-Tips durchgelesen, die entsprechenden 3 Patches nachinstalliert. Aber: Finde in der Registry nicht die entsprechenden Einträge, die auf Conficker schließen lassen.
- Beim Systemscan mit Antivir tauchte in einer 500MB-TMP-Datei namens drw00000.tmp ein Dropper.Gen-Fund auf, eine "20.tmp" in system32\spool\prtprocs\w32x86 war laut antivir ein TR/Cosmu.com (zu dem ich fast nichts im Internet finde), eine "xnsmcweaor.tmp" in lokale einstellungen\temp ist als TR/Crypt.XPACK.Gen erkannt worden. Die erste große Datei habe ich geloescht, die anderen beiden sind in Quarantaene.
- DrWebs CureIT glaubte einen Win32 HLLW shadow based in einer DLL in System32 gefunden zu haben. Schon gelöscht.
- clamav will einen win32 virut gen gefunden haben in einer scpbw32.dll, die in system32 liegt. Datei bei virustotal hochgeladen: 0/40 springen an. Suche ergibt, dass da wohl ein False Positive ist.
- Keine Auffälligkeiten bei der automatisierten Analyse der HiJackThis-Log
- Nichts mit RootKitRevealer gefunden
- eScan findet nur 2 Null.Corrupted-Sachen, die angeblich keine Bedeutung haben
- Ich vergaß zu erwähnen, wie ich auf den USB-Stick kam: Antivir ist angesprungen mit einer Meldung, dass eine autorun.inf infiziert sei. Daher die Conficker-Vermutung.

Ich gebe euch hier mal die HiJackThis-log, die RSIT-Logs und die SilentRunners-Log und freue mich auf eure Hilfe! Danke!

Gruß
shabba
Angehängte Dateien
Dateityp: txt hijackthis.log.txt (9,8 KB, 288x aufgerufen)

Geändert von shabba (05.11.2009 um 10:51 Uhr)

Alt 05.11.2009, 10:50   #2
raman
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



Erstelle bitte einmal einen GMER REport. Sollte der Download nicht funktionieren, melde dich bitte.

Nachtrag: Hat Mbam etwas gefunden?
__________________

__________________

Alt 05.11.2009, 11:06   #3
shabba
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



Oh ich vergaß, Mbam hatte in System32 eine serauth1.dll und serauth2.dll als Trojan.Agent erkannt und in Quarantäne gepackt.


Ich mache den GMER-Scan später, muss leider in die Uni. Danke euch schonmal. Kann schon jemand was mit den Logs anfangen? VIelen Dank und beste Grueße
shabba
__________________

Alt 06.11.2009, 08:45   #4
shabba
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



Neues von der Front! Ich habe gestern nochmal Komplettchecks mit Antivir, MBAM und Drweb laufen lassen. Dabei wurde nichts mehr gefunden, nachdem ich zuvor die anderen verdaechtigen Dateien gelöscht hatte. Auch der KK.exe von Kaspersky hat nichts gefunden. Der GMER-Report hängt an. Auch die Antiviren-Webseiten funktionieren wieder. Der (Online-) ActiveScan von Panda hat nur ein paar alte Viren in meinem Email-Posteingang des Thunderbirds gefunden. Aber auch 100 "Sicherheitslücken", die durch Microsoft-Patches gestopft werden müssten.

Irgendwie bin ich jetzt aber unsicher und beinahe unzufrieden: War es jetzt Conficker? Wenn ja, wo war der Bösewicht? Wie ist er reingekommen? Wie wahrscheinlich ist die Neuinfizierung? Hier im Forum wird ja gerne das Neuaufsetzen empfohlen, aber in meinem Fall scheint das Problem auf einmal nur noch ein rosa Logikwölkchen zu sein. Ich habe halt nie den "einen" Dienst gesehen, der im Hintergrund lief o.ä. - Daher weiß ich nicht einmal, WAS ich eigentlich gelöscht habe, was jetzt nicht mehr startet.

Naja. Vielleicht gibt euch der GMER-Report mehr Aufschluss als mir (Sorry, hatte vergessen, Firefox auszumachen während des Scans- schlimm?)

Grueße und Dank
shabba
Angehängte Dateien
Dateityp: txt gmer.log.txt (6,5 KB, 272x aufgerufen)

Alt 06.11.2009, 11:25   #5
raman
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



Man kann ja nun nicht mehr nachvollziehen, ob und wer etwas geloescht hat.
Natuerlich ist es am sinnvollsten hier den REchner neu aufzusetzen, besonders, da das System nicht ansatzweise auf den neusten Patchstand ist.
Du hast doch Acronis TI installiert. Hast du nicht eine relativ aktuelle Sicherung, die du nutzen kannst, oder dient die Installation nur zur Tarnung?

