| |
| |||||||
Log-Analyse und Auswertung: TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.OWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
08.05.2011, 23:55
| #1 |
 |  TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O Hallo, Ich versuche mich so kurz wie möglich, aber dennoch aussagekräftig zu halten. Ich benutze Antivir und sonst keine Firewall oder Sonstiges, ausser die in meiner Vodafone EasyBox TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O Ablauf der Infektion (Genaueres -> Die relevanten, exportierten Ereignisse von Antivir findet ihr auch in der Logfiles.zip) Vereinzelt wurden in zeitlichem Abstand die Trojaner TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT gefunden. Später HTML/ExpKit.Gen2 und TR/Kazy.21978 Zur Vorsicht Deaktivierung der Internetverbindung Danach wiederholendes Auftreten der Windows-Meldung "[Titel: Offline arbeiten] Es konnte keine Verbindung zum Internet hergestellt werden. Klicken Sie auf "Offline arbeiten", um Internetinhalte anzuzeigen, die auf dem Computer gespeichert wurden. Klicken sie auf "Wiederholen", um eine Verbindung herzustellen." Ob Diese Meldung, durch Updateprogramme wie AdobeUpdater oder ähnliches hervorgerufen werden, weiß ich nicht, aber ich gehe davon aus, dass einer der Viren oder Trojaner aufs Internet zugreifen möchte. Bei weiterem manuellem Suchlauf auch JAVA/Pesc.O. Habe Hijackthis durchlaufen lassen, allerdings ließ sich nicht, alles Löschen, da sie immer wieder auftauchen. In der Registry sind einträge zu finden, diese lassen sich aber nicht löschen, da sie immer wieder auftauchen. Habe selbst schon Dinge, wie Diagnosestart, Löschen der Einträge per Tuneup oder msconfig und weitere Kleinigkeiten bereits probiert. Sowohl bei Hijackthis, als auch in der Registry, handelt es sich um folgenden Eintrag, der mir Auffällig wurde: (in der Registry an 2 Orten zu finden) O4 - HKLM\..\Run: [Jyeqenarohilo] rundll32.exe "C:\WINDOWS\orilalihocim.dll",Startup Danach Malwarebytes Suchlauf (Vor dem Fixen mb.txt - nach dem fixen mbnachaktion.txt) Edit: Wenn ich nach dem "Entfernen" durch Malwarebytes einen neuen HijackThis laufe mache, ist sowohl Jyeqen... noch vorzufinden, als neuerdings auch O4 - HKCU\..\Run: [4E3E0230AEBB4E96] C:\Recycle.Bin\Recycle.Bin.exe Hijackthis Logfiles, Malwarebytes Logfiles sowie OTL Logfiles werden sich neben den exportierten, relevanten Antivir-Ereignissen im Anhang, Logfiles.zip befinden. Ich hoffe ihr könnt mir helfen! Liebe Grüße, Gude Geändert von Gude (09.05.2011 um 00:06 Uhr) Grund: Vervollständigung |
| Themen zu TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O |
| ablauf, anhang, antivir, c:\windows, computer, dll, easybox, einträge, firewall, folge, hijack, hijackthis, html/expkit.gen2, infektion, internetverbindung, keine firewall, keine verbindung, klicke, logfiles, löschen, malwarebytes, nicht löschen, offline, recycle.bin, registry, rundll, rundll32.exe, trojaner, verbindung, viren, vodafone |
Baum-Darstellung