Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.08.2009, 21:29   #1
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Hallo zusammen,

wie im Titel angedeutet:
\Windows\mas.exe
\Users\..\AppData\Local\temp\a.exe
\Users\..\AppData\Local\temp\b.exe
\Users\..\AppData\Local\temp\c.exe

sind mir im TaskMgr aufgefallen, nachdem AntiVir Personal folgendermaßen angesprungen ist (jeweils in Quarantäne verschoben):
Code:
ATTFilter
C:\Windows\Temp\UACd13d.tmp - 'TR/Alureon.BF.2' [trojan]
C:\Users\..\AppData\Local\Temp\UACe3d.tmp -  'TR/Alureon.CD.8' [trojan]
C:\Users\..\AppData\Local\Temp\rasv.exe - 'TR/Click.VBiframe.XI' [trojan]
         
Verdächte Prozesse hab ich sofort beendet, Netzwerkkabel gezogen und nach aufgetretenem Bluescreen im abgesicherten Modus gebootet. Dann \Users\..\AppData\Local\Temp sowie \Windows\Temp geleert und die mas.exe gelöscht. Ein Blick in msconfig->Systemstart zeigte einen neuen Eintrag names "Monopod", der auf o.g. "b.exe" zurückgeht (wurde natürlich deaktiviert).
Als nächstes Reboot, HJT laufen lassen und nach automatischer Auswertung (h**p://www.hijackthis.de/de) 4 Einträge fixen lassen.
Danach war erstmal Ruhe.

Um dem Frieden nicht zu trauen hab ich wie im Forum empfohlen Malwarebytes' Anti-Malware besorgt und komplett Scannen lassen. Ergebnis:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2592
Windows 6.0.6002 Service Pack 2

10.08.2009 21:34:12
mbam-log-2009-08-10 (21-34-06).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 476520
Laufzeit: 1 hour(s), 42 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{e24211b3-a78a-c6a9-d317-70979ace5058} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Monopod (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\NordBull (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\UACd.sys (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\$Recycle.Bin\S-1-5-21-4069616598-58485447-345812263-1003\$RXG0QG5.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Trend Micro\HijackThis\backups\backup-20090810-192956-603.dll (Trojan.Downloader) -> No action taken.
D:\Spiele\Combat Arms EU\game\CShell.dll (Malware.Packer.T) -> No action taken.
C:\Windows\System32\serauth1.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\serauth2.dll (Trojan.Agent) -> No action taken.
C:\Windows\Tasks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job (Trojan.Downloader) -> No action taken.
C:\Windows\System32\UACqrsesmnscn.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\drivers\UACdcfqxobpxy.sys (Trojan.Agent) -> No action taken.
         
Da hier desöfteren Windows im Dateipfad auftaucht wollte ich nicht einfach wild drauflos löschen, sondern erst mal hier nachfragen, wie damit am besten umzugehen ist.
Habt vielen Dank im Voraus..

Geändert von serano (10.08.2009 um 21:43 Uhr)

Alt 10.08.2009, 22:52   #2
john.doe
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Hallo und

Lasse die Funde löschen. Poste das Log von Gmer und beide Logs von RSIT.

ciao, andreas
__________________

__________________

Alt 11.08.2009, 09:04   #3
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Gmer:
Code:
ATTFilter
GMER 1.0.15.15020 [he1zmult.exe] - http://www.gmer.net
Rootkit scan 2009-08-11 09:56:35
Windows 6.0.6002 Service Pack 2


---- System - GMER 1.0.15 ----

SSDT            A0D1138C                                                                                                             ZwCreateThread
SSDT            A0D11378                                                                                                             ZwOpenProcess
SSDT            A0D1137D                                                                                                             ZwOpenThread
SSDT            A0D11387                                                                                                             ZwTerminateProcess

INT 0x51        ?                                                                                                                    86D0CDA0
INT 0x72        ?                                                                                                                    86D0CDA0
INT 0x82        ?                                                                                                                    86D0CDA0
INT 0x92        ?                                                                                                                    85432BF8
INT 0x92        ?                                                                                                                    86D0CDA0
INT 0x92        ?                                                                                                                    86D0CDA0
INT 0x92        ?                                                                                                                    86D0CDA0
INT 0x92        ?                                                                                                                    85432BF8
INT 0xA2        ?                                                                                                                    86D0CDA0

