- #1
M
magic_pit
Aktives Mitglied
Themenersteller
- Dabei seit
- 13.12.2001
- Beiträge
- 42
- Reaktionspunkte
- 0
Hallo zusammen,
jetzt hat es mich auch einmal erwischt :tickedoff:
Nach dem Entzippen einer Datei eines Bekannten (der kann noch was von mir hören...) kam vom meinem McAfee-Programm der Hinweis dass er einen Trojaner gefunden hätte und diesen gleich entfernt hat. Welcher dieser war konnte ich nicht genau lesen da das Fenster zu schnell wieder zupoppte.
Habe mir nur gedacht, gut dass sich das Programm mal bewähren durfte.
Tja, falsch gedacht.
Mit dem Beenden der Meldung öffnete sich mein IE und besuchte selbständig eine Ü-18-Seite. Habe gleich alles geschlossen aber schon Desktopsymbole über diese Seiten auf meinem Desktop entdeckt.
Beim surfen danach (via FF sowie über IE) bekam ich auf einmal beim Googeln immer Werbungsanzeigen an erster Ergebnisstelle. Nach 1-oder 2maligen Weiterklicken wurde ich auf eine Werbeseite umgeleitet (oben war keine Internetadresse zu sehen, stand nur leerer Tab) wo ich auf Schädlingsbefall hingewiesen wurde und ich solle doch Produkt A oder B erwerben.
Blöderweise konnte ich danach mich auch nicht mehr in meinen normalen Ordnerstrukturen bewegen, nach 2 oder 3 Klicks kam wieder eine Werbung über ein befallenes System. Also auch außerhalb der WEb-Welt.
Habe meine Kiste mal rebootet in der Hoffnung das wäre danach wieder ok. War es natürlich nicht, gibt ja keine Geister....
Dazu kommt auf einmal noch beim Hochfahren des PCs der Hinweis, dass sich irgend ein COM Surrogate mit dem Netz verbinden will.
Der Pfad weist auf C\Windows\System32\dllhost.exe.
Keine Ahnung was das ist, jedenfalls machte es keinen Unterschied ob ich den Zugriff erlaubte oder nicht.
Habe daraufhin McAfee meine komplette Kiste scannen lassen, mit keinem Erfolg.
Dann habe ich Spybot Search & Destroy mal bemüht und siehe da, der fand einige Einträge. Habe daraufhin alles gelöscht und PC rebootet.
Dann wieder Spybot laufen lassen, verflixt, ein Eintrag bleibt und bleibt stehen, nämlich MalwareC: Win32.Renos.
Lt. Beschreibung macht der folgendes:
Renos drops a library and runs radomly. It connects to the internet and shows advertising from rogue security sites. Variants are known to download and install further malware.
Ok, liest sich so als ob er die Ursache wäre. Wobei ich mir hunderprozent sicher bin dass McAfee einen anderen Malware-Namen kurz aufgeblendet hatte, nicht mal annähernd dieser Name.
Dummerweise habe ich Spybot schon einige Wochen nicht mehr laufen lassen so dass ich nicht 100% davon ausgehen kann das ist wirklich der Übeltäter.
Gut, nachdem ich also den Dreckskerl nicht über Spybot loswurde (habe es 3x probiert) habe ich zusätzlich noch mit CCleaner alle Fehler weggehauen, mehrmals gescannt bis wirklich alles auf fehlerfrei stand. Auch alle Caches, Verläufe etc leeren lassen, also das volle Programm.
Der Sauhund ist immer noch da.
In meiner letzten Verzweiflung habe ich jetzt einen älteren Systemwiederherstellungspunkt benutzt.
Das hatte jetzt zur Folge dass sich das COM-Surrogate nicht mehr verbinden will und im IE die Werbung verschwunden ist, die Malware Win32.Renos ist aber immer noch über Spybot zu finden.
Diese verweist übrigens auf eine dat-Datei, nämlich C\Windows\ios.dat
Ich vermute also den Befall dieser Datei.
Keine Ahnung wozu diese da ist, ich scheue jetzt allerdings davor zurück diese einfach zu löschen da das Erstellungsdatum doch schon älteren Ursprunges ist (einige Jahre), also wohl nicht von der Malware angelegt wurde.
Ja, jetzt bin ich mit meinem spärlichen Latein am Ende, ich weiß nicht mehr weiter außer Format, aber das wäre mehr als bitter.
Bitte, kann mir jemand weiterhelfen?
Ich hoffe ich habe nicht zu ausführlich geschrieben, wollte aber jede Information gleich weitergeben.
Danke im voraus[br][br]Erstellt am: 05.01.09 um 23:07:43
[br]So, noch ein Nachtrag.
