Malware eingefangen?

[Ledeker]

Hallo,

ein Freund bringt mir einen PC vorbei, er wäre lahm und er reagiert nicht mehr.
Habe im abgesicherten Modus mittels Malwarebytes den PC gescannt.
Es waren Funde vorhanden, ab in die Quarantäne damit.

Nach einem Neustart als Admin, konnte ich keine Probleme mehr feststellen.
Logge ich mich jedoch als User ein, erscheinen unter "MSCONFIG" noch 2 Einträge die zu einer MDIINK.DLL führen und zu einer tmbhwjnf.dat - jeweils mit "regsvr32.exe" davor

Diese tauchen nach jedem Neustart auf, aber Malwarebytes findet nicht mehr.
Könnt ihr mir einen Tipp geben?

 

[r0ck3r]

Na, was hat MBAM denn gefunden?

Und wo liegen die beiden Dateien?

 

[Ledeker]

Ich habe mir die Logdatei leider nicht abgespeichert.
Ob es ausreicht, das Userprofil zu löschen?

 

[r0ck3r]

Reicht... für was? Dass die Einträge weg sind?!

Die kannst du auch über die Registry entfernen. Sind oder bleiben die beiden Einträge denn deaktiviert, oder aktivieren sie sich immer wieder selbst?

 

[Ledeker]

Ja genau.

Wie kann ich diese aus der Registry entfernen?

 

[cyberpirate]

Um sicher zu gehen würde ich einen Scan zB mit der Kaspersky Rescue CD machen.
Wenn nicht mindestens mal einen Durchlauf mit dem ESET Online Scanner durch
führen.

 

[MinionMaster]

Hi!

Habe ich richtig verstanden, dass diese "Dateien" nur im User-Profil sind? Im Admin-Bereich sind die Einträge nicht?

Grundsätzlich sind die DLL und die .exe nix schlimmes: http://www.winfaq.de/faq_html/Content/tip0000/onlinefaq.php?h=tip0471.htm // http://www.solvusoft.com/de/files/f.../windows/microsoft/msdn-disc-2092/mdiink-dll/


Aber zur .dat finde ich gar nix.

Btw: Bei mir legt MBAM automatisch Logs in Dokumente ab, vielleicht auch bei dir? (wärezum nachvollziehen besser)
VG

 

[r0ck3r]

Verstehst du die Fragen nicht, oder kannst/willst du die nicht beantworten?

- Und wo liegen die beiden Dateien denn? (steht ja in der msconfig)

- Sind oder bleiben die beiden Einträge deaktiviert, oder aktivieren sie sich immer wieder selbst? (aktivieren sie sich wieder von selbst, dann ist dein PC noch nicht sauber)


Zuerst solltest du herausfinden, ob diese vielleicht von einem anderen Programm stammen, daher meine Frage, wo die Dateien liegen.
Sollte das nicht der Fall sein, einfach danach suchen und die entsprechenden Schlüssel entfernen.

 

[Ledeker]

Sorry, wie folgt:

regsvr.exe C:/Dokumente und Einstellungen/user/Lokale Einstellungen/Anwendungsdateb/Armxwork/MDIINK.DLL
regsvr.exe C:/Dokumente und Einstellungen/ALL USERS/Anwendungsdaten/tmbhwjnf.DAT

Darunter finde ich sie jedoch nicht mehr per Explorer.

Wenn ich sie aus dem Autostart entferne, sind sie nach einem Neustart wieder drin.
Angemeldet als Administrator, bekomme ich keine Einträge im Autostart.

Bei dem User kommt, aufgrund der Einträge im Autostart, ein REGSVR-Fehler nachdem Laden des Profiles.

 

[r0ck3r]

Joah, dann ab in die Registry und alle Einträge zu den Dateien löschen...

 

[Ledeker]

Super, danke mach ich, ich berichte.

 

[r0ck3r]

Wenn die Dateien nicht mehr vorhanden sind, dann hat MBAM sie wohl entfernt und es ist nur noch der Befehl zum Registrieren dieser Dateien übrig geblieben.

 

[Ledeker]

r0ck3r - danke für die Hilfe! Es klappte per Bereinigung in der Registry. Sonnige Grüße!

 

[Voyager10]

Das ist definitiv Rootkit , die zusätzlichen Start-Einträge mit der Endung dat. Die beinhalten eine Art Selbstschutz bei Löschungen mit beispielsweise MBAM .
Es gibt noch andere gute Malware Finder wie zb. http://www.surfright.nl/en/hitmanpro und https://security.symantec.com/nbrt/npe.aspx

 

[r0ck3r]

Das ist definitiv Rootkit , die zusätzlichen Start-Einträge mit der Endung dat. Die beinhalten eine Art Selbstschutz bei Löschungen mit beispielsweise MBAM .

definitiv!!!!!1111

Es handelte sich lediglich um die Registrierung dieser Dateien, siehe "regsvr.exe C:\...."
Die eigentlichen Dateien sind ja schon gar nicht mehr vorhanden

 

[Voyager10]

Nur weil die Dateien nicht angezeigten werden heisst das nicht das nicht da sind , derartige Schadsoftware hat ausser Selbstschutz in der Regel auch noch Unsichtbarkeit im Dateisystem mit im Gepäck.
Hier hilft kein blindes Vertrauen den Reg Eintrag mal schnell zu löschen weil beim nächsten Reboot könnte alles wieder da sein.

Es schadet ja nicht alle 3 erwähnten Programme einmal laufen zu lassen, man muss sie nichtmal vorher installieren um Sie zu nutzen.

 

[r0ck3r]

Natürlich kann das nicht schaden...

Ich wollte damit auch nur ausdrücken, dass das Registrieren einer Datei nicht unbedingt was mit einem Rootkit zu tun haben muss.

Je nachdem, was mit dem PC gemacht wird, empfiehlt es sich dann auch, entweder weitere Tools laufen zu lassen oder ggf. sogar über eine Neuinstallation (bzw. das Zurückspielen eines System-Images) nachzudenken!

 

[emlyn d.]

Hallo,
das

C:/Dokumente und Einstellungen/ALL USERS/Anwendungsdaten/tmbhwjnf.DAT

ist Vawtrak/Neverquest, ein Backdoor-Schädling, der es auf Passwörter/Online Banking abgesehen hat und der weitere Malware installieren kann.

Falls Online Banking gemacht wird, den Zugang sperren lassen und die Bank informieren.
Wenn kein finanzieller Schaden entstanden ist: Datensicherung, neuaufsetzen, Passwörter ändern.

 

[Ledeker]

Hallo,
danke für die Info.
nein, Online-Banking wurde nicht vollzogen.

 

[r0ck3r]

@emlyn Wie kommst du darauf? Eine Suche nach der Datei spuckt nur diesen Thread hier aus...