|
Windows-Update-Tool ermittelt TrojanSpy:Win32/Bancos.gen!A, kann aber nicht entfernen Hi Leute, leider bin ich erst neu hier und bin auch wirklich kein Crack (schon erst recht nicht was PC-Viren anbelangt) und habe nun schon erfolglos seit gestern nacht und stundenlang hier im Forum und bei Google & Co nach Antworten zu meinem Trojan Problem gesucht , bin aber nicht wirklich fündig geworden und weiß jetzt wirklich nicht mehr weiter : Deshalb meine herzliche Bitte um Hilfe an die Spezialisten unter Euch : Wer kennst sich aus und kann netterweise in möglichst verständlichen Worten helfen ? : Der konkrete Fall : Ich habe gestern ein (neues) Windows XP (home) Sicherheits-Update erhalten, welches als "Tool zum Entfernen bösartiger Software" angezeigt war und nach der Installation des Updates dann bedauerlicherweise den TrojanSpy:Win32/Bancos.gen!A irgendwo ( leider ohne Angabe wo genau ) als Malware gefunden hatte und unter "Überprüfungsergebnisse" aber dann nur mitteilt : "Ermittelt, aber nicht entfernt". In dem entsprechenden Microsoft Bulletin : http://www.microsoft.com/security/portal/Entry.aspx?Name=TrojanSpy%3aWin32%2fBancos.gen!A wird darauf hingewiesen, dass sich hier eine >>> explori.exe <<< im Systemordner eingenistet haben könnte und dass man ggf. in der Registry unter HKLM einen hinzugesetzten Wert >>> explorer <<< finden könne. All diese Suche hat aber zu keinerlei Erfolg geführt , sodass ich schon fast glauben möchte, dass die Microsoft-Update-Meldung "gefunden , aber nicht entfernt" vielleicht falsch oder verfrüht ausgegeben worden sein könnte, und dass dieses Update-Tool zum Entfernen bösartiger Software vielleicht ja sogar noch durchgegriffen haben könnte.. z.B. kurz nach der bereits ausgegebenen Meldung "...nicht entfernt". ( Oder wäre das unmöglich ? ) Denn auch nach dem dann über Nach von mir durchgeführten Intensiv-Scan (also auch alle Archivdateien) mit meiner AVAST Antiviren Software kam nichts an die Oberfläche : Ergebnis : 0 Viren found. AVAST Antivir hat hier lediglich noch zwei Hinweise ausgegeben, wonach 1) eine Prüfung nicht möglich sei, da ein Archiv passwort-geschützt sei. (DataBecker-ZipGenie). Und dann gab es noch einen Hinweis : C:\.. \onJanuary 1,2004. For complete details, visit#154684988 . Ergebnis : Prüfung nicht möglich. Die Datei ist eine Dekomprimierungsbombe. (Letzteres hört sich natürlich erst einmal furchtbar erschreckend an. Dazu habe ich aber Hinweise beim Google gefunden , wonach solche Meldungen auch bei allen möglichen , harmlosen, gepackten Dateien erfolgen sollen; z.B. bei .vob Dateien , die auf virtuellen Laufwerken meine Lern-Software-'CD' startet ) Ich habe hier zwar nun auch mehrere Sicherheiten an bzw. auf diesem XP-Rechner : 1. DSL Fritz Box SL 2. Windows XP Firewall 3. Search & Destroy .. mit aktueller Immunierung gegen Schadsoftware Aber ich möchte natürlich unbedingt und vor allem wissen , *OB* und -falls ja- *WO* der verdammte Mist sich eingenistet hat. Es ist ja wirklich zu blöde, dass die Windows-Update-Meldung (zum Finden und "Entfernen" bösartiger Software nach einem Auffinden zwar den unerfreulichen 'Erfolg' meldet, aber nicht in der Lage zu sein scheint, wenigstens mitzuteilen, WO der Trojaner denn nun "gefunden" wurde. Ich wäre einem liebenswürdigen Zeitgenossen also über alle Maßen dankbar, wenn er/sie mir hier einen wertvollen Tip geben könnte, wie ich hier zum tatsächlichen Aufspüren kommen kann um das Mistding wieder loszuwerden. Das System und alle Programme mit allen Einstellungen komplett neu aufzusetzen würde Tage vernichten und diese Zeit habe ich leider nicht. Wer weiß also Bescheid und kann den "Goldenen Hinweis" geben ? Herzlichen Dank im Voraus Mic |
