Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 06.10.2011, 07:06   #1
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Hallo Community,...

ich habe schon viel im Forum selbst gestöbert und mir konnte in der Vergangenheit durch lesen anderer Posts immer geholfen werden, was jedoch diesmal leider nicht der Fall ist und ich mich deshalb registriert habe...

Mein Problem wie im Thema beschrieben ist, dass ich mir einen Virus eingefangen habe in Facebook der willkürlich wohl gesendet wurde und xxx.allez-dax.de wohl beinhaltete. Es handelte sich um ein Skript und nicht um ein Bild wie ich nun leider nach dem öffnen festellen musste und mein PC ist nun voller Viren befallen, die auch Downloads verhindern oder willkürlich kein Internet zulassen... auch Facebookfreunde bekommen den Virus von mir...

Ich erhoffe mir nun Hilfe von erfahrenen Leuten, sodass mein System wieder als "bereinigt" angesehene werden kann und bedanke mich schonmal im Vorraus! Für Tips dann zur Beseitigung des Viruses wäre ich sehr dankbar!

Anbei natürlich der Vollscan von Malwarebytes und ich hab noch mit ESET Onlinescanner gescannt,....hier füge ich auch mal eine LOG Datei an!

LOG Datei Malwarebytes:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7882

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.10.2011 07:49:48
mbam-log-2011-10-06 (07-49-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 227577
Laufzeit: 53 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
c:\WINDOWS\system32\lvvm.exe (Backdoor.Bot) -> 1572 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 220 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\microsoft\csrss.exe (Backdoor.Bot) -> 1196 -> Unloaded process successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\conhost.exe (Backdoor.Bot) -> 2960 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Backdoor.Bot) -> Value: conhost -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\WINDOWS\system32\lvvm.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\WINDOWS\system32\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\microsoft\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\anwendungsdaten\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\Temp\1505504.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\Temp\6613999.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\2XPQIDHN\st[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\fu[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\gb[1].exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\user\lokale einstellungen\temporary internet files\Content.IE5\5JIQLHVP\m[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
Und nun die LOG Datei von ESET
Zitat:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=952c112a21f0344f974c6130fd6a6fc0
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-06 06:03:55
# local_time=2011-10-06 08:03:55 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 58541943 58541943 0 0
# compatibility_mode=1797 16775125 100 100 48030 93391402 19006 0
# compatibility_mode=8192 67108863 100 0 260 260 0 0
# scanned=68867
# found=6
# cleaned=0
# scan_time=4943
C:\Dokumente und Einstellungen\user\Anwendungsdaten\conhost.exe a variant of Win32/Kryptik.TOL trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\1505504.exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2XPQIDHN\st[1].exe a variant of Win32/Kryptik.TOO trojan (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5JIQLHVP\fu[1].exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\5JIQLHVP\m[1].exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
C:\Dokumente und Einstellungen\user\M-1-52-5782-8752-5245\winsvc.exe a variant of Win32/AutoRun.Injector.AC worm (unable to clean) 00000000000000000000000000000000 I
Vielen Dank und Liebe Grüße!

Alt 06.10.2011, 09:50   #2
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



hallo,
hast du zufällig noch den link, den du bekommen hast über facebook?
falls ja, kannst du mir diesen als private nachicht senden.
außerdem solltest du denjenigen der ihn dir gesendet hatt, + alle freunde informieren, jeder der das teil bekommen und geöffnet hatt, ist ebenfalls betroffen und muss wiederum seine freunde informieren usw.
sie können sich wenn sie hilfe suchen alle hier melden.
__________________

__________________

Alt 06.10.2011, 10:01   #3
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



erst mal danke.
den link kannte ich schon und das file ist gelöscht.
du sagtest ja den laptop deines bekannten hatts "zerlegt" aber trotzdem müsst ihr alle leute informieren damit das andern nicht so geht.
du hast einen backdoor auf dem system, machst du onlinebanking einkäufe oder sonst was wichtiges, privat oder beruflich, mit dem pc?
__________________
__________________

Alt 06.10.2011, 10:13   #4
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Hallo!

Kein Problem hab mich mit ihm abgesprochen und er informiert alle seine Leute genau wie ich die Leute die mich schon angeschrieben habe, bzw. hab an alle Leute eine Nachricht geschrieben das der Link nicht von mir kommt!

Desweiteren nutze ich den PC NICHT für Onlinebanking oder sonstiges, habe auch seitdem Befall gestern keinerlei passwörter eingegeben da ich angst vor einem Keylogger habe und halte mich überall zurück wo ich auch nur das kleinste sichere Passwort benötige!
Der PC wird lediglich ab und an halt für Facebook und zum Spielen genutzt!

Alt 06.10.2011, 10:22   #5
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



ok.
otl:
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)
  • Doppelklick auf die
    OTL.exe

    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal
    Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan
    links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.


combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 06.10.2011, 10:24   #6
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Alles klar werde ich machen sobald ich nachher zu Hause bin und dann die Meldung hier im Thread machen!

Danke schonmal für die Hilfe und bis dann!!

Es klappt irgendwie nicht so mit dem hochladen... hab die beiden Logs jetzt als .txt angehängt und hoffe das das auch in Ordnung ist... anders ging es leider nicht da ist jedes mal das Internet am Streiken gewesen!

