Befall mit Win32.Renos

Dieses Thema Befall mit Win32.Renos im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von magic_pit, 5. Jan. 2009.

Thema: Befall mit Win32.Renos Hallo zusammen, jetzt hat es mich auch einmal erwischt :tickedoff: Nach dem Entzippen einer Datei eines Bekannten...

  1. Hallo zusammen,

    jetzt hat es mich auch einmal erwischt :tickedoff:

    Nach dem Entzippen einer Datei eines Bekannten (der kann noch was von mir hören...) kam vom meinem McAfee-Programm der Hinweis dass er einen Trojaner gefunden hätte und diesen gleich entfernt hat. Welcher dieser war konnte ich nicht genau lesen da das Fenster zu schnell wieder zupoppte.
    Habe mir nur gedacht, gut dass sich das Programm mal bewähren durfte.
    Tja, falsch gedacht.
    Mit dem Beenden der Meldung öffnete sich mein IE und besuchte selbständig eine Ü-18-Seite. Habe gleich alles geschlossen aber schon Desktopsymbole über diese Seiten auf meinem Desktop entdeckt.

    Beim surfen danach (via FF sowie über IE) bekam ich auf einmal beim Googeln immer Werbungsanzeigen an erster Ergebnisstelle. Nach 1-oder 2maligen Weiterklicken wurde ich auf eine Werbeseite umgeleitet (oben war keine Internetadresse zu sehen, stand nur leerer Tab) wo ich auf Schädlingsbefall hingewiesen wurde und ich solle doch Produkt A oder B erwerben.
    Blöderweise konnte ich danach mich auch nicht mehr in meinen normalen Ordnerstrukturen bewegen, nach 2 oder 3 Klicks kam wieder eine Werbung über ein befallenes System. Also auch außerhalb der WEb-Welt.

    Habe meine Kiste mal rebootet in der Hoffnung das wäre danach wieder ok. War es natürlich nicht, gibt ja keine Geister....
    Dazu kommt auf einmal noch beim Hochfahren des PCs der Hinweis, dass sich irgend ein COM Surrogate mit dem Netz verbinden will.
    Der Pfad weist auf C\Windows\System32\dllhost.exe.
    Keine Ahnung was das ist, jedenfalls machte es keinen Unterschied ob ich den Zugriff erlaubte oder nicht.

    Habe daraufhin McAfee meine komplette Kiste scannen lassen, mit keinem Erfolg.
    Dann habe ich Spybot Search & Destroy mal bemüht und siehe da, der fand einige Einträge. Habe daraufhin alles gelöscht und PC rebootet.
    Dann wieder Spybot laufen lassen, verflixt, ein Eintrag bleibt und bleibt stehen, nämlich MalwareC: Win32.Renos.

    Lt. Beschreibung macht der folgendes:
    Renos drops a library and runs radomly. It connects to the internet and shows advertising from rogue security sites. Variants are known to download and install further malware.

    Ok, liest sich so als ob er die Ursache wäre. Wobei ich mir hunderprozent sicher bin dass McAfee einen anderen Malware-Namen kurz aufgeblendet hatte, nicht mal annähernd dieser Name.
    Dummerweise habe ich Spybot schon einige Wochen nicht mehr laufen lassen so dass ich nicht 100% davon ausgehen kann das ist wirklich der Übeltäter.

    Gut, nachdem ich also den Dreckskerl nicht über Spybot loswurde (habe es 3x probiert) habe ich zusätzlich noch mit CCleaner alle Fehler weggehauen, mehrmals gescannt bis wirklich alles auf fehlerfrei stand. Auch alle Caches, Verläufe etc leeren lassen, also das volle Programm.
    Der Sauhund ist immer noch da.

    In meiner letzten Verzweiflung habe ich jetzt einen älteren Systemwiederherstellungspunkt benutzt.
    Das hatte jetzt zur Folge dass sich das COM-Surrogate nicht mehr verbinden will und im IE die Werbung verschwunden ist, die Malware Win32.Renos ist aber immer noch über Spybot zu finden.

