| |
| |||||||
Log-Analyse und Auswertung: Not sure if clean / Funde von TDSS-KillerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
06.09.2012, 18:40
| #1 | |
 |  Not sure if clean / Funde von TDSS-Killer Hi Community, Zuallererst mal sei hier vorweg genommen, dass ich grundsätzlich keine Probleme zu scheinen habe, schon gar nicht mit irgendwelchen Browser-Umleitungen oder einem gesperrten Desktop! Security Essentials und Windows-Firewall haben auch nie Alarm geschlagen, jedoch habe ich manchmal das Gefühl, dass der Laptop etwas lange zum Booten benötigt, und manchmal unnötig viel Festplattenaktivität vorhanden ist. Deshalb wollte ich es jetzt wirklich mal genau wissen, nicht zuletzt auch, weil ich die in Kürze folgende Fachhochschule nicht so gerne mit V!rriii verseuchen möchte, und habe mit Malwarebytes' Antimalware einfach mal einen Schnell-Scan durchgeführt und eine Exe gefunden, in der eine PUP.BundleInstaller.OI-Signatur versteckt war. Mein Security Essentials hat mir von dieser Exe übrigens nie etwas erzählt. Folgendes LOG zeugt davon: Code:
ATTFilter Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.09.05.04 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Microwave :: G4M0RZ-PC [Administrator] 05.09.2012 11:41:11 mbam-log-2012-09-05 (11-41-11).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 236527 Laufzeit: 13 Minute(n), 31 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Microwave\Downloads\oi_EASEUS_Disk_Copyexe.exe (PUP.BundleInstaller.OI) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Nach dem in Verschieben in Quarantäne kam dann auch nichts mehr: Zitat:
Jedenfalls habe ich hier im Board dann erst gelesen, dass man nach Ausführen des defoggers noch OTL-Logs machen soll, also habe ich dies getan, die LOGs "Extras" und "OTL" sind unten angehängt. Weiter ging es mit ESET, und da der bekanntlich öfter mal Alarm schlägt, vermute ich hier auch nichts Spezielles, das LOG ist unten unter dem Namen "log.txt" angehängt. HIER AUSSERDEM NOCH WICHTIG ZUM WISSEN: ALLES auf Platte F: kann ignoriert werden! Zusätzlich kann auch der vierte Fund bei C: vernachlässigt werden! Denke daher mal, dass das soweit in Ordnung ist. Ich habe dann weiter gelesen, und herausgefunden, dass es auch Rootkit-Infektionen unter Win7 x64 geben kann, das ich ja habe, also habe ich mir den TDSSKiller in der neusten Version heruntergeladen und alles durchgescannt, wobei ich sogar mit einem Reboot einen Scan der geladenen Module gemacht habe, und hier geht's nun los: Der Killer findet 5 verdächtige Dateien, das LOG ist unten auch angehängt. Die ersten drei kann ich noch erklären, die letzten zwei, besonders aber die prwntdrv.sys finde ich etwas verdächtig. Ich habe diesen Kerneltreiber schon seit langem, weiß aber immer noch nicht, was ich von ihm halten soll. Abstürze verursacht er soweit keine, soweit ich das alles mitbekommen habe. Wäre besonders hier froh um Aufklärung. Zu guter Letzt wurde nochmal ein Vollscan mit Malwarebytes' Antimalware durchgeführt, wobei sich keine Funde mehr ergaben. Die Platte F: konnte ich glücklicherweise aus der Suche herauslassen. Dieser Scan ist im Gegensatz zum Quick-Scan auch unten angehängt. Nun denn - Die Diskussionsrunde um die Frage "sauber oder nicht sauber" sei hiermit eröffnet! Hoffe auf's Innständigste, dass ich alles soweit richtig gemacht habe, habe den Kram auch immer schön geupdatet vor dem Scannen. Liebe Grüße - Microwave! P.S. Finde die Idee dieser Webseite übrigens ziemlich genial, Danke für so ein Angebot!  |
|
11.09.2012, 10:03
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Not sure if clean / Funde von TDSS-KillerZitat:
Warum postest du zwei Logs per CODE-Tags und die anderen in den Anhang? Grundsätzlich sollten alle Logs per CODE-Tags gepostet werden wenn sie denn in den Beitragtext passen. Das ist übersichtlicher und man kann sie schneller sehen und auswerten ohne sich das Dateien runterladen und ständig zwischen Browser und Nptepad-Fenster umschalten zu müssen Nur wenn die Logs zu groß sind wie bei deinem TDSS-Killer-Log (warum hast du das eigentlich ohne Anweisung ausgeführt  ) macht es Sinn die gezippt in den Anhang zu stecken.
__________________ |
|
| Themen zu Not sure if clean / Funde von TDSS-Killer |
| administrator, anti-malware, antimalware, autostart, booten, clean, code, dateien, desktop, exe, explorer, festplatte, festplattenaktivität, folge, frage, gelöscht, laptop, log, malwarebytes, namen, not, probleme, suche, wichtig, win7, win7 x64 prwntdrv.sys, windows-firewall |
Linear-Darstellung
