Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.03.2011, 00:39   #1
Laxyr
 
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt - Standard

Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt



Hallo Leute,
dies ist mein erster Post in eurem Forum und ich hoffe ihr könnt mir helfen. Bin momentan etwas verzweifelt.

Ok folgendes Problem: Bei einem routinemäßigen Scan mit Spybot fanden sich zwei unerwünschte Besucher:

Win32.FakeAlert.ttam
Win32.Palevo

Ich hab zuerst Spybot versuchen lassen die zwei zu beseitige, ohne Erfolg. Dann war ich manuell in der registry unterwegs um die entsprechenden Einträge zu Löschen. Ich habe auch Einträge gefunden die auf csrss.exe und dm*.exe (habe leider den korrekten namen der letzten vergessen) verwiesen haben. Beide. exe befanden sich im "Dokumente und Einstellungen" Bereich meiner Platte.
Ich dachte ich hätte zumindest eine von beiden erledigt weil sich sowohl die .exe (nach beendigung des entsprechenden Prozesses) als auch die registry einträge entfernen ließen aber Fehlanzeige. Auch im abgesicherten Windowsmodus ließ sich nichts dauerhaft entfernen

Nun verschlug es mich zu euch und ich fand auch ein Thema bei dem das Problem aber leider ungelöst blieb
http://www.trojaner-board.de/95491-w...hmt-panik.html

Über google habe ich auch noch einen Kompletten Lösungsansatz gefunden allerdings hat der Helfende dort betont, dass dieser Fix eine Individuallösung ausschließlich für diese Maschine sei.

Ich habe mir, durch euer Board dazu verleitet, malwarebytes heruntergeladen und installiert. Der fand die entsprechenden Datein und entfernte sie. nach einem Neustart hatte ich das Problem dass das Internet nicht mehr ging (was einige Leute in meiner Lage auch beschrieben haben). Die Ursache war, dass auf einmal eine Verbindung über einen Proxy versucht wurde.

Jetzt habe ich Malwarebytes nocheinmal durchlaufen lassen und nun findet er zwei vollkommen neue "Freunde"

Hijack.shell
PUM.Bad.Proxy

Beide male registry values
Die habe ich soeben entfernen Lassen.

Hier mal die entsprechenden Logs

Malwarebytes 1. Lauf

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 6005
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
 
09.03.2011 23:59:52
mbam-log-2011-03-09 (23-59-52).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 65303
Laufzeit: 18 Minute(n), 49 Sekunde(n)
 
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
 
Infizierte Speicherprozesse:
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> 3864 -> Unloaded process successfully.
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\dwm.exe (Spyware.Passwords.XGen) -> 2360 -> Unloaded process successfully.
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Trojan.Agent) -> Value: conhost -> Quarantined and deleted successfully.
 
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Spyware.Passwords.XGen) -> Bad: (C:\DOKUME~1\Besitzer\LOKALE~1\Temp\csrss.exe) Good: () -> Quarantined and deleted successfully.
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\microsoft\conhost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\Besitzer\anwendungsdaten\dwm.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\csrss.exe (Spyware.Passwords.XGen) -> Delete on reboot.
         
Malwarebytes 2. Lauf

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
 
Datenbank Version: 6005
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
 
10.03.2011 00:24:48
mbam-log-2011-03-10 (00-24-48).txt
 
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 138602
Laufzeit: 4 Minute(n), 44 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Ich werde jetzt nocheinmal einen scan mit Malwarebytes laufen lassen und sehen ob er noch was findet. Vielen Dank Im Voraus für eure Zeit.
Edit: Jetzt findet Malwarebytes keine infizierten Dateien mehr.. was natürlich nicht heißt dass keine mehr da sind. Auf den ersten Blick macht das System aber auch einen besseren Eindruck (nur noch ein csrss prozess und der dv* fehlt vollständig)


Jetzt würde ich von euch gerne wissen: Wie kann ich denn noch überprüfen ob mein Rechner wieder sauber ist?

mit freundlichen Grüßen, Lax

Ich hab bei euch in den FAQs noch ein bisschen gestöbert und mir ein paar Anleitungen zu diversen Tools angekuckt. Alelrdings steig ich nicht so ganz dahinter welches davon ich jetzt direkt brauchen könnte.

Ich habe jetzt nochmal die Suchmöglichkeiten von AntiVir ausgeschöpft und direkt nach spezielleren dingen wie rootkits alleine suchen lassen ohne Auffälligkeiten.

