MS Defender meldet mir Trojaner Msdirectx.exe

#0
10.08.2009, 08:41
...neu hier

Beiträge: 3
#1 Morgen

heute als ich meinen Rechner gestartet habe, sah ich in meiner Taskleiste mal wieder das Symbol vom Windows Defender mit einem ? darauf

Nach anklicken sagte er mir, dass ein Trojaner auf meinem Rechner ist

C:/Windows/System32/Msdirectx.exe

dummerweiße habe ich die Datei jetzt schon gelöscht, bevor ich irgendwas anderes gemacht habe


aber bei dem Durchsuchen von System32 fiel mir noch eine Datei auf, die zum selben Zeitpunkt erstellt wurde und auch mit VB erstellt wurde

C:/Windows/System32/WinUpdateMan.exe

http://www.virustotal.com/de/analisis/1c448baf010c8de6926b99c5c221a9eb4601170401a502cec71ecbce92a76ab3-1249885366

auch in System32 war eine Datei namens "socklink.txt" mit einem Link drinnen

Im TempOrdner habe ich noch eine Datei namens "Server.exe" Mit einer Spinne als Symbol gefunden.

https://www.virustotal.com/de/analisis/a32c700a5d68d2f60a3b14ec249aad4f622ab50fb19f5810b67d1c53cf08640c-1249887990

Alle 4 Dateien sind am 6.8 um 20 Uhr erstellt worden

Avira hat davon anscheinend nichts mitbekommen, weder die Firewall noch der AntiVirus.


Ich habe schon die Suche benutzt und hab auch einige Beiträge gefunden in denen noch mehr zusammenhängende Dateien genannt werden, all diese sind bei mir nicht im System.


Ich lasse jetzt mal Luke Filewalker das ganze System durchsuchen aber ich denke mit den 3 Dateien wars das "schon"


Jetzt mal ne Frage, mit der IP die ich in socklink.txt rausgefunden habe komme ich zu einer Firma in Malaysia. Kann ich damit jetzt irgendwas anfangen, das irgendwo melden etc?

Gruß
Dieser Beitrag wurde am 10.08.2009 um 08:58 Uhr von Montag editiert.
Seitenanfang Seitenende
10.08.2009, 10:32
Member

Beiträge: 3716
#2 http://analysis.avira.com/samples/index.php
lad dort doch bitte mal die Dateien hoch, die du zu Virustotal geschickt hast,
Kannst du mal den Link posten, den du in der TXT gefunden hast?
unklickbar bitte
also
hxxp//undsoweiter
Machen wirst du gegen die Firma nichts können
Bitte abarbeiten und Logs posten:
http://board.protecus.de/t23187.htm
Seitenanfang Seitenende
10.08.2009, 16:49
...neu hier

Themenstarter

Beiträge: 3
#3 Ich habe die Files mal gepackt und bei avira hochgeladen!

Der Link in der TXT Datei ist der hier
http./\124:217:248:59/submit:php

das mit den Logs habe ich nochmal durchlaufen lassen, und am 6.8 stehen nur diese 3 *.exe Dateien im Log

Der Rest in den Ordnern ist sauber

Danke schon mal für deine Antwort und den Link von Avira

Gruß
Seitenanfang Seitenende
10.08.2009, 17:18
Member

Beiträge: 3716
#4 Poste bitte mal die Logs.
Lade Gmer:
http://virus-protect.org/artikel/tools/gmer.html
Bitte schalte alle laufenden Programme ab, aktiviere auf dem Tab Rootkits alles. Trenne die Verbindung zum Internet, also Netzwerkkabel raus oder WLAN aus, mache während des scans nichts am PC, vor dem posten des logs nicht vergessen, avira zu aktivieren.
Seitenanfang Seitenende
11.08.2009, 17:53
...neu hier

Themenstarter

Beiträge: 3
#5 Willkommen zurück!

Wir haben folgende Archivdateien empfangen:
Datei ID Dateiname Größe (Byte) Ergebnis
25425860 Trojaner-Verdacht.rar 131.93 KB OK

Eine Auflistung der Dateien und Ergebnisse, die in Archiven enthalten waren, sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
25425861 socklink.txt 34 Byte CLEAN
25425862 WinUpdateMan.exe 84.26 KB MALWARE
25425863 Server.exe 135.56 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
socklink.txt CLEAN

Die Datei 'socklink.txt-anhang-datei-vom-virus.txt' wurde als 'CLEAN' eingestuft. Unsere Analytiker haben in dieser Datei keinen Schadcode gefunden.
Dateiname Ergebnis
WinUpdateMan.exe MALWARE

Die Datei 'WinUpdateMan.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben in dieser Datei einen Trojaner gefunden. Diese Art von Programmen verfügt generell über schädliche Funktion, die so genannte Schadensroutine. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.
Dateiname Ergebnis
Server.exe MALWARE

Die Datei 'Server.exe' wurde als 'MALWARE' eingestuft. Unsere Analytiker haben in dieser Datei einen Trojaner gefunden. Diese Art von Programmen verfügt generell über schädliche Funktion, die so genannte Schadensroutine. Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.


Die restlichen Logs schauen sauber aus, habe einen Bekannten gefragt der sich auch mit sowas auskennt!

Hoffentlich fügen die das bald hinzu, damit der Mist bei allen erkannt und gelsöcht werden kann!

soweit von mir

Gruß und Bye
Dieser Beitrag wurde am 11.08.2009 um 17:57 Uhr von Montag editiert.
Seitenanfang Seitenende
11.08.2009, 18:27
Member

Beiträge: 3716
#6 du solltest auf jeden fall noch ein paar zusätzliche rootkit scans machen denke ich
http://virus-protect.org/artikel/tools/avz.html
update das Programm, trenne danach die Internetverbindung, lass das Programm deinen pc prüfen und poste das log.
rootkitrevialer auch ohne internetverbindung und sonstige laufende Programme ausführen:
http://virus-protect.org/artikel/tools/rootkithook.html
log posten. hat dein bekannter gmer-log ausgewertet?
Seitenanfang Seitenende
12.08.2009, 00:17
Member

Beiträge: 12
#7 Evtl. auch Rootkit Revealer anwenden

http://www.chip.de/downloads/RootkitRevealer-1.71_20300452.html

Log posten.
Seitenanfang Seitenende