Trojaner [XP 32bit]

WAF

Hallo Leute,
bin neu hier, muss sagen ein sehr interesantes Forum!
Zu meinem Problem, habe mir den Trojaner o.ä eingefangen. Bin ins internet, dann kurz weg in die küche und da hatte ich so ein merkwürdiges "police.sandgate" ding oder sowas.
Eins vorneweg, tipe gerade mit meinem 6 mon. alten Notebook und ist nach dem LanmanCheck alles i.O.

Den Virus/Trojaner habe ich an meinem alten Desktop PC mit der Win XP 32bit eingefagen. Habe daraufhin dieses LanmanCheck durchgeführt und zeigt mir auch an, dass der Rechner nicht befallen ist???
Ist wieder was neues unterwegs?

Habe mir den PPF Scanner auf den Stick geladen und am befallenen Rechner nach Anleitung durchgeführt, bin dann als der Scan fertig war mit meinem Latein am ende. Sind jede Menge Textdateien, sorry bin in der Sache etwas hilflos, bin auf eure Hilfe angewiesen.
Wie soll ich weiter vorgehen?

Ich muss noch erwähnen, dass ich den "befallenen" Rechner vom Internet gekappt habe, wird nur dauerhaft im Offline modus angezeigt und es versucht ständigr neue Seiten zu laden.

Vielen Dank im Voraus.

Gruß
WAF

Werbepost

Hallo!

Wenn du gerade an deiner Website arbeitest oder dein aktuelles Hosting überdenkst: Wir betreiben mit NetzLiving eine Hosting-Plattform, die speziell auf Performance, Sicherheit und einfache Verwaltung ausgelegt ist.

✔️ Schnelle Ladezeiten (optimiert für WordPress, WoltLab & Co.)
✔️ Deutsche Server & DSGVO-konform
✔️ Persönlicher Support (kein 0815-Ticket-System)

Mehr erfahren

Wenn du Fragen hast, kannst du dich gerne jederzeit an @Maximilian Rupp wenden

Hinweis:

AxT

Welcher Virenscanner und welches Betriebsystem ist auf deinem anderen Rechner, von dem du jetzt postest?

WAF

Hallo, wow das ging schnell.
Habe das Trend Micro Titanium, war eine begrenzte Version drauf, habe die dann gekauft.
Window 7 64 Bit.

Gruß
WAF

AxT

Den befallenen Rechner über Taste F8 beim Booten in den abgesicherten Modus hochfahren. Alle Textdateien, die der PPFScanner im Ordner C:\PPF_Scan1 erstellt hat, auf einen USB-Stick ziehen und vom zweiten Rechner aus einzeln bei File-Upload.net - Ihr kostenloser File Hoster! hochladen, Downloadlinks hier für mich posten.

WAF

es sind 14 Textdateien, soll ich die einzeln hochladen?

AxT

Ja, genau. Einzeln hochladen und Downloadlink posten.

AxT

Sieht nach ROOTKITBEFALL aus - das wird heute nichts mehr. Wir machen morgen weiter,

AxT

Das hier ist der Übeltäter, injiziert sich in deb InternetExplorer:

Code

[b]'.LNK' Dateien in Autostartordnern [/b]
C:\Dokumente und Einstellungen\Alexander.ALEX\Startmenü\Programme\Autostart\mdfewq224774.exe.lnk
  ->C:\WINDOWS\system32\rundll32.exe [COLOR=red]C:\DOKUME~1\ALEXAN~1.ALE\LOKALE~1\Temp\mdfewq224774.exe[/COLOR],H9922---[Microsoft Windows Component Publisher]

WAF

Vielen Dank AHT,
alles klar machen wir morgen weiter,
was ist ein ROOTKITBEFALL?

Gruß
WAF

AxT

Rootkit ? Wikipedia

WAF

Danke,
stimmts wiki,
bis morgen!

Gruß
WAF

AxT

Den befallenen Rechner im abgesicherten Modus starten.

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

CREATE_FOLDER->C:\PPFS_Sicherung
REGISTRY_SAVE->HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command>C:\PPFS_Sicherung\IEOPEN.REG
MOVE_FILE_ON_REBOOT->C:\Dokumente und Einstellungen\Alexander.ALEX\Startmenü\Programme\Autostart\mdfewq224774.exe.lnk>C:\PPFS_Sicherung\mdfewq224774.exe.lnk
MOVE_FILE_ON_REBOOT->C:\Dokumente und Einstellungen\Alexander.ALEX\Lokale Einstellungen\Temp\mdfewq224774.exe>C:\PPFS_Sicherung\mdfewq224774.exe
REBOOT->

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Der Rechner startet sich dann neu. Starte ihn normal.
Stelle Internetkontakt mit dem Rechner her, öffne aber noch nicht den Internetbrowser. Hast du das getan, hier melden.

WAF

Hallo AHT,
habe alles durchgeführt wie du es beschrieben hast, das positive ist, dieses komische Fenster baut sich nicht auf soll heißen, geht nicht ohne dass ich es will ins internet.

Wie soll ich weiter vorgehen?

Gruß
WAF

AxT

Jetzt brauchen wir Internetzugang. Das tun:

PPFScan.exe starten.
In das Texteingabefeld über dem Button Script ausführen folgenden Text einfügen:

Code

SEND_MESSAGE->89.166.206.61
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FOLDER->89.166.206.61
->81
->C:\PPFS_Sicherung

Klicke dann auf den Button Script ausführen und bestätige die erscheinende Messagebox mit Ja.
Meldet sich deine Firewall, erlaube dem Scanner den Netzwerkzugriff.
Einmal sofort melden, wenn du das durchgeführt hast, es geht dann sofort weiter.

AxT

uf die gleiche Art im PPFScanner das Script ausführen:

Code

SEND_MESSAGE->89.166.206.61
->81
->Hallo, der Client will was!
SLEEP->24000
SEND_FILE->89.166.206.61
->81
->C:\PPFS_Sicherung\mdfewq224774.exe
SLEEP->24000
SEND_FILE->89.166.206.61
->81
->C:\Dokumente und Einstellungen\Alexander.ALEX\Lokale Einstellungen\Temp\mdfewq224774.exe

Alles anzeigen

WAF

Hi,
bevor die Messagebox kam mit der Aufforderung mit "ja", kam mein AVG mit der Meldung "Bedrohung erkannt" -
- Dateiname: c:\PPFS_Sicherung\mdfewq224774.exe
- Name der Bedrohung: Trojaner: PSW.Generic9.CFVQ
Beim öffnen erkannt.

was soll ich machen? Ist das normal?

markusg

kurz mal avg deaktivieren, sollte über rechtklick auf das symbol im sys tray gehen

AxT

Danke dir, Markus. AVG deaktivieren.

AxT

Was ist jetzt genau passiert?

WAF

habe den Message durchgeführt, soweit i.O. Der Virenscanner spricht nicht mehr an, soll ich jetzt die andere Massage durchjagen, zitat: uf die gleiche Art im PPFScanner das Script ausführen: Code: SEND_MESSAGE->89.166.206.61 ->81 ->Hallo, der Client will was! SLEEP->24000 SEND_FILE->89.166.206.61 ->81 ->C:\PPFS_Sicherung\mdfewq224774.exe SLEEP->24000 SEND_FILE->89.166.206.61 ->81 ->C:\Dokumente und Einstellungen\Alexander.ALEX\Lokale Einstellungen

Jetzt mitmachen!