    Diese verweist übrigens auf eine dat-Datei, nämlich C\Windows\ios.dat
    Ich vermute also den Befall dieser Datei.
    Keine Ahnung wozu diese da ist, ich scheue jetzt allerdings davor zurück diese einfach zu löschen da das Erstellungsdatum doch schon älteren Ursprunges ist (einige Jahre), also wohl nicht von der Malware angelegt wurde.

    Ja, jetzt bin ich mit meinem spärlichen Latein am Ende, ich weiß nicht mehr weiter außer Format, aber das wäre mehr als bitter.

    Bitte, kann mir jemand weiterhelfen?

    Ich hoffe ich habe nicht zu ausführlich geschrieben, wollte aber jede Information gleich weitergeben.

    Danke im voraus[br][br]Erstellt am: 05.01.09 um 23:07:43[hr][br]So, noch ein Nachtrag.
    Habe in der Zwischenzeit diese ominöse ios.dat online scannen lassen mit seltsamen Ergebnis, dass nämlich fast niemand was erkannte und wenn ja dann ein ganz anderer Hinweis:
    (habe es jetzt nicht besser aufbereiten können, die Fundstellen habe ich unterstrichen zur besseren Lesbarkeit)

    Datei ios.dat empfangen 2009.01.05 23:27:36 (CET)
    Ergebnis: 4/38 (10.53%)

    Antivirus Version letzte aktualisierung Ergebnis
    a-squared 4.0.0.73 2009.01.05 Win32.SuspectCrc!IK
    AhnLab-V3 2009.1.5.3 2009.01.05 -
    AntiVir 7.9.0.45 2009.01.05 TR/Drop.Agent.adti
    Authentium 5.1.0.4 2009.01.05 -
    Avast 4.8.1281.0 2009.01.05 -
    AVG 8.0.0.199 2009.01.05 -
    BitDefender 7.2 2009.01.05 -
    CAT-QuickHeal 10.00 2009.01.05 -
    ClamAV 0.94.1 2009.01.05 -
    Comodo 878 2009.01.05 -
    DrWeb 4.44.0.09170 2009.01.05 -
    eTrust-Vet 31.6.6289 2009.01.02 -
    Ewido 4.0 2008.12.31 -
    F-Prot 4.4.4.56 2009.01.05 -
    F-Secure 8.0.14470.0 2009.01.05 -
    Fortinet 3.117.0.0 2009.01.05 -
    GData 19 2009.01.05 -
    Ikarus T3.1.1.45.0 2009.01.05 Win32.SuspectCrc
    K7AntiVirus 7.10.576 2009.01.05 -
    Kaspersky 7.0.0.125 2009.01.05 -
    McAfee 5486 2009.01.05 -
    McAfee+Artemis 5486 2009.01.05 -
    Microsoft 1.4205 2009.01.05 -
    NOD32 3740 2009.01.05 -
    Norman 5.80.02 2009.01.02 -
    Panda 9.0.0.4 2009.01.05 -
    PCTools 4.4.2.0 2009.01.05 -
    Prevx1 V2 2009.01.05 -
    Rising 21.11.02.00 2009.01.05 -
    SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.Drop.Agent.adti
    Sophos 4.37.0 2009.01.05 -
    Sunbelt 3.2.1809.2 2008.12.22 -
    Symantec 10 2009.01.05 -
    TheHacker 6.3.1.4.205 2009.01.05 -
    TrendMicro 8.700.0.10042009.01.05 -
    VBA32 3.12.8.10 2009.01.05 -
    ViRobot 2009.1.5.1544 2009.01.05 -
    VirusBuster 4.5.11.0 2009.01.05 -
     
  2. Hi,
    Hier im Forum thread vorgehensweise bei Befall lesen, das Tool rsit abarbeiten, beide logs Posten in Code-tags.
     
  3. Hallo,

    ich bin jetzt fast versucht zu behaupten dass mein Befall durch den alten Wiederherstellungspunkt gelöscht wurde.
    Ganz sicher bin ich nicht, deshalb würde ich noch eine Bestätigung meiner Vermutung durch einen Experten hier abwarten bevor ich wieder beruhigt surfen kann.

