PC Infiziert (?/!)

10/27/2011 11:10 _TradEmArk_ ™#1
Hey Liebes Technical Support Team!
Ich habe seit ein paar tagen das Problem das sich bei fast allen datein die ich starte 1. die Datei um ca 70 KB Größer wird und beim VirusTotal 34/43 Ergiebt. und 2. Sich die selbe datei mit immer der gleichen Größe [55 KB] Erstellt, die auch beim VirusTotal 34/43 ergiebt.

So dann habe ich Malwarebytes mal über mein System laufen lassen, das fand 19 Bedrohungen, ich habe Malwarebytes geupdated und Die Viren entfernen lassen, darauf PC Neu gestartet. Nun habe ich das Problem das Dauerhaft 2 Viren Angezeigt werden, Ich drücke immer auf "Entferne Auswahl" , starte PC Neu mache einen erneuten Scan und die Viren werden wieder Angezeigt.

VirusTotal von der Datei die sich erstellt:
[Only registered and activated users can see links. Click Here To Register...]

VirusTotal von der Datei die ca 75 KB Größer wird:
[Only registered and activated users can see links. Click Here To Register...]

Malwarebytes Log von den 2 Viren die immer und immer wieder Gefunden aber nicht Entfernt werden:
Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8022

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

27.10.2011 10:53:32
mbam-log-2011-10-27 (10-53-32).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177001
Laufzeit: 5 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (userinit.exe,,c:\program files (x86)\microsoft\desktoplayer.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files (x86)\microsoft\desktoplayer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Bild von meinem Autostart: [64 Bit]
[Only registered and activated users can see links. Click Here To Register...]

Bild meiner Prozesse: [64 Bit]
[Only registered and activated users can see links. Click Here To Register...]


Ich hoffe ihr könnt mir schnell helfen dar ich gerade nicht wirklich Lust darauf habe, mein System neu zu machen.
10/27/2011 11:47 Elexarie#2
Sofern der Editor geöffet ist, scheint alles in Ordnung. rundll32.exe wirkt verdächtig, da es meiner Meinung nach eher ein SYSTEM Prozess sein müsste. Sind das wirklich alle Prozesse? - Ich glaube nicht. - Das reicht nicht um einen Rechner laufen zu lassen.

Ich kann dir so erstmal: [Only registered and activated users can see links. Click Here To Register...] empfehlen.

Der Vorteil: Das Programm ist ein wenig effektiver in der Registry - Bereinigung. Hat bei mir auch eine hartnäckige Kiste wegbekommen. Ansonsten kann ich dir zum Beispiel mal empfehlen ein Programm zu suchen, was ausgehende Verbindungen überprüft. Bei mir übernimmt das Proxifier, da ich grundsätzlich mit einem SOCKS unterwegs bin. Anonymous lässt grüßen!

Berichte von Fortschritten!

//EDIT: AVAST bringt bei dir absolut gar nichts, da der Binärcode des Trojaners vor der Überprüfung des Programmes NOCH crypted ist.
10/27/2011 12:02 _TradEmArk_ ™#3
Quote:
Originally Posted by Elexarie View Post
Sofern der Editor geöffet ist, scheint alles in Ordnung. rundll32.exe wirkt verdächtig, da es meiner Meinung nach eher ein SYSTEM Prozess sein müsste. Sind das wirklich alle Prozesse? - Ich glaube nicht. - Das reicht nicht um einen Rechner laufen zu lassen.

Ich kann dir so erstmal: [Only registered and activated users can see links. Click Here To Register...] empfehlen.

Der Vorteil: Das Programm ist ein wenig effektiver in der Registry - Bereinigung. Hat bei mir auch eine hartnäckige Kiste wegbekommen. Ansonsten kann ich dir zum Beispiel mal empfehlen ein Programm zu suchen, was ausgehende Verbindungen überprüft. Bei mir übernimmt das Proxifier, da ich grundsätzlich mit einem SOCKS unterwegs bin. Anonymous lässt grüßen!

Berichte von Fortschritten!

//EDIT: AVAST bringt bei dir absolut gar nichts, da der Binärcode des Trojaners vor der Überprüfung des Programmes NOCH crypted ist.

Hier das ergebnis von diesem Trojaner Remover:
[Only registered and activated users can see links. Click Here To Register...]
10/27/2011 12:07 Elexarie#4
Das ist der Pre-Scan glaub ich - der hat sich direkt nach der Installation ausgeführt, oder?

Starte nochmal deinen Rechner neu und lasse ihn erneut durchlaufen. Hat er immernoch nichts gefunden, kannst du das Programm runterschmeißen.
Danach möchte ich, dass du ihn erneut startest dann, direkt nach dem Startup einen Screenshot von ALLEN -> (inkl. Prozesse aller Benutzer anzeigen) Prozessen machst. Stell mir bitte ein, dass ich die PID's sehen kann (Process ID's)

Den gibst du mir dann erstmal.

Danach folgendes: Windowstaste + R -> cmd -> netstate -ano
Dann erneut einen Screenshot machen und mir vllt. per PN senden, sofern du das nicht preisgeben willst.