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!KeInsertQueue + 411                                                                                     820ABA48 4 Bytes  [8C, 13, D1, A0]
.text           ntoskrnl.exe!KeInsertQueue + 5E1                                                                                     820ABC18 4 Bytes  [78, 13, D1, A0]
.text           ntoskrnl.exe!KeInsertQueue + 5FD                                                                                     820ABC34 4 Bytes  [7D, 13, D1, A0]
.text           ntoskrnl.exe!KeInsertQueue + 811                                                                                     820ABE48 4 Bytes  [87, 13, D1, A0]
?               system32\drivers\jyii.sys                                                                                            Das System kann den angegebenen Pfad nicht finden. !
?               System32\Drivers\spna.sys                                                                                            Das System kann den angegebenen Pfad nicht finden. !
.text           USBPORT.SYS!DllUnload                                                                                                8FC3641B 5 Bytes  JMP 86D0C380 
.text           aenk3gim.SYS                                                                                                         8FD3D000 22 Bytes  [82, 23, 01, 82, 6C, 22, 01, ...]
.text           aenk3gim.SYS                                                                                                         8FD3D017 81 Bytes  [00, 32, 27, 76, 8A, 3D, 25, ...]
.text           aenk3gim.SYS                                                                                                         8FD3D069 85 Bytes  [4B, 09, 82, B0, 68, 08, 82, ...]
.text           aenk3gim.SYS                                                                                                         8FD3D0BF 13 Bytes  [82, 00, 00, 00, 00, 00, 00, ...] {ADD BYTE [EAX], 0x0; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL; ADD [EAX], AL}
.text           aenk3gim.SYS                                                                                                         8FD3D0CE 10 Bytes  [00, 00, 00, 00, 00, 00, 66, ...]
.text           ...                                                                                                                  

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                84A962D8
IAT             \SystemRoot\system32\drivers\pci.sys[ntoskrnl.exe!IoDetachDevice]                                                    [8A689C4C] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                       [8A689CA0] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar]                                            [8A6596D2] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar]                                             [8A659040] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]                                     [8A6597FC] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort]                                            [8A6590BE] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]                                      [8A65913C] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\system32\drivers\ataport.SYS[ntoskrnl.exe!DbgBreakPoint]                                                 84A972D8
IAT             \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint]                                                 86D0C480
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                   [8A669048] \SystemRoot\System32\Drivers\spna.sys
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortNotification]                                           24488B66
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortWritePortUchar]                                         E84D8966
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortWritePortUlong]                                         83E84D8B
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortGetPhysicalAddress]                                     896602C1
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortConvertPhysicalAddressToUlong]                          488BEA4D
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortGetScatterGatherList]                                   8DC80320
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortReadPortUchar]                                          57500845
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortStallExecution]                                         F0458D57
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortGetParentBusType]                                       00006850
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortRequestCallback]                                        458DB002
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortWritePortBufferUshort]                                  35FF50E8
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortGetUnCachedExtension]                                   [8FD62FBC] \SystemRoot\System32\Drivers\aenk3gim.SYS (ATAPI IDE Miniport Driver/Microsoft Corporation)
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortCompleteRequest]                                        57EC4D89
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortMoveMemory]                                             01F045C7
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortCompleteAllActiveRequests]                              E8000000
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortReleaseRequestSenseIrb]                                 0001E4E4
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortBuildRequestSenseIrb]                                   4675C73B
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortReadPortUshort]                                         D62FC8A1
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortReadPortBufferUshort]                                   8D526A8F
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortInitialize]                                             00009A88
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortGetDeviceBase]                                          48C08300
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[ataport.SYS!AtaPortDeviceStateChange]                                      8D076A50
IAT             \SystemRoot\System32\Drivers\aenk3gim.SYS[NTOSKRNL.exe!KeTickCount]                                                  840FF87D
IAT             \SystemRoot\system32\DRIVERS\storport.sys[ntoskrnl.exe!DbgBreakPoint]                                                86F6A2D8

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                               854351F8
Device          \Driver\sptd \Device\1479516017                                                                                      spna.sys

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                              Wdf01000.sys (WDF Dynamic/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                              Wdf01000.sys (WDF Dynamic/Microsoft Corporation)

