Hallo,

ich hatte kürzlich Malewarebytes laufen lassen und 6 Funde
gelöscht. Jetzt meldet mir Avira Antivir den Fund :
Trojaner TR/Spy.Bebloh.A.14 in 3 Dateien
(C:\WINDOWS\system32\config\systemprofie...
C:\WINDOWS\System Volume Information\_resore...
C:\WINDOWS\system32\wclmlkbuy.exe)

Die Dateien sind jetzt in Quarantäne.

Habe anschließen Malewarebytes laufen lasse: Keine Funde.

Im Anhang ist die info Datei und die Log Datei vom RSIT scan.

Kann mir bitte jemand mit der Auswertung helfen und mir sagen, ob mein System in Ordnung. Würde nur sehr ungern formatieren

Vielen Dank

Tbskr

Hi

Poste bitte das erste Malwarebytes-Log und das Log von Avira.

Was ist dein Laufwerk D:?

Das RSIT-Log sieht soweit in Ordnung aus, was allerdings nicht viel heißen muss. Deswegen scanne bitte mit GMER nach Anleitung.

Gruß
Kos

Hi,

erstmal vielen Dank für deine Antwort.
Du meinst die Log Datei von Malwarebytes mit den 6 Funden, oder?
Vom Avira Log habe ich ein screenshot gemacht.
D: ist mein DVD-Laufwerk. Komisch.
Mache das mit GMER gleich und poste es dann später.

Grüße Tbskr


Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2814
Windows 5.1.2600 Service Pack 3

17.09.2009 19:41:04
mbam-log-2009-09-17 (19-41-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 105306
Laufzeit: 5 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Hi,

nochmal vielen Dank für deine Antwort.
In meiner ersten Antwort ist die Log Datei von Malwarebytes
und ein Screenshot vom Avira Log.

Hier nun die log Datei von gmer (ist sehr lange gelaufen) im Anhang (war zu lang für einen Beitrag).

Grüße Tbskr

Hi

Das sieht alles ganz gut aus. Morgen lassen wir noch ein bisschen was zur Absicherung laufen, aber jetzt ist Schlafenszeit.

Gruß
Kos

Danke für deine schnellen Antworten!
Die Dinger wie z.B. "ZwLoadKey", "ZwReplaceKey" sind auch ok? Ich kann mit dem, was da in dem Log File steht leider garnichts anfangen.
Und kann ich die infizierten Dateien in der Quarantäne von Avira und Malwarebytes jetzt löschen, oder bleiben die da ewig?

Grüße Tbskr

Zitat:

Die Dinger wie z.B. "ZwLoadKey", "ZwReplaceKey" sind auch ok?

Da der Rest unauffällig ist, werden die wahrscheinlich in Ordnung sein. Wir können aber versuchen herauszufinden, was die Einträge verursacht. Dazu starte bitte Gmer. Auf der rechten Seite kann man auswählen, was zu überprüfen ist (System, Sections, usw.). Wähle bitte alles ab, außer "Modules". Setze ein Häkchen bei "Show all", klicke auf Scan. Die Ausgabe wie gewohnt hier posten.

Zitat:

Und kann ich die infizierten Dateien in der Quarantäne von Avira und Malwarebytes jetzt löschen, oder bleiben die da ewig?

Die können gelöscht werden.

Gruß
Kos

So, hab ich gemacht. Im Anhang der GMER log.
Du hattest gefragt was D:\ ist. Wiso?
Das ist bei mir das DVD-CD Laufwerk.

Zitat:

Zitat von Kos

Morgen lassen wir noch ein bisschen was zur Absicherung laufen

Was genau meinst du damit?

Grüße Tbskr

Hm, die Adresse ist nicht mehr da, was aber wohl auf meine eigene Doofheit zurückzuführen ist. Wenn du willst, kannst du das Ganze nochmal machen, aber wähle noch zusätzlich "System" aus. Ist jetzt nur um die Neugier zu befriedigen, sieht eig. alles ganz gut aus.

Zitat:

Du hattest gefragt was D:\ ist. Wiso?
Das ist bei mir das DVD-CD Laufwerk.

Im RSIT-Log ist ein Autostart-Verweis auf D:\Setup.exe, was alles Mögliche sein könnte. Bei einem DVD-Laufwerk ist es aber in Ordnung.

Zitat:

Was genau meinst du damit?

• SuperAntiSpyware nach Anleitung

• PandaActiveScan2.0. Eine Registrierung ist nicht erforderlich. Nach dem Scan: Export -> die Log-Datei auf dem Desktop speichern und hier posten.

• Lade Prevx herunter und mache einen Scan. Falls etwas gefunden wird, bitte einen Screenshot erstellen oder die Funde mit Pfadangaben posten.

Gruß
Kos

Zitat:

Zitat von Kos

... kannst du das Ganze nochmal machen, aber wähle noch zusätzlich "System" aus.

ok,hab ich gemacht.Log wie immer im Anhang.

Die anderen Programme lass ich dann jetzt der reihe nach laufen.
Man, das sind aber viele Programme, die man da durchlaufen lassen muss.

Grüße Tbskr

Hi,

also SUPERAntiSpyware hat nichts gefunden.

Die anderen beiden Programme lasse ich morgen früh laufen.

Grüße und nochmals vielen Dank. Ich weiß die Hilfe echt zu schätzen.

Tbskr

Schön. Die fraglichen Einträge sind übrigens von deiner Firewall, wobei GMER sie anscheinend nicht korrekt ausliest.

Gruß
Kos

Zitat:

PandaActiveScan2.0

Prevx

So, hab jetzt beide laufen lassen und beide haben nichts gefunden.
Da bin ich aber froh. Dann ist mein PC wohl sauber und
ich brauche nichts weiteres zu machen, oder?

Vielen Dank

Tbskr