Hallo,

ich hatte kürzlich Malewarebytes laufen lassen und 6 Funde
gelöscht. Jetzt meldet mir Avira Antivir den Fund :
Trojaner TR/Spy.Bebloh.A.14 in 3 Dateien
(C:\WINDOWS\system32\config\systemprofie...
C:\WINDOWS\System Volume Information\_resore...
C:\WINDOWS\system32\wclmlkbuy.exe)

Die Dateien sind jetzt in Quarantäne.

Habe anschließen Malewarebytes laufen lasse: Keine Funde.

Im Anhang ist die info Datei und die Log Datei vom RSIT scan.

Kann mir bitte jemand mit der Auswertung helfen und mir sagen, ob mein System in Ordnung. Würde nur sehr ungern formatieren

Vielen Dank

Tbskr

Hi

Poste bitte das erste Malwarebytes-Log und das Log von Avira.

Was ist dein Laufwerk D:?

Das RSIT-Log sieht soweit in Ordnung aus, was allerdings nicht viel heißen muss. Deswegen scanne bitte mit GMER nach Anleitung.

Gruß
Kos

Hi,

erstmal vielen Dank für deine Antwort.
Du meinst die Log Datei von Malwarebytes mit den 6 Funden, oder?
Vom Avira Log habe ich ein screenshot gemacht.
D: ist mein DVD-Laufwerk. Komisch.
Mache das mit GMER gleich und poste es dann später.

Grüße Tbskr


Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2814
Windows 5.1.2600 Service Pack 3

17.09.2009 19:41:04
mbam-log-2009-09-17 (19-41-04).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 105306
Laufzeit: 5 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mmplayer.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Tobi\Anwendungsdaten\Adobe\mmplayer.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.

Hi,

nochmal vielen Dank für deine Antwort.
In meiner ersten Antwort ist die Log Datei von Malwarebytes
und ein Screenshot vom Avira Log.

Hier nun die log Datei von gmer (ist sehr lange gelaufen) im Anhang (war zu lang für einen Beitrag).

Grüße Tbskr

Hi

Das sieht alles ganz gut aus. Morgen lassen wir noch ein bisschen was zur Absicherung laufen, aber jetzt ist Schlafenszeit.

Gruß
Kos

Danke für deine schnellen Antworten!
Die Dinger wie z.B. "ZwLoadKey", "ZwReplaceKey" sind auch ok? Ich kann mit dem, was da in dem Log File steht leider garnichts anfangen.
Und kann ich die infizierten Dateien in der Quarantäne von Avira und Malwarebytes jetzt löschen, oder bleiben die da ewig?

Grüße Tbskr

So, hab ich gemacht. Im Anhang der GMER log.
Du hattest gefragt was D:\ ist. Wiso?
Das ist bei mir das DVD-CD Laufwerk.

Zitat:

Zitat von Kos

Morgen lassen wir noch ein bisschen was zur Absicherung laufen

Was genau meinst du damit?

Grüße Tbskr