Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Live Premium Security Scareware

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.09.2012, 19:02   #1
Chillzz
 
Live Premium Security Scareware - Standard

Live Premium Security Scareware



Hallo liebe Community des Trojaner-Boards,

Ich habe mir wohl den Live Premium Security Trojaner irgendwo eingefangen.
Ich war gerade noch mit einem Kollegen so gegen 2Uhr am chillen, um 4 Uhr poppte dann aufeinmal das Fenster des Live Premium Security Trojaners auf. Ich schätze ich habe mir also den Trojaner per Drive-by-installation im Internet beim surfen geholt.
Zuerst geschockt, weil das ganze doch nach einem ernsten Virus aussah, wollte ich direkt meinen PC neuaufsetzen.
Da bei meinem Laptop das Laufwerk kaputt, musste ich das ganze über einen USB Stick machen. Soweit sogut, ich habe den Stick erfolgreich konfiguriert und die ISO mit eingebunden. Alles lässt sich korrekt starten, doch irgendwie fehlen auf der XP CD die SATA Treiber und so erkennt mein System die Festplatte nicht. Ich habe also keinen Ort auf der ich Windows installieren kann. Das Problem scheint mir nicht gerade einfach lösbar zu sein
Als ich diesen Versuch doch verwarf, ladete ich direkt einen Wiederherstellungspunkt von 2Uhr nachts. Der Trojaner meldet sich also nicht mehr. Rein theoretisch müsste der PC noch voll verseucht sein, nur der Virus hat sich noch nicht "ausgeführt"(?).

Ich bekomme nun immernoch Meldungen von Avira, dass ein Trojaner gefunden wurde. Das ganze spielt sich im AppData Ordner ab. Ich bin bereit die Avira, Malwarebytes und die Hijack Logfiles zu posten. Ich scanne gerade nacheinander mit den einzelen Programmen und kann sie dann hier posten. Ich hoffe auf weitere Hilfe, da mir der Computer hier echt wichtig ist.

Info : Grauer Text ist nicht so wichtig und dient nur als Nebeninformation

So es gibt neues zu berichten. Der Scandurchlauf von Malwarebytes ist nach fast 2 Stunden fertig und das sind die Ergebnisse:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.06.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
MARIUSZ :: MARIUSZ-PC [Administrator]

Schutz: Aktiviert

06.09.2012 18:33:42
mbam-log-2012-09-06 (20-46-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 361901
Laufzeit: 2 Stunde(n), 11 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe (Trojan.Banker) -> 2592 -> Keine Aktion durchgeführt.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|msseces (Trojan.Banker) -> Daten: C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n (RootKit.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\00000001.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\$Recycle.Bin\S-1-5-21-2472686190-3123797411-986844112-1000\$ff24043d55f85ce9a20a8337d9b4b888\n (RootKit.0Access) -> Keine Aktion durchgeführt.
C:\Users\MARIUSZ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\6778be2b-5057f918 (Trojan.Downloader) -> Keine Aktion durchgeführt.
C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe (Trojan.Banker) -> Keine Aktion durchgeführt.
C:\Users\MARIUSZ\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> Keine Aktion durchgeführt.

(Ende)
         
Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.09.06.08

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
MARIUSZ :: MARIUSZ-PC [Administrator]

Schutz: Aktiviert

06.09.2012 18:33:42
mbam-log-2012-09-06 (18-33-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 361901
Laufzeit: 2 Stunde(n), 11 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe (Trojan.Banker) -> 2592 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|msseces (Trojan.Banker) -> Daten: C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 8
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-2472686190-3123797411-986844112-1000\$ff24043d55f85ce9a20a8337d9b4b888\n (RootKit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\MARIUSZ\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\6778be2b-5057f918 (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe (Trojan.Banker) -> Löschen bei Neustart.
C:\Users\MARIUSZ\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:26:02, on 06.09.2012
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v9.00 (9.00.8112.16421)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\IObit\Game Booster 3\gbtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\MARIUSZ\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dell.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.dell.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [msseces] C:\Users\MARIUSZ\AppData\Local\Temp\msseces.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_9691412ff1876250\aestsrv.exe
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: AMD FUEL Service - Advanced Micro Devices, Inc. - C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
O23 - Service: Avira Planer (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Echtzeit Scanner (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Audio Service (STacSV) - IDT, Inc. - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_x86_neutral_9691412ff1876250\STacSV.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\Windows\system32\SAgent4.exe

--
End of file - 6735 bytes
         

Geändert von Chillzz (06.09.2012 um 19:17 Uhr)

Alt 10.09.2012, 23:48   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Live Premium Security Scareware - Standard

Live Premium Security Scareware



Bitte ESET ausführen, danach sehen wir weiter!

