Trojaner-Board - C:\PROGRA~3\dllaimesohum.dat =Fehler beim starten von Win 7

Seite 2 von 3

100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - C:\PROGRA~3\dllaimesohum.dat =Fehler beim starten von Win 7 (https://www.trojaner-board.de/131884-c-progra-3-dllaimesohum-dat-fehler-beim-starten-win-7-a.html)

jojoba

13.03.2013 13:54

Code:

Malwarebytes Anti-Rootkit BETA 1.01.0.1021

www.malwarebytes.org
 

Database version: v2013.03.13.05
 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

user :: USER-PC [administrator]
 

13.03.2013 12:58:49

mbar-log-2013-03-13 (12-58-49).txt
 

Scan type: Quick scan

Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P

Scan options disabled: 

Objects scanned: 28699

Time elapsed: 2 minute(s), 36 second(s)
 

Memory Processes Detected: 0

(No malicious items detected)
 

Memory Modules Detected: 0

(No malicious items detected)
 

Registry Keys Detected: 0

(No malicious items detected)
 

Registry Values Detected: 0

(No malicious items detected)
 

Registry Data Items Detected: 0

(No malicious items detected)
 

Folders Detected: 0

(No malicious items detected)
 

Files Detected: 0

(No malicious items detected)
 

(end)

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=b3c5a79fe1ecb546bd5d9f87b7ffc0ca

# engine=13371

# end=finished

# remove_checked=true

# archives_checked=false

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-03-13 12:20:07

# local_time=2013-03-13 01:20:07 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1036 16777214 0 2 24009705 33688998 0 0

# compatibility_mode=5893 16776573 100 94 5694 114807057 0 0

# scanned=122973

# found=2

# cleaned=2

# scan_time=861

sh=F8AC214C85864999B6E9723A85E8820F4F967AFE ft=0 fh=0000000000000000 vn="JS/Agent.NID trojan (cleaned by deleting - quarantined)" ac=C fn="C:\_OTL\MovedFiles\03132013_123912\C_Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tofilali.js"

sh=886E36C6F04F391E2E90A05F73C8EC05E0A61A3E ft=1 fh=2b7d5155e462497f vn="a variant of Win32/Packed.VMProtect.AAH trojan (cleaned by deleting - quarantined)" ac=C fn="E:\max payne3\Max.Payne.3.CrackOnly-RLD-btarena\gsrld.dll"

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=b3c5a79fe1ecb546bd5d9f87b7ffc0ca

# engine=13373

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-03-13 12:52:40

# local_time=2013-03-13 01:52:40 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1036 16777214 0 2 24011658 33690951 0 0

# compatibility_mode=5893 16776573 100 94 7647 114809010 0 0

# scanned=122975

# found=0

# cleaned=0

# scan_time=1514

cosinus

13.03.2013 14:11

(Edit)

Zitat:

"E:\max payne3\Max.Payne.3.CrackOnly-RLD-btarena\gsrld.dll"

:pfui:

jojoba

13.03.2013 14:24

soeben entfernt worden!
du hast ja jetzt einen einigermaßen guten Überblick über mein System!
würdest du das System jetzt als sauber sehen?

was passiert nun mit den Log´s ?
ist es gefährlich für mich?Die preisgegeben Daten hier im Thema stehen zu lassen ?

vielen dank für deine arbeit!!

cosinus

13.03.2013 14:35

Hinweis: Alte Cracks oder Keygens
Lesestoff:
Alte Cracks und Keygens
Werkzeuge, die einen Kopierschutz umgehen, sind nach geltendem Recht illegal. Anhand der Logfiles habe ich gesehen, dass du solche Programme noch von früher auf deinem Computer hast. Bevor wir mit der Bereinigung fortfahren mußt du alle diese Dateien von deinem Rechner entfernen. Melde dich, wenn das erledigt ist. Sollten solche Dateien in einem der nächsten Logfiles auftauchen müssen wir den Support einstellen. Bitte habe Verständnis dafür, dass wir das illegale Kopieren von Software nicht unterstützen können und dürfen.

Hätten wir diese am Anfang der Bereinigung gesehen wäre hier Schluss gewesen. Da dein Rechner aber sauber ist und wir am Ende der drei PCs angekommen sind gebe ich dir das "All Clean" und entlasse dich mit der Warnung in Zukunft die Finger von solchen Tools zu lassen!