Halli hallo mic3005 :hallo: Poste bitte ein ZHPDiag log. Überprüfe den Rechner danach mit SuperAntiSpyware und Anti-Malware und poste die logs. Danach: ISeeYouXP - XP
ISeeYouXP - VISTA
|
Hallo undoreal, vielen Dank für die sehr freundlichen Hinweise. Ich habe nun mit ZHPDiag den Log erstellt und versucht, diesen als Code über das Raute-Symbol anzuhängen. Das habe ich aber irgendwie nicht richtig gemacht, weil beim Absenden dieses kurzen Begleit-Textes die Fehlermeldung 'Text zu lang' erschien. Ich packe diesen LOG deshalb jetzt mal kurz separat hier auf meinen Arcor Server Space : http://home.arcor.de/tupolev/ZHPDiag.txt Kann man das jetzt lesen und kann man damit jetzt was herausfinden ? 1000 Dank und Beste Grüsse Mic ------------ |
Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. LopSDDeaktiviere deine Sicherheitsprogramme wie Antivirus etc., du kannst sie nach dem Scan wieder aktivieren. * Lade dir Lop S&D herunter*Das generierte Logfile wird unter C:\lopR.txt abgespeichert. *Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein. Registry Search Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen. Hier das Programm herunterladen -> RegSearch by Bobbi Flekman Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten. Danach in den weißen Feldern (Search String) nach folgender Phrase suchen lassen: Zitat:
Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen. PS: Deinstalliere Java über die Systemsteuerung. Die Version ist veraltet und stellt damit ein großes Sicherheitsrisiko da. |
Gaaaanz, gaanz herzlichen Dank für die sehr entgegenkommende Mühe !! Das Log aus Superantispyware habe ich inzwischen erstellt ; es ist aber anscheinend nicht sonderlich spektakulär . siehe hier : http://home.arcor.de/tupolev/SUPERAntiSpyware Scan Log - 04-15-2009 - 19-39-34.log Den weitere Hinweis bzgl. Virtustotal konnte ich jetzt allerdings leider nicht ganz nachvollziehen, denn einen "Durchsuchen"Button finde ich hier nicht. Wenn ich in dem Feld Suchen eine der angeg. Dateien eintrage ( also z.B. C:\WINDOWS\System32\wininet.dll ) dann passiert anscheinend gar nichts. siehe : http://home.arcor.de/tupolev/virtus_hmpage.jpg Und wie und auf welche Weise und wohin soll ich dann "die Dateien nacheinander hochladen" ? Ein kleiner Tip hierzu würde mir bestimmt weiterhelfen. Den weiteren Weg / Scan mit Lop S&D möchte ich dann erst danach machen.. (und will ihn dann auch noch als lopR.txt bereitstellen) Ich will das aber alles gerne so der Reihenfolge nach abarbeiten, um hier den Überblick nicht zu verlieren, ... bei all den vielen Scans und Logs , die offenbar gemacht werden müssen, um den Brutkasten dieses Teufelteils TrojanSpy ausfindig zu machen und hoffentlich eliminieren noch zu können. Nochmals 1000 Dank für die sehr freundliche Unterstützung ! Beste Grüße Euer Mic |