Device          \Driver\volmgr \Device\VolMgrControl                                                                                 854301F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBPDO-1                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                                                     84B921F8
Device          \Driver\usbehci \Device\USBPDO-3                                                                                     84B911F8
Device          \Driver\usbuhci \Device\USBPDO-4                                                                                     84B921F8
Device          \Driver\PCI_PNP8004 \Device\00000061                                                                                 spna.sys
Device          \Driver\usbuhci \Device\USBPDO-5                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBPDO-6                                                                                     84B921F8
Device          \Driver\volmgr \Device\HarddiskVolume1                                                                               854301F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{8ABBBC40-5F9B-4C7C-9BFA-57B09F350444}                                             88BB2500
Device          \Driver\usbehci \Device\USBPDO-7                                                                                     84B911F8
Device          \Driver\volmgr \Device\HarddiskVolume2                                                                               854301F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{A966DD53-30E4-42A0-AA89-EDB075A7A7F9}                                             88BB2500
Device          \Driver\cdrom \Device\CdRom0                                                                                         86E4B1F8
Device          \Driver\volmgr \Device\HarddiskVolume3                                                                               854301F8
Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                   sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                        sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-1                                                                        sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\cdrom \Device\CdRom1                                                                                         86E4B1F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{6FB0E75E-07A2-4AD7-8672-15D446A7A14C}                                             88BB2500
Device          \Driver\netbt \Device\NetBt_Wins_Export                                                                              88BB2500
Device          \Driver\Smb \Device\NetbiosSmb                                                                                       89741500
Device          \Driver\iScsiPrt \Device\RaidPort0                                                                                   86F6B1F8
Device          \Driver\usbuhci \Device\USBFDO-0                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                                                     84B921F8
Device          \Driver\usbehci \Device\USBFDO-3                                                                                     84B911F8
Device          \Driver\usbuhci \Device\USBFDO-4                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBFDO-5                                                                                     84B921F8
Device          \Driver\usbuhci \Device\USBFDO-6                                                                                     84B921F8
Device          \Driver\usbehci \Device\USBFDO-7                                                                                     84B911F8
Device          \Driver\aenk3gim \Device\Scsi\aenk3gim1                                                                              86E521F8
Device          \Driver\aenk3gim \Device\Scsi\aenk3gim1                                                                              sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \Driver\aenk3gim \Device\Scsi\aenk3gim1Port2Path0Target0Lun0                                                         86E521F8
Device          \Driver\aenk3gim \Device\Scsi\aenk3gim1Port2Path0Target0Lun0                                                         sfsync02.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device          \FileSystem\cdfs \Cdfs                                                                                               89A651F8

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e4cd3e0d6                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e4cd65b4f                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001e4cd6642e                                          
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1                                                                   771343423
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2                                                                   285507792
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0                                                                   1
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x6A 0xCE 0xD9 0xC6 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x26 0x27 0x11 0x75 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0xEA 0xA6 0x42 0xC8 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e4cd3e0d6 (not active ControlSet)                      
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e4cd65b4f (not active ControlSet)                      
Reg             HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001e4cd6642e (not active ControlSet)                      
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x6A 0xCE 0xD9 0xC6 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x26 0x27 0x11 0x75 ...
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0xEA 0xA6 0x42 0xC8 ...

---- EOF - GMER 1.0.15 ----
         
__________________

Alt 11.08.2009, 09:08   #4
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



RSIT - logs sind zu lang, darum im Anhang zu finden.
Angehängte Dateien
Dateityp: txt info.txt (30,1 KB, 487x aufgerufen)
Dateityp: txt log.txt (29,0 KB, 266x aufgerufen)

Alt 11.08.2009, 15:44   #5
john.doe
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Da hat Malwarebytes endlich ganze Arbeit geleistet. Weiter mit http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.08.2009, 21:15   #6
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Ist etwas später geworden heute..
SuperAntiSpyWare-Log:
Code:
ATTFilter
SUPERAntiSpyware Scan Log
h**p://www.superantispyware.com

Generated 08/11/2009 at 08:15 PM

Application Version : 4.27.1002

Core Rules Database Version : 4048
Trace Rules Database Version: 1988

Scan type       : Complete Scan
Total Scan Time : 02:27:30

Memory items scanned      : 672
Memory threats detected   : 0
Registry items scanned    : 8066
Registry threats detected : 0
File items scanned        : 356831
File threats detected     : 1

Trojan.Unclassified-Packed/Suspicious
	C:\PROGRAM FILES\DF CRCSFV\DFCRCSE.DLL
         

Alt 11.08.2009, 21:18   #7
john.doe
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



SuperAntiSpyware wieder deinstallieren.

Wie geht es dem Rechner? Noch irgendwelche Meldungen oder Auffälligkeiten?

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.08.2009, 21:38   #8
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



.. was mach ich mit dem einen Fund? Quarantäne? In Frieden lassen?

Rechner arbeitet normal.. gab aber bereits nach Einsatz von HJT keine Auffälligkeiten mehr. Hoffe damit ist das ausgestanden..
Dank' dir für die zügige Unterstützung.

Alt 11.08.2009, 21:53   #9
john.doe
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Zitat:
.. was mach ich mit dem einen Fund? Quarantäne? In Frieden lassen?
Das sieht mir schwer nach Falschmeldung aus. Hole die Datei aus der Quarantäne und lasse sie bei VirusTotal - Free Online Virus and Malware Scan auswerten und poste das Ergebnis.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.08.2009, 22:01   #10
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



.. da war sie noch gar nicht
Hatte aber das gleiche Gefühl, da sie zu einem (irgendwann mal absichtlich installiertem) Programm zur Überprüfung von SFV-Dateien gehört.

