|
Plagegeister aller Art und deren Bekämpfung: Trojaner gelöscht?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.07.2011, 14:42 | #1 |
| Trojaner gelöscht? Guten Tag allerseits. Gestern ist mein Computer aufgrund eines Viruses oder Trojaners ausgerastet. Es wurden plötzlich (ohne irgendeine exe ausgeführt zu haben oder auf einer auch nur fragwürdigen seite zu sein) wild Programme geöffnet und in geöfneten Programmen warscheinlich willkürlich rumgeklickt. Eine Mail von meiner Cousine (ohne Links oder irgendetwas besonderes) würde in Thunderbird so oft geöffnet bis 4 leisten voll von mails waren. Ich habe daraufhin sofort, das internet rausgezogen und im abgesicherten modus einen quickscan gemacht welcher einen Trojaner gefunden hat welchen ich entfernt habe. Danach habe ich nochmal einen Komplettscan durchführen lassen allerdings ohne weiteren Ergebnisse. Bei Antivir wird nun beim normalen starten in der Übersicht angezeigt, dass alles in Ordnung wäre. Allerdings wird das Feld Online-Schutz sofort rot wenn ich es anklicke und es steht Webguard Unbekannt da. Ich habe dass Gefühl das immer noch nicht alles in Ordnung ist. Wie sollte ich weiter Verfahren? Ist es ratsam seine Passwörter etc. zu ändern, da sie vielleicht aufgenommen worden sein könnten? Hoffe auf baldige Hilfe und bedanke mich schonmal im vorraus. |
22.07.2011, 14:54 | #2 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gelöscht?Zitat:
__________________ |
22.07.2011, 17:44 | #3 |
| Trojaner gelöscht? das mache ich gern. Wo finde ich die logs bei Antivir und wie poste ich sie?
__________________ |
22.07.2011, 22:20 | #4 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gelöscht? Hauptmenü Berichte/Ereignisse
__________________ Logfiles bitte immer in CODE-Tags posten |
23.07.2011, 20:25 | #5 |
| Trojaner gelöscht? Hi, habe gerade geschaut. Es hat auf mein Torrent Programm ausgeschlagen was ich schon ewig auf meinem rechner habe. Allerdings kann hier der Fehler nicht wirklich liegen, denn Antivir macht immer noch den Eindruck als würde es nicht normal funktionieren (geschlossener Schirm etc.) und den Ausraster wird dass warscheinlich auch nicht verursacht haben. Ich hoffe mein Thema wird weiter bearbeitet auch wenn Torrents manchmal zu illegalen zwecken genutzt werden sind sie ja keineswegs illegal. (Wegen eurer no cracks klausel etc.) (habe cryptload auch schon ne ganze weile nicht mehr benutzt also könnte dadurch auch nichts ausgelöst worden sein.) Vorsichtshalber habe ich es dennoch gelöscht. Wie kann ich jetzt feststellen, was das ganze ausgelöst hat bzw. ob es jetzt weg ist? Log: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Donnerstag, 21. Juli 2011 23:30 Es wird nach 3025171 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows Vista x64 Windowsversion : (Service Pack 2) [6.0.6002] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : DANIEL-PC Versionsinformationen: BUILD.DAT : 10.2.0.696 35934 Bytes 29.06.2011 17:26:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 01.07.2011 09:26:13 AVSCAN.DLL : 10.0.5.0 57192 Bytes 01.07.2011 09:26:13 LUKE.DLL : 10.3.0.5 45416 Bytes 01.07.2011 09:26:14 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 11:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 01.07.2011 09:26:14 AVREG.DLL : 10.3.0.9 88833 Bytes 13.07.2011 08:59:00 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 09:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 18:04:02 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09.02.2011 17:12:57 VBASE003.VDF : 7.11.5.225 1980416 Bytes 07.04.2011 14:33:45 VBASE004.VDF : 7.11.8.178 2354176 Bytes 31.05.2011 17:28:10 VBASE005.VDF : 7.11.10.251 1788416 Bytes 07.07.2011 15:17:22 VBASE006.VDF : 7.11.10.252 2048 Bytes 07.07.2011 15:17:22 VBASE007.VDF : 7.11.10.253 2048 Bytes 07.07.2011 15:17:22 VBASE008.VDF : 7.11.10.254 2048 Bytes 07.07.2011 15:17:22 VBASE009.VDF : 7.11.10.255 2048 Bytes 07.07.2011 15:17:22 VBASE010.VDF : 7.11.11.0 2048 Bytes 07.07.2011 15:17:22 VBASE011.VDF : 7.11.11.1 2048 Bytes 07.07.2011 15:17:22 VBASE012.VDF : 7.11.11.2 2048 Bytes 07.07.2011 15:17:22 VBASE013.VDF : 7.11.11.75 688128 Bytes 12.07.2011 08:58:59 VBASE014.VDF : 7.11.11.104 978944 Bytes 13.07.2011 15:56:10 VBASE015.VDF : 7.11.11.137 655360 Bytes 14.07.2011 15:56:11 VBASE016.VDF : 7.11.11.184 699392 Bytes 18.07.2011 11:29:02 VBASE017.VDF : 7.11.11.185 2048 Bytes 18.07.2011 11:29:02 VBASE018.VDF : 7.11.11.186 2048 Bytes 18.07.2011 11:29:02 VBASE019.VDF : 7.11.11.187 2048 Bytes 18.07.2011 11:29:02 VBASE020.VDF : 7.11.11.188 2048 Bytes 18.07.2011 11:29:02 VBASE021.VDF : 7.11.11.189 2048 Bytes 18.07.2011 11:29:02 VBASE022.VDF : 7.11.11.190 2048 Bytes 18.07.2011 11:29:02 VBASE023.VDF : 7.11.11.191 2048 Bytes 18.07.2011 11:29:02 VBASE024.VDF : 7.11.11.192 