Habe in der Zwischenzeit diese ominöse ios.dat online scannen lassen mit seltsamen Ergebnis, dass nämlich fast niemand was erkannte und wenn ja dann ein ganz anderer Hinweis:
(habe es jetzt nicht besser aufbereiten können, die Fundstellen habe ich unterstrichen zur besseren Lesbarkeit)
Datei ios.dat empfangen 2009.01.05 23:27:36 (CET)
Ergebnis: 4/38 (10.53%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.05 Win32.SuspectCrc!IK
AhnLab-V3 2009.1.5.3 2009.01.05 -
AntiVir 7.9.0.45 2009.01.05 TR/Drop.Agent.adti
Authentium 5.1.0.4 2009.01.05 -
Avast 4.8.1281.0 2009.01.05 -
AVG 8.0.0.199 2009.01.05 -
BitDefender 7.2 2009.01.05 -
CAT-QuickHeal 10.00 2009.01.05 -
ClamAV 0.94.1 2009.01.05 -
Comodo 878 2009.01.05 -
DrWeb 4.44.0.09170 2009.01.05 -
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.05 -
F-Secure 8.0.14470.0 2009.01.05 -
Fortinet 3.117.0.0 2009.01.05 -
GData 19 2009.01.05 -
Ikarus T3.1.1.45.0 2009.01.05 Win32.SuspectCrc
K7AntiVirus 7.10.576 2009.01.05 -
Kaspersky 7.0.0.125 2009.01.05 -
McAfee 5486 2009.01.05 -
McAfee+Artemis 5486 2009.01.05 -
Microsoft 1.4205 2009.01.05 -
NOD32 3740 2009.01.05 -
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.05 -
PCTools 4.4.2.0 2009.01.05 -
Prevx1 V2 2009.01.05 -
Rising 21.11.02.00 2009.01.05 -
SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.Drop.Agent.adti
Sophos 4.37.0 2009.01.05 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.05 -
TheHacker 6.3.1.4.205 2009.01.05 -
TrendMicro 8.700.0.10042009.01.05 -
VBA32 3.12.8.10 2009.01.05 -
ViRobot 2009.1.5.1544 2009.01.05 -
VirusBuster 4.5.11.0 2009.01.05 -
jetzt hat es mich auch einmal erwischt :tickedoff:
Nach dem Entzippen einer Datei eines Bekannten (der kann noch was von mir hören...) kam vom meinem McAfee-Programm der Hinweis dass er einen Trojaner gefunden hätte und diesen gleich entfernt hat. Welcher dieser war konnte ich nicht genau lesen da das Fenster zu schnell wieder zupoppte.
Habe mir nur gedacht, gut dass sich das Programm mal bewähren durfte.
Tja, falsch gedacht.
Mit dem Beenden der Meldung öffnete sich mein IE und besuchte selbständig eine Ü-18-Seite. Habe gleich alles geschlossen aber schon Desktopsymbole über diese Seiten auf meinem Desktop entdeckt.
Beim surfen danach (via FF sowie über IE) bekam ich auf einmal beim Googeln immer Werbungsanzeigen an erster Ergebnisstelle. Nach 1-oder 2maligen Weiterklicken wurde ich auf eine Werbeseite umgeleitet (oben war keine Internetadresse zu sehen, stand nur leerer Tab) wo ich auf Schädlingsbefall hingewiesen wurde und ich solle doch Produkt A oder B erwerben.
Blöderweise konnte ich danach mich auch nicht mehr in meinen normalen Ordnerstrukturen bewegen, nach 2 oder 3 Klicks kam wieder eine Werbung über ein befallenes System. Also auch außerhalb der WEb-Welt.
Habe meine Kiste mal rebootet in der Hoffnung das wäre danach wieder ok. War es natürlich nicht, gibt ja keine Geister....
Dazu kommt auf einmal noch beim Hochfahren des PCs der Hinweis, dass sich irgend ein COM Surrogate mit dem Netz verbinden will.
Der Pfad weist auf C\Windows\System32\dllhost.exe.
Keine Ahnung was das ist, jedenfalls machte es keinen Unterschied ob ich den Zugriff erlaubte oder nicht.
Habe daraufhin McAfee meine komplette Kiste scannen lassen, mit keinem Erfolg.
Dann habe ich Spybot Search & Destroy mal bemüht und siehe da, der fand einige Einträge. Habe daraufhin alles gelöscht und PC rebootet.
Dann wieder Spybot laufen lassen, verflixt, ein Eintrag bleibt und bleibt stehen, nämlich MalwareC: Win32.Renos.
Lt. Beschreibung macht der folgendes:
Renos drops a library and runs radomly. It connects to the internet and shows advertising from rogue security sites. Variants are known to download and install further malware.
