| |
| |||||||
Log-Analyse und Auswertung: ESETLog:Win32/OpenCandy Anwendung; Win32/Toolbar.Zugo Anwendung; Var. von: Win32/Bundled.Toolbar.Ask Anwendung; Win32/Injector.AIBG TrojanerWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.06.2013, 23:26
| #1 |
| |  ESETLog:Win32/OpenCandy Anwendung; Win32/Toolbar.Zugo Anwendung; Var. von: Win32/Bundled.Toolbar.Ask Anwendung; Win32/Injector.AIBG Trojaner Guten Abend, ich befürchte, dass ich mir verschiedene Trojaner eingefangen habe und einer Spam E-Mailliste stehe. Sprich ich bekomme seit gestern E-Mails mit dubiosem Anhang. Zunächst habe ich einen Suchlauf mit AVG AntiVirus Free durchgeführt. Dieser hatte verschiedene Malware gefunden und konnte diese nicht entfernen. Ich habe die angegebenen Dateien dann mit dem Programm Secure Eraser gelöscht. Leider habe ich den zugehörigen Bericht archiviert und weiß nicht, wo AVG sein Archiv hat. Anschließend habe ich noch einen Suchlauf durchgeführt. Hierbei gab es zwar wieder Meldungen aber eher nach dem Typ: "Gesperrte Datei. Nicht getestet". Wo finde ich die Logs von AVG, damit ich diese hier rein stellen kann? Anschließend habe ich mein System mit Malwarebytes Anti-Malware getestet. Hier der Log: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.14.03 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16618 Lars :: LARS-PC [Administrator] 14.06.2013 15:07:35 mbam-log-2013-06-14 (15-07-35).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 41727 Laufzeit: 6 Minute(n), 11 Sekunde(n) [Abgebrochen] Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.14.03 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16618 Lars :: LARS-PC [Administrator] 14.06.2013 15:15:36 mbam-log-2013-06-14 (15-15-36).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P Deaktivierte Suchlaufeinstellungen: Durchsuchte Objekte: 633249 Laufzeit: 3 Stunde(n), 33 Minute(n), 3 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.06.14.03 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16618 Lars :: LARS-PC [Administrator] 14.06.2013 20:15:34 mbam-log-2013-06-14 (20-15-34).txt Art des Suchlaufs: Benutzerdefinierter Suchlauf (E:\Lars\Download\löschen\Rechnung vom 14.06.2013 Inkasso Tchibo GmbH.zip|) Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM | P2P Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra Durchsuchte Objekte: 1 Laufzeit: 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=f77dbf8e0bcd1149af2399ef8c38f2ac
# engine=14075
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2013-06-14 09:28:55
# local_time=2013-06-14 11:28:55 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1039 16777213 100 80 30209 58379319 0 0
# compatibility_mode=5893 16776574 100 94 42171351 122876526 0 0
# scanned=342157
# found=13
# cleaned=13
# scan_time=10879
sh=7CE3756FD766C5ABF3040C21F5B7ECCE2A426B23 ft=1 fh=abdbfcd593573440 vn="Win32/OpenCandy Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Program Files\Veoh Networks\VeohWebPlayer\OCSetupHlp.dll"
sh=441A2DB1E874921AB5A464A19C019F0DD218DCAA ft=1 fh=cae042f77220f344 vn="Win32/Toolbar.Zugo Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Program Files\Veoh Networks\VeohWebPlayer\qlps-qlipso-sntb.exe"
sh=40E49124AD0B55A25F947333CA88E9D0BC30A7E3 ft=1 fh=e26ad988592b2af9 vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3S7QM11E\ApnIC[1].0"
sh=E32AA2E78D2C8F0E9316080E71A714BEFE851E6C ft=1 fh=374915f71a49693e vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SECRHRAN\ApnIC[1].0"
sh=02C6F30D4206AAA4DC9D5B67F9E42902BF0E5F0A ft=1 fh=011e7c44665e1436 vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (gelöscht - in Quarantäne kopiert)" ac=C fn="D:\Games\Neuer Ordner\Wechseldatenträger\avira_free_antivirus_de.exe"
sh=9CFEF53A709DAF04A790B04DE5BC6E05F15B3401 ft=0 fh=0000000000000000 vn="Variante von Win32/Injector.AIBG Trojaner (gelöscht - in Quarantäne kopiert)" ac=C fn="E:\Lars\Download\löschen\Rechnung vom 14.06.2013 Inkasso Tchibo GmbH.zip"
sh=DB46ADC96CA84B495806A55F77196F154906F500 ft=1 fh=01ef0128d5c02d06 vn="Variante von Win32/SpeedingUpMyPC.B Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars\AppData\Local\DownloadAssist\Offers\optimizerpro.exe"
sh=71435DDB11E00D0243380C4902324853FE4ECE8F ft=1 fh=12b0cd2dde452d65 vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VAXRZY7O\ApnIC[1].0"
sh=40E49124AD0B55A25F947333CA88E9D0BC30A7E3 ft=1 fh=e26ad988592b2af9 vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars\AppData\Local\Sicherung\Microsoft\Windows\Temporary Internet Files\Content.IE5\VAXRZY7O\ApnIC[1].0"
sh=EEAA8E7CBF57449AB12AB62B19A60C7ECE9C975B ft=1 fh=8f8f2608bfa07014 vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars-Admin\AppData\Local\Temp\AskSLib.dll"
sh=C89865B729E1F6027A461E7B48CFA68A54590A2D ft=1 fh=30a236b0a4800cbe vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars-Admin\AppData\Local\Temp\RarSFX0\apnic.dll"
sh=085E2EFA6A258EEC88044241035A37DFF3DE3AE9 ft=1 fh=561b7be0126badba vn="Variante von Win32/Bundled.Toolbar.Ask Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars-Admin\AppData\Local\Temp\RarSFX0\apntoolbarinstaller.exe"
sh=E3087F423D8D765A7F7792DFBEE98F5161656BA7 ft=1 fh=ec7296c810cf402f vn="Win32/OpenCandy Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)" ac=C fn="E:\Users\Lars-Admin\Downloads\PDFCreator-1_4_3_setup.exe"
Noch einmal zurück zu den E-Mails. Insgesamt habe ich zwei E-Mails mit verdächtigem Inhalt bekommen. Beide sind vom Text gleich aufgebaut und unterscheiden sich nur in den Variablen: angeblicher Händler, Datum, Beträge. Wie gehe ich mit den E-Mails innerhalb von Outlook 2010 um? Gibt es Tipps, wie man Outlook am Besten einrichten sollte? Bitte helft mir dabei mein System sauber zu bekommen. Seit Anfang des Monats habe ich ein Konto mit Onlinebanking, welches ich gerne nutzen würde und mich gerade nicht traue. vG und Dank im Voraus. PS: Ich habe gelesen, dass man verdächtige E-Mails an euch zur Überprüfung senden kann. Allerdings weiß ich nicht, wie ich die entsprechende .eml Datei erstellen kann. |
| Themen zu ESETLog:Win32/OpenCandy Anwendung; Win32/Toolbar.Zugo Anwendung; Var. von: Win32/Bundled.Toolbar.Ask Anwendung; Win32/Injector.AIBG Trojaner |
| administrator, antivirus, autostart, avg, avg antivirus, avira, dateien, download, downloader, ebanking, escan, explorer, malware, malware gefunden, malwarebytes, microsoft, ordner, programm, secure, senden, system, system32, trojaner, win32/bundled.toolbar.ask, win32/injector.aibg, win32/opencandy anwendung, win32/speedingupmypc.b, win32/toolbar.zugo |
Baum-Darstellung