2048 Bytes 18.07.2011 11:29:02 VBASE025.VDF : 7.11.11.193 2048 Bytes 18.07.2011 11:29:03 VBASE026.VDF : 7.11.11.194 2048 Bytes 18.07.2011 11:29:03 VBASE027.VDF : 7.11.11.195 2048 Bytes 18.07.2011 11:29:03 VBASE028.VDF : 7.11.11.196 2048 Bytes 18.07.2011 11:29:03 VBASE029.VDF : 7.11.11.197 2048 Bytes 18.07.2011 11:29:03 VBASE030.VDF : 7.11.11.198 2048 Bytes 18.07.2011 11:29:03 VBASE031.VDF : 7.11.11.208 77824 Bytes 19.07.2011 11:29:03 Engineversion : 8.2.6.16 AEVDF.DLL : 8.1.2.1 106868 Bytes 02.08.2010 15:09:30 AESCRIPT.DLL : 8.1.3.73 1622395 Bytes 17.07.2011 15:56:16 AESCN.DLL : 8.1.7.2 127349 Bytes 29.11.2010 20:46:59 AESBX.DLL : 8.2.1.34 323957 Bytes 07.06.2011 17:28:15 AERDL.DLL : 8.1.9.13 639349 Bytes 17.07.2011 15:56:16 AEPACK.DLL : 8.2.9.5 676214 Bytes 17.07.2011 15:56:15 AEOFFICE.DLL : 8.1.2.12 201083 Bytes 17.07.2011 15:56:14 AEHEUR.DLL : 8.1.2.144 3621240 Bytes 17.07.2011 15:56:14 AEHELP.DLL : 8.1.17.5 246135 Bytes 17.07.2011 15:56:12 AEGEN.DLL : 8.1.5.6 401780 Bytes 20.05.2011 13:33:37 AEEMU.DLL : 8.1.3.0 393589 Bytes 29.11.2010 20:46:57 AECORE.DLL : 8.1.22.4 196983 Bytes 17.07.2011 15:56:12 AEBB.DLL : 8.1.1.0 53618 Bytes 02.08.2010 15:09:25 AVWINLL.DLL : 10.0.0.0 19304 Bytes 02.08.2010 15:09:33 AVPREF.DLL : 10.0.3.2 44904 Bytes 01.07.2011 09:26:13 AVREP.DLL : 10.0.0.10 174120 Bytes 17.05.2011 13:23:15 AVARKT.DLL : 10.0.26.1 255336 Bytes 01.07.2011 09:26:12 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 01.07.2011 09:26:13 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 14:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 02.08.2010 15:09:33 NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 14:27:01 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 01.07.2011 09:26:11 RCTEXT.DLL : 10.0.64.0 98664 Bytes 01.07.2011 09:26:11 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: D:\programme\avira\antivir desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, D:, E:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Donnerstag, 21. Juli 2011 23:30 Der Suchlauf nach versteckten Objekten wird begonnen. HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information\datasecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. HKEY_USERS\S-1-5-21-2383699699-257912313-3487588874-1000\Software\SecuROM\License information\rkeysecu [HINWEIS] Der Registrierungseintrag ist nicht sichtbar. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'thunderbird.exe' - '73' Modul(e) wurden durchsucht Durchsuche Prozess 'AMDSrv.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '77' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '68' Modul(e) wurden durchsucht Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'postgres.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'postgres.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'TeamViewer_Service.exe' - '60' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '27' Modul(e) wurden durchsucht Durchsuche Prozess 'pg_ctl.exe' - '43' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '71' Modul(e) wurden durchsucht Durchsuche Prozess 'hamachi-2-ui.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '57' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '29' Modul(e) wurden durchsucht Durchsuche Prozess 'AdobeARM.exe' - '47' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '56' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'D:\' [INFO] Es wurde kein Virus gefunden! Bootsektor 'E:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '195' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\Downloads\6941f4a16e434b2877d378b80081f466\custom3d.7z.001 [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\Daniel\Desktop\Programme\Cryptload1.1.8\tools\RouterRecorder.exe [FUND] Ist das Trojanische Pferd TR/Swisyn.aqmf Beginne mit der Suche in 'D:\' Beginne mit der Desinfektion: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA C:\Users\Daniel\Desktop\Programme\Cryptload1.1.8\tools\RouterRecorder.exe [FUND] Ist das Trojanische Pferd TR/Swisyn.aqmf [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be6167f.qua' verschoben! Ende des Suchlaufs: Freitag, 22. Juli 2011 01:26 Benötigte Zeit: 1:56:21 Stunde(n) Der Suchlauf wurde abgebrochen! 41286 Verzeichnisse wurden überprüft 1075443 Dateien wurden geprüft 1 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 1 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 1075442 Dateien ohne Befall 4912 Archive wurden durchsucht 1 Warnungen 3 Hinweise 530293 Objekte wurden beim Rootkitscan durchsucht 2 Versteckte Objekte wurden gefunden |
25.07.2011, 09:50 | #6 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gelöscht? Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! Führe auch bitte ESET aus, danach sehen wir weiter. ESET Online Scanner
n.
