infiziertes Notebook.

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von xandros, 12.10.2009.

  1. #1 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    hab hier gerade ein Notebook in der Prüfung (per Teamviewer, weil das Ding etliche tausend Kilometer entfernt steht)

    Superantispyware hat böse angeschlagen und folgendes Logfile erzeugt.
    Den Anhang 11125 betrachten

    OS: Windows XP SP2 (mit Ausnahme des SP3 sind alle aktuellen Patches installiert!)

    Welche weiteren Schritte sind hier sinnvoll.
    Inzwischen hab ich schon den Smitfraud-Remover und Vundo-Fix im Einsatz....
     

    Anhänge:

    • LOG.txt
      Dateigröße:
      33,9 KB
      Aufrufe:
      19
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hallo Kollege,

    das sieht mehr als nur sehr mies aus. Der Rechner ist ja eine reine Virenschleuder. Bei deratigem Befall muss auf jeden Fall von einem Rootkit ausgegangen werden, das sämtliche Schädlinge nachgeladen haben. Per Teamviewer hast du wahrscheinlich auch keine Möglichkeit Combofix laufen zu lassen? Allerdings, auch wenn es wenig hilfreich ist, das System ist nicht zu retten. Sämtliche Schutzsystem sind mit Sicherheit ausgehebelt oder unterlaufen. Würde dem Besitzer nicht empfehlen, mit dem System noch irgendwelche Aktionen im Internet wie Mailaccount, Online Banking aufzuführen. Bin normalerweise geduldig aber hier sehe ich keinen Sinn. Systemdateien wurden mit Sicherheit auch in erheblichem Maße verändert. Würde mich auch nicht wundern wenn die DNS manipuliert ist.

    Würde auch empfehlen den Router neu zu konfigurieren.

    Er hat Datensammler auf dem Rechner. Da würde ich auch schleunigst Passwörter und Zugangsdaten ändern. Systemwiederherstellung wird höchstwahrscheinlich auch unterlaufen sein.

    Selbst ich als erfahrener Virenjäger würde mein System sofort platt machen.

    Hat derjenige eventuell ein funktionierendes Image?
     
  4. #3 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Werd mal versuchen Combofix laufen zu lassen....
    Inzwischen sieht der Scan von Superantispyware deutlich besser aus.
    Da sind lediglich noch zwei Einträge drin, die noch nicht behandelt wurden.

    Code:
    Trojan.Sino-PWS/Gen
    Trojan.Dropper/Win-NV
    mit den jeweiligen Zusatzzeilen entsprechend dem alten Log.
    Sieht also schon nicht mehr ganz so grausam aus.....

    Combofix hat natürlich die Teamviewer-Verbindung natürlich gekappt, aber da sitzt jemand vor Ort am Rechner, der die Verbindung nach Fertigstellung wieder herstellen kann....
    Werd das Logfile dann gleich nachreichen...

    edit: hier das Logfile (habs selbst noch nicht durchgesehen - also "speicherfrisch")
    Den Anhang 11126 betrachten
     

    Anhänge:

  5. #4 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ob Superantispyware alles beseitigt hat, ist noch nicht gesagt. Würde mal den Rechner auch neustarten und neues Scan durchführen. Manche Schädlinge werden einfach wieder neugeladen. Wichtig ist auf jeden Fall ein Rootkit auszuschließen. Selbst wenn das System augenscheinlich sauber ist, müssen alle offenen Tore wieder geschlossen werden.

    Was war der Grund für deine Fernwartung? Welche Auffälligkeiten gab es?
     
  6. #5 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    C:\xucugerp.exe (Backdoor)
    C:\whghxd.exe (würde ich mal prüfen)

    Diese beiden Dateien nochmals prüfen bei Virustotal, wobei die erste ziemlich sicher ein Backdoor ist. Ist das Logfile komplett?
     
  7. #6 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    Neustarts sind inzwischen 4 Stück erfolgt....
    Auffällig war z.B. dass in der Taskleiste mehrfach ein roter Kreis mit weissem X angezeigt wurde, welches zum Kauf eines Antispyware-Tools aufgefordert hat.
    Das hat den Eigentümer etwas stutzig gemacht und er hat direkt nach Hilfe gefragt.....
    Die Dinger tauchen inzwischen nicht mehr auf...

    Das Logfile ist komplett so, wie es auf seinem Bildschirm ausgegeben wurde - hab davon direkt eine Version gespeichert und mir rübergezogen...
     
  8. #7 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Aha, weiß er noch welche Software gekauft werden sollte? Empfehle noch Rogue Remover von Malwarebytes. Sollte noch Scareware vorhanden sein, kann man diese gut mit diesem Programm löschen. Habe ich in Tutorials gepostet.
     
