Ein paar Minuten, nachdem ich heute meinen Rechner hochgefahren und Opera (mit ca. 30 Tabs, diverse Foren und Spieletests und Tipps-Seiten) gestartet hab, hat meine Firewall (Windows 7 Firewall Control) auf einmal gemeldet, dass Windows Mail ins Internet möchte. Da ich Windows Mail nicht nutze, hab ich die Verbindung abgelehnt. Ein paar Sekunden später wollte dann die Anwendung "/AppData/Roaming/Gyzui/yfzi.exe" ebenfalls ins Internet und einen Port auf meinem Rechner öffnen. Natürlich hab ich das ebenfalls abgelehnt, und das Programm über den Taskmanager geschlossen, was problemlos funktionierte. Merkwürdigerweise ist Microsoft Security Essentials aber nicht auf die Datei angesprungen, und auch sonst scheint kein einziger Virenscanner den Virus zu erkennen (Virustotal #1 (https://www.virustotal.com/file/912abce08c7a22db43ed0e7013f11372a4b0abdb2a19cd1420af89d1dcc0b9e0/analysis/1344266292/), #2 (https://www.virustotal.com/file/912abce08c7a22db43ed0e7013f11372a4b0abdb2a19cd1420af89d1dcc0b9e0/analysis/1344277192/)), lediglich Panda hält die Datei für verdächtig.

Jetzt ist meine Frage, was ist das für ein Virus? Nagelneu, so dass ihn noch kein einziger Virenscanner kennt? Und wie ist der auf meinen Rechner gekommen, welche Sicherheitslücke (Opera 12.01, Java 7u5) hat der ausgenutzt, und wie stelle ich möglichst sicher, dass der nicht in ein paar Stunden wieder auf meinem Rechner landet?

Wieso "wieder landet"? Der ist doch schon drauf.

Wieso "wieder landet"? Der ist doch schon drauf.
Möglicherweise. Die o.a. Datei hab ich jedenfalls erstmall umbenannt und verschoben (vielleicht erkennt der eine oder andere Scanner in ein paar Tagen den Virus).
Ob mein System jetzt wieder sauber ist, weiß ich natürlich nicht. Neuaufsetzen wäre natürlich die "einfachste" Antwort, aber wie verhindere ich auch dann eine erneute Infektion des Systems, wenn kein einziger Virenscanner das Ding erkennt?
(System neu installieren, keinerlei Kontakt mit dem Internet herstellen und sämtliche eigenen Dateien/Dokumente löschen bzw. garnicht erst wieder aufspielen, das wäre wohl die sicherste Lösung :freak:)

mmm...

Du kannst die Datei bei einigen Herstellern hochladen. Die schauen sich die Datei noch mal genau an.
https://www.microsoft.com/security/portal/Submission/Submit.aspx
http://analysis.avira.com/samples/#
Über Email erfährst du später das Ergebnis.

Andere Hersteller erlauben das Einsenden nur per Email in einer passwortgeschützen Datei. ;(

Frage ist, ob die Datei ein Dropper oder schon die Malware selber ist.

Du kannst die Datei bei einigen Herstellern hochladen. Die schauen sich die Datei noch mal genau an.
https://www.microsoft.com/security/portal/Submission/Submit.aspx
http://analysis.avira.com/samples/#
Über Email erfährst du später das Ergebnis.
Danke. Hab die Datei da mal hingeschickt, mal sehen, was dabei raus kommt.

Und wie ist der auf meinen Rechner gekommen, welche Sicherheitslücke (Opera 12.01, Java 7u5) hat der ausgenutzt, und wie stelle ich möglichst sicher, dass der nicht in ein paar Stunden wieder auf meinem Rechner landet?
wie schauts mit den anderen browserplugins aus? klick mal hier: www.mozilla.org/de/plugincheck/

Danke. Hab die Datei da mal hingeschickt, mal sehen, was dabei raus kommt.
Keine Ahnung wie es heutzutage ist, aber afair hatte Avira fürher gerne mal bei zur Analyse eingesendeten Dateien daneben gelegen.
Kaspersky war bei so etwas immer recht gut.

klick mal hier: www.mozilla.org/de/plugincheck/
Hmm... Den Adobe Reader müsste ich evtl. mal aktualisieren, allerdings öffne ich PDFs nicht im Browser, sondern (in letzter Zeit) direkt im Foxit Reader, und Flash ist auf der Version 11.3.300.270 (http://www.computerbase.de/downloads/internet/browser/adobe-flash-player/). Wo gibts denn da noch eine neuere Version? Auf der Adobe-Seite selbst gibts sogar nur die 268 (http://get.adobe.com/de/flashplayer/)...

