| |
| |||||||
Log-Analyse und Auswertung: Mehrere Trojaner auf meinen PC durch FacebookWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
29.11.2011, 21:45
| #1 |
 |  Mehrere Trojaner auf meinen PC durch Facebook Hallo zusammen, ich habe mich vor kurzem auf Facebook angemeldet. Als ich meine Nachichten durschschaute hab ich einen Link bekommen und diesen angeklickt... Seither habe ich mehrere Trojaner auf meinem PC... Ich lass jetzt jeden Tag mein Avira das System durchsuchen und er findedt immer wieder einen neuen Troyaner... Ich habe mir Malwarebytes runtergeladen und nochmal scannen lassen und da gab es 10 Funde... Jetzt habe ich bedenken, wenn ich diese Viren lösch, das das internet nicht mehr funktioniert... Zumindest hat mir das ein Kollege erzählt der auch über Facebook einen Virus hatte... Ich hab hier mal die Berichte (Funde) von Avira (vielleicht kann mir jemand sagen wie ich solche Berichte in diese "Kästen zum Scrollen" packen kann). Bericht 1 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP181\A0036078.dll' C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP181\A0036078.dll --> Object [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d84a55c.qua' verschoben! Bericht 2 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\wpbt0.dll' C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temp\wpbt0.dll --> Object [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d8f328d.qua' verschoben! Beginne mit der Suche in 'C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLBBYLVJ\info[1].exe' C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YLBBYLVJ\info[1].exe --> Object [FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '551c1d29.qua' verschoben! Bericht 3 (den hab ich 2 mal an einem Tag gefunden) Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP186\A0039215.exe' C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP186\A0039215.exe [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.cowma [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4da5a766.qua' verschoben! Bericht 4 (das war der schlimmste) Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: C:\windows\system32\wpbt0.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28 Die Registry wurde durchsucht ( '1035' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windows> C:\Dokumente und Einstellungen\chris\Anwendungsdaten\mahmud.exe [FUND] Ist das Trojanische Pferd TR/Ransom.DU.14 C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\726705d7-5ed78b4b [0] Archivtyp: ZIP --> json/Parser.class [FUND] Enthält Erkennungsmuster des Exploits EXP/2010-0840.P --> json/XML.class [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FH C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP173\A0033674.exe [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.clbi C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP176\A0035830.exe [FUND] Ist das Trojanische Pferd TR/Kazy.428326 C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP178\A0035870.exe [FUND] Ist das Trojanische Pferd TR/Kazy.428326 C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP179\A0036019.exe [FUND] Ist das Trojanische Pferd TR/Kazy.4283215 C:\WINDOWS\system32\wpbt0.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28 Beginne mit der Suche in 'D:\' <DATA> Beginne mit der Desinfektion: C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP179\A0036019.exe [FUND] Ist das Trojanische Pferd TR/Kazy.4283215 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f5e42e.qua' verschoben! C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP178\A0035870.exe [FUND] Ist das Trojanische Pferd TR/Kazy.428326 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d62cb89.qua' verschoben! C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP176\A0035830.exe [FUND] Ist das Trojanische Pferd TR/Kazy.428326 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0f3d9161.qua' verschoben! C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP173\A0033674.exe [FUND] Ist das Trojanische Pferd TR/Spy.ZBot.clbi [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '690adea0.qua' verschoben! C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\23\726705d7-5ed78b4b [FUND] Enthält Erkennungsmuster des Exploits EXP/CVE-2010-0840.FH [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2c84f398.qua' verschoben! C:\Dokumente und Einstellungen\chris\Anwendungsdaten\mahmud.exe [FUND] Ist das Trojanische Pferd TR/Ransom.DU.14 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53adc1ae.qua' verschoben! C:\windows\system32\wpbt0.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28 [HINWEIS] Der Registrierungseintrag <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Update> wurde erfolgreich repariert. [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1f1bedf1.qua' verschoben! Bericht 5 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windows> C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042288.exe [FUND] Ist das Trojanische Pferd TR/Ransom.DU.14 C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042289.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28 Beginne mit der Suche in 'D:\' <DATA> Beginne mit der Desinfektion: C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042289.dll [FUND] Ist das Trojanische Pferd TR/Dldr.Cbeplay.P.28 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f464aa.qua' verschoben! C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP188\A0042288.exe [FUND] Ist das Trojanische Pferd TR/Ransom.DU.14 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5d634b0d.qua' verschoben! Bericht 6 Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' <Windows> C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP171\A0033575.exe [FUND] Ist das Trojanische Pferd TR/Kazy.402155 Beginne mit der Suche in 'D:\' <DATA> Beginne mit der Desinfektion: C:\System Volume Information\_restore{E3DCE231-0900-4ABD-864C-E26DD7877660}\RP171\A0033575.exe [FUND] Ist das Trojanische Pferd TR/Kazy.402155 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45a7b9ef.qua' verschoben! Und zum Schluss noch der MB Log Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8272 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.11.2011 21:16:33 mbam-log-2011-11-29 (21-16-18).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 150618 Laufzeit: 6 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\DD1APJEZAI (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> No action taken. c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> No action taken. c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> No action taken. Vielen Dank schonmal im voraus! Geändert von FloD (29.11.2011 um 22:29 Uhr) |
| Themen zu Mehrere Trojaner auf meinen PC durch Facebook |
| .dll, antivir, avira, desktop, einstellungen, hijack.zones, iexplore.exe, internet, microsoft, modul, programm, prozesse, registry, scan, services.exe, software, svchost.exe, system, system volume information, temp, trojan.renos, trojaner, verweise, viren, virus, windows, winlogon.exe, wpbt0.dll, wuauclt.exe |
Baum-Darstellung