    - Ich meine mich erinnern zu können dass der von McAfee erkannte Teil irgendwas mit .sorb. oder ...orb.. war, aber nicht Renos.
    - Nach reboot will COM surrogate sich nicht mehr mit dem Internet verbinden (so wie vor dem Befall)
    - die Werbefenster poppen nicht mehr auf

    Ich denke dass die übriggebliebene Malware-Warnung von Spybot eine Fehlmeldung ist, weil:
    - die bemängelte ios.dat McAfee und die meisten der vom Onlinescan (Auswertung s.o.) benutzten Antivirenprogramme erkannten bei der übriggebliebenen ios.dat keinen Befall. Und wenn doch dann wurden sie unterschiedlich erkannt was mir jetzt kein so großes Vertrauen entgegenbringt
    - Ich habe mir AdAware heruntergeladen und einen mehrstündigen Fullscan laufen lassen. Da war jetzt keine Erkennung.
    - Habe einen onlinescan des Logfiles über Hijackthis gemacht und da war nichts böses dabei

    Ich denke ich bin das Teil los und Spybot macht einen Fehlalarm.
    Seid ihr der selben Meinung?

    Was dann doch die Frage aufwirft, inwieweit man sich auf Spybot etc verlassen kann. Fährt man besser mit Spybot UND AdAware, d.h. man wird erst aktiv wenn beide die selbe Erkennung haben?

    Danke im voraus
     
  4. ???

    Ich hab dir doch angegeben was du machen sollst, du willst Hilfe, warum nimmst du sie dann nicht an? :(
     
  5. nehme ich ja an :1, ich dachte aber dass es sich durch meine gerade erwähnten Maßnahmen (deinen Beitrag habe ich erst danach gelesen) eventuell erledigt hätte.

    Ich arbeite also das rsit ab, hoffe damit als nicht so bewanderter Anwender damit zurechtzukommen
    Ich rühre mich dann wieder
    Danke schon mal für die Hilfe
     
  6. War gar nicht so schwer m

    Ist aber ein gigantisches Log, das bekomme ich gar nicht hier hinein (Meldung: max Länge erreicht)

    Brauchst du alles oder kann ich kürzen?

    Nachtrag: was meintest du mit Code-Tags ?
     
  7. Teile die log.txt in mehrere Teile und poste sie. Info.txt bitte an meine email :).
     
  8. Hi Schrauber,

    Kann dir die Info.txt leider nicht senden da dein Postfach hier anscheinend voll ist.
    Wenn du mir - falls du die Info.txt überhaupt noch brauchst - deine Emailadresse per PN schicken willst könnte ich sie darüber senden
     
  9. klick doch mal auf mein profil, da ist meine email für jeden sichtbar ;)

    ====

    von der seite mit den anleitungen, lass bitte mal malwarebytes laufen und poste das log. auf der seite steht auch ganz unten wie man logfiles in code-tags setzt, bitte so machen und alle alten posts von dir so editieren :)
     
  10. Nö - mailadresse nicht sichtbar!
    Wollte KN senden - geht nicht - ist evtl Dein KN-Postfach voll??????????????????
    Oder magst Du mich nicht mehr leiden?
     
Die Seite wird geladen...

Befall mit Win32.Renos - Ähnliche Themen

Forum Datum
PC Virusbefall nach entfernung kein Desktop sichtbar Windows 7 Forum 25. Aug. 2011
PC nach Malware-Befall neu aufsetzen? Windows XP Forum 17. Mai 2013
Malwarebytes meint Befall - was meinen die Spezialisten? Viren, Trojaner, Spyware etc. 4. Nov. 2012
Vermutlich Virus-befallene Datensicherung prüfen und wieder herstellen? Viren, Trojaner, Spyware etc. 19. Jan. 2010
schwerer Befall Viren, Trojaner, Spyware etc. 11. Dez. 2009