XP Vir/Troj/Bot Infektion von FF&AVG?
- Ersteller TAL9000
- Erstellt am
TAL9000
Grand Admiral Special
Hi
Habe heute kurz ein XP-System unter den Fingern das meiner Meinung nach verseucht ist.
Eine Datei im system32 Ordner mit Namen system32_ut.exe welches sich selbst wieder herstellte (Systemwiederherstellung aktiv) sowie eine Firefox.exe die eine seltsame Version zeigte (1.955
) und sich nicht automatisch aktualisieren lies (blieb mit ~4MB im Speicher und ging nicht mit Taskmanager beenden). Nach Neustart im abgesicherten Modus und umbenennen der Firefox.exe mit anschlissenden manueller Neuinstall der mit IE geholten 308 funktionierte dann.
Aktueller AVG 8.0 melde keine Fehler ist jedoch scheinbar selber kompromittiert (Ignore für Update/OnDemand-Scanner/Datenbank Errors war aktiv) Ausnahmen sind keine eingetragen. Scan findet nichts. Update brach mit Fehlermeldung bei manuellen Starten ab, AVG meldete jedoch er sei auf dem Aktuellen Stand trotzdem...
Hatte leider keine Zeit/Möglichkeit mir Kopien der verdächtigen Dateien mitzubringen, sowie weiter Massnahmen durchzuführen.
Kennt jemand dieses Verhalten & die Datei bzw. die vermutliche Infektion von Firefox?
Neuinstall ist beim User schon angedroht, ich sehe jedoch gerne sowas Sportlich und versuche nach Ostern das System zu säubern. Die üblichen Nachteile usw. sind mir bekannt.
TAL9000
Habe heute kurz ein XP-System unter den Fingern das meiner Meinung nach verseucht ist.
Eine Datei im system32 Ordner mit Namen system32_ut.exe welches sich selbst wieder herstellte (Systemwiederherstellung aktiv) sowie eine Firefox.exe die eine seltsame Version zeigte (1.955
) und sich nicht automatisch aktualisieren lies (blieb mit ~4MB im Speicher und ging nicht mit Taskmanager beenden). Nach Neustart im abgesicherten Modus und umbenennen der Firefox.exe mit anschlissenden manueller Neuinstall der mit IE geholten 308 funktionierte dann.Aktueller AVG 8.0 melde keine Fehler ist jedoch scheinbar selber kompromittiert (Ignore für Update/OnDemand-Scanner/Datenbank Errors war aktiv) Ausnahmen sind keine eingetragen. Scan findet nichts. Update brach mit Fehlermeldung bei manuellen Starten ab, AVG meldete jedoch er sei auf dem Aktuellen Stand trotzdem...
Hatte leider keine Zeit/Möglichkeit mir Kopien der verdächtigen Dateien mitzubringen, sowie weiter Massnahmen durchzuführen.
Kennt jemand dieses Verhalten & die Datei bzw. die vermutliche Infektion von Firefox?
Neuinstall ist beim User schon angedroht, ich sehe jedoch gerne sowas Sportlich und versuche nach Ostern das System zu säubern. Die üblichen Nachteile usw. sind mir bekannt.
TAL9000
KIDH
Grand Admiral Special
Hm...dir ist ja quasi schon klar, daß da was faul ist...also willst du nur wissen ob das jmd kennt? Ich hatte dieses verhalten noch nicht gesehen. Wichtig ist ja, daß das Teil runterkommt und wie man da vorgeht, denke ich weißt du allein! 
TAL9000
Grand Admiral Special
Jupp, leider wird das erst nach Ostern passieren.
Das ich jedoch ein Tierchen finde das so vorgeht hätte ich nicht gedacht. Gerade weil nichts dazu zu finden ist. Der PC ist Isoliert z.Z. und was ich finde werde ich dann mal einsenden zur Analyse.
Zum entfernen ist es mir immer lieber auf Erfahrungen zurück zu greifen. Das es dazu scheinbar keine geben tut ist noch seltsamer. Ist auf jeden Fall kein Standard Schädling...
TAL9000
Das ich jedoch ein Tierchen finde das so vorgeht hätte ich nicht gedacht. Gerade weil nichts dazu zu finden ist. Der PC ist Isoliert z.Z. und was ich finde werde ich dann mal einsenden zur Analyse.
Zum entfernen ist es mir immer lieber auf Erfahrungen zurück zu greifen. Das es dazu scheinbar keine geben tut ist noch seltsamer. Ist auf jeden Fall kein Standard Schädling...
TAL9000
TAL9000
Grand Admiral Special
Es ist dieses System: http://www.planet3dnow.de/vbulletin/showthread.php?t=338993
Fehlermeldung des Mädels: YouTube geht nicht mehr
Beim Starten des Systems schaute ich sie schon an, gefühlt war das wie mit C64 Datasette nen Game zu laden...
TAL9000
Fehlermeldung des Mädels: YouTube geht nicht mehr
Beim Starten des Systems schaute ich sie schon an, gefühlt war das wie mit C64 Datasette nen Game zu laden...
TAL9000
st3pp3nw0lf
Admiral Special
geh doch mal im abgesicherten modus rein
ausführen -> msconfig -> systemstart -> alles rausnehmen -> dienste - alle Microsoft dienste ausblenden -> alles rausnehmen
übernehmen - abgesichert neustarten spybot installieren updaten scannen neustarten
ausführen -> msconfig -> systemstart -> alles rausnehmen -> dienste - alle Microsoft dienste ausblenden -> alles rausnehmen
übernehmen - abgesichert neustarten spybot installieren updaten scannen neustarten
KIDH
Grand Admiral Special
Also es geht dir jetzt quasi darum die Biester einzufangen bzw. falls neu/nicht erkennbar irgendwie nem AV-Software Hersteller zu schicken?
Nimm doch z.B. das Image von Antivir und boote mal damit.
-> http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html
Da kannst erstmal von außen aufs System schauen.
Nimm doch z.B. das Image von Antivir und boote mal damit.
-> http://www.free-av.de/en/tools/12/avira_antivir_rescue_system.html
Da kannst erstmal von außen aufs System schauen.
TAL9000
Grand Admiral Special
Habe schon meine Waffen zusammen gesucht, das AntiVir Image kannte ich noch gar nicht, habe sonst immer dafür Knoppicillin verwendet.
Wie gesagt, erstmal Urlaub und dann jage ich das Vieh...
Erfolgsmeldungen werden entsprechend hier verkündet
TAL9000
Wie gesagt, erstmal Urlaub und dann jage ich das Vieh...
Erfolgsmeldungen werden entsprechend hier verkündet
TAL9000
- Mitglied seit
- 11.11.2001
- Beiträge
- 9.611
- Renomée
- 427
- Standort
- Bayern, am Rande des Wahnsinns
1.9.xxx ist nicht ganz abwegig, die Exe von FF3.1 zeigt mir als Dataiversion 1.9.1.3351, sollte sie aber tatsächlich 1.955 gewesen ist in der Tat was faul damit.
Leider kenne ich einen Schädling mit diesem Fehlerbild auch nicht
Die Waffen gegen den Schädling hast du ja schon bei der Hand, bin sehr gespannt. Die AntiVir Heurustik ist übrigens ziemlich gut.
Leider kenne ich einen Schädling mit diesem Fehlerbild auch nicht
Die Waffen gegen den Schädling hast du ja schon bei der Hand, bin sehr gespannt. Die AntiVir Heurustik ist übrigens ziemlich gut.
itchykiller
Redshirt
- Mitglied seit
- 03.05.2009
- Beiträge
- 1
- Renomée
- 0
hallo
Ich kenne mich nicht so mit PC's aus.
Was kann ich da nun machen?
Die Datei lässt sich nunmal nicht entfernen.
Bitte helft mir
Ich kenne mich nicht so mit PC's aus.
Was kann ich da nun machen?
Die Datei lässt sich nunmal nicht entfernen.
Bitte helft mir
TAL9000
Grand Admiral Special
Habe mich noch nicht kümmern können. Goggle mal nach Combofix und folge den Anweisungen. Das währe grob mein Weg gewesen.
TAL9000
TAL9000
