Virus entfernt, bitte um Analyse, ob rechner nun sauber ist

fump · 21.01.2015, 23:15

hi @ all,

hatte mir heute etwas eingefangen und bin mir nicht sicher ob ich alles erwischt habe. Ausgelöst wurde alles von der Datei, die einen Patch für ein Problem versprach

: https://www.virustotal.com/de/file/e792e0d93187671bbbc3eed511d5b80ef4a8da8bb532422a83aaaba2e4f81667/analysis/1421855432/

Misstrauig wurde ich als nach dem Start nix passierte und die Datei einfach aus dem Verzeichniss verschwand. Also nochmal aus den Archiv entpackt und auf der Seite checken lassen mit dem Ergebniss.
Das ganze hat aber keine Adminrechte gefordert und lief sozusagen max. mit Userrechten, da ich die UAC ganz oben habt

Dann sofort in die Registry gekuckt und siehe da, schöner neuer Eintrag, im RUN bereich, der nach dem Löschen immer wieder erstellt wurde.
Also gekuckt mit dem ProzessExplorer welcher Prozess den Eintrag erstellt. Diesen auch gefunden, Verursacher war C:\Windows\SysWOW64\svchost.exe. Davon waren auch 3 stück gestartet mit userrechten. Alle gekillt und den eintrag gelöscht ... kam auch nicht wieder. Ebenso alle neu erstellten Ordner für den Zeitraum im Verzeichniss "C:\Users\***\AppData\Roaming"

Danach MSconfig und Dienste kontrolliert, nix verdächtiges mehr zu finden.

Danach auch keine Verdächtigen Aktionen mehr bemerkt und habe neu gestartet. Alles sieht wieder normal aus, außer das mit aufgefallen ist, das conhost.exe auf einmal da ist als untergeortneter prozess von csrss.exe. Allerdings wird oft gesagt, das der ok ist, manchmal aber auch nicht. Die Exe befindet sich auch an der stelle wo sie sein sollte.

so scanns gemacht mit EIST Online Scanner:

Code:

ATTFilter

C:\Documents and Settings\****\Anwendungsdaten\Mozilla\Firefox\Profiles\jaqy80h6.default\prefs.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Documents and Settings\****\Anwendungsdaten\Mozilla\Firefox\Profiles\jaqy80h6.default\user.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Documents and Settings\****\AppData\Roaming\Mozilla\Firefox\Profiles\jaqy80h6.default\prefs.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Documents and Settings\****\AppData\Roaming\Mozilla\Firefox\Profiles\jaqy80h6.default\user.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\jaqy80h6.default\prefs.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\jaqy80h6.default\user.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Dokumente und Einstellungen\****\AppData\Roaming\Mozilla\Firefox\Profiles\jaqy80h6.default\prefs.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Dokumente und Einstellungen\****\AppData\Roaming\Mozilla\Firefox\Profiles\jaqy80h6.default\user.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Users\****\Anwendungsdaten\Mozilla\Firefox\Profiles\jaqy80h6.default\prefs.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Users\****\Anwendungsdaten\Mozilla\Firefox\Profiles\jaqy80h6.default\user.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\jaqy80h6.default\prefs.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\jaqy80h6.default\user.js	JS/SecurityDisabler.A.Gen evtl. unerwünschte Anwendung
Arbeitsspeicher	Win32/HideWindow potenziell unsichere Anwendung

Hier macht mich der Eintrag Arbeitsspeicher Win32/HideWindow potenziell unsichere Anwendung nachdenklich

HijackThis Log:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 21:46:49, on 21.01.2015
Platform: Windows 7 SP1 (WinNT 6.00.3505)
MSIE: Internet Explorer v11.0 (11.00.9600.17496)

