Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Verdächtige Messenger Einträge

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.11.2009, 16:49   #1
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
ich habe einwenig das vertrauen in mein system verloren, nachdem ich die letzte Zeit trotz Kaspersky10 bei Kontrollscanns mit malwarbyte immer mal wieder Viren gefunden habe.
Aktuell finden weder malwarbyte noch kaspesky Bedrohungen.

Ich habe einen scan mit Catchme gemacht dabei habe ich zig hundert einträge aus den Messengerverzeichnis bekommen in denen ich die Verläufe speichere, ich kann das unmöglich alles hier reinkopieren ist auch immer im endefekt das gleiche nur eben mit wechselnden Adressen.

Code:
ATTFilter
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-20 16:21:14
Windows 6.0.6002 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0

scanning hidden registry entries ...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{4135AAE1-55AF-B894-342C-D41E63D851B4}]
"iabfljlfjdbligbkob"=hex:6a,61,61,6b,68,69,63,6e,61,6f,62,62,67,6e,62,68,62,6b,61,61,00,..
"halfalgnhdknkken"=hex:6a,61,61,6b,68,69,63,6e,61,6f,62,62,67,6e,62,68,62,6b,61,61,00,..
"haagdjppphmfmncg"=hex:66,61,64,6b,69,6a,61,6d,61,6d,68,6a,00,f6

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

file zipped: C:\Users\Rupert\AppData\Local\Microsoft\Messenger\spxxxxx.xxxcom\SharingMetadata\adamixxxn73@hotmail.com\DFSR\Staging\CS{5097F963-5456-1F7E-A4CC-7B909CEFF3E5}\01\3723-{5097F963-5456-1F7E-A4CC-7B909CEFF3E5}-v1-{86981EB6-63F2-490C-8CAA-B7E3ED6D8D68}-v3723-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS -> catchme.zip -> {59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS ( 8 bytes ) 
file zipped:
         

Ich habe die Emailadresen mit einigen xxx abgeändert.
Mein Frage ist das ernstzunehmen oder eher harmlos.

Vielen dank und sonnige Inselgrüße
Rupert

Alt 20.11.2009, 17:01   #2
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Halli hallo.

Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten.

Danach downloade dir das Tool hier: http://www.duplexsecure.com/download/SPTDinst-v162-x86.exe
Starte es durch einen Doppelklick. Im anschließenden Dialog wirst du den "Uninstall" Button finden. Betätige diesen um SPTD zu deinstallieren.
Starten den Rechner danach neu.

Räume mit dem CCleaner auf (Punkte 1&2).



GMER - Rootkit Detection
  • Lade GMER von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
  • Doppelklicke die zufälligerDateiname.exe
  • Der Reiter Rootkit oben ist schon angewählt
  • Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
  • nach Beendigung des Scan, drücke "Copy"
  • nun kannst Du das Ergebnis hier posten


Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!
__________________

__________________

Alt 20.11.2009, 17:26   #3
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
Wow das ging ja Fix.
Den CCleaner hatte ich gestern schon gemacht.
GMER - Rootkit Detection läuft seit ca 1 stunde und ist noch nicht Fertig, das dauert wohl noch ein bisserl. Sind ca. 1 terrabyte Daten drauf auf mehrern Platten. Da ich auf auch noch mein altes xp hin und wieder verwende habe ich beide Platten zum Durchsuchen angegben.



Zitat:
Bitte deinstalliere Deamon Tools über die Systemsteuerung.
Während der Deinstallation musst du den Rechner neustarten
hm also ich habe weder in der Sytemsteuerung unter Software noch unter Programme im Verzeichnis Daemon Tools gefunden.
Den Rest werde ich erledigen sobald das GMER seine Arbeit verrichtet hat.

Vielen Dank schon mal für die schnelle Reaktion

sonnige Inselgrüße
Rupert
__________________

Alt 20.11.2009, 17:50   #4
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



In dem GMER Einstellungen solltest du eigentlich nichts verändern...