Hmm... Den Adobe Reader müsste ich evtl. mal aktualisieren, allerdings öffne ich PDFs nicht im Browser, sondern (in letzter Zeit) direkt im Foxit Reader, und Flash ist auf der Version 11.3.300.270 (http://www.computerbase.de/downloads/internet/browser/adobe-flash-player/). Wo gibts denn da noch eine neuere Version? Auf der Adobe-Seite selbst gibts sogar nur die 268 (http://get.adobe.com/de/flashplayer/)...
Der Plug In Manager erzählt auch manchmal Mist.
Mir hat er auch mal eine angeblich veraltete Flashversion "aktualisiert", ala: zusätzlich, zu dem bereits aktuellen Plug In, eine völlig veraltete Version installiert.
Seitdem update ich darüber nichts mehr.

Wenn du PDF im Browser nicht verwendest, solltest du trotzdem lieber das Plug In ausschalten. Java ist auch als offenes Scheunentor für Exploits bekannt -> wenn nicht unbedingt benötigt, ausmachen.

Edit: Allgemein gilt bei diesen Plug Ins: Nur die verwenden, die man wirklich braucht.
Die sind das größte Sicherheitsrisiko im Browser.

Ansonsten Malwarebytes schauen oder Virustotal für Dateibetrachtung .

Hijackthis wäre auch noch gut .

Oder wenns gar nix mehr geht MCAffee Lab Stinger .

Ansonsten Malwarebytes schauen oder Virustotal für Dateibetrachtung .

Hijackthis wäre auch noch gut .

Oder wenns gar nix mehr geht MCAffee Lab Stinger .
Die Tools können alle helfen.
Die Chancen stehen mittlerweile aber gegen sie.

Da die Scanner nichts finden, lade es bei den Verhaltensanalysten hoch: MW (http://mwanalysis.org/?site=1&page=submit), ThreatExpert (http://www.threatexpert.com/submit.aspx), Anubis (http://anubis.iseclab.org/?action=advanced_form). Zusätzlich zu MSSE sollte unbedingt noch ein Tool wie Threatfire (http://www.threatfire.com/de/)laufen.

Da die Scanner nichts finden, lade es bei den Verhaltensanalysten hoch: MW (http://mwanalysis.org/?site=1&page=submit), ThreatExpert (http://www.threatexpert.com/submit.aspx), Anubis (http://anubis.iseclab.org/?action=advanced_form).
Verdächtig ist die Datei jedenfalls:

https://mwanalysis.org/?site=1&page=details&id=858119&password=nmzbuqnkpc
http://anubis.iseclab.org/?action=result&task_id=14268890f67588b14a5796101cf88e620

Ansonsten Malwarebytes schauen oder Virustotal für Dateibetrachtung .Virustotal ish SCHEIßE. Jotti nutzen.

Da gibt es kein Wenn und Aber daß es mindestens ein droper ist.

Eine einfache Google-Suche nach der Datei bringt auch immer was:
http://www.google.de/search?hl=de&site=&source=hp&q=yfzi.exe&btnG=Suche&gbv=1&sei=UpMgUPDsD8meiAewwoGQDw


Wenn es was bekanntes ist, was reguläres ist, dann gibt es massenweise Einträge. Das ist aber so neu, daß dieser Thread bei Google ganz oben steht! Ergo mit hoher Sicherheit keine reguläre Datei.

Inzwischen hab ich eine Antwort von Avira bekommen, und der MSE hat die Datei heute morgen auch gleich in Quarantäne geschoben.

