AcroIEHe....DLL Trojaner in System32 |
||
---|---|---|
#0
| ||
23.07.2012, 19:30
Member
Beiträge: 73 |
||
|
||
24.07.2012, 18:27
Moderator
Beiträge: 5694 |
#2
Du hast Dir einen Banker Trojaner aufgegabellt.
Backdoor Warnung Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen. Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen. Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen. Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet. Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss. Zitat Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist. |
|
|
||
24.07.2012, 20:45
Member
Themenstarter Beiträge: 73 |
#3
Zitat Swisstreasure posteteHallo Swisstreasure, ich würde es gern versuchen. Gruß Ingo. |
|
|
||
24.07.2012, 22:43
Moderator
Beiträge: 5694 |
#4
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Lade ComboFix von einem dieser Download-Spiegel herunter: BleepingComputer - ForoSpyware * Wichtig !! Speichere ComboFix auf dem Desktop • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören. • Doppelklicke auf die ComboFix.exe und folge den Anweisungen. • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird. • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst. **Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren. Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen: Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren. Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei. |
|
|
||
24.07.2012, 22:56
Member
Themenstarter Beiträge: 73 |
#5
Hallo Swisstreasure,
Combofix laüft gerade. Es hat nur der Bleeping-Computer-Link funktioniert, der andere nicht. Beim nun (notwendigen) Start des Internetexplorers konnte ich im Taskmanager beobachten, wie 2 Instanzen desselben aktiv waren, obwohl nur ein Fenster geöffnet war. Nach dem Schließen des IE waren auch beide Instanzen wieder weg. Es war zuvor nur eine Registerkarte in einem Fenster auf. Versuche ich Firefox zu nutzen, so verbraucht Firefox direkt nach seinem Start zunehmend Speicherplatz (bis 100MB) auch ohne dass eine Seite angewählt wurde (Leeres Fenster mit about: blank). Gruß Ingo - Combofix-log folgt gleich (PC startet gerade durch). |
|
|
||
24.07.2012, 23:08
Member
Themenstarter Beiträge: 73 |
#6
Code ComboFix 12-07-25.04 - ingo 24.07.2012 22:50:16.2.2 - x86 |
|
|
||
24.07.2012, 23:09
Member
Themenstarter Beiträge: 73 |
||
|
||
24.07.2012, 23:22
Moderator
Beiträge: 5694 |
#8
Bekannte Dateien?
Zitat 2012-06-01 21:36 . 2012-06-01 21:36 8097 ----a-w- C:\LOGO_Pgm.zipKomplettscan mit Antivir machen AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden: Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen. Fullscan mit Antivir machen Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten). Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen. Bericht in AntiVir finden Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. [color=green] Bitte im Logfile Deine Seriennummer unkenntlich machen.[/color] |
|
|
||
25.07.2012, 09:13
Member
Themenstarter Beiträge: 73 |
#9
Hallo Swisstreasure,
hier ist der Avira-Report: Code Avira Free AntivirusInzwischen habe ich gelesen, dass ab Internetexplorer 8 immer eine zusätzliche Instanz gestartet wird und dies insofern kein böses Verhalten darstellt. Gruß Ingo. |
|
|
||
25.07.2012, 20:17
Member
Themenstarter Beiträge: 73 |
#10
Ergänzung:
