Seltsamkeiten nach Beinahe(?)-Infektion

Dieses Thema Seltsamkeiten nach Beinahe(?)-Infektion im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Nobbi2, 3. Aug. 2005.

Thema: Seltsamkeiten nach Beinahe(?)-Infektion Hallo, ich hätte eine Frage zu einem etwas seltsamen Systemverhalten nach einer Beinahe-Infektion mit einigen...

  1. Hallo,

    ich hätte eine Frage zu einem etwas seltsamen Systemverhalten nach einer Beinahe-Infektion mit einigen Trojanern.

    Vor zwei Tagen ist mir folgendes passiert: Nachdem ich im Internet Explorer auf einen Download-Link geklickt habe, ging eine neue Seite auf. Nach ein paar Sekunden ging eine Download-Anfrage auf und ich habe aus Versehen auf Öffnen geklickt, weil ich eigentlich mit einem ZIP-Archiv gerechnet hatte. Im letzten Moment sah ich dann, daß da ein Programm namens loader.exe runtergeladen wurde, aber da war's schon zu spät.
    Zum Glück sprang F-Secure Antivirus sofort an und hat die Infektion mit einer ganzen Latte Trojaner und Spyware (hoffentlich) erfolgreich verhindert. Danach meldete sich auch Win XP (Professional, SP1) mit einer Warnug vor einer Spyware-Infektion. Da war ich aber schon dabei, die infizierten Dateien vom Virenscanner löschen zu lassen und nach einem Reboot war die Meldung weg.
    Gleich nach dem Download meldete FritzWebProtect, daß sich ein Programm namens C:\loader.exe ins Internet verbinden will, was ich natürlich nicht zugelassen habe. Ich habe C:\loader.exe dann von Hand gelöscht (wurde bei einem manuellen Scan nicht als Virus identifiziert).

    Jetzt zu meinem Restproblem mit dieser Beinahe-Infektion: Bis jetzt kann ich keine sichtbaren Auswirkungen entdecken. Alles scheint normal zu funktionieren, bis auf eines:
    Nennt mich verrückt, aber ich habe aus Neugier und Forscherdrang nochmal auf den betreffenden Link geklickt und diesmal natürlich den Download abgebrochen. Doch siehe da, FritzWebProtect meldete wieder, daß sich C:\loader.exe ins Internet verbinden will. Aber das Programm hatte ich doch gelöscht! Nachdem ich diesen Zugriff wieder unterbunden habe, hat sich der Internet Explorer beendet. Tatsächlich war das Programm loader.exe wieder auf C:\vorhanden, obwohl ich nichts runtergeladen hatte und sowohl Javascript als auch ActiveX deaktiviert waren (das war übrigens schon beim ersten Zugriff so).
    Jetzt war mein Forschergeist endgültig geweckt und ich habe es nochmal probiert, aber vorher habe ich eine leere Textdatei namens loader.exe auf C:\ erzeugt und mit einem Schreibschutz versehen. Diesmal wurde der Internet Explorer sofort kommentarlos beendet, wohl weil der Virus(?) sich nicht auf die Platte schreiben konnte.

    Frage: Wo kam dieses Programm loader.exe wieder her? Gibt es da einen versteckten Mechanismus im Internet Explorer, der den Download von Dateien zuläßt, ohne den Benutzer vorher zu fragen, obwohl alle Automatismen deaktiviert sind? Oder habe ich doch noch irgendwo einen unerkannten Virus liegen? Ich nehme doch nicht an, daß loader.exe irgendein normales Systemprogramm ist? Und wie kann es sein, daß nur durch einen Klick auf einen Hyperlink diese Datei wieder nach C: kopiert und ausgeführt wird? Im Internet konnte ich zu diesem Programm nichts finden, was meine Symptome beschreibt.

    Übrigens wurden von F-Secure folgende Infektionen gemeldet:

    Malicious code found in file C:\WINDOWS\KL.EXE.
    Infection: Backdoor.Win32.Haxdoor.de

    Malicious code found in file C:\WINDOWS\SYSTEM32\TIBS.EXE.
    Infection: Trojan-Downloader.Win32.Delf.dg

    Malicious code found in file C:\WINDOWS\SYSTEM32\PAYTIME.EXE.
    Infection: Trojan.Win32.Startpage.zl

    Malicious code found in file C:\WINDOWS\SYSTEM32\PAYDIAL.EXE.
    Infection: Trojan.Win32.Dialer.gd

    Malicious code found in file C:\WINDOWS\SYSTEM32\NEWDIAL.EXE.
    Infection: Trojan-Dropper.Win32.Agent.my

    Malicious code found in file C:\WINDOWS\HOSTS.
    Infection: Trojan.Win32.Qhost.k

    Malicious code found in file C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS.
    Infection: Trojan.Win32.Qhost.k

    Malicious code found in file C:\WINDOWS\MS1.EXE.
    Infection: Trojan-Downloader.Win32.Agent.ho

    Malicious code found in file C:\WINDOWS\MS2.EXE.
    Infection: Trojan-Dropper.Win32.Microjoin.u

    Etwas Sorgen macht mir noch die Datei C:\WINDOWS\system32drivers\etc\hosts. Ich habe ja alle infizierten Dateien löschen lassen und jetzt ist diese natürlich auch weg. Welche Auswirkungen könnte das haben?
     
