Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: SCREENSHOTPLAGE im Tempordner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 08.04.2010, 22:34   #1
muckido
 
SCREENSHOTPLAGE im Tempordner - Böse

SCREENSHOTPLAGE im Tempordner



hallo zusammen,

ich habe zu dem problem bis jetzt einen eintag gefunden, jedoch nicht brauchbar in meinem fall. seid kurzem habe ich das problem, dass jede 3te oder 4te sekunde ein screenshot von meinem desktop erstellt wird und sofort als eine .jpg datei mit ~75KB - ~106KB erstellt wird. die datei wird mit dem angemeldeten user gekennzeichnet gefolgt von ^ dann der computername und bildnummer. in meinem fall sieht es folgend aus BISHOP^CHURCH1.jpg wobei die 1 am ende sich mit folgezahlen ändert. hatte letztens knappe 30000 (dreisigtausend = ~3,17 GB) bilder drin gehabt. diesmal sind es nur 217 MB. löschen war sehr mühsam und mit viel geduld verbunden. er macht screenshots wenn er will. dass heißt es werden nicht permanent screenshots erstellt. unvorhersehbar wann es los geht.

wo das problem zum aller ersten mal auftrat, war ich zufällig im temp drin und es fing einfach an. wunderte mich was das für files sind. beim öffnen vom ersten bild ist mir dann alles klar gewesen. hab das problem für ein paar tage ruhen gelassen und es wurden die knappe 30000 bilder in der zeit erstellt.

HJT logfile und ein screenshot vom temp ordner als anhang.

seid kurzem ist mir aufgefallen, dass die winsys.exe sich im im c:windows befindet. ist sie der übeltäter? hab schon mit HJT diese 2 einträge gefixt, aber die rekonstruiert sich immer wieder. ab und zu sehe ich sie im taskmanager. hab sie auch bei virustotal.com prüfen lassen = 0/39. denke die ist sauber.

falls jemand dieses problem kennt, wäre ich unendlich dankbar für eine lösung.


gruß,
muckido

ps.: wie kriege ich den drittletzten eintrag gefixt? die datei "ipnathlp.dll" ist schon im system32 drin. mann kann die auch nicht im laufenden betrieb austauschen, gegen die etwas größere aus dlldump.com.

Anhang 6176

SCREENSHOTPLAGE im Tempordner-tempfolder.jpg

Geändert von muckido (08.04.2010 um 22:47 Uhr)

Alt 09.04.2010, 07:14   #2
Chris4You
 
SCREENSHOTPLAGE im Tempordner - Standard

SCREENSHOTPLAGE im Tempordner



Hi,

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

OTL
Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread


Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (http://www.gmer.net/#files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.
Falls GMER nicht läuft, im abgesicherten Modus probieren...

Was für eine Sicherheitslösung setzt Du ein?

chris
__________________

__________________

Alt 10.04.2010, 22:27   #3
muckido
 
SCREENSHOTPLAGE im Tempordner - Standard

SCREENSHOTPLAGE im Tempordner



hi,

danke für die schnelle hilfe und antwort. anbei die gewünschten logfiles.


gruß,
muckido

Anhang 6192

Anhang 6193
__________________

Alt 11.04.2010, 08:06   #4
Chris4You
 
SCREENSHOTPLAGE im Tempordner - Standard

SCREENSHOTPLAGE im Tempordner



Hi,

das sieht schon mal recht ordentlich aus.

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 01.05.2010, 23:55   #5
muckido
 
SCREENSHOTPLAGE im Tempordner - Icon19

SCREENSHOTPLAGE im Tempordner



Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

das sieht schon mal recht ordentlich aus.

Cureit:
http://www.trojaner-board.de/59299-a...eb-cureit.html
Nach Beendigung des Scans findes Du das Log unter %USERPROFILE%\DoctorWeb\CureIt.log.
Bevor du irgendwelche Aktionen unternimmst, kopiere bitte den Inhalt des Logs und poste ihn.
Die Log Datei ist sehr groß, ca. über 5MB Text. Benutzt einfach die Suche nach "infiziert" und kopiert betreffende Teile heraus, bevor Du sie postet.

chris
hi chris,

danke nochmals für die hilfe sieht ganz vernünftig grad aus. wollte heut abend evtl. den doctorweb mal starten. bin mir aber nicht sicher. scheint ein sehr langer prozess zu werden, deswegen wollte ich den starten wenn ich grad nix am pc mach. wenns soweit ist, werde ich den log posten.

gruß,
muckido


Alt 16.05.2010, 01:40   #6
muckido
 
SCREENSHOTPLAGE im Tempordner - Standard

SCREENSHOTPLAGE im Tempordner



hat sich erledigt hab mein pc wegen den bescheuerten nvidia raid treibern bereits 3 mal platt gemacht

zum verzweifeln das unternehmen!

nochmals vielen dank für alles!!!

Antwort

Themen zu SCREENSHOTPLAGE im Tempordner
.jpg datei, austauschen, betrieb, bild, bilder, computer, datei, desktop, einträge, erstellt, folge, hallo zusammen, kriege, logfile, löschen, ordner, problem, prüfen, screenshot, screenshotterror, system, system32, temp, temp ordner, virus, virustotal.com, windows, winsys.exe, zusammen





Zum Thema SCREENSHOTPLAGE im Tempordner - hallo zusammen, ich habe zu dem problem bis jetzt einen eintag gefunden, jedoch nicht brauchbar in meinem fall. seid kurzem habe ich das problem, dass jede 3te oder 4te sekunde - SCREENSHOTPLAGE im Tempordner...
Archiv
Du betrachtest: SCREENSHOTPLAGE im Tempordner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.