Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   GMER führt zu Windows Shut Down (https://www.trojaner-board.de/119492-gmer-fuehrt-windows-shut-down.html)

Tschuwawah 14.07.2012 16:45
GMER führt zu Windows Shut Down
 
Hallo, GMER führt unmittelbar nach ausführen zu einem Shut down mit direktem Neustart unter winXP SP3. Das Programm selbst ist nur eine Winzigkeit lang sichtbar.

wlan getrennt, virenscanner abgeschaltet. Programm von Desktop gestartet als admin. Was läuft da verkehrt?

Grüße
Michael

cosinus 16.07.2012 21:17
Das ist einfach so bei GMER. Es führt auf manchen Systemen zu Abstürzen.
Ist ja auch kein Wunder, denn GMER ist ein sehr systemnahes Tool, anders kann man nicht rootkits aufspüren

Tschuwawah 17.07.2012 18:37
Hallo Arne,

gibt's denn 'ne Alternative?

Gruß,
Michael

cosinus 18.07.2012 15:47
Wenn du analysieren willst, musst du halt eben auf GMER erstmal verzichten
Hast du schon Malwarebytes und ESET ausgeführt?
Ich lass GMER lieber zum Schluss ausführen wenn ich einen Überblick üder das System bekommen habe

Tschuwawah 18.07.2012 20:31
Malwarebytes lief Sonntag 7 Std. lang. Ohne Ergebnis. Das Problem war, das Mwb vorher schon diesen gamelab virus fand. Den habe ich dann , entgegen eures Rates, gelöscht. Dann bin ich erst auf diese Seite gestoßen und wollte nun zur Absicherung GMER laufen lassen. Das ging dann nicht. Z.Zt. läuft gerade ESET und hat schon 4 infizierte Dateien gefunden. diese werden ja von Eset gelöscht werden. Falls es danach noch Probleme gibt, fange ich ein neues Thema an. Vielen Dank bis dahin.
Besten Gruß,
Michael

Tschuwawah 19.07.2012 14:47
Java/Exploit.CVE-2012-0507.CD Trojaner von ESET gefunden
 
Hallo ,

ESET Online Scanner findet Java/Exploit.CVE-2012-0507.CD Trojaner im Verzeichnis eines Benutzerkontos. Der Benutzer wird sich erstmal nicht anmelden.
Habe weiter nichts unternommen.
OTL.txt angehängt.
Extras.txt wurde nicht erstellt bei Run 2. Habe daher diese von Run 1 angehängt.

Wie soll ich weiter vorgehen?
Danke schon mal -
Besten Gruß
Michael

cosinus 19.07.2012 15:45
Trotzdem bitte alle Logs von Malwarebytes posten!!
Die Logs enthalten ein paar mehr Infos als nur Fund oder kein Fund.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Tschuwawah 19.07.2012 15:55
OK
Code:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.15.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: *** [Administrator]

Schutz: Deaktiviert

15.07.2012 09:05:55
mbam-log-2012-07-15 (09-05-55).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 402034
Laufzeit: 7 Stunde(n), 51 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Habe durch eset nun einen trojaner gefunden und im anderen Thread einen Thema eröffnet.
Besten Gruß
Michael

eben war das letzte log. nun das erste
Code:
Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.23.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: *** [Administrator]

Schutz: Aktiviert

24.06.2012 09:26:25
mbam-log-2012-06-24 (09-26-25).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 368721
Laufzeit: 4 Stunde(n), 17 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader_fuer_powerstrip.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\FinalMediaPlayer2011Setup.exe (PUP.BundleOffers.IIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\qkhal.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KLV0RV6Q\soft4[1].exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ADLSoft_UnCompressor.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

cosinus 19.07.2012 19:51
Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! http://cosgan.de/images/midi/boese/a040.gif

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Was soll das mit dem neuen Thema?! :wtf:
Ich werde beide zusammenführen!

Und poste auch bitte das ESET-Log!

Tschuwawah 20.07.2012 14:19
ok, habe verstanden, hier das eset log:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8ec7206763acd447963165145b428af7
# end=stopped
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-23 09:25:12
# local_time=2012-06-23 11:25:12 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=5891 16776533 42 93 1898 8220989 0 0
# compatibility_mode=8192 67108863 100 0 220 220 0 0
# scanned=784
# found=0
# cleaned=0
# scan_time=276
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8ec7206763acd447963165145b428af7
# end=finished
# remove_checked=true
# archives_checked=false
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-18 09:11:34
# local_time=2012-07-18 11:11:34 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5891 16776869 42 92 23690 10372129 0 0
# compatibility_mode=8192 67108863 100 0 2151360 2151360 0 0
# scanned=161297
# found=5
# cleaned=5
# scan_time=8313
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\registrybooster.exe        Win32/RegistryBooster Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\SoftonicDownloader64308.exe        Variante von Win32/SoftonicDownloader.A Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is357113909\ezLookerSilent_DDD_FTT_BG_BD_BVD.exe        möglicherweise Variante von Win32/Adware.HLQFYSH Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\is357113909\MyBabylonTB.exe        Win32/Toolbar.Babylon Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1Q91SXPD\main[1]        Win32/LockScreen.AHO Trojaner (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=8ec7206763acd447963165145b428af7
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-19 12:30:09
# local_time=2012-07-19 02:30:09 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5891 16776869 42 92 41532 10422424 0 0
# compatibility_mode=8192 67108863 100 0 2201655 2201655 0 0
# scanned=161735
# found=1
# cleaned=0
# scan_time=13133
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\2\6e0c5882-6b170cb0        Variante von Java/Exploit.CVE-2012-0507.CD Trojaner (Säubern nicht möglich)        00000000000000000000000000000000        I
Gruß,
Michael

cosinus 20.07.2012 18:13
Code:
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\registrybooster.exe
Finger weg von Registry-Cleanern!!

Die Registry ist das Hirn des Systems. Funktioniert das Hirn nicht, funktioniert der Rest nicht mehr wirklich.
Wir lesen oft genug von Hilfesuchenden, dass deren System nach der Nutzung von Registry Cleanern nicht mehr startet.
  • Wie soll der Cleaner zu 100% wissen ob der Eintrag benötigt wird oder nicht ?
  • Es ist vollkommen egal ob ein paar verwaiste Registry Einträge am System sind oder nicht.
  • Auch die dauernd angepriesene Beschleunigung des Systems ist nur bedingt wahr. Du würdest es nicht merken.

Ein sogenanntes False Positive von einem Cleaner kann auch dein System unbootbar machen.
Zerstörst Du die Registry, zerstörst Du Windows.


adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop. ( falls vorhanden: alte adwCleaner löschen und neu runterladen!)
  • Starte die adwcleaner.exe mit einem Doppelklick. Wenn du Vista oder Win7 hast bitte per Rechtsklick => Als Administrator ausführen!
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:24 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129