![]() |
Antivir meldet TR/Dropper.Gen7 & TR/EyeStye.C.cfg.160 Hallo zusammen, bei einem heutigen Virensuchlauf fand Antivir den Trojaner TR/Dropper.Gen7 in der Datei C:\skhfushjfls\config.bin und den Trojaner TR/EyeStye.C.cfg.160 in der Datei C:\Program Files\Electronic Arts\Die Sims 3\Game\Bin\Sims3Launcher.exe. Antivir hat diese Dateien beim Suchlauf automatisch gelöscht. Natürlich bin ich jetzt etwas verunsichert und habe die Anweisungen vor dem Erstellen eines Themas befolgt. Es würde mich sehr freuen, wenn sich jemand aus eurem Team mal meine Logfiles anschauen könnte. DDS.txt: . DDS (Ver_2011-08-26.01) - NTFSx86 Internet Explorer: 7.0.6002.18005 Run by Christian neu at 19:18:51 on 2012-04-05 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.2046.1263 [GMT 2:00] . AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C} SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691} . ============== Running Processes =============== . C:\Windows\system32\wininit.exe C:\Windows\system32\lsm.exe C:\Windows\system32\svchost.exe -k DcomLaunch C:\Windows\system32\nvvsvc.exe C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe C:\Windows\system32\svchost.exe -k rpcss C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted C:\Windows\system32\svchost.exe -k netsvcs C:\Windows\system32\SLsvc.exe C:\Windows\system32\svchost.exe -k LocalService C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe C:\Windows\system32\nvvsvc.exe C:\Windows\system32\svchost.exe -k NetworkService C:\Windows\System32\spoolsv.exe C:\Program Files\Avira\AntiVir Desktop\sched.exe C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork C:\Windows\system32\Dwm.exe C:\Windows\system32\taskeng.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe C:\Program Files\Avira\AntiVir Desktop\avguard.exe C:\Program Files\Hotspot Shield\bin\openvpnas.exe C:\Program Files\Hotspot Shield\HssWPR\hsssrv.exe C:\Program Files\Hotspot Shield\bin\hsswd.exe C:\Windows\system32\PnkBstrA.exe C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted C:\Windows\system32\svchost.exe -k imgsvc C:\Windows\System32\svchost.exe -k WerSvcGroup C:\Windows\system32\SearchIndexer.exe C:\Windows\system32\WUDFHost.exe C:\Program Files\Avira\AntiVir Desktop\avshadow.exe C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation C:\Program Files\Windows Media Player\wmpnetwk.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\conime.exe C:\Windows\system32\SearchProtocolHost.exe C:\Windows\system32\SearchFilterHost.exe C:\Windows\system32\wbem\wmiprvse.exe . ============== Pseudo HJT Report =============== . BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File BHO: Hotspot Shield Class: {f9e4a054-e9b1-4bc3-83a3-76a1ae736170} - c:\program files\hotspot shield\hssie\HssIE.dll uRun: [ICQ] "c:\program files\icq7.6\ICQ.exe" silent loginmode=4 mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe" mRun: [avgnt] "c:\program files\avira\antivir desktop\avgnt.exe" /min mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0) mPolicies-system: EnableLUA = 0 (0x0) mPolicies-system: EnableUIADesktopToggle = 0 (0x0) IE: {7644E42D-B096-457F-8B5B-901238FC81AE} - c:\program files\icq7.6\ICQ.exe DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab TCP: DhcpNameServer = 83.169.185.161 83.169.185.225 TCP: Interfaces\{34C2C585-C207-4700-8EDF-4EE6911ACD89} : DhcpNameServer = 83.169.185.161 83.169.185.225 mASetup: {A8D647C8-65AC-409F-B7B2-3C0FEE1A32F2} - c:\program files\pixiepack codec pack\InstallerHelper.exe . ================= FIREFOX =================== . FF - ProfilePath - c:\users\christian neu\appdata\roaming\mozilla\firefox\profiles\fzjqmk6s.default\ FF - prefs.js: browser.search.selectedEngine - Wikipedia (en) FF - prefs.js: browser.startup.homepage - hxxp://de.wikipedia.org/wiki/Wikipedia:Hauptseite FF - plugin: c:\program files\adobe\reader 10.0\reader\air\nppdf32.dll FF - plugin: c:\program files\google\google earth\plugin\npgeplugin.dll FF - plugin: c:\program files\google\update\1.3.21.111\npGoogleUpdate3.dll FF - plugin: c:\program files\microsoft silverlight\5.0.61118.0\npctrlui.dll FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dv.dll FF - plugin: c:\program files\nvidia corporation\3d vision\npnv3dvstreaming.dll FF - plugin: c:\program files\veetle\player\npvlc.dll FF - plugin: c:\program files\veetle\plugins\npVeetle.dll . ============= SERVICES / DRIVERS =============== . R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [2011-12-6 36000] R2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\common files\adobe\arm\1.0\armsvc.exe [2011-6-6 64952] R2 AntiVirSchedulerService;Avira Planer;c:\program files\avira\antivir desktop\sched.exe [2011-12-6 86224] R2 AntiVirService;Avira Echtzeit Scanner;c:\program files\avira\antivir desktop\avguard.exe [2011-12-6 110032] R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-12-6 74640] R2 FontCache;Windows-Dienst für Schriftartencache;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2011-3-31 21504] R2 hshld;Hotspot Shield Service;c:\program files\hotspot shield\bin\openvpnas.exe [2012-1-6 331608] R2 HssWd;Hotspot Shield Monitoring Service;c:\program files\hotspot shield\bin\hsswd.exe -product hss --> c:\program files\hotspot shield\bin\hsswd.exe -product HSS [?] R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2011-10-15 381248] R3 RRNetCapMP;RRNetCapMP;c:\windows\system32\drivers\rrnetcap.sys [2010-11-16 31848] S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384] S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2011-4-4 136176] S3 gupdatem;Google Update-Dienst (gupdatem);c:\program files\google\update\GoogleUpdate.exe [2011-4-4 136176] S3 RRNetCap;RRNetCap Service;c:\windows\system32\drivers\rrnetcap.sys [2010-11-16 31848] S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504] . =============== Created Last 30 ================ . 2012-03-27 13:10:28 -------- d-----r- c:\users\christian neu\Dropbox 2012-03-27 13:07:29 -------- d-----w- c:\users\christian neu\appdata\roaming\Dropbox 2012-03-19 02:26:43 592824 ----a-w- c:\program files\mozilla firefox\gkmedias.dll 2012-03-19 02:26:43 44472 ----a-w- c:\program files\mozilla firefox\mozglue.dll 2012-03-14 17:05:58 2044416 ----a-w- c:\windows\system32\win32k.sys 2012-03-14 17:05:55 683008 ----a-w- c:\windows\system32\d2d1.dll 2012-03-14 17:05:55 219648 ----a-w- c:\windows\system32\d3d10_1core.dll 2012-03-14 17:05:55 160768 ----a-w- c:\windows\system32\d3d10_1.dll 2012-03-14 17:05:55 1172480 ----a-w- c:\windows\system32\d3d10warp.dll 2012-03-14 17:05:55 1068544 ----a-w- c:\windows\system32\DWrite.dll 2012-03-14 17:05:54 2409784 ----a-w- c:\program files\windows mail\OESpamFilter.dat 2012-03-14 11:31:03 613376 ----a-w- c:\windows\system32\rdpencom.dll 2012-03-14 11:31:03 180736 ----a-w- c:\windows\system32\drivers\rdpwd.sys . ==================== Find3M ==================== . 2012-02-20 12:57:34 414368 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl 2012-01-19 21:30:57 107888 ----a-w- c:\windows\system32\CmdLineExt.dll . ============= FINISH: 19:19:50,35 =============== |
Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen! Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden. Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code: hier steht das Log |
Eine Sache vorweg: Aus dem Pfad "C:\Windows.old.000\Users\Christian\Documents\ICQ\399774680\ReceivedFiles\492920911 johannes\Sony.Vegas.Pro.8.0b.Build.217\keygen.exe" im Malwarebytes-Log geht ziemlich eindeutig hervor, dass ich ein illegal kopiertes Programm auf meinem Rechner habe. Nach den Regeln hier im Forum bedeutet das, soweit ich das verstanden habe, dass der Support für mich eingestellt wird. Ich vermute, dass betteln nicht helfen wird, aber ich versuche es dennoch: Ich habe tatsächlich circa eine handvoll illegal kopierte Programme auf meinem Rechner. Am Dateipfad ist aber schon zu erkennen, dass das Profil nicht mein aktuelles ist. Seit geraumer Zeit (über 1 Jahr, schätze ich) lasse ich grundsätzlich die Finger von illegalen Kopien. Ich weiß nicht, was "Backdoor.Sdbot" genau für eine