Die letzte Sicherheit, ob dei System wirklich sauber ist, kann ich dir nicht geben...

__________________
MfG Ralf

Alt 06.11.2009, 12:39   #6
shabba
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



Danke für die Antwort - in der Tat besitze ich ein einigermaßen neues Backup - aber dann mit Virus drauf. Wäre ja nicht wirklich ein Gewinn, da ich alle sonstigen Programme etc. neu aufsetzen müsste. Da sitzt man ja ewig! Wenn, dann wechsle ich gleich zu Windows 7, das kriege ich kostenlos über meine Uni.

Zu den Patches: Ich hatte ja erwähnt, dass Panda mir 100 fehlende Patches gemeldet hatte - klar, die habe ich nicht, weil ich damals, als XP rauskam, brav die automatischen Updates deaktiviert hatte (das ging damals so durch die Foren, dass Windows zu viel nach Hause telefoniert). Gibt's ne schnelle Möglichkeit, diese Patches ohne Datenkrakeritis nachzuholen?

Und noch einmal nachgefragt: Hat euch die Betrachtung meiner zahlreichen Logs irgendwelche Aufschlüsse geben können? Ich gebe euch daher mal schnell die GMER-log meines Notebooks, das ja theoretisch auch von dem USB-Stick-Malheur etwas abbekommen haben könnte! Siehe nächster Post.

Dank und Gruß!

Alt 06.11.2009, 12:43   #7
shabba
 
Sieht aus wie Conficker, ist es aber nicht - Standard

Sieht aus wie Conficker, ist es aber nicht



wie versprochen...
Angehängte Dateien
Dateityp: txt GMER.log.txt (9,1 KB, 430x aufgerufen)

Antwort

Themen zu Sieht aus wie Conficker, ist es aber nicht
.dll, antivir, conficker, dll, escan, false positive, folge, gen, hijack, hilfe!, hintergrund, registry, revealer, schließen, seite, seiten, suche, system32, tr/crypt.xpack.ge, update, verdacht, virus, virustotal, virut, win32



Ähnliche Themen: Sieht aus wie Conficker, ist es aber nicht


  1. Microsoft sieht Rückgang der Virengefahr, aber steigende Infektionen
    Nachrichten - 30.10.2013 (0)
  2. [Worm:Win32/Conficker.B!inf] Conficker Befall
    Plagegeister aller Art und deren Bekämpfung - 13.07.2012 (5)
  3. Kann bestimmte Internetseiten nicht öffnen/Conficker.B?
    Log-Analyse und Auswertung - 13.06.2011 (3)
  4. Conficker-Virus ohne Admin-Rechte entfernen? (Conficker, Downadup, Kido,...)
    Plagegeister aller Art und deren Bekämpfung - 11.03.2011 (9)
  5. XP sieht aus wie Vista! Wie wird man es los?
    Alles rund um Windows - 20.07.2009 (16)
  6. Conficker unter Vista: Fragen zum Autorun hack von Conficker
    Plagegeister aller Art und deren Bekämpfung - 22.01.2009 (0)
  7. HJTLog sieht nicht gut aus - MyWebSearch, BearShare Trojaner???
    Log-Analyse und Auswertung - 15.07.2008 (5)
  8. Bitte Log prüfen, sieht wohl nicht gut aus
    Mülltonne - 25.05.2006 (3)
  9. wer sieht etwas?
    Log-Analyse und Auswertung - 11.09.2005 (2)
  10. Hilfe, das sieht nicht gut aus
    Log-Analyse und Auswertung - 03.09.2005 (6)
  11. Das sieht nicht gut aus ....
    Log-Analyse und Auswertung - 22.07.2005 (6)
  12. Wie sieht es aus?
    Mülltonne - 02.06.2005 (1)
  13. Sieht das Logfile o.k. aus?
    Log-Analyse und Auswertung - 14.05.2005 (3)
  14. Sieht Antivir Gespenster?
    Plagegeister aller Art und deren Bekämpfung - 25.02.2005 (2)
  15. Wie sieht es damit aus??? DRINGEND!
    Log-Analyse und Auswertung - 07.02.2005 (3)
  16. mein log - das sieht finster aus...
    Log-Analyse und Auswertung - 26.10.2004 (4)

Zum Thema Sieht aus wie Conficker, ist es aber nicht - Hallo, Gemeinde! Nachdem ich mich jetzt durch gefühlte Hundert Threads zu verschiedensten Erkrankungen gewühlt habe, eröffne ich nun doch einen eigenen Thread. Der Hintergrund ist folgender: Eigentlich habe ich AntiVir - Sieht aus wie Conficker, ist es aber nicht...
Archiv
Du betrachtest: Sieht aus wie Conficker, ist es aber nicht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.