Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner bei Setup Zugriff erlaubt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.07.2011, 22:21   #1
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Hallo allerseits,
Habe beim Start eines Setups direkt mal 3 Trojanermeldungen von Antivir gekriegt, ist ja jetzt nicht so dramatisch. Ich habe das Setup dann erstmal direkt abgebrochen und die Setup Dateien vernichtet.
Nur leider musste ich dann feststellen, dass ich den Schädlingen (3 Dateien, je C:\Users\****\AppData\Local\Temp\SETUP_14980\****.exe, TR/kazy.597.23,TR/Refroso.bmyt,TR/Refroso.cqzy) Zugriff erlaubt habe !

Habe jetzt in Panik Antivir, Malwarebytes und CCleaner gleichzeitig angeschmissen, doch ich glaube da wird nichts gefunden (zuvor noch den Temp-Ordner individuell gescannt: null).
Ausserdem speichert Antivir zwar den Fund als Ereignis, man kann ihn aber nicht im Nachhinein löschen. Jetzt weiss ich echt nicht was mit den Trojaner passiert ist .

Was haltet ihr davon? Wurden die Trojaner beim Abbrechen des Setups auch automatisch gelöscht (bzw. da sie sich im Temp Ordner befanden) oder haben sie sich nach dem erlaubten Zugriff schon ins tiefste Eck meines PCs verkrochen?

Toi toi toi,
Jonathan

Alt 31.07.2011, 23:40   #2
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Entschuldigt bitte den doppelten Post,
hier mal ein kleines Update:
Irgendwann kam eine Antivir Fehlermeldung:
"Die Anweisung in 0x001208aa verweist auf Speicher 0x77823800.
Der Vorgang read konnte nicht im Speicher durchgeführt werden.
Klicken sie auf "OK" um das Programm zu beenden."
Das Seltsame daran war, dass der Scan erst abbrach nachdem ich auf OK klickte.
Doch jetzt kommt's:
Nachdem ich Antivir nochmal startete und dann nur mal zufällig den Scanprozess am Anfang beobachtete, bemerkte ich, dass der Scan auf einmal eine wahnwitzige Anzahl von Ordnern mit einer wahnwitzigen Anzahl von /ZZZZZZZZZ.../ZZZZZZ usw. aufwies.
Ich kann das nicht wirklich beschreiben, ich weiss wie sich das anhört.
Die Dateien wuchsen langsam an die 2000 da habe ich dann abgebrochen.

Für mich hört sich das sehr verdächtig an.
Nebenbei hat Malwarebytes wohl nichts gefunden:

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7035

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

01.08.2011 00:20:31
mbam-log-2011-08-01 (00-20-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 375450
Laufzeit: 2 Stunde(n), 8 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bitte sagt mir ob ihr wisst was es mit diesen /Z-Ordnern beim AntivirScan auf sich hat.
LG
__________________


Alt 01.08.2011, 08:53   #3
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Hier ein Report von einem abgebrochenen Antivir-Scan:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 1. August 2011 09:47

Es wird nach 3305182 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : JONATHAN-PC