Gemeint ist Virustotal. Da hat sich undoreal wohl vertippt, aber du hättest nur auf den Link klicken brauchen, um zu Virustotal zu kommen. Also nochmal bei Virustotal hochladen und das gesamte Ergebnis kopieren und hier posten. mfg, Kaos. |
Danke Kaos, hätte ich natürlich auch selbst drauf kommen können... aber da es die Webseite Vir't'ustotal auch tatsächlich gab dachte ich, dass das dann schon seine Richtigkeit haben soll. Die Scanergebnisse aus Virustotal folgen also dann in Kürze.. Hier jetzt erst mal noch kurz das Ergebnis aus dem eingangs ebenfalls empfohlenen Check mit Malwarebytes (keine Malware gefunden) : http://home.arcor.de/tupolev/malware...s0_16apr09.jpg Logdatei siehe hier : http://home.arcor.de/tupolev/mbam-lo...(09-40-44).txt Vielen Dank für Eure sehr freundliche Unterstützung ! Euer Mic |
...und hier ist auch noch das Ergebnis mit ISEEYOU : http://home.arcor.de/tupolev/ISeeYouXP.txt ( im wesentlichen also offenbar auch alles eher 'NOT FOUND' ) P.S. : Bezgl. des eingangs erfolgten Hinweises zum "veralteten" Java noch kurz um Missverständnisse zu vermeiden : Auch wenn die Angabe im LogFile auf ein 'Java1999-2000' hinweist, so ist es aber tatsächlich hier das wirklicvh aller-aktuellste auf dem Rechner.. Ich habe es gerade noch einmal überprüft. siehe : http://home.arcor.de/tupolev/java-aktuell_11apr09.jpg Jetzt folgt noch das Log mit Virustotal.. Bis gleich.. Besten Dank Euer Mix |
.. So. Und hier sind nun noch die Überprüfungen der genannten Dateien C:\Programme\Brother\BRAdmin Professional 3\bratimer.exe C:\WINDOWS\system32\drivers\ip6fw.sys C:\WINDOWS\system32\DRIVERS\secdrv.sys C:\WINDOWS\system32\drivers\SSHDRV86.sys C:\WINDOWS\system32\drivers\SSHDRV59.sys C:\WINDOWS\System32\wininet.dll mit Virustotal : http://home.arcor.de/tupolev/bratime...hk_16apr09.pdf http://home.arcor.de/tupolev/ip6fw-s...hk_16apr09.pdf http://home.arcor.de/tupolev/secdrv_...hk_16apr09.pdf http://home.arcor.de/tupolev/sshdrv8...hk_16apr09.pdf Hierzu der Hinweis zum Ergebnis "eSafe = suspecious file" ( Datei sshdrv86.sys ) : Dabei handelt es sich um einen virtuellen Safe von der Firma Steganos. (Steganos Security Suite 2007) http://home.arcor.de/tupolev/sshdrv5...hk_16apr09.pdf http://home.arcor.de/tupolev/wininet...hk_16apr09.pdf Nach erster Inaugenscheinnahme also auch hier nichts auffälliges. Oder ? Frage bleibt also : Wo steckt das Teufelsding ? Oder ist es schon weg ? Weiterhin vielen vielen Dank für alle, die sich hier soo viel Mühe geben, um zu helfen. Beste Grüsse Euer Mic |
...und hier nun -last but not least - noch den abschließenden Check mit dem von Euch angeratenen LopSD : http://home.arcor.de/tupolev/lopR.txt Auch hier scheint sich nichts gefunden, oder ? Beste Gruesse Euer Mic |
Im log taucht eine PID auf die ich unter deinen laufenden Prozessen nicht wiederfinde. Hattest du evtl. irgendwelche "ungewöhnlichen" Programme/Prozesse laufen während das Microsoft Windows Malicious Software Removal Tool gelaufen ist? Das könnten Updates, Steganos Applicationen oder ähnliche sein. Lasse das Tool bitte nocheinmal laufen: http://www.microsoft.com/downloads/details.aspx?FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356&displaylang=en |