Der PC war den ganzen Tag an - ohne Internet und ohne, dass irgendetwas gemacht wurde daran - und jetzt um 20:00 Uhr wurde vom Echtzeitscanner im Ordner: F:\System Volume Information\{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP461\A0140513.exe ein Virus gefunden: ADWARE/Purityscan.A.192[adware] Ausgeführte Aktion: Zugriff verweigern. Der Scanner hat mich aufgefordert das Teil zu entfernen. Ich habe es erlaubt. Gruß Ingo. |
|
|
||
27.07.2012, 01:00
Moderator
Beiträge: 5694 |
#11
F:\Fun\applikationen\boss_1.exe
Was sind das für Dateien? Zitat Der PC war den ganzen Tag an - ohne Internet und ohne, dass irgendetwas gemacht wurde daran - und jetzt um 20:00 Uhr wurde vom Echtzeitscanner im Ordner: F:\System Volume Information\{EB1A2678-4C2E-4122-8EA1-27FB67897064}\RP461\A0140513.exe ein Virus gefunden: ADWARE/Purityscan.A.192[adware] Ausgeführte Aktion: Zugriff verweigern. Der Scanner hat mich aufgefordert das Teil zu entfernen. Ich habe es erlaubt.Das ist nicht weiter schlimm. Sind nur noch Reste in der Systemwiederherstellung. |
|
|
||
27.07.2012, 07:46
Member
Themenstarter Beiträge: 73 |
#12
Hallo Swisstreasure,
boss.exe ist eine Spaßapplikation, die ich seit 2001 (Filedatum) habe - von einem Kollegen. In der kann man mit einem Bürolocher Löcher in den Körper eines virtuellen Chefs erzeugen. Das Programm ist in den letzten 11 Jahren von keinem Antivirenprogramm (auch heute nicht) bemängelt worden auch nicht von den strengen Sicherheitssystemen auf meiner Arbeitsstelle. boss_1.exe befand sich im gleichen Ordner und könnte eine Modifikation (vielleicht durch einen Virus) oder einfach ein ähnliches Programm gewesen sein, ich kann es ja nun nach der Entfernung nicht mehr prüfen (hätte auch keine Lust darauf). Eigentlich brauche ich keine dieser gesammelten Spaßpplikationen wirklich und werde sie nun alle löschen. Was soll ich nun weiter machen? Gruß Ingo. Dieser Beitrag wurde am 27.07.2012 um 08:01 Uhr von JLPicard editiert.
|
|
|
||
28.07.2012, 15:03
Member
Themenstarter Beiträge: 73 |
#13
Hallo Swisstrasure,
inzwischen habe ich auf einer Sicherungsplatte eine Version boss.exe (nicht boss_1.exe) gefunden, die den Virus trägt. Ich habe nunmehr alle Fun-Applikationen (die alle bereits sehr alt sind und zuvor nie bemängelt wurden) gelöscht. Kannst Du mir das weitere Vorgehen vorschlagen - der PC läuft noch immer ohne, dass ich (außer Dateilöschen) etwas getan habe. Viele Grüße Ingo. |
|
|
||
29.07.2012, 22:54
Moderator
Beiträge: 5694 |
||
|
||
29.07.2012, 23:06
Member
Themenstarter Beiträge: 73 |
#15
Nein, es sieht eigentlich gut aus. Ich denke, es wäre eine Abschlussbehandlung nötig.
Sorgen macht mir lediglich die Tatsache, dass auf dem Dienst-PC DVD Fab Platinum installiert ist und ich auf meiner Sicherungskopie (mobile HD), die ich gestern mitgescannt habe dieses gefunden habe: Code F:\_c\Programme\DVDFab Platinum 4\DVDFabPlatinum.exeDer PC, um den es hier geht, hat bei den bisherigen Checks keine Probleme mehr gezeigt. Ich weiß nicht, ob ESET oder ähnliches noch dran ist, oder ob ich nun eine abschließende Prozedur zum Setzen eines Wiederherstellungspunktes machen soll bzw. was Du mir nun empfiehlst? Gruß Ingo. |
|
|
||
mein AVIRA meldet gerade:
In der Datei C:\WINDOWS\system32\AcroIEHelpe.dll wurde ein Virus oder unerwünschtes Program 'TR/Agent.AOXU' gefunden. Der Zugriff auf diese Datei wurde verweigert.
Soll/darf ich Avira erlauben, die Datei zu löschen?
Ist DIESE Aktion bei dieser Art Virus/Trojaner ausreichend.
Bevor mir dei Standardprozedur empfohlen wird, wüsste ich gern, wie ich die Frage von Avira nach der durchzuführenden Aktion ebatnworten soll.
Vielen dank
Ingo.