Immer wieder Zahl.exe (z. B. 27191768.EXE) im Windows-Verzeichnis
 

Hallo zusammen,

Malwarebytes findet bei mir immer wieder exe-Dateien im Windows-Verzeichnis. Nach Löschung entstehen sie immer wieder erneut. Kann mir jemand sagen, wie ich das Problem los werde?

-Protokolldetails-
Scan-Datum: 04.10.17
Scan-Zeit: 12:58
Protokolldatei: 05534e74-a8f3-11e7-b65e-001a4d4f09c8.json
Administrator: Ja

-Softwaredaten-
Version: 3.2.2.2029
Komponentenversion: 1.0.188
Version des Aktualisierungspakets: 1.0.2947
Lizenz: Testversion

-Systemdaten-
Betriebssystem: Windows 10 (Build 15063.608)
CPU: x64
Dateisystem: NTFS
Benutzer: System

-Scan-Übersicht-
Scan-Typ: Bedrohungs-Scan
Ergebnis: Abgeschlossen
Gescannte Objekte: 558006
Erkannte Bedrohungen: 13
In die Quarantäne verschobene Bedrohungen: 13
Abgelaufene Zeit: 3 Min., 3 Sek.

-Scan-Optionen-
Speicher: Aktiviert
Start: Aktiviert
Dateisystem: Aktiviert
Archive: Aktiviert
Rootkits: Deaktiviert
Heuristik: Aktiviert
PUP: Erkennung
PUM: Erkennung

-Scan-Details-
Prozess: 0
(keine bösartigen Elemente erkannt)

Modul: 0
(keine bösartigen Elemente erkannt)

Registrierungsschlüssel: 7
Backdoor.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\180805470, Löschen bei Neustart, [646], [251584],1.0.2947
Backdoor.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\592921234, Löschen bei Neustart, [646], [251584],1.0.2947
Generic.Malware/Suspicious, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\6508829, Löschen bei Neustart, [0], [392686],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\8922555, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\7590181, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\7953367, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\5605693, Löschen bei Neustart, [2223], [434554],1.0.2947

Registrierungswert: 0
(keine bösartigen Elemente erkannt)

Registrierungsdaten: 0
(keine bösartigen Elemente erkannt)

Daten-Stream: 0
(keine bösartigen Elemente erkannt)

Ordner: 0
(keine bösartigen Elemente erkannt)

Datei: 6
Generic.Malware/Suspicious, C:\WINDOWS\26601944.EXE, Löschen bei Neustart, [0], [392686],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\31517144.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\27191768.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\28305880.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Worm.Agent.Generic, C:\WINDOWS\26798552.EXE, Löschen bei Neustart, [2223], [434554],1.0.2947
Generic.Malware/Suspicious, C:\WINDOWS\TEMP\8C39.TMP, Löschen bei Neustart, [0], [392686],1.0.2947

Physischer Sektor: 0
(keine bösartigen Elemente erkannt)


(end)

]:hallo:
Mein Name ist Rafael und ich werde dir bei der Bereinigung helfen.

Damit ich dir optimal helfen kann, halte dich bitte an folgende Regeln:

• Bitte lies meine Posts komplett durch bevor du sie abarbeitest
• Wenn ein Problem auftauchen sollte oder dir etwas unklar ist, unterbreche deine Arbeit und beschreibe es so genau wie möglich.
• Bitte kein Crossposting
• Installiere oder Deinstalliere keine Software ohne Aufforderung
• Bitte verwende nur die Tools, welche hier im Thread erwähnt werden und führe sie nur gemäß Anweisung aus
• Bitte antworte innerhalb von 24h um eine sinnvolle Bereinigung zu ermöglichen
• Poste die Logs immer in CODE-Tags (#-Button), zur Not die Logs einfach aufteilen
• Wichtig: Nur weil dein Problem mit einem Schritt plötzlich behoben ist, bedeutet das nicht, dass dein PC auch sauber ist. Mache solange weiter, bis ich dir sage, dass dein PC "clean" ist
• Wir machen unsere Arbeit freiwillig und ehrenamtlich neben unserer normalen Beschäftigung im Leben. Dennoch, wenn ich dir nicht binnen 36h antworte, sende mir bitte eine persönliche Nachricht!

Los geht's :abklatsch:

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)

• Starte jetzt FRST.
• Ändere ungefragt keine der Checkboxen und klicke auf Untersuchen.
• Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
• Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)

Hallo burningice,

vielen Dank für das Hilfsangebot. Hier die FRST

und hier die Addition:

Schritt: 1
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

mbar-log 1:

mbar-log 2:

Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

FRST:

Addition:

noch einiges zu tun.

