Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Recycler auf USB Stick (Generic.dx, Exploit-CVE, Trojan.Dropper) (https://www.trojaner-board.de/93822-recycler-usb-stick-generic-dx-exploit-cve-trojan-dropper.html)

mouseclick 16.12.2010 10:58
Recycler auf USB Stick (Generic.dx, Exploit-CVE, Trojan.Dropper)
 
Hallo zusammen,

seit 2-3 Tagen habe ich mit einem Virus/Trojaner oder mehreren zu kämpfen.
Zuerst hat mein WinXP die Meldung gebracht, dass der Windowsexplorer geblockt wurde. Später dann auch noch der Internetexplorer.

Danach hat mich VirusScan von McAfee auf folgende Trojaner/Viren aufmerksam gemacht:
  1. StgnBen.cpl im Recyclerordner auf USB Stick ... erkannt als Genericdx!uuc ... Anwendung iexplorer.exe
  2. Copy of Shortcut to (4).Ink .. ebenfalls auf USB Stick ... erkannt als Exploit-CVE-2010-2568 ... Anwendung iexplorer.exe
  3. autorun.inf auf USB Stick --- W32/Ramnit.a!inf ... iexplorer.exe

Wenn ich den Ornder lösche, ist er kurz daraufhin wieder da.

Dann habe ich einen Scan des Rechners gemacht mit Malware und daraufhin die ersten infizierten Dateien entdeckt:
Code:
Infizierte Dateien:
c:\dokumente und einstellungen\administrator\startmenü\programme\autostart\tqayjbis.exe (Trojan.Dropper) -> Delete on reboot.
c:\dokumente und einstellungen\enderle\startmenü\programme\autostart\tqayjbis.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\temp\tmpe9a8c794\Output.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
Den PC habe ich bislang noch nicht neu gestartet, da ich mir nicht sicher war, ob ich dadurch mehr Schaden verursache. Ein erneuter kompletter Scan der lokalen Platten im Administratormodus hat folgenden Log erzeugt (es sei dazu gesagt, dass ich noch ein Netzlaufwerk habe ... jedoch ist dieses im Moment abgeklemmt).

Code:
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Datenbank Version: 5321

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

Infizierte Dateien:
c:\system volume information\_restore{b19b73eb-63c9-4a52-bfa3-e79b1aac1226}\RP308\A0052668.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Im Anhang sind die OTL Logfiles. Aufgrund dessen, dass ich ein Netzlaufwerk habe, kommen ein paar Fehlermeldungen in den Logfiles.

Ich bin für Eure Hilfe dankbar. Was soll ich als nächstes tun?

mouseclick 16.12.2010 14:15
Also ich habe mich nun auch noch als Benutzer angemeldet und die Scans durchgeführt.

Der erste vollständige Scan (habe ich abgebrochen, um den Quickscan durchzuführen) lieferte:
Code:
Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{BB64C10A-E469-82F5-6A83-2F5E97395E1D} (Trojan.Agent.Gen) -> Value: {BB64C10A-E469-82F5-6A83-2F5E97395E1D} -> Quarantined and deleted successfully.

Files Infected:
u:\NTProfil.fix\anwendungsdaten\Olkue\ynum.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
Der zweite Quick Scan lief ganz durch und lieferte dann noch:
Code:

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Trojan.Agent) -> Value: svchost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{BB64C10A-E469-82F5-6A83-2F5E97395E1D} (Trojan.ZbotR.Gen) -> Value: {BB64C10A-E469-82F5-6A83-2F5E97395E1D} -> Quarantined and deleted successfully.
Die OLT Logfiles wieder im Anhang.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:28 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28