FIREFOX: 15.0.1 (de)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files (x86)\AIM\aim.exe
C:\Users\****\AppData\Roaming\ICQM\icq.exe
E:\Skype\Phone\Skype.exe
X:\Razer\DeathAdder\razerhid.exe
X:\Acronis\TrueImageHome\TrueImageMonitor.exe
X:\DVBViewer\Scheduler.exe
C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
X:\Razer\DeathAdder\razertra.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
X:\uTorrent\utorrent.exe
X:\Razer\DeathAdder\razerofa.exe
X:\Razer\DeathAdder\vdDaemon.exe
E:\mIRC1\mirc.exe
X:\Microsoft Office\OFFICE11\OUTLOOK.EXE
Z:\Steam\Steam.exe
Z:\Steam\bin\steamwebhelper.exe
Z:\Steam\bin\steamwebhelper.exe
E:\Firefox\firefox.exe
E:\Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_16_0_0_257.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_16_0_0_257.exe
X:\DVBViewer\dvbviewer.exe
G:\BittorrendFiles\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/p/?LinkId=255141
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=255141
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: Norton Vulnerability Protection - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - X:\Norton AntiVirus\Norton AntiVirus\Engine\21.6.0.32\IPS\IPSBHO.DLL
O2 - BHO: Microsoft-Konto-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [DeathAdder] X:\Razer\DeathAdder\razerhid.exe
O4 - HKLM\..\Run: [BrStsWnd] C:\Program Files (x86)\Brownie\BrstsW64.exe Autorun
O4 - HKLM\..\Run: [TrueImageMonitor.exe] "X:\Acronis\TrueImageHome\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] "C:\ProgramData\Malwarebytes\ Malwarebytes Anti-Malware \mbamdor.exe" "C:\ProgramData\Malwarebytes\ Malwarebytes Anti-Malware "
O4 - HKCU\..\Run: [NetLimiter] X:\NetLimiter 3\NLClientApp.exe /tray
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Aim] "C:\Program Files (x86)\AIM\aim.exe" /d locale=en-US
O4 - HKCU\..\Run: [ICQ] C:\Users\****\AppData\Roaming\ICQM\icq.exe -CU
O4 - HKCU\..\Run: [Skype] "E:\Skype\Phone\Skype.exe" /minimized /regrun
O4 - Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Startup: Scheduler.exe - Verknüpfung.lnk = X:\DVBViewer\Scheduler.exe
O4 - Startup: utorrent.lnk = X:\uTorrent\utorrent.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://X:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - X:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ - {086C8477-4F71-4550-87FB-AF0AE8DF3E98} - C:\Users\****\AppData\Roaming\ICQM\icq.exe (HKCU)
O9 - Extra 'Tools' menuitem: ICQ - {086C8477-4F71-4550-87FB-AF0AE8DF3E98} - C:\Users\****\AppData\Roaming\ICQM\icq.exe (HKCU)
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O17 - HKLM\System\CCS\Services\Tcpip\..\{5221C4C4-43C0-4140-BAA3-DCABF2A416D1}: NameServer = 192.168.0.250
O17 - HKLM\System\CS1\Services\Tcpip\..\{5221C4C4-43C0-4140-BAA3-DCABF2A416D1}: NameServer = 192.168.0.250
O17 - HKLM\System\CS2\Services\Tcpip\..\{5221C4C4-43C0-4140-BAA3-DCABF2A416D1}: NameServer = 192.168.0.250
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files (x86)\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ACP User Service (amdacpusrsvc) - Unknown owner - C:\AMD\amdacpusrsvc.exe
O23 - Service: Dragon Age: Origins - Content Updater (DAUpdaterSvc) - BioWare - Y:\Steam_Games_Y\steamapps\common\Dragon Age Ultimate Edition\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Futuremark SystemInfo Service - Futuremark - X:\Futuremark\SystemInfo\FMSISvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: @%SystemRoot%\system32\ieetwcollectorres.dll,-1000 (IEEtwCollectorService) - Unknown owner - C:\Windows\system32\IEEtwCollector.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Norton AntiVirus (NAV) - Symantec Corporation - X:\Norton AntiVirus\Norton AntiVirus\Engine\21.6.0.32\NAV.exe
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NetLimiter 3 Service (nlsvc) - Locktime Software - X:\NetLimiter 3\nlsvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - E:\Skype\Updater\Updater.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - X:\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 10539 bytes

Panda Cloud Cleaner:

Zitat:

folgt

als normalen Virenscanner habe ich Norton Antivirus, aber der hat die ganze Zeit nicht angeschlagen, war ich doch bissel bescheiden finde !

Wie ist eure Meinung? PC wieder soweit sicher ? Was hätte der Virus denn so angerichtet? Da was bekannt ?

Virus entfernt, bitte um Analyse, ob rechner nun sauber ist

Log-Analyse und Auswertung: Virus entfernt, bitte um Analyse, ob rechner nun sauber ist

Virus entfernt, bitte um Analyse, ob rechner nun sauber ist

Ähnliche Themen: Virus entfernt, bitte um Analyse, ob rechner nun sauber ist