| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Malware verschickt sich selbst, das übliche ebenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
14.08.2011, 21:30
| #1 | |
| |  Malware verschickt sich selbst, das übliche eben Hallo Leute! Hmm....mein erster und hoffentlich auch mein letzter Thread. Hier ist die Lage: Mein Freund war neulich an meinen Laptop und war in Facebook. Er bekam von einer Freundin einen Link, klickte drauf, hat das ganze gedownloaded und ausgeführt. Zitat:
 " wollte er das entschuldigen, aber egal.Die Datei hies (sofern ich mich erinnern kann) newimage.JPG.SCR << das hat er angeblich nicht gesehen. Ja, mit dem Icon einer JPG Datei klickte er drauf, nichts passierte. Als ich später davon erfuhr, sah ich sofort in meine Prozessliste und siehe da: Drei mir unbekannte Prozesse: temp08.exe, ig-irgentwas-32.exe und ein Prozess mit dem Namen <zufällige Zahlen>.exe Sofort alle gelöscht. Nun, als ich dann in mein Facebook sah, haben mich ersteinmal 70 Leute angemeckert, weil ich ihnen diesen Virus auch geschickt haben soll. Also schickt er sich von selbst weiter.... Als ich meine SD Karte einschieben wollte, waren alle Ordner und Dateien nur noch Verknüpfungen, die einen leeren Pfad haben, und eine autorun.inf, die Gott-sei-dank von Avira AntiVir geblockt wurde (wer weiss, was noch alles passieren würde). Ich habe mir ein paar Foreneinträge durchgelesen, mir Malwarebytes gedownloaded und erstmal mein System durchlaufen lassen. Ursprünglich wollte ich eine Vollständige Prüfung durchführen, habs dann aber nach einer Stunde doch abgebrochen. Danach sofort die schnellere Variante, und siehe da! (Siehe unten für logs) Nun ist meine Frage natürlich: Wie bekomme ich Hilfe? Was kann ich gegen diesen Virus unternehmen? In einem Foreneintrag habe ich gelesen, dass ich mein ganzes System runterwerfen, und es via Linux retten sollte bzw. neu drauf machen sollte, ist das wirklich nötig? Hier mal die Logs von Malwarebytes: Langes: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7465
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
14.08.2011 21:09:17
mbam-log-2011-08-14 (21-09-17).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|Q:\|)
Durchsuchte Objekte: 268737
Laufzeit: 1 Stunde(n), 34 Minute(n), 50 Sekunde(n)
Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
c:\Users\Chris\Cache\igfxcf32.exe (Rootkit.0Access.XGen) -> 456 -> Unloaded process successfully.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Intel Driver Control (Rootkit.0Access.XGen) -> Value: Intel Driver Control -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\Chris\Cache\igfxcf32.exe (Rootkit.0Access.XGen) -> Delete on reboot.
c:\$RECYCLE.BIN\s-1-5-21-2660551533-2105653681-1586402070-1000\$R66GB2V\mini-kms_activator_v1.052.exe (Riskware.Keygen) -> Quarantined and deleted successfully.
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Datenbank Version: 7465
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
14.08.2011 21:17:40
mbam-log-2011-08-14 (21-17-40).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 181175
Laufzeit: 6 Minute(n), 44 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 43
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\Users\Medion\downloads\installer_counter-strike_1_6_english_-_russian_deutsch.exe (PUP.SmsPay.PGen) -> Not selected for removal.
c:\Users\Chris\AppData\Local\Temp\0160501.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\0881406.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\1148477.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\1861003.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\2021974.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\2513178.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\2516844.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\2590346.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\3105502.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\3891229.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\4076213.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\4201745.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\4839828.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\4858707.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5153270.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5237915.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5390823.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5547791.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5575083.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5677685.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5780810.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5871600.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5891380.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\5951912.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\6493336.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\6963787.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\7033223.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\7046007.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\7091548.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\7282261.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\7699881.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\7777742.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\8049545.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\8251086.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\8631433.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\8717799.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\9208277.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\9255678.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\9284693.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\9536480.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Local\Temp\9843615.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Chris\AppData\Roaming\msnsvconfig.txt (Malware.Trace) -> Quarantined and deleted successfully.
Code:
ATTFilter 19:33:46 Chris MESSAGE Protection started successfully
19:33:51 Chris MESSAGE IP Protection started successfully
19:35:43 Chris DETECTION C:\USERS\CHRIS\CACHE\IGFXCF32.EXE Rootkit.0Access.XGen QUARANTINE
19:36:04 Chris DETECTION C:\Users\Chris\Cache\igfxcf32.exe Rootkit.0Access.XGen DENY
19:45:11 Chris DETECTION C:\USERS\CHRIS\CACHE\IGFXCF32.EXE Rootkit.0Access.XGen DENY
19:51:46 Chris DETECTION C:\USERS\CHRIS\CACHE\IGFXCF32.EXE Rootkit.0Access.XGen DENY
20:34:51 Chris DETECTION C:\USERS\CHRIS\CACHE\IGFXCF32.EXE Rootkit.0Access.XGen DENY
20:55:23 Chris DETECTION C:\USERS\CHRIS\CACHE\IGFXCF32.EXE Rootkit.0Access.XGen DENY
22:25:45 Chris DETECTION C:\USERS\CHRIS\CACHE\IGFXCF32.EXE Rootkit.0Access.XGen DENY
 EDIT: Schon blöd, dass Spoiler nicht aktiviert sind ._. EDIT2: Ich habe meinem Freund einen Datei in einem Arbeitsplatznetzwerk geschickt, wird diese auch infitziert? Darf ich überhaupt noch irgentein Spiel online spielen? EDIT3: Ich werde über Nacht noch einmal die volle Systemprüfung von Malwarebytes abschliessen und das Log posten.  Geändert von TriforceTorn (14.08.2011 um 21:39 Uhr) |
|
16.08.2011, 13:37
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Malware verschickt sich selbst, das übliche ebenZitat:
 Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!
__________________ |
|
| Themen zu Malware verschickt sich selbst, das übliche eben |
| antivir, autorun.inf, avira, bild, bist du das, datei, dateien, explorer, frage, geblockt, icon, igfxcf32.exe, karte, laptop, link, malware, malwarebytes, microsoft, namen, ordner, prozesse, pup.smspay.pgen, recycle.bin, riskware.keygen, riskware.tool.ck, sd karte, software, spielen, system, temp, temp08.exe, trojan.agent, virus |
Linear-Darstellung