__________________ --> Trojaner gelöscht? |
25.07.2011, 19:00 | #7 |
| Trojaner gelöscht? Eset ist mehrere Stunden durchgelaufen hat am ende aber kein log ausgespuckt. log von malwarebytes: Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Datenbank Version: 7271 Windows 6.0.6002 Service Pack 2 Internet Explorer 7.0.6002.18005 25.07.2011 15:46:54 mbam-log-2011-07-25 (15-46-46).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|) Durchsuchte Objekte: 630197 Laufzeit: 2 Stunde(n), 38 Minute(n), 47 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Titan Poker (PUP.Casino) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Poker\titan poker\_titanpsetup_133ec8.exe (PUP.Casino) -> No action taken. |
25.07.2011, 19:31 | #8 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gelöscht?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
25.07.2011, 20:14 | #9 |
| Trojaner gelöscht? Ja das habe ich. Ich habe es einmal über das command versucht: "file does not exist" und danach bin ich manuell in den Ordner gegangen, aber dort gab es kein log.txt. |
25.07.2011, 20:19 | #10 |
| Trojaner gelöscht? Suche einfach nach log.txt (nur auf C, da solltest du fündig werden, wen du Arnes Anleitung richtig befolgt hast.
__________________ Wer auf den Kopf geht, hat den Himmel als Abgrund. Geändert von TrojanerHunterNEW (25.07.2011 um 20:26 Uhr) |
25.07.2011, 21:37 | #11 |
| Trojaner gelöscht? hab eigentlich alles nach anleitung gemacht. da kann man ja nicht viel falsch machen. log ist trotzdem nicht da. ich lasse es morgen nochmal durchlaufen und hoffe, dass es dann etwas ausspuckt. |
26.07.2011, 08:32 | #12 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gelöscht?Zitat:
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so: Code:
ATTFilter "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
__________________ Logfiles bitte immer in CODE-Tags posten |
26.07.2011, 19:20 | #13 |
| Trojaner gelöscht? ganau das habe ich gemacht gehabt. war wie gesagt auch manuell in dem ordner, da waren aber nur 3 dateien und kein log drin. Aber nach nochmaligem durchlaufen hier das log: ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=a3452be9e4a2484c8785adb249a6cfe1 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-07-26 05:26:28 # local_time=2011-07-26 07:26:28 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1797 16775165 100 94 230042 48214066 222243 0 # compatibility_mode=5892 16776573 100 56 8207 149204905 0 0 # compatibility_mode=8192 67108863 100 0 78 78 0 0 # scanned=467278 # found=1 # cleaned=0 # scan_time=20342 E:\Programme\Left 4 Dead 2\L4D2Settings.exe Win32/Packed.Autoit.E.Gen application (unable to clean) 00000000000000000000000000000000 I heißt dass jetzt alles ist in ordnung? |
26.07.2011, 20:24 | #14 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner gelöscht?Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
26.07.2011, 21:02 | #15 |
| Trojaner gelöscht? Das ist ein Spiel, habe ich legal gekauft und von der DVD aus instaliert. Daran kann es doch wohl schwer liegen? |
Themen zu Trojaner gelöscht? |
abgesicherten, antivir, computer, exe, gelöscht, interne, internet, klicke, links, mail, modus, passwörter, plötzlich, programme, pup.casino, schonmal, seite, starten, tr/swisyn.aqmf, trojaner, trojaner gefunden, unbekannt, voll, ändern |