Bringt eh nichts wenn GMER ein system durchleuchtet welches in dem Moment garnicht aktiv ist.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.11.2009, 19:03   #5
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut.
Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung
Code:
ATTFilter
es.....exe funktioniert  nicht mehr.
         
\
Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte.

Die Einstellungen hatte ich alle original so gelassen wie Sie sind.

Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein

Code:
ATTFilter
tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
hatte die GMER datei auch nochmal neu runtergeladen.


Alt 20.11.2009, 19:11   #6
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
ok ich habe dann nochmal von vorne angefangen inkl ccleaner, soweit so gut.
Allerdings bei gmr stürzte mir der Rechner nun 2 mal komplett ab mit Bluescreen. Jetzt beim 3. mal die Windows Meldung
Code:
ATTFilter
es.....exe funktioniert  nicht mehr.
         
\
Device\Hardisk\Shadowcopy1 war die letzte datei die er untersucht hatte.

Die Einstellungen hatte ich alle original so gelassen wie Sie sind.

Ds mbr hatte ich trotzdem noch gemacht aber heir scheint bis dahin alles in ordnung zu sein

Code:
ATTFilter
tealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
hatte die GMER datei auch nochmal neu runtergeladen.

Alt 20.11.2009, 20:24   #7
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Das er nun abschmiert ist kein gutes Zeichen.

Grade der Pfad Hardisk\Shadowcopy1 gefällt mir garnicht.

Erstelle bitte zwei AVZ logs.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 20.11.2009, 23:48   #8
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
hat gedauert aber er ist fertig, hat auch ein paar sachen gefunden, obwohl das meiste wohl harmlos ist,. das Klicktool was da zig mal angezigt wird ist irgendwann vor Jahren bei ebay gekauft worden und liegt da wohl in alten sicherheitskopien vom Emailprogramm. allerdings hate auch noch 2 andere sachen gefunden.

Wollte eben das 2. Log als Anhang schicken, scheint aber zu groß zu sein, wo kann ich das hinschicken?.

sonnige Inselgrüße

Rupert
Ps nach dem Durchlauf hatte ich den Rechner neu gestartet, daueret ewig Bildschirm blieb schawrz Fehlermeldung das der Explorer nicht mehr funktioniert, nach strg/alt/del und Benutzer neu anmelden ging es dann.
Gefällt mir alles gar nicht.

Alt 20.11.2009, 23:52   #9
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Da fehlt noch das syssecure.log

Sag mal was für ein Betriebssytem nutzt du eigentlich?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 21.11.2009, 00:14   #10
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
sorry das hatte er wohl nicht genommen hier nochmal der 2 Versuch.
Vista 32bit Ultimate AMD Phenóm 9950 QuadCore Processor 6 Gb Ram
Service Pack2

Die Datei, die Sie anhängen möchten, ist zu groß. Die maximale Dateigröße für diesen Dateityp beträgt 48,8 KB. Ihre Datei ist 51,4 KB groß.

Ich kann Sie bei mir auf nen server legen zum Download aaber dann müsste ich die Url Posten ich denke das mag man hier sicher nicht.

Alt 21.11.2009, 00:17   #11
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Poste die url ruhig. Das passt. Wir müssen das mit der Größe der Anhäge noch anpassen.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 21.11.2009, 00:29   #12
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,

so das sollte normal gehen. Wie gesagt bei dem komischen klicktool mache ich mir keine grossen Sorgen, da weiß ich auch woher es kommt.
Bei dem der in dem Programm von dem Hexeditor liegt habe ich keine Ahnung das Programm hatte ein Bekannter installiert der mir mal bei der Webseite was gemacht hatte, der muss dann wohl über seinen usb stick gekommen sein.
Bei dem 3. habe ich gar keine ahnung wie und woher der kommt.


http://www.mallorca-spezial.info/Temp/virusinfo_syscure.zip

sonnige Mallorca Grüße

Rupert

Alt 21.11.2009, 12:40   #13
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Irgendwas ist das schief gelaufen.

Jetzt habe ich hier zweimal das sysinfo.log vorliegen.

Guck bitte nochmal ganz genau in die Anleitung und stelle mir beide logs zur Verfügung.