Versionsinformationen:
BUILD.DAT : 10.2.0.696 35934 Bytes 29.06.2011 17:26:00
AVSCAN.EXE : 10.3.0.7 484008 Bytes 07.07.2011 07:36:46
AVSCAN.DLL : 10.0.5.0 57192 Bytes 07.07.2011 07:36:46
LUKE.DLL : 10.3.0.5 45416 Bytes 07.07.2011 07:36:46
LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47
AVSCPLR.DLL : 10.3.0.7 119656 Bytes 07.07.2011 07:36:47
AVREG.DLL : 10.3.0.9 88833 Bytes 14.07.2011 09:07:38
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 11:39:45
VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 12:53:28
VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 07:13:32
VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 08:20:26
VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 09:07:33
VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 09:07:33
VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 09:07:33
VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 09:07:33
VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 09:07:33
VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 09:07:33
VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 09:07:33
VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 09:07:33
VBASE013.VDF : 7.11.11.75 688128 Bytes 12.07.2011 09:07:34
VBASE014.VDF : 7.11.11.104 978944 Bytes 13.07.2011 09:07:35
VBASE015.VDF : 7.11.11.137 655360 Bytes 14.07.2011 06:36:57
VBASE016.VDF : 7.11.11.184 699392 Bytes 18.07.2011 07:25:44
VBASE017.VDF : 7.11.11.214 414208 Bytes 19.07.2011 07:25:50
VBASE018.VDF : 7.11.11.242 772096 Bytes 20.07.2011 07:25:55
VBASE019.VDF : 7.11.12.3 1291776 Bytes 20.07.2011 07:26:08
VBASE020.VDF : 7.11.12.30 844288 Bytes 21.07.2011 07:26:18
VBASE021.VDF : 7.11.12.67 149504 Bytes 24.07.2011 08:38:35
VBASE022.VDF : 7.11.12.93 195072 Bytes 25.07.2011 08:38:35
VBASE023.VDF : 7.11.12.113 150528 Bytes 26.07.2011 08:38:35
VBASE024.VDF : 7.11.12.152 182784 Bytes 28.07.2011 06:17:16
VBASE025.VDF : 7.11.12.153 2048 Bytes 28.07.2011 06:17:16
VBASE026.VDF : 7.11.12.154 2048 Bytes 28.07.2011 06:17:16
VBASE027.VDF : 7.11.12.155 2048 Bytes 28.07.2011 06:17:16
VBASE028.VDF : 7.11.12.156 2048 Bytes 28.07.2011 06:17:16
VBASE029.VDF : 7.11.12.157 2048 Bytes 28.07.2011 06:17:16
VBASE030.VDF : 7.11.12.158 2048 Bytes 28.07.2011 06:17:16
VBASE031.VDF : 7.11.12.167 34304 Bytes 29.07.2011 06:17:16
Engineversion : 8.2.6.22
AEVDF.DLL : 8.1.2.1 106868 Bytes 08.08.2010 12:32:01
AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 22.07.2011 07:26:44
AESCN.DLL : 8.1.7.2 127349 Bytes 24.11.2010 13:44:11
AESBX.DLL : 8.2.1.34 323957 Bytes 03.06.2011 08:20:30
AERDL.DLL : 8.1.9.13 639349 Bytes 15.07.2011 06:38:19
AEPACK.DLL : 8.2.9.5 676214 Bytes 15.07.2011 06:38:11
AEOFFICE.DLL : 8.1.2.13 201083 Bytes 30.07.2011 06:17:18
AEHEUR.DLL : 8.1.2.148 3576184 Bytes 30.07.2011 06:17:18
AEHELP.DLL : 8.1.17.7 254327 Bytes 30.07.2011 06:17:16
AEGEN.DLL : 8.1.5.6 401780 Bytes 27.05.2011 08:10:13
AEEMU.DLL : 8.1.3.0 393589 Bytes 24.11.2010 13:44:09
AECORE.DLL : 8.1.22.4 196983 Bytes 15.07.2011 06:37:01
AEBB.DLL : 8.1.1.0 53618 Bytes 09.05.2010 12:57:20
AVWINLL.DLL : 10.0.0.0 19304 Bytes 14.01.2010 10:59:10
AVPREF.DLL : 10.0.3.2 44904 Bytes 07.07.2011 07:36:46
AVREP.DLL : 10.0.0.10 174120 Bytes 27.05.2011 08:10:13
AVARKT.DLL : 10.0.26.1 255336 Bytes 07.07.2011 07:36:45
AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 07.07.2011 07:36:45
SQLITE3.DLL : 3.6.19.0 355688 Bytes 28.01.2010 11:57:53
AVSMTP.DLL : 10.0.0.17 63848 Bytes 16.03.2010 14:38:54
NETNT.DLL : 10.0.0.0 11624 Bytes 19.02.2010 13:40:55
RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 07.07.2011 07:36:45
RCTEXT.DLL : 10.0.64.0 98664 Bytes 07.07.2011 07:36:45

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Montag, 1. August 2011 09:47

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf wurde abgebrochen!

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)


Ende des Suchlaufs: Montag, 1. August 2011 09:49
Benötigte Zeit: 01:27 Minute(n)

Der Suchlauf wurde abgebrochen!