Schritt: 1

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Schritt: 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Fixlog:

FRST:

Addition:

Schritt: 1
FRST Fix

• Markiere den Inhalt der folgenden Code-Box vollständig, mache einen Rechtsklick darauf und wähle "Kopieren":
  
  Code:

  ---

  Start::
CloseProcesses:
EmptyTemp:
S2 205468; %SystemRoot%\46000600.exe [X]
S2 308480578; %SystemRoot%\9169168.exe [X]
S2 310721750; %SystemRoot%\16312592.exe [X]
S2 376430; %SystemRoot%\40298968.exe [X]
S2 533804; %SystemRoot%\18016728.exe [X]
S2 6461077; %SystemRoot%\28830152.exe [X]
Task: {34F2FCEC-D000-4A9A-A0F0-FC7E55994DD7} - System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
Task: {763204FC-E412-440F-8271-61B58BBAE303} - System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
FilesInDirectory: C:\Windows\*.exe
reg: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender" /t REG_DWORD /v DisableAntiSpyware /d 0
cmd: sc start windefend
End::

  ---

• Starte nun FRST und klicke den Entfernen Button.
• Das Tool führt die gewünschten Schritte automatisch aus und erstellt eine fixlog.txt im selben Verzeichnis, in dem sich die FRST/FRST64.exe befindet.
• Gegebenenfalls muss dein Rechner dafür neu gestartet werden.
• Poste mir den Inhalt der fixlog.txt mit deiner nächsten Antwort.

Schritt: 2
Bitte starte wieder FRST, setze den Haken bei Addition und drücke auf Untersuchen. Poste bitte wieder die beiden Textdateien, die so entstehen.

Muss ich den kopierten Text nirgendwo einfügen?

Ansonsten gleicht die Anleitung ja dem vorherigen Schritt, wo eine erstellte Fixlist.txt als Vorlage für den "Entfernen" Button" diente... :wtf:

ja ist nur ein anderer weg, es führt es auch selbstständig aus, wenn du es noch kopierst. Einfach machen was da steht :D

Alles klar :)

Fixlog:

FRST:

Addition:

also das wird so nix - jetzt kommen schwerere Geschütze.

Schritt 1
Scan mit Farbar's Recovery Scan Tool (Recovery Mode - Windows 10)

• Downloade dir bitte die passende Version des Tools (im Zweifel beide) und speichere diese auf einen USB Stick: FRST 32-Bit | FRST 64-Bit
• Schließe den USB Stick an das infizierte System an und boote das System in die System Reparatur Option.
• Anleitung für Windows 10: Scan mit FRST im Recovery-Modus von Windows 10
• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer. Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt, merke ihn dir.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein. e:\frst.exe bzw. e:\frst64.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks, den du dir gemerkt hast. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes
  
  

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier nach Möglichkeit in Code-Tags (Anleitung).[/QUOTE]

kurze Zwischennotiz:

Der Trojaner/Virus oder womit wir es auch zu tun haben, verbreitet sich offensichtlich durch das angeschlossene Netzwerk immer wieder selbstständig. Ein komplett sauberer PC infiziert sich im Netzwerk hängend (ggf. über die gemeinsame Domäne?) automatisch. Vermutlich muss ich sämtliche PC´s außerhalb des Netzwerkes säubern und darf sie erst im Anschluss wieder in die Domäne hängen.

hab mich schon gewundert wieso ihr da Fluke DMS habt.

Habt ihr mehrere infizierte PCs im Netzwerk? Habt ihr keine gemeinsame Endpoint Protection? Beachte die Hinweise zum Bereinigen von kommerziell genutzten PCs:
https://www.trojaner-board.de/108422...-anfragen.html

Das macht die Sache natürlich nicht einfacher und impliziert normalerweise irgend eine ziemliche Sicherheitslücke irgendwie in eurem Netzwerk. Im schlimmsten Fall passt was mit eurem Domain Controller/Active Directory nicht, wodurch er alle angeschlossenen Geräte infiziert.

Diesen PC soweit offline nehmen und isolieren - nur so kann man damit arbeiten.

Okay, vielen Dank für den Hinweis und den Link - dies war mir nicht bewusst. Das Problem betrifft tatsächlich noch weitere PC´s. Wir werden entsprechend fachkundige Dienstleister in Anspruch nehmen. :dankeschoen:

Alles klar, gute Entscheidung!

Ich würde mich freuen, wenn du dann Ende sagst, was euer konkretes Problem war und was passiert ist :)

Alles Gute!

Klar, gebe Bescheid!

Hier die versprochene Rückmeldung, auch wenn ich die Ursache des Übels nicht nennen kann.

Das vorhandene Avira Antivir Professional wurde durch ESET Endpoint Security ersetzt und hat diverse Ergebnisse hervorgebracht - zum Teil Verdacht auf Botnetzaktivitäten. Diese Rechner werden formatiert. Ansonsten scheinen die Probleme durch ESET gelöst worden zu sein, da keine weiteren Dienste (123..9.exe) angelegt werden.

na dann viel Glück weiterhin ;)