Am besten löscht du alle logs nochmal komplett von der platte und erstellst sie neu.

Bevor du die logs neuerstellst deinstalliere bitte Sun Java. Am besten geht das über die Systemsteuerung. Deinstalliere alles was mit SUN oder Java zu tun hat.

Lasse danach dieses Tool laufen: http://raproducts.org/javara.html und entferne damit alle Reste.

Danach befolge die AVZ Anleitung von Anfang an.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (21.11.2009 um 12:45 Uhr)

Alt 21.11.2009, 12:42   #14
spoddig
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



Hallo,
ich habe jetzt die infizierten Daten gelöscht und AVZ findet derzeit auch nichts, aber so ganz raue ich der Geschichte immer noch nicht.

Alt 21.11.2009, 12:49   #15
undoreal
/// AVZ-Toolkit Guru
 
Verdächtige Messenger Einträge - Standard

Verdächtige Messenger Einträge



WAS hast du wie gelöscht????

Jetzt mach' keinen Schieß!

EDIT: Oh man, du hast im Hauptfenster von AVZ den Start Button gedrückt oder?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Antwort

Themen zu Verdächtige Messenger Einträge
adresse, appdata, bytes, defekt, einträge, files, frage, gmer, hex, kaspersky, kopieren, malware, messenger, microsoft, registry, service, service pack 2, services, shell, software, system, trotz, verdächtige, version, viren



Ähnliche Themen: Verdächtige Messenger Einträge


  1. Verdächtige Ordner
    Plagegeister aller Art und deren Bekämpfung - 22.09.2013 (19)
  2. Verdächtige Datei
    Plagegeister aller Art und deren Bekämpfung - 19.06.2013 (1)
  3. verdächtige e-mails
    Plagegeister aller Art und deren Bekämpfung - 19.03.2013 (1)
  4. 22 Verdächtige Dateien
    Plagegeister aller Art und deren Bekämpfung - 26.09.2012 (1)
  5. Verdächtige Email
    Plagegeister aller Art und deren Bekämpfung - 10.06.2012 (9)
  6. Verdächtige Dateien
    Plagegeister aller Art und deren Bekämpfung - 27.05.2012 (0)
  7. Möglicherweise infiziert,verdächtige Einträge im Taskmanager und HJT-Log
    Plagegeister aller Art und deren Bekämpfung - 28.01.2010 (2)
  8. Fast 80 Logitech Desktop Messenger einträge ????
    Log-Analyse und Auswertung - 08.04.2009 (3)
  9. Verdächtige Datei
    Plagegeister aller Art und deren Bekämpfung - 26.02.2009 (21)
  10. verdächtige scr/ jpg per icq
    Plagegeister aller Art und deren Bekämpfung - 23.10.2008 (11)
  11. Hab verdächtige Dateien - Was tun??
    Plagegeister aller Art und deren Bekämpfung - 30.07.2008 (1)
  12. verdächtige Internettraffic
    Log-Analyse und Auswertung - 17.01.2008 (1)
  13. Verdächtige Seite (:
    Plagegeister aller Art und deren Bekämpfung - 21.08.2007 (4)
  14. Verdächtige 017er Einträge im hjt-logfile fixen?!
    Log-Analyse und Auswertung - 05.12.2006 (1)
  15. Logfile, verdächtige Einträge
    Log-Analyse und Auswertung - 08.06.2006 (7)
  16. Verdächtige PC-Aktivitäten??
    Log-Analyse und Auswertung - 10.10.2005 (2)
  17. Verdächtige Mail...?!
    Plagegeister aller Art und deren Bekämpfung - 24.03.2003 (4)

Zum Thema Verdächtige Messenger Einträge - Hallo, ich habe einwenig das vertrauen in mein system verloren, nachdem ich die letzte Zeit trotz Kaspersky10 bei Kontrollscanns mit malwarbyte immer mal wieder Viren gefunden habe. Aktuell finden weder - Verdächtige Messenger Einträge...
Archiv
Du betrachtest: Verdächtige Messenger Einträge auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.