Win32.Loader.O in winlogon.exe und explorer.exe

#0
27.08.2010, 09:41
...neu hier

Beiträge: 4
#1 Hallo zusammen,

obwohl mein Trend Microscan nicht meckert, sind bei mir die winlogon.exe und die explorer.exe verseucht. Die Meldungen kommen von den folgenden Scannern, die anderen haben nichts gefunden.

C:\WINDOWS\system32\winlogon.exe
[G DATA] 2010-08-19 Win32.Loader.O
[Grisoft AVG Anti-Virus] 2010-08-19 Win32/Patched.FM
[Avira AntiVir] 2010-08-19 TR/Spy.513024.11
[Softwin BitDefender] 2010-08-19 Win32.Loader.O
[Sophos] 2010-08-19 Troj/Patched-O
[Dr.Web] 2010-08-19 modification of Win32.Dat.2
[F-Secure Anti-Virus] 2010-08-19 Win32.Loader.O

C.\WINDOWS\explorer.exe
[G DATA] 2010-08-19 Win32.Loader.O
[Ikarus] 2010-08-19 Virus.Win32.Bamital
[Grisoft AVG Anti-Virus] 2010-08-19 Win32/Patched.FL
[Avira AntiVir] 2010-08-19 TR/Spy.1036800.4
[Softwin BitDefender] 2010-08-19 Win32.Loader.O
[Sophos] 2010-08-19 Troj/Patched-O
[Dr.Web] 2010-08-19 modification of Win32.Dat.2
[F-Secure Anti-Virus] 2010-08-19 Win32.Loader.O

Wie könnte ich vorgehen?

Vielen Dank schon mal vorab.
Seitenanfang Seitenende
27.08.2010, 10:53
Moderator

Beiträge: 7805
#2 Trendmicro? Ist das ein Firmenrechner?

Das Problem ist, das wahrscheinlich auch noch der MBR betroffen ist.
Moeglich waere eine "Vorreinigung" mit Malwarebytes und entsprechender Nachbearbeitung mit Combofix. Problem dabei ist, das das nicht zwingend zum Erfolg fuehrt und es dir die Rechnerinstallation u.U. zerlegen kann.
Ein sauberes neu aufsetzen waere hier die sicherste Variante, wichtig ist auch noch, alle Passworte von einem sauberen Rechner aus zu aendern, sowie davon aus zu gehen, das evtl. Dokumente und aehnliches gestohlen wurden...

Sollt es kein Firmenrechner sein und du bereinigen moechtest, poste bitte erst einen Mbam Report von einem komplettscan, FUnde solltest du alle entfernen lassen, die Explorer und winlogon.exe bitte nicht loeschen!!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.08.2010, 11:37
...neu hier

Themenstarter

Beiträge: 4
#3 ähm ja, ist ein Firmenrechner und ich weiss, dass ihr eigentlich keinen Support leistet oder nur in Ausnahmefällen, aber ich wäre Dir trotzdem sehr dankbar, wenn wir es doch versuchen könnten.

Nachdem ich hier schon im Forum einiges gelesen habe, habe ich GMEM laufen lassen mit dem Ergebnis sector 00 hat wohl rootkit-like behaviour. Ich bin hier echt am verzweifeln und würde das gerne selbst lösen wollen, soweit möglich.

Vielen Dank mal für die schnelle Antwort.
Seitenanfang Seitenende
27.08.2010, 12:11
Moderator

Beiträge: 7805
#4 Erstmal: Ich finde es gut, das du das mit dem Firmenrechner gesagt hast.

Aber das Problem ist, das wir nicht wissen, wie bei euch in der Firma mit solchen Malwarebefall umgegangen wird (werden muss). Es ist wichtig zu wissen, welchen "Notfallplan" man in solchen Dingen anwendet. Sprich welche Informationen sind auf deinem Rechner, die, wenn sie gestohlen werden (dazu gehoeren auch Zugangspassworte und aehnliches) einen vieleicht nicht unerheblichen Schaden fuer die Firma bedeutet.

Wie sieht das arbeitsrechtlich aus. Kann dich ein verschweigen oder eigenmaechtiges Reinigen u. U. sogar den Job kosten?

und zu guter Letzt bietet eine Reinigung keine Garantie, das man alles erwischt. Stell dir vor eine der bei dir vorhandenen Malware verbreitet sich weiter uebers Netz oder ueber USB usw. Du siehst, man kann Risiken selber schlecht abschaetzen, wenn man das Umfeld nicht kennt....

Darum geh zu einem in Admin, der fuer die Rechner zustaendig ist und frag, was gemacht werden muss, es ist fuer alle besser und sicherer.....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.08.2010, 23:42
...neu hier

Themenstarter

Beiträge: 4
#5 Hm, vielleicht doch besser zum Admin gehen. Habe halt einfach Angst, dem Admin zu sagen, dass ich mir was eingefangen habe.

Wenn die Dateien infiziert sind, heißt das, dass der Trojaner auf jeden Fall aktiviert wurde und schon jemand Daten geklaut hat oder nur, dass die Möglichkeit besteht?

Woher weiss ich welche Daten schon gestohlen wurde bzw. welche Account Informationen schon bekannt sind? Habe halt einfach tierisch Angst.
Seitenanfang Seitenende
28.08.2010, 05:33
Moderator

Beiträge: 7805
#6 Darum ist ja auch schnelles Handeln wichtig, ich hoffe du kannst uebers WE dort jemanden erreichen!?
Da die Dateien bereits infiziert sind, ist sehr stark davon auszugehen, das informationen vom Trojaner gesammelt und verschickt wurden. Was dieser fuer informationen sammelt, kann ich dir nicht sagen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende