Hallo Helmut,

---

Helmut wrote:

Hab´gerade einen Scan laufen lassen und...

Nix gefunden!!

---

Ist das der letzte Stand? Dann würde ich keine Neuinstallation empfehlen. Am besten weiterhin beobachten und falls die Meldung erneut auftritt, wäre es gut, wenn du jegliche Informationen (Dateien, Screenshots vom Verlauf, etc...) zu diesem Trojaner an Security Response schicken könntest - wie auch schon dallas_maverick vorgeschlagen hat . Das hilft uns sehr bei Recherchen und Tests.

Liebe Susanne,

ich helfe euch gern bei dieser Identifizierung (das wird ja noch richtig spannend ).

Nochmals meine Frage (s. Nachricht 20):

Ist das Virenprogramm...

http://www.superantispyware.com/

vertrauenswürdig? Soll ich es auch mal anwenden?

Helmut

Interessant wäre doch mal zu wissen, warum Norton nur beim Firefox Browser die Warnmeldungen bringt. Unter t-online Browser und unter Opera-Browser erhalte ich keine Meldung. Liegt es vielleicht an den Einstellungen der verschiedenen Browser?

Hallo Werner,

Opera und t-Online habe ich nicht. Bei mir kommt die Meldung bei Firefox und IE.

Übrigens nochmals ein Hinweis an unsere Experten:

Ich denke, ich kenne den Zeitpunkt des Anfriffs. Dabei kam plötzlich ein Java-Logo und der PC reagierte nicht mehr auf meine Eingaben (ich wollte das Fenster schließen).

Kann sich der Trojaner, laienhaft gesagt, hinter Java verstecken?

Helmut

Habe hier eine komplexere Anleitung zusammengestellt:

1. Systemwiederherstellung deaktivieren

2. Virendefinitionen auf den letzten Stand bringen
3. Rechner im abgesicherten Modus starten

4. Voll. Scan ausführen und infizierte Dateien löschen:

es versucht Dateien von den Internet herunterzuladen, deshalb kommt die Meldung das es von Norton geblockt wurde, warscheinlich hat es sich in den Policies von IE eingefressen

schaut unter auf verdächtige Einträge

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

HKCU\Software\Policies

HKLM\Software\Policies

Bekannte Einträge :

SuperAntispyware ist vertrauenswirdig, kann ich auch nur weiterempfhelen.

Hallo Dallas_Maverick,

ich kann einen Erfolg melden!

Weil ich nicht wusste, was oder wo der Ordner HKCU ist, habe ich im Explorer auf C:/ einen Suchlauf danach gestartet (im normalen Modus)

Norten hat dabei ein Virus gefunden mit folgenden Angaben:

Ich hab´ den PC neu gestartet. Was mich wundert, im Verlauf von Norton finde ich über diesen Vorgang keinen Eintrag.

Helmut

Ein fröhliches Hallo an alle!

Ich muss Dallas_Maverick mein höchstes Lob zollen!!

Jetzt surf´ ich schon 10 Minuten mit IE und firefox und bekomm´ keine Meldung von Norten, dass ein Anfriff erfolgt. Es scheint so, dass wir tatsächlich das Biest gefunden haben!?

Was mich jedoch wundert, die Meldung "Auf Computer seit 4.7.2010" widerspricht meinen Beobachtungen, nach denen mein PC schon mindestens einen Tag vorher infiziert war.

Gibt es da noch einen Eindringling?

Helmut

warte noch

HKCU ist kein Ordner, es ist ein Registryeintrag.

hast du die angegebenen Registryeinträge gelöscht bzw so geändert ?

gehe auf Start > ausführen > hier tippst du regedit  

ok klicken

im neugeöffneten Fenster kannst du dann auf die entsprechenden Schlüssel / Werte Navigieren !

wenn du dir nicht sicher bist welche Werte wo gelöscht werden müssten, frag nochmal nach

Combofix herunterladen (2.8mb)

http://www.combofix.org/download.php

Lieber Dallas_Mavrick,

damit wir uns nicht falsch verstehen:

Ich hab´ keine von deinen Empfehlungen gemacht, sondern nur einfach im Explorer auf C:\ eine Datei mit "HKCU" gesucht.

Mag sein, dass da zufällig Norten den Virus entdeckt hat...

An der registry hab´ ich nicht verändert.

Ich bin mir jetzt unsicher, ob das der Virus war, den wir suchten? Fakt ist, dass derzeit mein PC ohne erkennbare Störung bzw. Virenmeldung läuft.

Soll ich trotzdem noch so vorgehen, wie du es beschrieben hast?

Helmut

Hallo Dallas_Mavrick,

also jetzt bin ich in meiner Registry:

In...

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

finde ich KEINE "%Windir%\9129837.exe"

In...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\S haredAccess

finde ich z.B. den Eintrag...

Name: Start, Typ: REG_DWORD, Wert: 0x000000002 (2)

In...

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w scsvc

finde ich ebenfalls den Eintrag...

Name: Start, Typ: REG_DWORD, Wert: 0x000000002 (2)

Folgende von dir genannten und zum Löschen empfohlene Einträge gibt es in meiner Registry NICHT:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\hide_evr2

HKEY_CURRENT_USER\Software\Microsoft\InetData

Ups, das war für mich jetzt alles sehr kompliziert

Helmut

Hallo,

ich hab´ Combofix auf meinem PC laufen lassen, log-Datei wurde erstellt.

Darin u.a. die Meldung:

"Scan erfolgreich abgeschlossen, Versteckte Dateien: 0"

Helmut

Hallo,

zur allgemeinen Information:

Mein PC läuft derzeit ohne Probleme. Die Log-Datei von Combofix habe ich Dallas_Maverick geschickt und bin gespannt auf seine Analyse.

Herzliche Grüße

Helmut

Hallo, habe selbes Problem wie Helmut, d.h. immer wenn ich Firefox oder IE starte zeigt mir Norton einen Eindringversuch an. Vollständigen Systemscan habe ich bereits mehrfach gemacht, wobei Norton “Trojan.Gen” gefunden hat. Das Komische an der Sache ist, dass ich mir Opera herunterlud, und installieren wollte, dies aber aufgrund fehlender Rechte nicht konnte. Als ich nun von einem anderen PC die Setup Datei auf einen USB-Stick lud und dann auf dem PC startete ging es plötzlich. Also will wohl dieser Trojaner nicht, dass man andere Browser außer IE und MF benutzt? Grüße Grubär

Hallo,

ich habe auch das gleiche Problem wie Helmut und noch keine Lösung gefunden. Mit allen beschriebenen Methoden kein Erfolg. Genau wie bei Helmut und Grubär kann ich die angegebenen Registryeinträge nicht finden. Was ich noch nicht probiert habe ist eine Neuinstaallation von Firefox. Bei der Nortonmeldung kommt der Hinweis auf die Firefox.exe.

Welche Lösungvorschläge gibt es noch?

Hallo,

von Dallas_Maverick habe ich gerade folgende Meldung bezüglich meinem Combofix-Scan bekommen:

Rootkit Scan Ergebnis OK

- Boot Record ist OK

- geladene DLL sind von Microsoft und vertrauenswirdig

- FM20ENU.DLL ist von Office

Nach meinem Eindruck ist alles wieder ok, mein PC läuft nach dem Scan auch schneller, Norten bringt keine Virenmeldungen mehr, GOTT SEI DANK!

Und Danke auch an Dallas_Maverick!

Helmut

Hallo Mavotoll und GruBär,

ich möchte nochmals auf Nachricht 26 verweisen. Ich denke, der Trojaner wurde durch den einfachen Suchlauf im Explorer, bei dem Norton die durchsuchten Unterverzeichnisse gleichzeitig überprüft hat, entdeckt.

Ansonsten kann ich euch leider wenig Hilfestellung geben, mein Vorgehen habe ich hier in diesem Forum genau beschrieben. Ich hoffe, dass euch Dallas_Maverick oder auch andere Spezialisten weiterhelfen können.

Helmut

@ Helmut: danke für den Tipp, aber bei mir hat er leider nichts gefunden… bin etwas ratlos, was ich noch machen kann Grubär

Hallo dallas_maverick,

habe alle deine Ratschläge jetzt mal abgearbeitet. ComboFix hat eine Datei gelöscht. Seit dem habe ich keine Probleme mehr. Vielen Dank für deine Tips. Würde dir gerne noch die Log-Datei zusenden, damit du evtl. noch Anhaltspunkte findest, woher die Filzlaus kam und wo er sich eingenistet hatte.

Viele Grüße

Werner

Mich hats auch erwischt mit dem Infostealer. Jedoch hat bei mir kein Tipp geholfen. Norton hats nicht erkannt, im Abgesichertem Modus nicht, sowie im normalen ebenfalls nicht.

Hab alle möglichen Mal,Spy,Adware Programme durchgetestet.

Naja bleibt wahrscheinlich nur Formatieren ...

Lösung :-)

Hat bei mir zumindest geklappt. (HTTP Infostealer Snifula.B Activity)

Folgendes Programm installieren (Free Version)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Vollen Systemscann laufen lassen. Nach beendigung "entfernen" klicken -> fertig. Einmal ein Reboot um den letzten Rest zu entfernen und das System ist wieder Virenfrei!

Folgendes wurde gefunden:

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bdeuript (Trojan.Agent.U) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Users\Stephan\AppData\Local\Temp\forfesvc.dll (Trojan.Agent.U) -> Delete on reboot.

Viel Erfolg.