Hallo liebe Leute, hier sende ich noch zur besseren Übersicht einmal die Zusammenfassung aller von Euch angeratenen Scans in der Reihenfolge der Ergebnisse. Nach der Windows-Update-Meldung "TrojaSpy... ermittelt, kann aber nicht entfernt werden" ( siehe 000 ) habe ich auch in den folgenden Scans nichts auffälliges finden können .. Nur der ISEEYOU-scan verrät : Windows XP update hatte eben die Meldung (s.o.) ausgegeben. Das nützt natürlich auch nichts, weil ich noch immer nicht weiß, ob das Ding nun evtl. doch schon verschwunden ist oder noch irgendwo hockt... Wer kennt sich aus und hat vielleicht noch eine zündende Idee ?? Beste Grüsse Mic Hier die shots, scans und logs in Reihenfolge : http://home.arcor.de/tupolev/000_bancos-vir.jpg http://home.arcor.de/tupolev/001_ISEEYOU found.jpg http://home.arcor.de/tupolev/002_mal...s0_16apr09.jpg http://home.arcor.de/tupolev/003_lopR.txt http://home.arcor.de/tupolev/004_ZHPDiag.txt http://home.arcor.de/tupolev/005_SUPERAntiSpyware .log http://home.arcor.de/tupolev/006_ISeeYouXP.txt http://home.arcor.de/tupolev/007_mbam-log.txt http://home.arcor.de/tupolev/008_bra...hk_16apr09.pdf http://home.arcor.de/tupolev/009_ip6...hk_16apr09.pdf http://home.arcor.de/tupolev/010_sec...hk_16apr09.pdf http://home.arcor.de/tupolev/011_ssh...hk_16apr09.pdf http://home.arcor.de/tupolev/012_ssh...hk_16apr09.pdf http://home.arcor.de/tupolev/013_win...hk_16apr09.pdf |
Hallo Leute, kurze Info, ab den 1. Jänner 2010 gibt es einen qualitativ hochwertigen Webspace. Das bedeutet Ihr bekommt die Domain mit die Zugangsdaten in einem Augeblick. Cool odor? ;-) *** Hier bitte keine Werbung *** |
Zitat:
Leider ... - oder Gott sei Dank - (?) blieb auch diese Prüfung ohne Befund. siehe hier : http://home.arcor.de/tupolev/no-virus.jpg Seltsam, seltsam, seltsam !!! Vielleicht hatte ich ja doch recht mit meiner eingangs erwähnten Vermutung, dass das Windows Removal Tool erst nach der Meldung "..kann nicht entfernen" im letzten Rucker und Zucker das Ding doch noch weggeblasen hat... Oder wäre das blanke Illusion ? Nochmals 10000x Dank für die umfassende Mühe, die ausgezeichneten Tips und das hervorragende "wie scanne ich alles bis ins letzte-Schlupfloch-Seminar". Eine bessere Schulung kann man nicht bekommen !... auch wenn es hier jetzt offenbar keine klare Antwort gibt auf die Frage : 'Wo sitzt das Mistding.. bzw. ist es wirklich weg?' Letzteres scheint aber wohl wahrscheinlich, oder ? Beste Grüsse Euer Mic :dankeschoen::dankeschoen: |
Ist das wieder lustig bei Euch! Microsoft schreibt: Suche C:\Windows\System32\explori.exe -> eindeutig! Da wieder Scriptkiddies oder Volldeppen am Werk waren natürlich auch HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Warum muss ich dazu wininet.dll mit Gurkensoftfrickelflickware auf was auch immer untersuchen? Kleiner Tip: Mit wininet.dll gehen wir seit Windows 95 ins - Na? - Richtig! - Internet. (Kompetenzteam?) Lustigerweise haben alle mit Virenbefall mindestens 2 Virenscanner laufen, der TO mindestens 3. Ich frage lieber nicht. Damit es auch der Letzte begreift, hier die Tips von Symantec: Disable System Restore (Windows Me/XP). Update the virus definitions. Run a full system scan. Knaller! Was kostet der Quatsch? 50 Euro - 100 im Monat? Jahr? 1 Datei löschen und 1 Registry-Key entfernen, fertig. Mit eingeschränkten Rechten hätte dieser Mist wieder keine Chance gehabt. |