Danke schomal für die HIlfe und sorry für die beiden anderen "SPAMS"

Alt 12.10.2011, 12:32   #7
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Hallo zusammen nochmal!

Ich bin sehr beunruhigt das ich seit Tagen nichts mehr gehört habe! Ist mir noch zu helfen oder muss ich das System sichern und neu aufsetzen?

Alt 12.10.2011, 12:53   #8
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



sorry, ich hab das wohl leider echt übersehen!!
kannst du noch mal ne neue otl.txt erstellen und hochladen?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.10.2011, 17:32   #9
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Kein Problem

Hier nochmal die Logs:

Alt 13.10.2011, 17:34   #10
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 13.10.2011, 21:54   #11
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



So Combofix ist erfolgreich durchgelaufen: Hier die Logdatei:

Alt 14.10.2011, 10:48   #12
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



nutze mal den tdss killer, log posten
http://www.trojaner-board.de/82358-t...entfernen.html
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.10.2011, 12:25   #13
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Hey Danke schonmal hat geholfen das Programm und es war einen Datei drauf, leider war ich zu schnell beim Beenden und konnte keine LOG durchführen jedoch ist ein TDSS Pack mit hohem Risiko entfernt worden und gestern abend sowie heute morgen war nichts mehr drauf, keine "Threats" mehr auf dem Rechner gefunden!

Ich bedanke mich schon mal sehr bei deiner HIlfe Markus

Kann ich davon ausgehen jetzt das ich wieder "clean" bin?

Alt 14.10.2011, 14:48   #14
markusg
/// Malware-holic
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



dann poste die tdss killer.txt die liegt direkt auf c:
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 14.10.2011, 16:55   #15
Terox
 
Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Standard

Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)



Gut dann mach ich das mal :

Antwort

Themen zu Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)
beseitigung, bild, csrss.exe, dateien, downloader, einstellungen, escan, explorer, host.exe, internet, jpg.scr, kein internet, log, lvvm.exe, malwarebytes, microsoft, problem, security, software, system, system32, temp, trojan.agent, update, viren, virus, worm



Ähnliche Themen: Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)


  1. DHL Fake Link geöffnet, ZIP extrahiert und .exe Datei geöffnet
    Plagegeister aller Art und deren Bekämpfung - 02.06.2015 (10)
  2. Win 8.1: Nach löschen von Virus mit Avira erscheint jedes Mal nach dem starten ein Fenster mit Auswahl, wie Datei geöffnet werden soll.
    Plagegeister aller Art und deren Bekämpfung - 30.04.2015 (30)
  3. Link geöffnet Facebook, Angst auf Virenbefall meines IPhones
    Log-Analyse und Auswertung - 11.04.2015 (1)
  4. ZIP-Datei in zwielichtiger Zahlungsaufforderungs Mail geöffnet - Trojaner/Virus?
    Plagegeister aller Art und deren Bekämpfung - 23.02.2015 (20)
  5. Facebook meldet Virus in Datei beim Hochladen - Firefox
    Log-Analyse und Auswertung - 04.11.2014 (5)
  6. Falsche paypal Mahnung geöffnet, Zip Datei mit Trojaner geöffnet, Avira hat Trojaner gefunden, Ist dann alles sauber?
    Log-Analyse und Auswertung - 18.09.2014 (13)
  7. zip-Datei Virus-Anhang in vermeintlicher PayPal-Mail via Handy geöffnet
    Plagegeister aller Art und deren Bekämpfung - 30.06.2014 (3)
  8. zip Datei Anhang von falscher telecom Rechnung geöffnet, Avira findet keinen Virus, ist dann alles in Ordnung?
    Log-Analyse und Auswertung - 17.06.2014 (11)
  9. Facebook meldet Virus in Datei beim Hochladen
    Log-Analyse und Auswertung - 10.06.2014 (11)
  10. Mahnung von www.wahlbusch.de zip-Datei und darin enthaltene Datei geöffnet
    Log-Analyse und Auswertung - 18.04.2013 (7)
  11. Facebook Virus JPG.SRC geöffnet
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (3)
  12. Link über Facebook geöffnet, Virus?
    Plagegeister aller Art und deren Bekämpfung - 17.11.2011 (28)
  13. Facebook Virus - scr-Datei geöffnet
    Plagegeister aller Art und deren Bekämpfung - 24.10.2011 (1)
  14. Facebook-Virus!scr-Datei statt jpg
    Log-Analyse und Auswertung - 24.08.2011 (1)
  15. Facebook Virus - als .jpg getarnte .scr Datei - vermutlich Virus?
    Log-Analyse und Auswertung - 23.08.2011 (22)
  16. Facebook-Virus?, *.JPG.scr geöffnet, Folge: winsvc.exe, csrss.exe, atiedxx.exe, winlogon.exe
    Log-Analyse und Auswertung - 16.08.2011 (2)
  17. Facebook-pic Virus - Finde die Datei nicht?
    Plagegeister aller Art und deren Bekämpfung - 14.01.2011 (10)

Zum Thema Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) - Hallo Community,... ich habe schon viel im Forum selbst gestöbert und mir konnte in der Vergangenheit durch lesen anderer Posts immer geholfen werden, was jedoch diesmal leider nicht der Fall - Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!)...
Archiv
Du betrachtest: Virus Facebook (xxx.allesdax.com - JPG.scr datei geöffnet, nun virenbefall!) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.