Hallo Community,

Seit einiger Zeit habe ich einige Prozesse laufen, von denen ich bis gestern nicht wusste, dass sie auf Trojaner hindeuten. Habe dann den Eintrag unter "http://www.trojaner-board.de/90139-c...winlogon.html"
gefunden und denke, dass ich ein aehnliches Problem habe. Ich benutze Windows 7 Home Premium; 64 bit; Service Pack 1. Habe Kaspersky 2011 mit neuesten Updates laufen, der aber nicht angeschlagen hat. Meistens laeuft der Computer normal, gelegentlich wird er aber unertraeglich langsam, was bei 3 GHz, 16GB RAM (gerade upgrade durchgefuehrt) nicht normal sein sollte.
Die Prozesse, die laufen sind atiedxx.exe, crcss.exe und winlogon.exe.
Ich habe defogger, otl und GMER laufen lassen und folgende logs erhalten:

------------------
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:29 on 10/08/2011 (***)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
--------------------
OTL habe ich angehaengt (3 Dateien; OTL.txt in 2 Teilen).
--------------------------------------

gmer hat nichts angezeigt.

---------------------------------------

Wenn mir jemand bei diesem Problem helfen koennte, waere ich sehr dankbar!

Vielen Dank im Voraus,
Hully

Zitat:

Die Prozesse, die laufen sind atiedxx.exe, crcss.exe und winlogon.exe.

Du meinst wohl csrss.exe. Dieser und die beiden anderen sind idR legitime und essentielle Systemprozesse. Ohne die läuft Windows nicht.

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Hallo, ich komme leider erst jetzt dazu, zu antworten. Untenstehend mein erster Durchlauf mit Malwarebytes:

--------------------

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7451

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

8/12/2011 8:17:45 PM
mbam-log-2011-08-12 (20-17-34).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 224237
Laufzeit: 3 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (File Extension Search) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files (x86)\pdfforge toolbar\IE\1.1.2\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> No action taken.
c:\Users\HULLY\local settings\temporary internet files\udRemove.exe (Trojan.Agent) -> No action taken.

-------------------

Habe dann die Trojaner loeschen lassen und MWB nochmals laufen lassen:

-------------------

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7451

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

8/12/2011 9:46:58 PM
mbam-log-2011-08-12 (21-46-55).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 224107
Laufzeit: 3 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\program files (x86)\pdfforge toolbar\IE\1.1.2\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> No action taken.

------------------------

Auch diesen Trojaner habe ich dann geloescht. Habe danach bemerkt, dass ich eigentlich einen kompletten Scan machen sollte und dies nachgeholt. Leider habe ich vergessen, das Ergebnis zu speichern, wie ich gerade bemerkt habe. Werde das nachholen.

Viele Gruesse,
Hully

Zitat:

Leider habe ich vergessen, das Ergebnis zu speichern, wie ich gerade bemerkt habe. Werde das nachholen.

Reiter Logdateien! Malwarebytes speicher da alle Log hin!

Hallo Arne und alle anderen,

Danke. Sieht so aus, als sei die Kiste clean, oder?

Hully

Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7474

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

8/18/2011 9:43:26 PM
mbam-log-2011-08-18 (21-43-26).txt

Art des Suchlaufs: Vollständiger Suchlauf (B:\|C:\|D:\|P:\|)
Durchsuchte Objekte: 1308048
Laufzeit: 3 Stunde(n), 0 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
b:\Software\Audition\Crack\PATCH.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.

Zitat:

b:\Software\Audition\Crack\PATCH.exe (PUP.Hacktool.Patcher)

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!