Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kein offensichtliches Problem trotzdem Malware: 17 Funde (https://www.trojaner-board.de/112748-kein-offensichtliches-problem-trotzdem-malware-17-funde.html)

c6622 31.03.2012 11:29
Kein offensichtliches Problem trotzdem Malware: 17 Funde
 
Hallo
Ich habe kein wirkliches Problem mit dem Pc. Habe jedoch Malwarebytes laufen lassen ( 17 Funde) weil ich vor kurzem am Notebook einen BKA Trojana gehabt habe und nun sicher gehen will das dieser PC sicher ist (USB stick transfer...)

Windows XP proffesional Version 2002 SP 3

Logfile:
Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.31.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC :: *** [Administrator]

Schutz: Aktiviert

31.03.2012 11:11
mbam-log-7-14-2008 (19-45-03).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 346414
Laufzeit: 49 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 13
HKCR\CLSID\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKCR\Typelib\{8D4BDEC1-4445-4B2F-9F1E-873CA0C56D1D} (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCR\Interface\{6E6224FD-1E7D-4897-8407-C9F4023A70DA} (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343CE214-9998-4B21-A151-FFE970167297} (Rogue.Installer) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3AA42713-5C1E-48E2-B432-D8BF420DD31D} (Rogue.AntiVirus2008) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545D8C8-F53C-4E2F-8FA0-D248EF4A6E61} (Rogue.Installer) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D5DD829-6C90-42C5-B54C-2AFA82F988BA} (Rogue.Installer) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Keine Aktion durchgeführt.
HKLM\System\CurrentControlSet\Services\clbdriver (Trojan.Agent) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Daten:  -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Daten:  -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\TmpRecentIcons\AntiSpywareExpert.lnk (Rogue.Link) -> Keine Aktion durchgeführt.
C:\Windows\system32\mcrh.tmp (Malware.Trace) -> Keine Aktion durchgeführt.

(Ende)
Ein Programm enhält eine Fehrnwartungsfunktion deshalb bin ich mir nicht sicher ob ich alle Funde löschen kann?

cosinus 02.04.2012 13:05
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

c6622 02.04.2012 13:25
Nein auf dem Pc war das der erste

cosinus 02.04.2012 14:27
Die Funde mit Malwarebytes alle entfernen. Poste dann das Log dazu wieder. Und danach gehts mit ESET weiter


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


c6622 03.04.2012 06:29
Eset Scan:
Code:
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.59370        Win32/Adware.Virtumonde.NEO application
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\Quarantine\QUAR1.95125        Win32/Adware.Virtumonde.NEO application
C:\Windows\system32\eNqtvyxx.ini        Win32/Adware.Virtumonde.NEO application
C:\Windows\system32\eNqtvyxx.ini2        Win32/Adware.Virtumonde.NEO application
C:\Windows\system32\ijjothui.ini        Win32/Adware.Virtumonde.NEO application
C:\Windows\system32\kRYHQqru.ini        Win32/Adware.Virtumonde.NEO application
C:\Windows\system32\kRYHQqru.ini2        Win32/Adware.Virtumonde.NEO application
DANKE

cosinus 03.04.2012 15:58
Das Log von Malwarebytes will ich auch sehen wenn damit die Funde entfernt wurden

c6622 06.04.2012 09:16
Malwarebyte Log mit gelöschten Funden:
Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.01.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
PC :: *** [Administrator]

Schutz: Aktiviert

02.04.2012 18:45
mbam-log-2012-04-02 (18-45-12).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 346890
Laufzeit: 42 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 13
HKCR\CLSID\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{8D4BDEC1-4445-4B2F-9F1E-873CA0C56D1D} (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{6E6224FD-1E7D-4897-8407-C9F4023A70DA} (Trojan.FakeAlert) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{343CE214-9998-4B21-A151-FFE970167297} (Rogue.Installer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3AA42713-5C1E-48E2-B432-D8BF420DD31D} (Rogue.AntiVirus2008) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7545D8C8-F53C-4E2F-8FA0-D248EF4A6E61} (Rogue.Installer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7D5DD829-6C90-42C5-B54C-2AFA82F988BA} (Rogue.Installer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B64F4A7C-97C9-11DA-8BDE-F66BAD1E3F3A} (Rogue.WinAntiVirus) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\System\CurrentControlSet\Services\clbdriver (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks|{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Daten:  -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{F8AC36D7-F602-4B69-99B5-2A812E05779F} (Trojan.Vundo) -> Daten:  -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\PC\Anwendungsdaten\TmpRecentIcons\AntiSpywareExpert.lnk (Rogue.Link) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\system32\mcrh.tmp (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
DANKE

cosinus 06.04.2012 14:35
Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24