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

jojoba

13.03.2013 20:27

ok, hab ich mir angeschaut! gibts das auch auf deutsch? die Übersetzung ist nicht sehr toll..
ich habe ccleaner was denkst du davon ?

Desweiteren haben ich noch das Problem mit dem Usb-Stick welcher ja höchstwahrscheinlich das Problem ausgelöst hat. Sind die Daten in irgendeiner Weise zu Retten, mit einem Scann zu durchleuchten?

Vielen Dank
Gruß jojoba

cosinus

14.03.2013 11:24

Mein du zu der Hosts-Datei von MVPS? Nein, da gibt es mW keine deutsche Seite zu

Zitat:

Sind die Daten in irgendeiner Weise zu Retten, mit einem Scann zu durchleuchten?

Was genau soll mit dem Stick sein, warum steckst du den nicht einfach an?
Deaktivier aber bitte vorher unebdingt die automatische Wiedergabe (autorun)

Automatische Wiedergabe (Autorun) deaktivieren

Lesestoff:
Aufgabe von Autorun

Die Hauptaufgabe von Autorun besteht darin, auf Hardwareaktionen, die auf einem Computer gestartet werden, softwareseitig zu reagieren. Autorun bietet die folgenden Funktionen:

Doppelklicken
Kontextmenü
Automatische Wiedergabe

Diese Funktionen werden typischerweise von Wechselmedien oder Netzwerkfreigaben aufgerufen. Während der automatischen Wiedergabe wird die Datei "Autorun.inf" auf dem Medium analysiert. Diese Datei legt fest, welche Befehle vom System ausgeführt werden. Viele Firmen nutzen diese Funktionalität zum Starten von Installationsprogrammen.

Das Problem bzw. das Sicherheitsrisiko besteht darin, dass die Autorun-Funktion missbraucht werden kann, um automatisch zB auf infizierten USB-Sticks eine Schädlingsdatei (die in der autorun.inf definiert ist) auszuführen. Ich empfehle dir daher dringend, Autorun komplett zu deaktivieren.

Windows XP: Zur Vereinfachung hab ich die Datei noautorun.reg hochgeladen. Lade sie bitte auf den Desktop herunter, führ die Datei per Doppelklick aus und bestätige mit ja. Nach einem Neustart des Rechners ist die automatische Wiedergabe (von Datenträgern) auf allen Laufwerken deaktiviert, d.h. keine CD, kein Stick oder sonstwas startet nach dem Einstecken mehr automatisch.

Falls die o.g. Datei noautorun.reg nicht herunterladbar sein sollte, hier der Inhalt der noautorun.reg; einfach in eine Textdatei kopieren und diese als noautorun.reg Datei abspeichern und per Doppelklick ausführen um es in die Registry zu schreiben:

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

Windows Vista/7: In der Systemsteuerung unter automatische Wiedergabe von CDs und anderen Medien alles deaktivieren. => siehe auch Einstellungen für automatische Wiedergabe ändern

jojoba

14.03.2013 19:13

ich wollt ihn nicht anstecken, weil beim letzten verbinden mit meinem pc das Problem(Virus,Malware, KA) beim starten entstanden ist!

Versteh ich das richtig, dass wenn der Autorun aus is. Der Usb-Stick nicht auf mein compuer zugreifen kann, sondern nur ich daten runter ziehen kann ?

Und das wäre in meinem fall unbedenklich?

cosinus

15.03.2013 00:06

Zitat:

Versteh ich das richtig, dass wenn der Autorun aus is. Der Usb-Stick nicht auf mein compuer zugreifen kann, sondern nur ich daten runter ziehen kann ?

Du hast den Mechanismus noch nicht ganz verstanden, ist aber ja nicht schlimm.
Der USB-Stick ist nur ein "dummes" Speichermedium, er kann einfach nur Daten speichern. Das Problem liegt an der Funktion und an den Einstellungen bzw. Standardeinstellungen von Windows. Sobald ein USB-Datenträger eingesteckt wird sucht Windows nach dieser autorun.inf auf diesem, wird es fündig macht es auch das was darüber definiert ist. Durch die Autorunfunktion von Windows entsteht also erst dieses Sicherheitsproblem.

Also um es mal kurz zu machen: ja, deaktiviere Autorun (automatische Wiedergabe) komplett und das Anstecken eines USB-Sticks kann nichts ausrichten. Es wird nichts mehr ohne Nachfrage ausgeführt.

jojoba

15.03.2013 16:55

ok, jetzt habe ich es verstanden, danke!

