Trojaner auch nach Backup?

hwvrg · 25.05.2010, 13:54

Hi community,

gestern Abend habe ich mir meinen Hauptpc und meinen Server über Remoteverbindung verseucht durch majorshare-Software, jedenfalls fing dabei der Ärger an. (fataler brain.exe-Ausfall)

Heute morgen vom Komplettbackup gebootet, dass ich vor der Misere gezogen habe, das aber am PC hing ... anscheinend auch verseucht, denn mein Rechner will laut a-squared Anti-Malware ständig Backdoors installieren und auf dubiose Seiten zugreifen. Der Rechner ist hinter einem Router und wird auch für Onlinebanking genutzt, daher wäre es mir wichtig das Problem zu lösen...

Übrigens ist noch MS Security Essentials installier, hat aber nie angeschlagen, auch nicht gestern abend - MS halt ...

Hier der Log des Antivirusprogramms von der Sicherung:

Code:

ATTFilter

Emsisoft Anti-Malware - Version 5.0
IDS log

Datum	PID	Ursprung	Vorgang	Verhalten/Infektion
25.05.2010 12:07:45	7008	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:07:44	6804	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:07:36	2020	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:07:35	7160	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:07:31	6328	C:\WINDOWS\SYSNATIVE\MSFEEDSSYNC.EXE	Von Benutzer terminiert	Behavior.Spyware
25.05.2010 12:06:26	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	leadback.advertising.com
25.05.2010 12:06:21	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	ds.serving-sys.com
25.05.2010 12:06:08	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	www.spywaredb.com
25.05.2010 12:06:08	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	www.antispyware.com
25.05.2010 12:06:06	6044	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:05:59	1080	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:05:37	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	rmd.atdmt.com
25.05.2010 12:04:58	5332	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:04:56	852	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:04:49	6784	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:04:48	6392	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:04:44	6044	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Regel erlaubt	Behavior.CodeInjector
25.05.2010 12:04:39	6176	C:\USERS\JULIAN\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\WOW_HELPER.EXE	Von Benutzer erlaubt	Behavior.CodeInjector
25.05.2010 12:02:26	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	altfarm.mediaplex.com
25.05.2010 12:01:39	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	ib.adnxs.com
25.05.2010 11:56:42	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	bs.serving-sys.com
03.02.2010 20:35:53	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSL77A.TMP\NSF4C2.TMP	Von Benutzer erlaubt	Behavior.OpenProcess
03.02.2010 20:35:09	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSL77A.TMP\NS47DF.TMP	Von Benutzer erlaubt	Behavior.OpenProcess
03.02.2010 20:35:04	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSL2F15.TMP\NS37E4.TMP	Von Benutzer erlaubt	Behavior.OpenProcess
03.02.2010 20:34:55	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSL77A.TMP\NS81A.TMP	Von Benutzer erlaubt	Behavior.OpenProcess
03.02.2010 20:34:31	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSF1A0.TMP\NSA930.TMP	Von Benutzer terminiert	Behavior.OpenProcess
03.02.2010 20:34:23	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSF1A0.TMP\NS90BE.TMP	Von Benutzer terminiert	Behavior.OpenProcess
03.02.2010 20:34:11	0	C:\USERS\JULIAN\APPDATA\LOCAL\TEMP\NSF1A0.TMP\NS26F.TMP	Von Benutzer terminiert	Behavior.OpenProcess
25.05.2010 12:09:54	6468	C:\Users\julian\AppData\Local\Google\Chrome\Application\chrome.exe	Von Regel blockiert	downtr.net

Besondere Schwierigkeiten habe ich mit C:\Windows\Sysnative\msfeedssync.exe , das mir als LAN-Backdoor angezeigt wird. Einen GoogleUpdater, aus dem google Verzeichnis habe ich vertraut, der ebenfalls diese Signatur tragen soll, denn ich benutze Google Chrome, seitdem es keine IDs mehr gibt.

Dann habe ich eure Schritt-für-Schritt-Anleitung abgehakt:

a) CCleaner: 8 GB an Daten und mehr als 1000 Registryeinträge gekillt, bei einigen weiß ich jedoch, dass sie manche Programme wirklich benützen, aber dafür hab ich ja die Sicherung

.

b) MBAM: KEIN BEFUND - Im Log steht auch nix Anderes

c) OTL: siehe nachfolgende Posts - btw. OTL macht einen Fehler, weil er erkennt anscheinend kein LW mit dem Buchstaben B:, was ja früher für die 2te Floppy benutzt wird, da ich aber ioft viele virtuelle laufwerke etc. verwende, habe ich B:\ für meine gesamten Daten verwendet, inkl. Desktop ...

d) VIELEN VEIELN DANK für jede Hilfe, weil ich bin zwar nicht unerfahren, bin aber im Moment gerade mit meinem Latein am Ende ...

Trojaner auch nach Backup?

Plagegeister aller Art und deren Bekämpfung: Trojaner auch nach Backup?

Trojaner auch nach Backup?

Ähnliche Themen: Trojaner auch nach Backup?