Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
neuer Befall oder doch noch alt?

neuer Befall oder doch noch alt?


Log-Analyse und Auswertung: neuer Befall oder doch noch alt?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 28.03.2015, 16:31   #1
egi1610
 
neuer Befall oder doch noch alt? - Standard

neuer Befall oder doch noch alt?


hui Du bist ja fix

anbei die search log datei:
Code:
ATTFilter
Farbar Recovery Scan Tool (x64) Version: 11-03-2015
Ran by ich at 2015-03-28 16:30:16
Running from C:\Users\ich\Downloads
Boot Mode: Normal

================== Search Files: "BrokerInfrastructure.exe;LookupSvi.exe;secdrv.exe;0043eed2.exe" =============

C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\BrokerInfrastructure.exe
[2015-03-13 16:35][2015-03-13 16:35] 0012288 ____A (Martin Prikryl) C2054CEDFCB281D110CC4C7D4745CAC8

C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\LookupSvi.exe
[2015-03-13 16:35][2015-03-13 16:35] 0007168 ____A () 445D68E1678BAFAB128CDF043188DD8A

C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\secdrv.exe
[2015-03-13 16:35][2015-03-13 16:34] 24117248 ____N (Mozilla Corporation) 2012930EF624CA1FA3DC6102874ACB57

C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Local\Temp\0043eed2.exe
[2015-03-13 16:35][2015-03-13 16:35] 0292864 __ASH (SecureTeam Software Ltd.) 2527ECE7DE08985C6A7230206A46346B

====== End Of Search ======

Alt 28.03.2015, 17:01   #2
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
neuer Befall oder doch noch alt? - Standard

neuer Befall oder doch noch alt?


Zitat:
Zitat von egi1610 Beitrag anzeigen
hui Du bist ja fix

Code:
ATTFilter
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\BrokerInfrastructure.exe
[2015-03-13 16:35][2015-03-13 16:35] 0012288 ____A (Martin Prikryl) C2054CEDFCB281D110CC4C7D4745CAC8
https://www.virustotal.com/de/file/2...2b5f/analysis/

C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\LookupSvi.exe
[2015-03-13 16:35][2015-03-13 16:35] 0007168 ____A () 445D68E1678BAFAB128CDF043188DD8A
https://www.virustotal.com/de/file/d...8658/analysis/


C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\secdrv.exe
[2015-03-13 16:35][2015-03-13 16:34] 24117248 ____N (Mozilla Corporation) 2012930EF624CA1FA3DC6102874ACB57

C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Local\Temp\0043eed2.exe
[2015-03-13 16:35][2015-03-13 16:35] 0292864 __ASH (SecureTeam Software Ltd.) 2527ECE7DE08985C6A7230206A46346B

====== End Of Search ======
Klar.

Hab mal paar Virustotal-Links hinzugefügt. Auch wenn es ein anderer Dateiname ist, es handelt sich dabei um die gleichen Hashwerte.

Das ist ja auch jetzt ein anderer PC, als der mit der DHL-Sache. Den hatte ich ja garnicht, sondern der schraubi.

Naja, wenn ein User sein "Verhalten" nicht ändert, dann wird der PC immer verseucht werden. Da kannst neuinstallieren soviel Du willst. Es gibt keine sauberen Cracks. Auch wenn die Scanner "jetzt" nichts finden.
Die Dateien wurden ja auch erst einen Monat erstellt, nachdem Du hier fertig warst.

Ich würde jetzt die Dateien löschen lassen und regelmäßige Scans mit Malwarebytes und ESET machen.

Schritt 1



Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.
Klicke auf OK und kopiere nun den Text aus der Codebox in das leere Textdokument:
Code:
ATTFilter
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-711161388-283650032-2311018211-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\BrokerInfrastructure.exe
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\LookupSvi.exe
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Local\Temp\0043eed2.exe
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\secdrv.exe
Speichere dieses bitte als Fixlist.txt in das Verzeichnis ab, in dem sich auch die FRST-Anwendung befindet.
  • Starte FRST und drücke auf den Fix-Button.
  • Das Tool erstellt eine "Fixlog.txt" -Datei.
  • Poste mir bitte deren Inhalt.
__________________

__________________
Alt 28.03.2015, 17:19   #3
egi1610
 
neuer Befall oder doch noch alt? - Standard

neuer Befall oder doch noch alt?


Hi Jürgen,
danke für Deine Hilfe.
Das wundert mich, wie konnte die neu-Infektion entstehen?

ich hab nix mehr runtergeladen oder falsch geklickt und auch keine keygens oder cracks genutzt!