Das mach erstmal. Bis gleich. Viel Erfolg.
10/27/2011 12:24 _TradEmArk_ ™#5
Erneuter Scan nach dem System Neustart:
Gleiche wie vorhin..

Prozesse die nach dem System Neustart geöffnet sind:
[Only registered and activated users can see links. Click Here To Register...]

Netstate:
Da kommt bei mir ein fehler:
[Only registered and activated users can see links. Click Here To Register...]
10/27/2011 13:19 Elexarie#6
Ups. Ohne das e am Ende.

Quote:
netstat -ano
Mein Fehler.

Okay. Du kannst beruhigt sein. Du bist nicht infiziert. Also deine Prozesse sehen gut aus.
Deine Malware - Meldung sehen auch korrekt aus. Das ist mir eben nicht aufgefallen, aber das einzige, was wichtig ist, ist:
Code:
Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) 
 Infizierte Speichermodule: (Keine bösartigen Objekte gefunden)
Das sich mal in die Registry was verirrt - Okay, irgendwie doof, aber du hast keine Prozesse die sich irgendwie extern ausbreiten, denn das benötigt ein Prozess -> Speicher. Und das wäre aufgelistet.

Wenn du ganz sicher gehen willst, hol dir mal das Programm Proxifier und einen beliebigen HTTP SOCKS 5 - > GOOGLE. Dann einrichten und wenn dann irgendwelche Verbindung siehst, während du nichts tust, dann schrei nochmal. Ansonsten ist eig. keine Gefahr ersichtlich.
10/27/2011 13:31 Diablo_#7
Quote:
Originally Posted by Elexarie View Post
Du bist nicht infiziert.
Abgesehen von einem dicken Wurm schon.

Neu aufsetzen ist angesagt. Kann es sein, dass du ein Problem hast _TradEmArk_ ™ ?

Es scheint mir so, dass du hier öfters Themen dieser Art erstellst. Vieleicht solltest du dein Onlineverhalten mal ändern.
10/27/2011 13:39 _TradEmArk_ ™#8
Quote:
Originally Posted by Diablo_ View Post
Abgesehen von einem dicken Wurm schon.

Neu aufsetzen ist angesagt. Kann es sein, dass du ein Problem hast _TradEmArk_ ™ ?

Es scheint mir so, dass du hier öfters Themen dieser Art erstellst. Vieleicht solltest du dein Onlineverhalten mal ändern.
Habe ich schon, ich Downloade nichts und nehme auch nichts an
Ich weiss nicht wie ich mir diesen Virus eingefangen habe.

Ich gehe auch nicht auf Seriöse seiten nur ElitePVP,YouTube und Google
10/27/2011 13:47 Diablo_#9
Quote:
Originally Posted by _TradEmArk_ ™ View Post
Habe ich schon, ich Downloade nichts und nehme auch nichts an
Ich weiss nicht wie ich mir diesen Virus eingefangen habe.

Ich gehe auch nicht auf Seriöse seiten nur ElitePVP,YouTube und Google
Vieleicht schließt du ja Wecheldatenträger an, die schon seit längerem infiziert sind.

Auf seriöse Seiten darfst du ja gehen, auf unseriöse Seiten solltest du nicht gehen.

Nichts desto trotz musst du (wieder) dein System neu aufsetzen.
10/27/2011 19:13 .SkyneT.#10
Quote:
Originally Posted by _TradEmArk_ ™ View Post
Erneuter Scan nach dem System Neustart:
Gleiche wie vorhin..

Prozesse die nach dem System Neustart geöffnet sind:
[Only registered and activated users can see links. Click Here To Register...]

Netstate:
Da kommt bei mir ein fehler:
[Only registered and activated users can see links. Click Here To Register...]
Weil es Netstate nicht gibt nur Netstat, davon abgesehen hilft eine Prozess liste gar nichts, da sich die meisten Viren in andere Prozesse injizieren, und
somit nicht wirklich von normalen systemprozessen zu unterscheiden sind.

Gibt nur eine gute Lösung->
Win(oder anderes OS) CD rein und alles neu installieren.

Desweiteren werden leider auch auf Elitepvpers & Youtube sehr viele Viren verbreitet,
die oft auch von Virenscannern unerkannt bleiben.
Am besten probierst du nicht sofort jeden neuen Hack,Bot, etc. aus sondern wartest 1-2Tage
schaust dir die Kommentare an und probierst ihn dann erst.
10/27/2011 19:19 'Gaschi'#11
Ist bei dem start deines Rechner's schon der standard browser offen?
10/27/2011 19:22 .Crash#12
Wenn du via Prozessliste etwas herausfinden willst musst du (abgesehen vom Antivir) ALLE Autostarteinträge entfernen und den PC neustarten.

Aber die sichere lösung ist und bleibt neuaufsetzen inklusive komplett formatierung und idealerweise neuerstellen der Partitionen.
10/28/2011 12:57 _TradEmArk_ ™#13
Habe PC Neu gemacht.
Thread kann geschlossen werden.