0 Verzeichnisse wurden überprüft
0 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
0 Dateien ohne Befall
0 Archive wurden durchsucht
0 Warnungen
0 Hinweise
42796 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
__________________

Alt 01.08.2011, 09:26   #4
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Nachdem ich HijackThis installierte und laufen liess, kam folgende Fehlermeldung:
"For some reason your system denied write access to the Hosts file. If any hijacked domains are in this file, HiJackThis may NOT be able to fix this.
If that happens you need to edit the file yourself. To do this, click Start, Run
and type: notepad C:\Windows\System32\drivers\etc\hosts and press enter[...]"

Und hier das Log:
HiJackthis Logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:26:03, on 01.08.2011
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\PLFSetI.exe
C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe
C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe
C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe
C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Users\Jonathan\Downloads\HiJackThis204.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle Redirect
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle Redirect
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = iGoogle Redirect
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = iGoogle Redirect
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - c:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "c:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BackupManagerTray] "C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" -h -k
O4 - HKLM\..\Run: [EgisTecLiveUpdate] "C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe"
O4 - HKLM\..\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe
O4 - HKLM\..\Run: [ArcadeDeluxeAgent] "C:\Program Files (x86)\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe"
O4 - HKLM\..\Run: [PlayMovie] "C:\Program Files (x86)\Acer Arcade Deluxe\PlayMovie\PMVService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED
O4 - HKCU\..\Run: [rfxsrvtray] "C:\Program Files (x86)\Tobit Radio.fx\Client\rfx-tray.exe"
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - LSI Corporation - C:\Program Files\LSI SoftModem\agr64svc.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: Acer ePower Service (ePowerSvc) - Acer Incorporated - C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GRegService (Greg_Service) - Acer Incorporated - C:\Program Files (x86)\Acer\Registration\GregHSRW.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MyWinLocker Service (MWLService) - Egis Technology Inc. - C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\\MWLService.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: NTI IScheduleSvc - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - NewTech Infosystems, Inc. - C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Radio.fx Server (Radio.fx) - Unknown owner - C:\Program Files (x86)\Tobit Radio.fx\Server\rfx-server.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: Updater Service - Acer - C:\Program Files\Acer\Acer Updater\UpdaterService.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9891 bytes
         
--- --- ---

Alt 01.08.2011, 15:33   #5
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



So, mein vorerst letzter Beitrag bevor hier noch der Thread platzt.
Da das Ganze durch sehr dumme Eigenverschuldung entstand will ich hier nochmal klar machen, dass ich euch keine unnötige Arbeit machen will, geschweige denn irgendwelche Hilfe verlange, deshalb habe ich auch schon die Logs gepostet.
Habe auch das Programm UnHackMe durchlaufen lassen, allerdings ist die "regrunlog.txt" zu groß für den Anhang.
CCleaner habe ich übrigens abgebrochen, nachdem bei einem gewissen
"Schredder"-Vorgang (ich glaube es waren MTF-Dateien oder so ähnlich), die Menge der zu löschenden Daten schneller wuchs als die der gelöschten!
Noch ein kleines Indiz: Der Schirm des AntiVir-Symbols bleibt geschlossen obwohl der Guard angeblich aktiv ist.

Ich bin einfach nur ratlos und für jede Hilfe überaus dankbar!

PS: Kenne zwar ein paar AV-Lösungen und weiss wie man einen Log-Text kopiert, das war's dann aber auch. Ich besitze ein ACER Laptop und weiss, dass man mit eRecovery Management wieder neu aufsetzen kann. Haltet ihr das für notwendig? Reicht das dann auch? Achja und entschuldigt bitte das HiJackThis-Logfile, den Thread dazu las ich zu spät .


Geändert von unkreativ (01.08.2011 um 15:41 Uhr)

Alt 01.08.2011, 15:40   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Zitat:
ur leider musste ich dann feststellen, dass ich den Schädlingen (3 Dateien, je C:\Users\****\AppData\Local\Temp\SETUP_14980\****.exe, TR/kazy.597.23,TR/Refroso.bmyt,TR/Refroso.cqzy) Zugriff erlaubt habe
Wo ist denn das Log davon? Das gepostete AntiVir-Log hat Null Funde!

