Trojaner-Board - Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe

Seite 3 von 4

100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Antivir-Fund: (1) lpl.exe auf USB-Stick = WORM/Autorun.bqls (2) Prozess: ApplicationUpdater.exe (https://www.trojaner-board.de/94132-antivir-fund-1-lpl-exe-usb-stick-worm-autorun-bqls-2-prozess-applicationupdater-exe.html)

El Toco

16.02.2011 13:52

Moin,
aus verschiedenen Gründen konnte ich damals nicht weitermachen.

Die Frage die ich mir jetzt stelle:

Soll ich alles noch einmal machen oder am letzten Punkt (s. letzter Beitrag) weitermachen?

Edith fügt wegen des Seitenumbruchs den letzten Beitrag hier ein:

Zitat:

Zitat von El Toco (Beitrag 604430)

Zitat:

Zitat von cosinus (Beitrag 604308)

Hast du autoplay deaktiviert? Flash-Disinfector bei angesteckten Sticks und USB-Festplatten ausgeführt?

Bisher hab ich nur den ersten Schritt versucht zu vollziehen, um erstmal den Rechner (den ich benötige) wieder voll einsatzfähig zu bekommen!?

USB würd ich dann im 2. Schritt machen...?

FYI: Den Flash-Disinfector kann ich wieder erst heut Nacht durchlaufen lassen...

cosinus

16.02.2011 14:34

Was hast du von den letzten Schritten nicht gemacht?

El Toco

16.02.2011 14:43

Zitat:

Zitat von cosinus (Beitrag 620937)

Was hast du von den letzten Schritten nicht gemacht?

Das was noch fehlt ist

(1) OSAM-Fund: Wurde nicht (mehr!) gefunden, deshalb nicht gemäß Anweisung gelöscht!

Zitat:

"awacakod" (awacakod) - ? - D:\DOKUME~1\Zensiert\LOKALE~1\Temp\awacakod.sys (Hidden registry entry, rootkit activity | File not found)

Zitat:

Zitat von cosinus (Beitrag 603741)

Bitte mit OSAM deaktiveren und löschen. Siehe Anleitung zu OSAM

(2) Flash-Disinfector wurde noch nicht ausgeführt.

cosinus

16.02.2011 14:44

Ok, dann erstmal den FlashDisinfector ausführen gemäß o.g. Anweisung ;)

El Toco

16.02.2011 14:48

OK, alle Telefone / USB-Geräte waren angesteckt und "Flash-Disinfector" ist durch.

...und nu?

Edith sagt, keine besonderen Vorkommnisse beim "Flash-Disinfector".

cosinus

16.02.2011 14:50

Gut. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

El Toco

16.02.2011 14:50

Zitat:

Zitat von cosinus (Beitrag 620951)

Gut. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Alle USB-Dingens dabei ranklemmen?
...es gibt ja noch die Option "Flash-Scan"...!?

cosinus

16.02.2011 15:00

Nein mach einen Vollscan. Flashscan ist nur verfügbar, wenn du ein registriertes MBAM hast, der Schlüssel kostet aber Geld ;)
Und ja, bitte alles dranklemmen vor dem Scannen. Und natürlich in den Vollscan miteinbeziehen.

El Toco

16.02.2011 15:31

Nach ca. 30 min ist MBAM abgebrochen (BTW: bis dahin 4 Funde).

Folgende Datei ist im Problemberichtaufgenommen:

Zitat:

D:\DOKUME~1\ZENSIERT:"Benutzername"\LOKALE~1\Temp\ae34_appcompat.txt

:schrei:

Edith fügt hinzu:
Ich werde dann mal "SuperAntiSpyware" durchlaufen lassen, wenn ich nix gegenteiliges lese.

Parallel bin ich über den Labtop online, um hier zu lesen.

cosinus

16.02.2011 18:25

Was genau abgebrochen? Abgestürzt, Rechner hat sich neugestartet?

El Toco

17.02.2011 20:16

Abgebrochen, heisst das Programm ist abgestürzt.
Bis zu dem Absturz gab es 4 Funde. Nach dem Absturz wollte das Program den Fehler melden. Aus der Fehlermeldung habe ich den Dateinamen kopiert.

Hier ist das SUPERAntospyware-Log:

PHP-Code:

   SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com

 
Generated 02/16/2011 at 07:13 PM

 
Application Version : 4.48.1000

 
Core Rules Database Version : 6411

Trace Rules Database Version: 4223

 
Scan type       : Complete Scan

Total Scan Time : 03:25:11

 
Memory items scanned      : 404

Memory threats detected   : 0

Registry items scanned    : 6741

Registry threats detected : 0

File items scanned        : 290122

File threats detected     : 2

 
Trojan.Malware

    C:\asdf.txt

 
Adware.Tracking Cookie

    googleads.g.doubleclick.net [ C:\Dokumente und Einstellungen\SD2\Anwendungsdaten\Macromedia\Flash Player\#SharedObjects\QJEWL9EN ]

cosinus

17.02.2011 20:23

Dann mach wenigstens noch einen Quickscan mit Malwarebytes.

El Toco

17.02.2011 20:53

MBAM - Quick-Scan:

HTML-Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5772
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512
 

17.02.2011 20:53:04

mbam-log-2011-02-17 (20-52-57).txt
 

Scan type: Quick scan

Objects scanned: 156873

Time elapsed: 1 minute(s), 20 second(s)
 

Memory Processes Infected: 1

Memory Modules Infected: 0

Registry Keys Infected: 1

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 1
 

Memory Processes Infected:

d:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> 300 -> No action taken.
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Application Updater (PUP.Dealio) -> No action taken.
 

Registry Values Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\D:\PROGRAMME\APPLICATION UPDATER\APPLICATIONUPDATER.EXE (PUP.Dealio) -> Value: APPLICATIONUPDATER.EXE -> No action taken.
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

d:\programme\application updater\applicationupdater.exe (PUP.Dealio) -> No action taken.

cosinus

17.02.2011 20:56

Wieso entfernst du die Funde nicht? :confused:

El Toco

17.02.2011 21:06

Zitat:

Zitat von cosinus (Beitrag 621649)

Wieso entfernst du die Funde nicht? :confused:

Na, kann ja sein dass ich vorm entfernen noch was machen muss -Wiederherstellungskonsole aus oder so!?

Dann lösch ich mal!

Alle Zeitangaben in WEZ +1. Es ist jetzt 01:01 Uhr.

Seite 3 von 4

100 Beiträge dieses Themas auf einer Seite anzeigen

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131