Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System progressive protection - noch Reste vorhanden? (https://www.trojaner-board.de/129186-system-progressive-protection-noch-reste-vorhanden.html)

Hoferin 08.01.2013 17:28
System progressive protection - noch Reste vorhanden?
 
Anfang Dezember habe ich mir beim Surfen auf "normalen Seiten" trotz aktueller "Avira internet security" die Malware "System progressive protection" eingefangen. Leider habe ich damals das TB noch nicht gleich gefunden sondern bin selbstständig vorgegangen. Laptop weitgehend blockiert durch die Schadsoftware, zum Glück konnte ich noch über ein "Mac book pro" weiter nach Hilfe suchen.

Durch Eingabe einer im Internet gefundenen Fake-Anmeldung konnte ich das Schadprogramm "beenden" und das Laptop wieder nutzen. Probleme bestanden dann keine mehr.

Der damalige LOG von Malwarebytes:

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.02.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Eltern :: ELTERN-PC [Administrator]

Schutz: Aktiviert

02.12.2012 19:02:37
mbam-log-2012-12-02 (19-02-37).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 232927
Laufzeit: 8 Minute(n), 25 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Users\Eltern\Downloads\clonedvd.5.0.1-mpt.exe (PUP.Hacktool.Patcher) -> Keine Aktion durchgeführt.
C:\ProgramData\8841F1216F80F0AB0000884168E5F69B\8841F1216F80F0AB0000884168E5F69B.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Eltern\AppData\Local\Temp\fghyd.exe (Trojan.Agent.GNI) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Eltern\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Eltern\Downloads\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Dann "Reinigung" selbstständig mit Malwarebytes, rrkill, roguekiller und zuletzt malwarebytes anti rootkit (leider dazu keine Funde oder Logdateien mehr vorhanden - zu schnell gelöscht aus Unkenntnis und Panik).

Akutelles Malwarebytes LOG (auch im Fullscan keine Funde mehr):

Code:
Malwarebytes Anti-Malware (PRO) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.08.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Eltern :: ELTERN-PC [Administrator]

Schutz: Aktiviert

08.01.2013 06:55:33
mbam-log-2013-01-08 (06-55-33).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 203525
Laufzeit: 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Wer kann mir helfen zu klären, ob das Laptop jetzt wieder clean ist oder Probleme zurückgeblieben sind? Laptop funktioniert ohne jede erkennbare Auffälligkeit.
Vielen Dank.
Hoferin

ryder 08.01.2013 17:44
Sowas hier ...
Zitat:

C:\Users\Eltern\Downloads\clonedvd.5.0.1-mpt.exe (PUP.Hacktool.Patcher)
... macht nur dann Sinn, wenn man eine illegale Kopie betreiben will.

Supportstopp: Cracks oder Keygens

Lesestoff:
Cracks und Keygens
Den Kopierschutz von Software zu umgehen ist nach geltendem Recht illegal. Die Logfiles deuten stark darauf hin, dass du Cracks oder Keygeneratoren einsetzt oder den Kopierschutz von installierten Programmen umgehst. Bitte habe Verständnis dafür, dass wir dies nicht unterstützen können und dürfen. Zudem ist diese Art Software sehr oft mit Schädlingen infiziert.

Unsere Hilfe beschränkt sich daher nur auf das Neuaufsetzen deines Systems. Fragen dazu beantworten wir dir aber weiterhin gerne und zwar in unserem Forum.


Damit ist das Thema beendet.

Hoferin 08.01.2013 17:48
Sorry, war mir nicht bekannt, dass solche Downloads mit dem Laptop gemacht wurden. Dann muss ich mit unseren drei Mädels, die das Familien Laptop mitbenutzen, wohl mal ein klärendes Wort reden..

Trotzdem Danke für das Hilfsangebot und Eure Arbeit.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:55 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20