Ok, liest sich so als ob er die Ursache wäre. Wobei ich mir hunderprozent sicher bin dass McAfee einen anderen Malware-Namen kurz aufgeblendet hatte, nicht mal annähernd dieser Name.
Dummerweise habe ich Spybot schon einige Wochen nicht mehr laufen lassen so dass ich nicht 100% davon ausgehen kann das ist wirklich der Übeltäter.
Gut, nachdem ich also den Dreckskerl nicht über Spybot loswurde (habe es 3x probiert) habe ich zusätzlich noch mit CCleaner alle Fehler weggehauen, mehrmals gescannt bis wirklich alles auf fehlerfrei stand. Auch alle Caches, Verläufe etc leeren lassen, also das volle Programm.
Der Sauhund ist immer noch da.
In meiner letzten Verzweiflung habe ich jetzt einen älteren Systemwiederherstellungspunkt benutzt.
Das hatte jetzt zur Folge dass sich das COM-Surrogate nicht mehr verbinden will und im IE die Werbung verschwunden ist, die Malware Win32.Renos ist aber immer noch über Spybot zu finden.
Diese verweist übrigens auf eine dat-Datei, nämlich C\Windows\ios.dat
Ich vermute also den Befall dieser Datei.
Keine Ahnung wozu diese da ist, ich scheue jetzt allerdings davor zurück diese einfach zu löschen da das Erstellungsdatum doch schon älteren Ursprunges ist (einige Jahre), also wohl nicht von der Malware angelegt wurde.
Ja, jetzt bin ich mit meinem spärlichen Latein am Ende, ich weiß nicht mehr weiter außer Format, aber das wäre mehr als bitter.
Bitte, kann mir jemand weiterhelfen?
Ich hoffe ich habe nicht zu ausführlich geschrieben, wollte aber jede Information gleich weitergeben.
Danke im voraus[br][br]Erstellt am: 05.01.09 um 23:07:43
[br]So, noch ein Nachtrag.
Habe in der Zwischenzeit diese ominöse ios.dat online scannen lassen mit seltsamen Ergebnis, dass nämlich fast niemand was erkannte und wenn ja dann ein ganz anderer Hinweis:
(habe es jetzt nicht besser aufbereiten können, die Fundstellen habe ich unterstrichen zur besseren Lesbarkeit)
Datei ios.dat empfangen 2009.01.05 23:27:36 (CET)
Ergebnis: 4/38 (10.53%)
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.73 2009.01.05 Win32.SuspectCrc!IK
AhnLab-V3 2009.1.5.3 2009.01.05 -
AntiVir 7.9.0.45 2009.01.05 TR/Drop.Agent.adti
Authentium 5.1.0.4 2009.01.05 -
Avast 4.8.1281.0 2009.01.05 -
AVG 8.0.0.199 2009.01.05 -
BitDefender 7.2 2009.01.05 -
CAT-QuickHeal 10.00 2009.01.05 -
ClamAV 0.94.1 2009.01.05 -
Comodo 878 2009.01.05 -
DrWeb 4.44.0.09170 2009.01.05 -
eTrust-Vet 31.6.6289 2009.01.02 -
Ewido 4.0 2008.12.31 -
F-Prot 4.4.4.56 2009.01.05 -
F-Secure 8.0.14470.0 2009.01.05 -
Fortinet 3.117.0.0 2009.01.05 -
GData 19 2009.01.05 -
Ikarus T3.1.1.45.0 2009.01.05 Win32.SuspectCrc
K7AntiVirus 7.10.576 2009.01.05 -
Kaspersky 7.0.0.125 2009.01.05 -
McAfee 5486 2009.01.05 -
McAfee+Artemis 5486 2009.01.05 -
Microsoft 1.4205 2009.01.05 -
NOD32 3740 2009.01.05 -
Norman 5.80.02 2009.01.02 -
Panda 9.0.0.4 2009.01.05 -
PCTools 4.4.2.0 2009.01.05 -
Prevx1 V2 2009.01.05 -
Rising 21.11.02.00 2009.01.05 -
SecureWeb-Gateway 6.7.6 2009.01.05 Trojan.Drop.Agent.adti
Sophos 4.37.0 2009.01.05 -
Sunbelt 3.2.1809.2 2008.12.22 -
Symantec 10 2009.01.05 -
TheHacker 6.3.1.4.205 2009.01.05 -
TrendMicro 8.700.0.10042009.01.05 -
VBA32 3.12.8.10 2009.01.05 -
ViRobot 2009.1.5.1544 2009.01.05 -
VirusBuster 4.5.11.0 2009.01.05 -