  2. Hm, auf was für Seiten könnte einem sowas bloß passieren? ;)

    Aha, XP erkennt jetzt also schon selbstständig, wenn Spyware an Board ist? 

    Für sowas hat man aber eigentlich entweder ein Image seines aktuellen Systems oder ein Testsystem. Auf einen solchen Link zwei- oder gar dreimal zu klicken in der Hoffnung es werde schon gutgehen, halte ich schon fast für fahrlässig.

    Naja, und offensichtlich konnte sich ja doch was bei dir einschleusen und es wird vor allem bei weitem weder von deinem Virenscanner noch von Spywarescannern wirklich alles schadhafte entdeckt...

    Die Hosts kannst du doch selber neu anlegen. Einfach ne neue Textdatei mit dem Inhalt der ursprünglichen Datei anlegen, Endung davon löschen. Datei fertig. :)
     
  3. Mittlerweile potentiell fast überall.

    Keine Ahnung, jedenfalls wurde so eine Meldung in der Taskleiste angezeigt (eins dieser gelben Hinweisfenster).

    Ist nicht jedes Wndows-System ein Testsystem? Meins jedenfalls schon ;)

    Ansichtssache. Ich sehe sowas eher als sportliche Herausforderung und eine Chance was dazuzulernen.

    Offensichtlich...

    Sicher, das ist mir klar. Heute wurden zwei weitere Viren entdeckt (Hoax.Win32.Renos.j und Trojan-Proxy.Win32.Mitglieder.dq), obwohl ich noch nicht mal online war. Seitdem lassen sich auf normalem Weg keine *.exe Dateien mehr starten. Beim normalen Doppelklick wird immer gemeldet Datei .... .exe nicht gefunden, obwohl sie natürlich da ist. Ich kann sie nur über Ausführen als... starten und muß meistens auch den Punkt Computer und Daten vor nicht autorisierter Programmaktivität schützen deaktivieren, damit sie überhaupt laufen (der Punkt ist komischerweise immer aktiviert). Ich weiß nicht, ob beides miteinander zusammenhängt, aber es ist ziemlich wahrscheinlich. Kann mir jemand sagen, ob es irgendwo eine Einstellung gibt, die den Zugriff auf EXE-Dateien global regelt? In der Computerverwaltung habe ich nichts dazu gefunden. Vielleicht irgendwo in der Registrierung?

    Nur weiß ich leider nicht, was in der ursprünglichen Datei drinstand ;)
     
  4. Ich hab ein wenig gegoogelt und die Lösung für das Problem mit den nicht startenden EXE Dateien gefunden. Es war tatsächlich ein Virus. Ich weiß nicht genau welcher, aber er hat eine Datei namens MSNETHLP32.EXE erzeugt und in die Registrierung geschrieben, die sich vor jeden Programmaufruf schiebt. Da F-Secure diese datei gelöscht hat, ließen sich danach keine Programme mehr starten. Für alle mit ähnlichem Problem, probiert das mal aus:

    http://www.windowspower.de/artikel_Wenn+Programme+nicht+mehr+gestartet+werden+können_747.html
     
  5. Also - ich würde den Betreff mal editieren.
    Besser passen würde: Probleme nach PC-Verseuchung.........
    Und nachdem du ja nun diese tollen Erfahrungen gemacht hast - würde ich an deiner Stelle schleunigst die wichtigen Daten sichern und das System sauber neu aufsetzen - am besten gleich mit SP2
    http://www.wintotal.de/Artikel/winxpsp2cd/winxpsp2cd.php
    Und dann ordentliches Imageprogramm besorgen und benutzen..........
    Bedenke auch bitte, dass eine Verseuchung bei dir nachfolgend auch andere schädigen kann.........
     
  6. Hallo Nobbi2  :)
    Also mir ist das Programm nur von den ganz bestimmten seiten bekannt!
    Also würde ich mal an deiner Stelle das Surfverhalten überprüfen.
    Ich kann den Eintrag von Athene nur unterstützen.
    Schönen Tag noch  8)
     
  7. Danke für die Tips :)
    Ich bekomme in den nächsten Tagen sowieso eine neue Festplatte und hatte mir unabhängig von der Infektion schon vorgenommen, dann mal das System neu aufzusetzen.
     
  8. Auch wenn es bereits erwähnt wurde, aber da weißt du ja wohl selber, dass das absolut nicht stimmt. Potentiell bekommt man sowas nur auf Seiten, wo man nicht rumsurfen sollte...
    Oder kannst du mir alternativ eine angesehene Seite nennen, wo man sich sowas fängt?
     
Die Seite wird geladen...

Seltsamkeiten nach Beinahe(?)-Infektion - Ähnliche Themen

Forum Datum
Festplatte geht aus und danach nicht mehr an Windows 10 Forum Dienstag um 01:23 Uhr
EXE-Dateien nach einer Zeit nicht mehr ausführbar Windows 8 Forum Sonntag um 21:21 Uhr
Sperrbildschirm springt nach 3 min an Windows 10 Forum 18. Nov. 2016
Schwarzer Bildschirm nach Update auf Windows 10 Version 1607 Windows 10 Forum 4. Nov. 2016
nach eine Komplette Hardware-Wechsel kann ich meine Win 10Pro Lizenz wider aktivieren? Windows 10 Forum 20. Okt. 2016