Andere frage: Wie erhalten ich nun am besten so ein sauberes System?(Vierenprog./win7 Sicherheitseinstellungen/anti Malware/etc.)

gibt es da vlt. hier ein Thema oder in einem anderen Forum deiner Wahl etwas? hab nichts genaueres gefunden hier.

meine Anforderungen an das System sind arbeiten, surfen, Onlinebanking

cosinus

15.03.2013 18:18

Ich verstehe die Frage nicht ganz, wir haben dein System doch bereinigt. Dein System ist lt. Logs sauber

Oder hast du nach empfohlenen Sicherheitsmaßnahmen gefragt? Bitte genauer erklären was du da meinst

jojoba

15.03.2013 18:48

genau nach empfohlenen Sicherheitsmaßnahmen (Vierenprog./win7 Sicherheitseinstellungen/anti Malware/etc.)

cosinus

15.03.2013 19:58

Ok, kein Problem :)

Lesestoff:
Goldene Sicherheitsregeln
Halte Dich am besten grob an diese Regeln:

Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
Halte Windows und alle verwendeten Programme immer aktuell - unterstützen kann dich dabei Secunia PSI
Führe regelmäßig Backups auf externe Medien durch
Arbeite mit eingeschränkten Rechten
automatische Wiedergabe von allen Laufwerken komplett deaktivieren, denn das ist ein unnötiges Sicherheitsrisiko
Bei der Installation von Software möglichst darauf achten, dass die Setups aus offiziellen Quellen stammen und du bei der Installation nach Möglichkeit die benutzerdefinierte Methode wählst - dann hast du die Möglichkeit etwaigen Schrott (wie Toolbars oder sowas wie RegistryBooster) abzuwählen, welcher sonst einfach mitinstalliert wird.
Bösartige bzw. ungewollte Sites von vornherein blockieren lassen mit Hilfe der MVPS Hosts File => Blocking Unwanted Parasites with a Hosts File
Finger weg von: TuneUp, Registry-Cleanern aller Art, Softonic sowie illegalen Cracks/Keygens oder anderen "Tools" um ein kommerzielles Programm ohne Lizenz nutzen zu können
dubiose Seiten bzw. Kinofilm-Streaming-Portale ebenfalls sein lassen, erstens handelt man sich dort schnell Malware ein oder kann in Abofallen geraten und zweitens bewegen sich diese Seiten in einer rechtlichen Grauzone.

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?

jojoba

17.03.2013 17:25

Erstmal danke!

Secunia PSI ist installiert!

Backups! aber mit Welchem Prog.? Backup-Software für Datensicherung und Wiederherstellung | Acronis damit irgendwelche Erfahrungen ?

Was bringt arbeiten mit eingeschränkten rechten? Vielleicht dass der Eindringling dann auch nur eingeschränkte rechte hat (wäre logisch)?

Punkt 7 diese Hosts Files: Gibt es da vlt. ein Thema hier im Forum zu? wo es genauer erklärt wird? (versteh das nicht, wie das gehen soll)

Punkt 8: hab CCleaner! ist das ein Registry-Cleanern?

cosinus

17.03.2013 17:49

Zitat:

Backups! aber mit Welchem Prog.? Backup-Software für Datensicherung und Wiederherstellung | Acronis damit irgendwelche Erfahrungen ?

Das sei dir überlassen, welche Backupsoftware du nimmst

Zitat:

Vielleicht dass der Eindringling dann auch nur eingeschränkte rechte hat (wäre logisch)?

Zitat:

Punkt 7 diese Hosts Files: Gibt es da vlt. ein Thema hier im Forum zu? wo es genauer erklärt wird? (versteh das nicht, wie das gehen soll)

Du musst doch nur die Hosts-Datei von MVPS haben und nach c:\windows\system32\drivers\etc kopieren, die vorhandene einfach ersetzen

Zitat:

Punkt 8: hab CCleaner! ist das ein Registry-Cleanern?

Ja er hat so eine Funktion, einfach die Finger davon lassen

jojoba

18.03.2013 21:03

Und was bezwecken diese Hosts Files dann ?

inwiefern ist der ccleaner schlecht bzw warum die finger davon lassen ?

wäre cool wenn du´s mir genauer erklären könntest!

Alle Zeitangaben in WEZ +1. Es ist jetzt 14:57 Uhr.

Seite 2 von 3

100 Beiträge dieses Themas auf einer Seite anzeigen

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132