Das absolut sicherste wäre eine komplette Formatierung der Festplatte die ich aber vermeiden möchte. Es gibt hier zwar keine Daten die ich sichern möchte allerdings ist der Arbeitsaufwand doch ein erheblicher.

mfg, Lax

Alt 10.03.2011, 14:00   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt - Standard

Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt



Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________

__________________

Alt 10.03.2011, 14:28   #3
Laxyr
 
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt - Standard

Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt



Jop, hammer hier:
Sind leider zu lang für einen post, daher hänge ich die sachen als zip an

Ich werd jetzt garnicht groß versuchen diese selbst zu interpretieren. Das einzige was ich weiß ist, dass die Meldung

"Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
i8042prt"

nichts zu sagen hat. War, soweit ich weiß ein standard Maus/Keyboard treiber.

Es sei noch gesagt. Ich habe manuell nochmal nach entsprechenden registry keys suchen lassen (regedit). Die verdächtigen keys die auf die .exe der viren verwiesen haben sind alle Weg.

Mfg, Lax
__________________

Alt 10.03.2011, 15:01   #4
Laxyr
 
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt - Standard

Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt



Leute, ich hab nochmal drüber nachgedacht:

Ich denek selbst mit den besten scans kann ich nicht garantieren dass mein system noch sicher ist. Darum werde ich den Rechner wohl platt machen.

Sofern meine Versuche Sp3 in meine XP install CD zu integrieren nicht fehlschlagen werd ich das auch so machen.

Trotzdem wirklich vielen Dank für die Hilfe cosinus, ich schätze das sehr, dass du deine Freizeit dafür hergibst.

mfg, Lax

Alt 10.03.2011, 17:22   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt - Standard

Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt



Selbstverständlich kannst du auch formatieren wenn dir das lieber ist

__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt
besitzer, csrss.exe, datei, dateien, druck, dwm.exe, einstellungen, entfernen, explorer, fix, folge, forum, google, host.exe, internet, malwarebytes, microsoft, neue, neustart, problem, proxy, registry, scan, software, spybot, tan, temp, trojan.agent, win32.fakealert.ttam, win32.palevo, winlogon




Ähnliche Themen: Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt


  1. Win32:Malware-gen, Win32:Adware-gen, Win32:rookit-gen können nicht gelöscht werden
    Log-Analyse und Auswertung - 17.11.2015 (16)
  2. PC langsam, hängt sich beim Surfen auf, Bluescreen, Advanced System Protector, Win32:Dropper-gen, Win32:Malware-gen, Win32:Rootkit-gen u.a.
    Log-Analyse und Auswertung - 07.02.2015 (12)
  3. Win32:Malware-gen und Trojan.Win32.WinloadSDA.dewcdw und PUA.Win32.Packer.Upx-28 - falsch positive Meldungen?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2014 (1)
  4. Win32.Downloader.gen in Spybot
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (7)
  5. Win32.Sirefef von Spybot entdeckt - andere Virenscanner melden aber alles OK
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (13)
  6. FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid
    Log-Analyse und Auswertung - 04.02.2012 (46)
  7. Alureon-G@mbr / Win32:FakeAlert-AHH
    Log-Analyse und Auswertung - 26.05.2011 (1)
  8. Win32.FakeAlert.ttam und Win32.Palevo mit Spybot
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (25)
  9. Win32.palevo in HKEY_Users/S-1-5-21-1614895754-2111687655-839522115-1003/Software/CE8SIIFGSU
    Log-Analyse und Auswertung - 04.02.2011 (8)
  10. Exploit.PDF-JS.Gen,Trojan.Win32.GenericBT&Win32.BackdoorPoison entdeckt und entfernt - Logfile
    Log-Analyse und Auswertung - 20.09.2010 (11)
  11. Win32/Provis!rts, Win32/Ragterneb.A, Win32/Meredrop, Win32/VB.RC, TrojanDropper:Win32/Bamital.C
    Plagegeister aller Art und deren Bekämpfung - 30.08.2010 (7)
  12. nach spybot durchlauf... Win32.Agent.ieu, Win32.FraudLoad, Win32.PornPopup
    Log-Analyse und Auswertung - 08.08.2010 (3)
  13. win32.vb.iin gefunden vom spybot
    Log-Analyse und Auswertung - 16.09.2009 (16)
  14. Trojaner: Win32.KeyLogger, Win32.GreenScreen,Win32.Agent, Win32Tiny, HTML.Bankfraud
    Log-Analyse und Auswertung - 29.09.2008 (1)
  15. FakeAlert Trojan-Spy.Win32.GreenScreen etc.
    Plagegeister aller Art und deren Bekämpfung - 18.09.2008 (8)
  16. Win32:Trojan-gen {Other} entdeckt
    Mülltonne - 23.01.2008 (0)
  17. Win32.P2P.SpyBot.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.10.2004 (3)

Zum Thema Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt - Hallo Leute, dies ist mein erster Post in eurem Forum und ich hoffe ihr könnt mir helfen. Bin momentan etwas verzweifelt. Ok folgendes Problem: Bei einem routinemäßigen Scan mit Spybot - Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt...
Archiv
Du betrachtest: Win32.FakeAlert.ttam und Win32.Palevo via SpyBot Entdeckt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.