Ergebnis von VirusTotal ist 2/40, als suspicious eingestuft von:
eSafe 7.0.17.0
TrendMicro 8.700.0.1004

Alt 11.08.2009, 22:13   #11
john.doe
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Für eSafe ist jede Datei suspicious, die gecrypted ist. Ganz klar Falschmeldung.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Alt 11.08.2009, 22:37   #12
serano
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



Hab vielen Dank!

Alt 11.08.2009, 22:42   #13
john.doe
 
mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Standard

mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?



1.) Deinstalliere:
  • Google Update Helper
  • Google Updater
  • Java(TM) 6 Update 7
  • SuperAntiSpyware
2.) Installiere:3.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
Alle R0, R1, O2, O3, O8 und O9-Einträge
         
=> Fix checked

Du bist entlassen.

ciao, andreas
__________________
Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung!
Privatbetreuung nur gegen Bezahlung und ich koste sehr teuer.
Für alle Neuen
Anleitungen
Virenscanner
Kompromittierung unvermeidbar?

Antwort

Themen zu mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?
$recycle.bin, .dll, abgesicherten modus, anti-malware, antivir, auswertung, bluescree, bluescreen, clean, dateien, ergebnis, explorer, folge, forum, hijack.startmenu, local\temp, löschen, malware.packer.t, malware.trace, malwarebytes, malwarebytes' anti-malware, microsoft, neue, prozesse, recycle.bin, registrierungsschlüssel, scan, software, spiele, system32, systemstart, temp, trojan, trojan.agent, trojan.downloader, windows, windows\temp



Ähnliche Themen: mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?


  1. Widows 7: Trojaner Befall Mitte August mit Anti-Malware entfernt system aber immernoch langsam
    Log-Analyse und Auswertung - 09.09.2014 (5)
  2. Windows 7, Firefox-Browser: Spyware/Trojaner/Hijacker können trotz Anti-Malware und Adwcleaner nicht entfernt werden
    Plagegeister aller Art und deren Bekämpfung - 27.02.2014 (13)
  3. Trojaner und Malware auf meinem Laptop! Malwarebytes Anti-Malware hat 733 aufgespuert
    Plagegeister aller Art und deren Bekämpfung - 12.12.2013 (19)
  4. Malware Yontoo // Malwarebytes-Anti-Malware-Programm keine identifizierte Datei gefunden
    Plagegeister aller Art und deren Bekämpfung - 23.03.2013 (14)
  5. BKA Trojaner mit Anti-Malware entfernt und OTL logs brauche ein script bitte
    Log-Analyse und Auswertung - 09.09.2012 (10)
  6. OpenCandy [Malware] auf dem Rechner, aber Anti-Malware Programme finden keine Bedrohung.
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (5)
  7. Trojan.Downloader.Gen konnte nicht restlos von Malwarebytes Anti-Malware entfernt werden Vista 64bit
    Plagegeister aller Art und deren Bekämpfung - 22.06.2012 (24)
  8. Virus/Malware verhindert Installation/Start jeglicher Anti-Malware/Virusprogramme
    Plagegeister aller Art und deren Bekämpfung - 03.02.2012 (17)
  9. Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (50)
  10. Anti Malware Doctor auf WIN 7 gehabt und entfernt. Richtig entfernt?
    Plagegeister aller Art und deren Bekämpfung - 22.09.2010 (13)
  11. Security Suite (hoffentlich) entfernt - jetzt clean?
    Plagegeister aller Art und deren Bekämpfung - 07.09.2010 (7)
  12. Anti-Malware Doctor entfernt, unklar ob das System clean ist
    Log-Analyse und Auswertung - 30.08.2010 (22)
  13. Anti Malware Doctor erfolgreich entfernt?
    Log-Analyse und Auswertung - 18.06.2010 (30)
  14. Anti Malware Doctor - komplett entfernt?
    Log-Analyse und Auswertung - 05.05.2010 (2)
  15. Malware analysieren - VM Detection umgehen?
    Diskussionsforum - 12.05.2009 (16)
  16. Trojaner entfernt - Alles clean?
    Log-Analyse und Auswertung - 02.04.2009 (1)

Zum Thema mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? - Hallo zusammen, wie im Titel angedeutet: \Windows\mas.exe \Users\..\AppData\Local\temp\a.exe \Users\..\AppData\Local\temp\b.exe \Users\..\AppData\Local\temp\c.exe sind mir im TaskMgr aufgefallen, nachdem AntiVir Personal folgendermaßen angesprungen ist (jeweils in Quarantäne verschoben): Code: Alles auswählen Aufklappen ATTFilter - mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen?...
Archiv
Du betrachtest: mas.exe & a/b/c.exe entfernt, HJT clean, wie mit Funden von MWB Anti-Malware umgehen? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.