Gefahr darstellt, aber dass Malwarebytes in den illegalen Dateinen überhaupt Malware entdeckt, bestätigt mich schon in meinem heutigen Misstrauen. Also, falls ihr den Support einstellt, muss ich mir wohl woanders Hilfe suchen, aber auf jeden Fall danke ich für die Betreuung bis zu diesem Zeitpunkt :) Hier der Malwarebytes-Log: Code: Malwarebytes Anti-Malware 1.60.1.1000 Code: ESETSmartInstaller@High as downloader log: Ich habe gerade einen Antivir-Suchlauf auf meiner externen Festplatte (D:) durchgeführt. Dabei wurden in der Datei "D:\Musik\Radiohead - Airbag_2.mp3" Erkennungsmuster des Droppers DR/FakePic.Gen erkannt. Die Datei wurde gelöscht. Die Log-File: Code:
|
Zitat:
Ich hätte eh eine Neuinstallation empfohlen und zwar weil sich der Befall mit SpyEyes (auch bekannt als EyeStye) bestätigt: Zitat:
Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen. Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen. Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch. 1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein 2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows 3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist http://partedmagic.com/lib/exe/fetch...ia=desktop.png 4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken 5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind) 6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!! 7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten) |
Nun habe ich zur Datensicherung aber nur die externe Festplatte zur Verfügung, die, siehe Nachtrag im vorherigen Post, auch befallen zu sein scheint. Wie mache ich die wieder fit? Die Konstellation könnte unglücklicher kaum sein. Einige persönliche Dateien sind nur auf der externen Platte, einige nur auf der lokalen Festplatte. Und überhaupt: Wie kann ich sichergehen, dass bei der Datenrettung nicht doch etwas rüberflutscht? Ich habe nur .mp3- und .jpg-Dateien und ein paar Videos sowie ein paar .flp-Dateien auf die externe Festplatte kopiert. Sie war ja dafür da, um persönliche Datein sicher zu lagern. Trotzdem ist sie jetzt infiziert. Ist eine Reinigung ausgeschlossen? Am PC meiner Mutter habe ich einmal eine Reinigung, auch nach Anleitung durch das Trojanerboard, ausgeführt. Es hat zwar lange gedauert, aber das wäre es mir wert. Und falls es doch eine Formatierung sein muss: Wie sieht es mit Spiel-Savegames aus? Kann ich die problemlos sichern? Ich weiß, dieser Beitrag ist etwas unstrukturiert und umständlich formuliert. Entschuldigung, ich bin gerade etwas aufgebracht |
Deswegen sicherst du ja über das Live-System Zitat:
Einfach mal lesen, da sind sogar einige Passagen fett und rot markiert Es gibt KEINE infizierte Festplatte! Wenn überhaupt kann eine Festplatte infizierte Daten enthalten! Lösch am besten alle ausführbaren Dateien von der Platte. Und falls vorhanden die autorun.inf (sollte direkt auf der Platte sein) Zitat:
1.) Keygens/Cracks 2.) SpyEyes Allein eins von den beiden ist schon das KO-Kriterium für eine Neuinstallation |
Heute wollte ich mich eigentlich der Dateiensicherung widmen. Nach dem Hochfahren des Rechners hängte das Betriebssystem aber, sodass ich den PC neustartete. Dann aber führte das System eine "Überprüfung des Datenträgers" in weißen Buchstaben auf schwarzem Grund durch. Dabei reparierte und verschob es anscheinend einige Dateien. Hat das irgendeine Auswirkung auf meine weitere Vorgehensweise? |
Wieso? Du startest doch von der Live-CD, du sollst ja nicht mehr Windows booten um von da aus zu sichern |
Ok. Und nun noch eine (hoffentlich) allerletzte Frage: Wenn ich dich richtig verstehe, soll ich allle ausführbaren Dateien von der externen Festplatte löschen, um sie zu säubern. Antivir aber meldete ja, dass eine .mp3-Datei befallen gewesen sei. Wie passt das zusammen? |
Du meinst das? Zitat:
|
Formatierung und Windows-Neuinstallation wurden erfolgreich abgeschlossen. Ich danke vielmals für alle erfolgten Hilfestellungen :) Von meiner Seite wäre das Thema damit erledigt |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board