Anbei die Fixlistlog:
Code:
ATTFilter
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 11-03-2015
Ran by ich at 2015-03-28 17:11:47 Run:1
Running from C:\Users\ich\Downloads
Loaded Profiles: ich (Available profiles: ich)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-711161388-283650032-2311018211-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\BrokerInfrastructure.exe
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\LookupSvi.exe
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Local\Temp\0043eed2.exe
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\secdrv.exe
*****************

Processes closed successfully.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => value deleted successfully.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-711161388-283650032-2311018211-1000\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value deleted successfully.
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\BrokerInfrastructure.exe => Moved successfully.
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\LookupSvi.exe => Moved successfully.
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Local\Temp\0043eed2.exe => Moved successfully.
C:\VTRoot\HarddiskVolume2\Users\ich\AppData\Roaming\Microsoft\secdrv.exe => Moved successfully.


The system needed a reboot. 

==== End of Fixlog 17:11:47 ====
Rechner hat nach dem Fixlist neu gestartet. lG
EGI
__________________
Alt 28.03.2015, 17:23   #4
deeprybka
/// TB-Ausbilder
/// Anleitungs-Guru
 
neuer Befall oder doch noch alt? - Standard

neuer Befall oder doch noch alt?


Wie gesagt, mach halt Kontrollscans.
__________________
Gruß
deeprybka

Lob, Kritik, Wünsche?

Spende fürs trojaner-board?
_______________________________________________
„Neminem laede, immo omnes, quantum potes, iuva.“ Arthur Schopenhauer

Alt 28.03.2015, 17:41   #5
egi1610
 
neuer Befall oder doch noch alt? - Standard

neuer Befall oder doch noch alt?


Jürgen,
danke!

ermeuter eset scan läuft noch, zeigt aber die selben 4 im Moment schon, soll ich dann gleich wieder ein FRST scan laufen lassen?

lG,
EGI


Antwort

Themen zu neuer Befall oder doch noch alt?
appdata, befall, code, einträge, erneut, eset, folge, folgende, frage, gefunde, komplett, laufe, laufen, local, log, microsoft, neuer, rechner, roaming, routine, system, temp, troja, träge, users


« GMail Konto versendet täglich hunderte Spam Mails an mir unbekannte Adressen | 'TR/Virtool.INF.Autorun.281.42 [trojan]' »


Ähnliche Themen: neuer Befall oder doch noch alt?


  1. viren befall ?? oder malware oder unerwuenschte software ?? oder ....
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (6)
  2. XP doch noch irgendwelche Updates?
    Alles rund um Windows - 10.04.2014 (10)
  3. Nach halbem Jahr doch noch Bundespolizeitrojaner?
    Plagegeister aller Art und deren Bekämpfung - 12.04.2013 (1)
  4. GVU Trojaner entfernt - doch noch Backdoor?
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (3)
  5. Rezidivierender GVU Trojaner oder neuer Befall von Trojan.Ransom.ANC ...?
    Plagegeister aller Art und deren Bekämpfung - 13.12.2012 (41)
  6. Bundespolizei-Trojaner wohl doch noch aktiv....?
    Plagegeister aller Art und deren Bekämpfung - 09.08.2012 (17)
  7. Virenproblem hilft doch nur noch neu aufsetzen?
    Log-Analyse und Auswertung - 30.03.2012 (3)
  8. Backdoor trojaner, gestern bereinigt, jetzt nicht mehr da, oder doch noch?
    Log-Analyse und Auswertung - 20.02.2010 (1)
  9. Störung des Provides oder doch ein Virus?
    Plagegeister aller Art und deren Bekämpfung - 27.04.2007 (2)
  10. Ist doch nix dabei oder?
    Log-Analyse und Auswertung - 19.11.2006 (3)
  11. Net Sky, oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 19.12.2005 (3)
  12. Hab ich doch noch Trojaner drauf? :S:S:S
    Plagegeister aller Art und deren Bekämpfung - 22.03.2005 (4)
  13. Noch ein Trojaner-Opfer -oder doch nicht?
    Plagegeister aller Art und deren Bekämpfung - 21.03.2005 (4)
  14. Doch noch ein anderer VIrus?
    Archiv - 03.01.2003 (2)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema neuer Befall oder doch noch alt? - hui Du bist ja fix anbei die search log datei: Code: Alles auswählen Aufklappen ATTFilter Farbar Recovery Scan Tool (x64) Version: 11-03-2015 Ran by ich at 2015-03-28 16:30:16 Running from - neuer Befall oder doch noch alt?...
Archiv
Du betrachtest: neuer Befall oder doch noch alt? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132