Edit: VirusTotal (https://www.virustotal.com/file/912abce08c7a22db43ed0e7013f11372a4b0abdb2a19cd1420af89d1dcc0b9e0/analysis/1344337037/) scheint aber mit seinen Virendefinitionen noch etwas hinterher zu hängen...

Bleibt halt immer noch die Frage wo/wie du dir das Teil eingefangen hast.

Keine Ahnung wie es heutzutage ist, aber afair hatte Avira fürher gerne mal bei zur Analyse eingesendeten Dateien daneben gelegen.
Kaspersky war bei so etwas immer recht gut.mmm...

Bei mir hat Avira bisher 1x daneben gelegen und das, weil sie eine Email nicht bearbeiten wollten. Hätten sie es getan, hätten sie einen Trojaner mehr erkannt. ;)

Bleibt eigentlich nur noch die Frage, ob der PC neu aufgesetzt wurde.
Da man heute nicht weiß, was die Dinger machen ...
Zeus ist zum Beispiel wieder aktiv. ;(
http://www.heise.de/newsticker/meldung/Zeus-Trojaner-verstaerkt-Angriffe-auf-mTANs-1661773.html

Bleibt eigentlich nur noch die Frage, ob der PC neu aufgesetzt wurde.
Nein, bisher noch nicht. Da mein Rechner keine weiteren ungewöhnlichen Aktivitäten zeigt, die Autostart-Funktionen und üblichen Systemordner keine unbekannte/ungewöhnliche Programme enthalten, und auch ein externer Scan der Systemplatte nix weiter ergeben hat, bin ich mir recht sicher, dass mein System schädlingsfrei ist. 100%ige Sicherheit gibts natürlich nicht, aber nur wei da "mal was war", setze ich das System erstmal nicht gleich neu auf (obwohl das inzwischen aus anderen Gründen wohl eh mal wieder fällig wäre :rolleyes:).

Mir wäre das zu heikel, weiss der Geier was das alles nachgeladen hat wenn das Teil so neu ist.

Mir wäre das zu heikel, weiss der Geier was das alles nachgeladen hat wenn das Teil so neu ist.
Nachgeladen hat er ja nix, ist ja nicht an der Firewall vorbei gekommen. Und wenn er sich doch an der Firewall hätte vorbei mogeln können, hätte ich ja keine Meldung bekommen.
Wie gesagt, 100%ig sicher kann ich natürlich nicht sein, dass mein Rechner virenfrei ist. Aber dein Rechner ists genauso wenig, da könnten sich genauso gut ein oder mehrere Viren drauf befinden, von denen du nix weißt ;)

Bleibt bloß immer noch die Frage, wie das Ding überhaupt auf meinen Rechner gekommen ist. Irgend eine noch unentdeckte/ungepatchte Sicherheitslücke in Flash/Java oder im Browser eventuell. Oder er war schon ein paar Tage drauf, und ist erst jetzt (nach einem Neustart) aktiv geworden.

Wie dem auch sei, ich werde mein System in nächster Zeit etwas kritischer im Auge behalten, und bei weiteren verdächtigen Aktivitäten "aus dem Nichts" ist dann natürlich auch eine Neuinstallation fällig.

Bleibt halt immer noch die Frage wo/wie du dir das Teil eingefangen hast.Genau das werde ich nie begriefen wie Leute sich durch Surfen einen Virus fangen wollen. Also Leute, die andererseits überhaupt in der Lage sind so eine Datei auf dem System dann auszumachen.

Ein Wunder der Natur und der Technik.

auf virenscanner würde ich mich nicht zur gänze verlassen da es etliche schadsoftware gibt die von keinem einzigen erkannt wird.


check mit dem tool mal ob dir was verdächtiges auffällt.
http://www.nirsoft.net/utils/cports.html
stelle die aktualisierung auf 2 sekunden und beobachte.

mit dem system state analyzer kann man auch ganz gut überwachen indem man snapshots vergleicht.
http://blogs.technet.com/b/askperf/archive/2010/01/12/an-introduction-to-the-windows-system-state-analyzer.aspx