| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner "Mediashiftig" - leider hat es mich auch erwischt...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.12.2011, 08:22
| #1 |
| |  Trojaner "Mediashiftig" - leider hat es mich auch erwischt... Hey Leute, ich hoffe ihr könnt mir bei meinem Problem behilflich sein, da ich mir leider den Mediashiftig Trojaner eingefangen habe. Bisher sind folgende Sympthome aufgetreten: Beim Start von Firefox öffnet sich ganz normal die Startseite und zusätlich ein Tab mit dem Link zu Mediashiftig. Ab und zu erscheint der Tab mit dem Link zu Mediashifting auch einfach so. Was wurde bisher gemacht: - Komplett-Scan mit AntiVir Log habe ich zu dem Scan leider nicht mehr, doch folgendes wurde gefunden und gemacht: Code:
ATTFilter D:\Programme\Fritz_Box_Tools\fritzbox_reconnecter\reconnecter.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Hupigon.153170
[HINWEIS] Die Datei wurde gelöscht.
C:\Windows\System32\consrv.dll
[FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5266bdf7.qua' verschoben!
C:\Users\Ikan\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\c3423b7-2d61e19e
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Scuds.B
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\Ikan\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\W03EI5NR\3[1].exe
[FUND] Ist das Trojanische Pferd TR/Kazy.50800
[HINWEIS] Die Datei wurde gelöscht.
Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2011.12.30.01 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Ikan :: IKAN-PC [Administrator] Schutz: Aktiviert 30.12.2011 05:21:26 mbam-log-2011-12-30 (05-21-26).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 185953 Laufzeit: 11 Minute(n), 12 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\Ikan\AppData\Local\330d7c75\X -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Der hat mir aber nur die Trojaner angezeigt, nicht gelöscht! Code:
ATTFilter C:\Users\Ikan\AppData\Local\330d7c75\X Win64/Sirefef.N Trojaner
C:\Users\Ikan\AppData\Local\330d7c75\U\80000000.@ Win64/Sirefef.P Trojaner
C:\Users\Ikan\AppData\Local\330d7c75\U\800000cb.@ Win64/Sirefef.M Trojaner
C:\Users\Ikan\AppData\Local\330d7c75\U\800000cf.@ Win64/Sirefef.O Trojaner
C:\Users\Ikan\AppData\Local\Temp\NERO14766\Toolbar.exe Win32/Toolbar.AskSBar Anwendung
D:\Programme\Fritz_Box_Tools\Fritz!Box Reconnector\bat\nc.exe Win32/RemoteAdmin.NetCat Anwendung
Code:
ATTFilter MBRCheck, version 1.2.3
(c) 2010, AD
Command-line:
Windows Version: Windows 7 Professional
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: Quanta
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP Pavilion dv5 Notebook PC
Logical Drives Mask: 0x0000007c
Kernel Drivers (total 216):
0x0305F000 \SystemRoot\system32\ntoskrnl.exe
0x03016000 \SystemRoot\system32\hal.dll
0x00BC2000 \SystemRoot\system32\kdcom.dll
0x00CCD000 \SystemRoot\system32\mcupdate_GenuineIntel.dll
0x00D1C000 \SystemRoot\system32\PSHED.dll
0x00D30000 \SystemRoot\system32\CLFS.SYS
0x00C00000 \SystemRoot\system32\CI.dll
0x00E3B000 \SystemRoot\system32\drivers\Wdf01000.sys
0x00EDF000 \SystemRoot\system32\drivers\WDFLDR.SYS
0x01090000 \SystemRoot\System32\Drivers\spgg.sys
0x011B6000 \SystemRoot\System32\Drivers\WMILIB.SYS
0x011BF000 \SystemRoot\System32\Drivers\SCSIPORT.SYS
0x01000000 \SystemRoot\system32\drivers\ACPI.sys
0x01057000 \SystemRoot\system32\drivers\msisadrv.sys
0x01061000 \SystemRoot\system32\drivers\vdrvroot.sys
0x00EEE000 \SystemRoot\system32\drivers\pci.sys
0x0106E000 \SystemRoot\System32\drivers\partmgr.sys
0x01083000 \SystemRoot\system32\DRIVERS\compbatt.sys
0x011EE000 \SystemRoot\system32\DRIVERS\BATTC.SYS
0x00F21000 \SystemRoot\system32\drivers\volmgr.sys
0x00F36000 \SystemRoot\System32\drivers\volmgrx.sys
0x00F92000 \SystemRoot\System32\drivers\mountmgr.sys
0x00FAC000 \SystemRoot\system32\drivers\vmbus.sys
0x00FE8000 \SystemRoot\system32\drivers\winhv.sys
0x00E00000 \SystemRoot\system32\drivers\atapi.sys
0x00E09000 \SystemRoot\system32\drivers\ataport.SYS
0x00CC0000 \SystemRoot\system32\drivers\msahci.sys
0x00D8E000 \SystemRoot\system32\drivers\PCIIDEX.SYS
0x00D9E000 \SystemRoot\system32\drivers\amdxata.sys
0x00DA9000 \SystemRoot\system32\drivers\fltmgr.sys
0x0122E000 \SystemRoot\system32\drivers\fileinfo.sys
0x01242000 \SystemRoot\System32\Drivers\Ntfs.sys
0x01474000 \SystemRoot\System32\Drivers\msrpc.sys
0x014D2000 \SystemRoot\System32\Drivers\ksecdd.sys
0x014ED000 \SystemRoot\System32\Drivers\cng.sys
0x0155F000 \SystemRoot\System32\drivers\pcw.sys
0x01570000 \SystemRoot\System32\Drivers\Fs_Rec.sys
0x016C5000 \SystemRoot\system32\drivers\ndis.sys
0x01600000 \SystemRoot\system32\drivers\NETIO.SYS
0x01660000 \SystemRoot\System32\Drivers\ksecpkg.sys
0x018AD000 \SystemRoot\System32\drivers\tcpip.sys
0x01AB1000
Gefunden hat der "Locked file" Service "sptd" Suspious object, medium risk Gibt es noch etwas was ich tun kann um euch weitere Infos geben zu können? Und dann noch ne Frage: Handelt es sich bei dem was gefunden wurde um wirklich gefährliche Trojaner, die nur schwer zu bereinigen sind? Ich mache relativ viel mit Banking und online Einkäufen. So ne komplette Bereinigung und die ganzen Scans dauern ziemlich lange. Da opfere ich dann lieber einen Tag und installiere Windows komplett neu und habe anschließend ein ruhiges Gewissen  Lg. |
| Themen zu Trojaner "Mediashiftig" - leider hat es mich auch erwischt... |
| administrator, autostart, backdoor.agent, build 7601, dateien, dateisystem, explorer, firefox, frage, heuristiks/extra, heuristiks/shuriken, home, internet, kaspersky, link, malwarebytes, mediashifting, microsoft, namen, neu, notebook, object, problem, programme, seite, software, system, system32, trojaner, windows, öffnet |
Baum-Darstellung