| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Nach Smart HDD Entfernung: Wiederkehr von Fakesysdef.A.5002, Crypt.ULPM.Gen, Trash.GenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.04.2012, 14:32
| #1 |
 |  Nach Smart HDD Entfernung: Wiederkehr von Fakesysdef.A.5002, Crypt.ULPM.Gen, Trash.Gen Guten Tag, Ich habe mir vor einigen tagen den Smart HDD Virus eingefangen, nachdem ich törechterweise auf einen link in einer youtube beschreibung geklickt habe. habe diesen virus nach folgender anleitung entfernt: hxxp://www.bleepingcomputer.com/virus-removal/remove-win-hdd soweit so gut. Hier das Malwarebytes Log, dieses scans bei dem auch der Smart HDD entfernt wurde: Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.16.01 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 BigBizkit :: BIGBIZKI-F22E5C [Administrator] Schutz: Aktiviert 16.04.2012 07:03:32 mbam-log-2012-04-16 (07-03-32).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 434311 Laufzeit: 2 Stunde(n), 23 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 2 HKCU\SOFTWARE\ErrorSmart (Rogue.ErrorSmart) -> Erfolgreich gelöscht und in Quarantäne gestellt. HKLM\SOFTWARE\ErrorSmart (Rogue.ErrorSmart) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 3 C:\Programme\Error Repair Professional (Rogue.ErrorRepairProfessional) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Error Repair Professional\Backups (Rogue.ErrorRepairProfessional) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Programme\Error Repair Professional\startbug (Rogue.ErrorRepairProfessional) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateien: 4 C:\Dokumente und Einstellungen\BigBizkit\Lokale Einstellungen\Temp\wpbt0.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. E:\ProgrammeZ\Unlocker\eBay_shortcuts_1016.exe (Adware.Clicker) -> Erfolgreich gelöscht und in Quarantäne gestellt. E:\ProgrammeZ\Temporäre Internetdateien\Content.IE5\97C6LW0W\readme[1].exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. E:\CC\XCC\XCC Mixer.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter C:\System Volume Information\_restore{932B1754-C056-42AD-B999-56E9652FCC03}\RP817\A0325877.exe
[FUND] Ist das Trojanische Pferd TR/FakeSysdef.A.5002
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dce2e4d.qua' verschoben!
Dafür wiederhole sich das Spielchen mit dem TR/Crypt.ULPM.Gen Code:
ATTFilter C:\WINDOWS\Temp\SBS_VE_AMBR_20120317010527.125_ 76
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dae06b7.qua' verschoben!
dafür aber der TR/Trash.Gen Code:
ATTFilter E:\System Volume Information\_restore{932B1754-C056-42AD-B999-56E9652FCC03}\RP817\A0325879.exe
[FUND] Ist das Trojanische Pferd TR/Trash.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4db1f6be.qua' verschoben!
Mein System läuft allerdings, oberflächlich betrachtet, ruhig. Ohne die Meldungen von Antivir hätte ich keinen Grund anzunehmen, dass irgendetwas nicht stimmt. Dennoch bin ich in den abgesicherten Modus um dort einen scan mit Malwarebytes zu machen. Nach 10min Scandauer hängte sich der PC auf (keine Reaktion, nur noch Maus bewegen war möglich). Habe dann noch einen Scan im Normalmodus gemacht, der auch beendet wurde. Danach aber (logfile war schon erstellt) hängte sich der PC auf (habe geschlafen während dem Scan und einen aufgehängten PC dann bemerkt als ich hin bin). hier das logfile (ohne fund) Code:
ATTFilter Malwarebytes Anti-Malware (Test) 1.61.0.1400 www.malwarebytes.org Datenbank Version: v2012.04.16.02 Windows XP Service Pack 3 x86 NTFS Internet Explorer 7.0.5730.13 BigBizkit :: BIGBIZKI-F22E5C [Administrator] Schutz: Deaktiviert 17.04.2012 07:24:02 mbam-log-2012-04-17 (07-24-02).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 413568 Laufzeit: 3 Stunde(n), 30 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Habe mich ein wenig über zB. den Fakesysdef erkundigt, und muss sagen, all das was der tun soll passierte bei mir nicht. Antivir hat ihn gemeldet, das wars. Gut, was im Hintergrund passiert weiss ich nicht. Aber, dass dieser Trojaner im selben stil wie Smart HDD arbeitet war bei mir nicht so. Ich würde mich jedenfalls sehr freuen wenn mir jemand helfen könnte mein System zu bereinigen, bzw. wenn mir jemand sagen könnte, ob eine Neuinstallation des Systems unvermeidbar ist. Ich bräuchte insbesondere fachlichen Rat um festzustellen, ob nicht so ein fall bei mir vorliegt wie ich hier im board schon gelesen habe, wo jemand feststellen musste, dass er über einen Umweg in die Ukraine surft... Vielen Dank im Vorhinein. |
| Themen zu Nach Smart HDD Entfernung: Wiederkehr von Fakesysdef.A.5002, Crypt.ULPM.Gen, Trash.Gen |
| .dll, administrator, adware.clicker, antivir, arbeitet, dateien, dateisystem, ebay, explorer, gelöscht, heuristiks/extra, heuristiks/shuriken, hintergrund, locker, log, logfile, malwarebytes, maus, microsoft, namen, neue, popup, programme, software, system volume information, temp, trojan.agent, trojaner, ukraine, virus, wpbt0.dll |
Baum-Darstellung