Zitat:
Da das Ganze durch sehr dumme Eigenverschuldung entstand
Bitte näher erläutern

Außerdem war Malwarebytes nicht aktuell. Bitte updaten und einen neuen Vollscan machen.
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________
--> Trojaner bei Setup Zugriff erlaubt

Alt 01.08.2011, 16:05   #7
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Also bezüglich des Antivir-Logs:
Die Funde wurden nicht bei einem Scan erkannt (s.o.) und der AntiVir-Log, den ich gepostet habe ist von einem abgebrochenen Scan, da mir im "LukeFilewalker"-Fenster extrem unrealistische Mengen an wahllosen Dateien auffielen und die Prozentzahl des Vorgangs immer langsamer wurde, bis sie dann so gut wie still stand (ungefähr dieses Erscheinungsbild:".../04as832ujfd9a3.../35asdkj9a832jhd28...").
EDIT: Bei Malwarebytes sieht es grad so aus: C:\Program Files(x86)\Steam\appcache\httpcache\"und hier folgen nun die Ordner mit den wahllosen Namen". Ich dachte zuerst daran, dass da irgendwas irgendwelche Ordner/Dateien erstellt, ist aber auch vielleicht nur Blödsinn.

Bezüglich der Eigenverschuldung:
Habe wahrscheinlich aus geistiger Abwesenheit heraus den Trojanern über AntiVir Zugriff erlaubt, während ich eher damit beschäftigt war schnellstmöglich das Setup zu beenden.

Bezüglich Malwarebytes':
Das Programm habe ich gestern vor dem Scan geupdatet, jedoch nicht den PC neugestartet und sofort gescannt.
Zitat:
Gibt es noch weitere Logs von Malwarebytes?
Ja. "protection-log-2011-06-20.txt"
13:43:40 Jonathan MESSAGE Protection started successfully
13:43:44 Jonathan MESSAGE IP Protection started successfully
16:49:37 Jonathan MESSAGE Protection started successfully
16:49:42 Jonathan MESSAGE IP Protection started successfully
16:54:28 Jonathan MESSAGE Protection started successfully
16:54:33 Jonathan MESSAGE IP Protection started successfully
als Beispiel, davon gibt es noch 16, meistens nur:
11:09:47 Jonathan MESSAGE Scheduled update executed successfully
Sind die wichtig, also soll ich die auch noch posten?
Ein neuer Vollscan folgt.

Geändert von unkreativ (01.08.2011 um 17:02 Uhr)

Alt 01.08.2011, 17:17   #8
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



So, hier der neue Vollscan (wieder nichts):
Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7345

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

01.08.2011 18:14:57
mbam-log-2011-08-01 (18-14-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 379159
Laufzeit: 1 Stunde(n), 3 Minute(n), 31 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Und noch einmal meine Frage:
Würde ein Neuaufsetzen des Systems das Problem lösen? Das wäre nämlich für mich die bequemste Alternative.
LG

Alt 02.08.2011, 08:46   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Zitat:
Würde ein Neuaufsetzen des Systems das Problem lösen? Das wäre nämlich für mich die bequemste Alternative.
Ich weiß zwar immer noch nicht was du da angeblich durch eine Eigenverschuldung versaut hast, aber ja, eine Neuinstallation behebt immer zuverlässig Malwareprobleme. Vorausgesetzt du machst bei der Neuinstalltion auch alles richtig.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.08.2011, 16:25   #10
unkreativ
 