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.


ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.
  • Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.

    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
  • Setze den einen Hacken bei Yes, i accept the Terms of Use.
  • Drücke den Button.
  • Warte bis die Komponenten herunter geladen wurden.
  • Setze einen Haken bei "Scan archives".
  • Gehe sicher, dass bei Remove Found Threads kein Haken gesetzt ist.
  • drücken.
  • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
Wenn der Scan beendet wurde
  • Klicke .
  • Klicke und speichere das Logfile als ESET.txt auf dem Desktop.
  • Klicke Back und Finish
Bitte poste die Logfile hier.


Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________

__________________

Antwort

Themen zu Live Premium Security Scareware
acrobat update, avira, bereit, computer, drive-by-installation, festplatte, hijack, internet, iobit, kaputt, laptop, laufwerk, laufwerk kaputt, live premium security, logfiles, malwarebytes, ordner, programme, recycle.bin, scan, scareware, security, starten, stick, surfen, system, treiber, usb, usb stick, virus, voll, windows



Ähnliche Themen: Live Premium Security Scareware


  1. Windows 7 Home Premium 32 bit nicht installierter Antivirus Security Pro meldet Virus
    Log-Analyse und Auswertung - 13.11.2013 (11)
  2. Windows 7 Premium: Antivirus security pro Angriff
    Plagegeister aller Art und deren Bekämpfung - 12.11.2013 (5)
  3. troj zero acces in: Live Security Platinum und Microsoft\Security Center|
    Log-Analyse und Auswertung - 10.12.2012 (7)
  4. Rootkit.0Access + Live security Premium gleichzeitig: ist das system jetzt wieder ok ?
    Log-Analyse und Auswertung - 20.09.2012 (7)
  5. Live Security Premium - entfernt?
    Log-Analyse und Auswertung - 06.09.2012 (3)
  6. Live Security Premium
    Plagegeister aller Art und deren Bekämpfung - 06.09.2012 (7)
  7. Live Security Premium eingefangen
    Log-Analyse und Auswertung - 17.08.2012 (8)
  8. Live Security Premium - Absturz im abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 14.08.2012 (12)
  9. Live Security Premium Logfile Malwarebytes
    Plagegeister aller Art und deren Bekämpfung - 07.08.2012 (7)
  10. Live Security eingefangen - Firefox leitet zu Windows Live um - immer noch Viren auf meinem PC?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2012 (27)
  11. Live Security Premium Virus
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (3)
  12. Scareware-Befall: "XP Home Security 2012"
    Plagegeister aller Art und deren Bekämpfung - 09.09.2011 (3)
  13. Vista Home Security 2012 Scareware restlos entfernt ?
    Log-Analyse und Auswertung - 23.06.2011 (21)
  14. Windows Security Alert Scareware auf dem PC, load.exe kann nicht ausgeführt werden
    Plagegeister aller Art und deren Bekämpfung - 07.06.2011 (50)
  15. NIS 2010 oder Avira Premium Security Suite
    Antiviren-, Firewall- und andere Schutzprogramme - 02.08.2010 (1)
  16. AVIRA Premium Security abgelaufen dann?
    Antiviren-, Firewall- und andere Schutzprogramme - 23.05.2009 (3)
  17. Avira Premium Security Suite
    Antiviren-, Firewall- und andere Schutzprogramme - 18.07.2007 (5)

Zum Thema Live Premium Security Scareware - Hallo liebe Community des Trojaner-Boards, Ich habe mir wohl den Live Premium Security Trojaner irgendwo eingefangen. Ich war gerade noch mit einem Kollegen so gegen 2Uhr am chillen, um 4 - Live Premium Security Scareware...
Archiv
Du betrachtest: Live Premium Security Scareware auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.