@WinUpGro: [ironie] Oh, da hat einer aber ganz viel Ahnung! Es ist unmöglich, dass eine "dll" Datei durch Malware ersetzt wird und es reicht auch völlig aus den TO zu fragen, was denn so seine Registry und seine aktiven Prozesse so sagen,wie sie heissen und dann wird des kleine Kiddiescript beseitigt, halt einfach die Datei löschen und den Regeintrag killen. Rechner sauber und das eventuelle Rootkit oder anderer scheiss, weil dieses Scriptkiddie vieleicht ein mächtiges Scriptkiddietool hat, mit dem es ein Superscriptkiddiebackdoor gescriptkiddied hat. das sich vielleicht doch noch irgendwo versteckt, ebenfall völlig auszuschließen ist, das andere auf ein Backdoor zuggreifen und etwas hochladen! Und der Titel heisst doch gleich wie? Richtig TrojanSpy:Win32/Bancos.gen!A.....Scriptkiddies! [/ironie] |
..na, immer schön cool bleiben !.. zumindest so lange bis niemand eindeutig klären kann, wie es zu dieser Windows Update und Removal -Meldung gekommen ist und ob und wie - falls überhaupt - der Trojaner denn nun überhaupt verschwunden ist ... (????) !!! Ist er nun vielleicht noch da oder ist er wirklich weg ???? Sein oder Nicht-Sein bleibt doch hier die entscheidende Frage :) Euer Mic |
Zitat:
Wie ich bereits sagte verweist das log auf eine PID die jetzt nicht mehr bei dir läuft. Außerdem wurde der Befund auf Bancos.gen getauft was auf einen heuristischen Fund schließen lässt. Beides erhärtet die bereits vorher aufgestellte Theorie, dass während des Scans mit dem MS-Tool ein Prozess* lief der von dem Tool als bösartig eingestuft wurde. * beispielsweise der Updater eines legitimen Programmes |
Zitat:
lieben Dank für die weitere freundliche Fürsorge. Also ob - und falls ja - weiterer Prozess abgelaufen sein könnte , als ich den Scan mit dem Windows Removal Tool gemacht habe bleibt mir völlig schleierhaft. Eigentlich hatte ich alles extra abgeschaltet, falls ich nicht etwas übersehen haben sollte. Meinst Du, dass dieses Removal Tool nach seiner heuristischen Logik selbst ein bancos.gen erzeugt, bzw. angezeigt haben könnte ? Also sozusagen ein legitimes Update fehlinterpretiert haben könnte ? Und würdest Du die Sache jetzt im Anbetracht der vielen "Not found"-Ergebnisse als erledigt betrachen ? Vielleicht verstehe ich den letzten Hinweis jetzt ja auch nicht ganz . *Welches* von meinen vielen erstellten Logs verweist jetzt auf ...?... (pardon, ... was ist ein *PID*?) Und wo oder von wem wurde etwas auf bancos.gen umgetauft ? Gehe ich recht in der Annahme, dass eine weitere Suche nach dem Trojaner aber jedenfalls wenig sinnvoll sein dürfte ? Beste Grüsse Euer Mic |
Dein Rechner ist sauber. Das MS Tool hat irgendeinen legitimen Prozess der zu der lief als schädlich eingestuft. Da es kein Trojaner war sondern nur so ähnlich aussah hat das MS Tool ihm das Anhängsel .gen verpasst. |
Zitat:
Nochmals vielen herzlichen Dank für die vielen nützlichen Hinweise ! Bestimmt kann ich all die Infos noch einmal gut gebrauchen . Hier schließe ich die Sache dann erst einmal ab. Beste Grüsse Mic :dankeschoen::dankeschoen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board