Trojaner bei Setup Zugriff erlaubt - Standard

Trojaner bei Setup Zugriff erlaubt



Erst einmal vielen Dank für deine Hilfe, die Werkseinstellungen sind wieder da.
Zitat:
Ich weiß zwar immer noch nicht was du da angeblich durch eine Eigenverschuldung versaut hast
Chronologisch:
-Setup gestartet
-AntiVir-Meldungen/Trojaner-Fund
-Ich denke mal dann muss ich wohl tatsächlich auf den Button "Zugriff erlauben" geklickt haben und zwar drei mal, da 3 Trojaner
-Erstmal das Setup beendet, Setup-Dateien gelöscht
-Bemerkt, dass die Trojaner-Meldungen nicht mehr da waren
-Bei den AntiVir Ereignissen dann gesehen, dass dort dreimal "Zugriff erlaubt" stand
-Dumm aus der Wäsche geguckt
-Die Fund-Dateien befanden sich in einem Temp-Ordner und wurden daher automatisch bei Beenden des Setups gelöscht
-Noch dümmer aus der Wäsche geguckt
Ich hoffe mal ab jetzt gibt es keine Probleme mehr, bis dahin evtl. und noch viel Erfolg und gutes Gelingen!

Antwort

Themen zu Trojaner bei Setup Zugriff erlaubt
abgebrochen, antivir, appdata, automatisch, ccleaner, dateien, direkt, erlaubt, erlaubte, gelöscht, gen, gleichzeitig, malwarebytes, nichts, panik, pcs, schädlinge, setup, speicher, speichert, start, temp, trojaner, ups, zugriff



Ähnliche Themen: Trojaner bei Setup Zugriff erlaubt


  1. Trojaner FlashPlayerpro-setup.exe, Acrobat,
    Plagegeister aller Art und deren Bekämpfung - 06.07.2014 (1)
  2. 'TR/Dropper.Gen' [trojan] gefunden. Zugriff erlaubt ?
    Plagegeister aller Art und deren Bekämpfung - 09.05.2014 (1)
  3. Externe Platte erlaubt keinen Zugriff mehr, ein paar Fragen...
    Netzwerk und Hardware - 21.01.2014 (24)
  4. Snapdo und DivX Setup und DivX-Setup
    Plagegeister aller Art und deren Bekämpfung - 20.11.2013 (22)
  5. zPanel-Lücke erlaubt Root-Zugriff auf Server
    Nachrichten - 11.06.2013 (0)
  6. iPhone-Lücke erlaubt Zugriff ohne Passcode
    Nachrichten - 14.02.2013 (0)
  7. Trojaner Virus Bild erlaubt nur den abgesicherten Modus.Win7
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  8. Apache-Lücke erlaubt Angreifern Zugriff auf interne Server
    Nachrichten - 06.10.2011 (0)
  9. Internet Securtity 2012 kein Zugriff auf Setup.ilg
    Mülltonne - 16.07.2011 (1)
  10. Mein G- Data Internet Securtity 2012 kein Zugriff auf Setup.ilg
    Plagegeister aller Art und deren Bekämpfung - 16.07.2011 (1)
  11. Trojaner: Age of Empires 2 AutoRun/setup
    Plagegeister aller Art und deren Bekämpfung - 11.01.2011 (2)
  12. Trojaner legt Virenprogramme lahm, verhindert Installation mbam-setup.exe
    Plagegeister aller Art und deren Bekämpfung - 05.01.2010 (3)
  13. Trojaner legt Virenprogramme lahm, verhindert auch die Installation des mbam-setup
    Antiviren-, Firewall- und andere Schutzprogramme - 05.01.2010 (15)
  14. Lücke im Linux-Kernel erlaubt Root-Zugriff [Update]
    Nachrichten - 04.11.2009 (0)
  15. Lücke im Linux-Kernel erlaubt Root-Zugriff
    Nachrichten - 04.11.2009 (0)
  16. O4 - HKLM\..\Run: [zzGBK] D:\setup.exe = Trojaner?
    Log-Analyse und Auswertung - 29.01.2007 (2)
  17. Trojaner erstellt setup.exe
    Plagegeister aller Art und deren Bekämpfung - 27.08.2006 (6)

Zum Thema Trojaner bei Setup Zugriff erlaubt - Hallo allerseits, Habe beim Start eines Setups direkt mal 3 Trojanermeldungen von Antivir gekriegt, ist ja jetzt nicht so dramatisch. Ich habe das Setup dann erstmal direkt abgebrochen und die - Trojaner bei Setup Zugriff erlaubt...
Archiv
Du betrachtest: Trojaner bei Setup Zugriff erlaubt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.