  9. #8 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    die obigen Dateien hab ich mal prüfen lassen.
    xucugerp.exe wurde bei 11 Einträgen als bösartig gelistet....
    SPR/Tool.Obfuscator.FL.114, Win32/Heur, (Suspicious) - DNAScan, und so weiter!

    whghxd.exe wurde wie folgt eingestuft:
    Trojan-Downloader.Win32.FraudLoad!IK, TR/Dldr.FraudLoad.ftv.5, Trojan/Win32.FraudLoad.gen, Fake_AntiSpyware.DSH, Trojan.Fakealert.4983 usw.

    Welche Software gekauft werden sollte, war da nicht zu erkennen. Der Balloon hat nur mitgeiteilt, dass man ein Update herunterladen muss und die kostenpflichtige Software installieren soll, damit die Bedrohung beseitigt werden kann....
    (da hat dann doch keiner drauf klicken wollen! das war dem Eigentümer schon zu suspekt!)

    edit: der letzte Scan von Superantispyware hat nur noch 3 Tracking-Cookies gebracht, die von der letzten Internetsitzung stammen. Ansonsten keine Funde mehr!
    Nebenbei scanne ich gerade zwei weitere Notebooks, wovon eines demletzt auch eine ähnliche Meldung bezüglich einem Rogueware-Remover gebracht hatte....
    (mir kommt es vor, als wäre dort nicht nur eine Virenschleuder, sondern ein Brutplatz!)
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Leonixx, 12.10.2009
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ich denke mal das auf dem System schon länger verschiedene Schädlinge vorhanden waren. Aufgefallen ist es erst, als die Meldung in der Taskleiste erschien. Beim ersten Nokebook auf jeden Fall mal Rogue Remover durchlaufen lassen. Auch speziell z.B. AntiSpyware testen. Zusätzlich auf jeden Fall auch Malwarebytes durchrennen lassen. Das Proggi kann noch weitere Schädlinge desnfizieren. Wie man sieht ist der Rechner noch lange nicht sauber. Superantispyware ist hier schon ausgereizt.
     
  12. #10 xandros, 12.10.2009
    xandros

    xandros IT Consultant, Cisco Registered Partner
    Moderator

    Dabei seit:
    05.07.2007
    Beiträge:
    25.885
    Zustimmungen:
    91
    Ort:
    Umkreis Duisburg, neben Mannheim, hinter Hamburg
    So. Malwarebytes hat dann auch noch etwas entdeckt....
    Code:
    Malwarebytes' Anti-Malware 1.41
    Datenbank Version: 2948
    Windows 5.1.2600 Service Pack 2
    
    12.10.2009 18:41:19
    mbam-log-2009-10-12 (18-41-19).txt
    
    Scan-Methode: Vollständiger Scan (C:\|D:\|)
    Durchsuchte Objekte: 139093
    Laufzeit: 21 minute(s), 45 second(s)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 5
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\cbsd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\e4u.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\exerev.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\ic6.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\HummerH2\Anwendungsdaten\ctfmon.exe.vir (Trojan.Downloader) -> Quarantined and deleted successfully.
    
    Rogue Remover wird nach dem Neustart auf den Rechner angesetzt....

    edit: Rogue Remover ohne Befund!
     
Thema: infiziertes Notebook.
Besucher kamen mit folgenden Suchen
  1. blackberry auffällige prozesse spy

Die Seite wird geladen...

infiziertes Notebook. - Ähnliche Themen

  1. Notebook Entscheidungshilfe

    Notebook Entscheidungshilfe: Hallo, Ich hoffe ihr könnt mir weiterhelfen. Ich habe hier 3 notebooks zur Auswahl, da meine Hardware Kenntnisse allerdings begrenzt sind, bitte...
  2. Notebook: CPU und die leidige Kühlung

    Notebook: CPU und die leidige Kühlung: Servus, mir geht es um die Leistungssteigerung meines Notebooks. Mir ist klar, dass ein Laptop immer Probleme mit der Kühlung hat und man da...
  3. Notebook für Reisen mit ausreichender Leistung gesucht

    Notebook für Reisen mit ausreichender Leistung gesucht: Hallo miteinander, ich tue mich gerade etwas schwer bei dem großen Angebot an Notebooks und den neuen "Tablet-Notebooks" und bin auf eure...
  4. Nvidia Pascal: Desktop-Grafikleistung im Notebook?!

    Nvidia Pascal: Desktop-Grafikleistung im Notebook?!: Moin Leute, gerade bin ich über über einen Artikel von PC-Welt gestolpert, wo es heißt, dass Nvidia mit der aktuellen Generation die Chips im...
  5. Kann man die Grafikkarte des Notebooks bzw. die Platine "backen"?

    Kann man die Grafikkarte des Notebooks bzw. die Platine "backen"?: Ich hab bei mir noch eine Notebookleiche rumliegen, die leider nicht mehr funktioniert. Es war mal ein ziemlich guter HP Lappy, aber scheinbar hat...