Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 11.10.2011, 11:28   #1
stommy
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



Hallo Ich bekam am 05.10.2011 gegen 20Uhr eine Facebooknachricht von einer Freundin. Darin stand nur folgender Link:

hxxp://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG

Natürlich, blöd wie ich war, habe ich ihn angeklickt. Danach kamen vllt. 50 Meldungen von der Benutzerkontensteuerung. Ich sollte Datein, die viele Ziffern enthielten, zulassen. z.B. "5763892792.exe"
Meiner Meinung nach habe ich vllt. die erste und zweite zugelassen. Danach wurde ich stutzig und lehnte alle weiteren ab.
Dann führte ich eine Systemwiederherstellung durch. War aber nicht erfolgreich. Aber für den 05.10. kam erstmal nichts verdächtiges mehr.

Am 06.10. kamen gg 20Uhr (keine Ahnung ob das Zufall ist) wieder viele von diesen o.g. Benutzerkontensteuerungsanfragen. Ich habe alle abgelehnt. Daraufhin habe ich ein wenig recherchiert, aber nichts weiter gefunden. Der Wurm/Virus war wohl relativ neu.

Habe im Task Manager die CPU Auslastung gecheckt. Diese war relativ hoch, obwohl nichts im Reiter "Prozesse" zu sehen war. Nach einem Klick auf "Prozesse aller Benutzer anzeigen" fiel mir die enorme Anzahl an "svchost.exe" auf. Momentan sind es 14 Stück. Weiterhin sind 3 "iexplore.exe" geöffnet. Beim Öffnen des Firefox kommt eine Benutzerkontenmeldung, ob ich "firefox.exe" zulassen möchte. Ich klicke "nein", da mich die Kontensteuerung in letzter Zeit sehr verunsichert. Der Firefox funktioniert, seitdem dieses Fenster vorher kommt, nichtmehr.

Als Nächstes finde ich auffällige Prozesse im Task Manager: "lvvm.exe" (Beschreibung: lvvm), "dwm.exe" (Beschreibung: dwm) -> dwm.exe (Beschreibung: "Desktop Window Manager" gibt es extra noch), "conhost.exe" (Beschreibung: conhost) -> conhost.exe (Beschreibung: "Host für Konsolenfenster" gibt es extra noch)

Weiterhin kommen bei Suchanfragen über die Google Searchbar manchmal irgendwelche anderen Dinge. Habe aber jetzt keine genauen Seiten, da der Firefox nichtmehr funktioniert. Der Internet Explorer funktioniert momentan noch relativ problemlos.

Der Laptop an sich ist seitdem verhältnismäßig langsam. Es beginnt bei der Anmeldung. Windows 7 Passwortabfrage dauert vllt. 10s statt üblich 1-2s. Der Lüfterläuft permanent, weil eine der vielen svchost.exe über die Dauer den Arbeitsspeicher voll macht und somit die Systemauslastung steigt.

Was kann ich tun? Über Hilfe würde ich mich sehr freuen!

PS:
OTL
EXTRA
GMER
sind im Anhang

Alt 11.10.2011, 16:46   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________

__________________

Alt 12.10.2011, 13:02   #3
stommy
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



Hallo! Und schonmal danke, für die schnelle Nachricht!

Hier die Malwarebytes Log:


Malwarebytes' Anti-Malware 1.51.2.1300
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7924

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

12.10.2011 14:00:11
mbam-log-2011-10-12 (14-00-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 535495
Laufzeit: 2 Stunde(n), 54 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 4
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
c:\Users\Tommy\AppData\Roaming\conhost.exe (Backdoor.Bot) -> 1560 -> Unloaded process successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\lvvm.exe (Backdoor.Bot) -> 1904 -> Unloaded process successfully.
c:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe (Backdoor.Bot) -> 1980 -> Unloaded process successfully.
c:\Users\Tommy\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 3960 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEXPLORE.EXE (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\155.exe (Backdoor.Bot) -> Value: 155.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe) Good: () -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Tommy\AppData\Roaming\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\lvvm.exe (Backdoor.Bot) -> Delete on reboot.
c:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\C1B3\155.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\H8WKO9DV\st[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Local\Temp\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Local\Temp\dwm.exe (Backdoor.Bot) -> Delete on reboot.
c:\Users\Tommy\AppData\Roaming\firefox.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\iexplore.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
c:\Users\Tommy\AppData\Roaming\microsoft\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

vorige Logfiles sind als Anhang verfügbar!

die ESET log.txt folgt! Bin grade dabei!
__________________

Alt 12.10.2011, 19:05   #4
stommy
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



SORRY, dass ich mich erst sö spät melde, aber ...

nachdem ich den Malwarebytes Vollscan durchgeführt und die infizierten Datein gelöscht habe, habe ich einen Neustart durchgeführt um die übrigen Datein loszuwerden. Danach wollte ich sofort einen ESET Scan machen. Worauf der Laptop einen Bluescreen zeigte. Nach 4 bis 5 Versuchen stellte ich fest, dass der Laptop immer ca. 1-2 Minuten nach dem Hochfahren abstürzt. Es liegt augenscheinlich am Löschen der "vor dem Neustart nicht löschbaren Daten". Ich kann jetzt auch nichtmehr wirklich etwas am Rechner machen. Was kann ich tun, um ihn wieder in Gang zu bekommen? Evtl. abgesicherter Modus o.ä.? Kann ich irgendwie meine Daten retten, ohne andere Dinge zu infizieren? Bekomme ich die Malwaredaten irgendwie zumindest zurück in die Quarantäne oder so?

Ich möchte am Rechner jetzt nicht "irgendetwas" versuchen, weil die Abstürze sicher nicht gut sind.

Vielen Dank schon einmal für eine Antwort.

Alt 12.10.2011, 19:12   #5
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



Hast du die Abstürze auch im abgesicherten Modus?

__________________
Logfiles bitte immer in CODE-Tags posten

Alt 14.10.2011, 12:12   #6
stommy
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



Hallo, hab den Rechner wieder zum Laufen bekommen. Konnte Ihn mit den letzten bekannten funktionierenden Einstellungen starten, oder so ähnlich. Danach war Malwarebytes wieder entfernt. habe deshalb erstmal nur den ESET Scan gemacht, welcher folgende Log.txt lieferte:


ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=6a78fce0e5ff3043a61b2ba932449ced
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-13 10:05:35
# local_time=2011-10-14 12:05:35 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1797 16775165 100 100 688824 93419660 593532 0
# compatibility_mode=5893 16776573 100 94 74726 70157887 0 0
# compatibility_mode=8192 67108863 100 0 1672 1672 0 0
# scanned=364154
# found=19
# cleaned=0
# scan_time=16838
C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H8WKO9DV\l[1].exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YU69ZEMZ\fu[1].exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Local\Temp\3563225.exe a variant of Win32/Kryptik.TWC trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Local\Temp\dwm.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\conhost.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\firefox.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\iexplore.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\Microsoft\csrss.exe a variant of Win32/Kryptik.TQJ trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\AppData\Roaming\Microsoft\lvvm.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\Downloads\freeripmp3.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Tommy\M-1-52-5782-8752-5245\winsvc.exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\4a845153-19811dbe a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\110b23dd-48dbae11 Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\6069a99f-2c4fd5ad a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\760fb827-376048f6 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\7fc86eef-5743fedb a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\277ba57e-4dc0cda6 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean) 00000000000000000000000000000000 I
C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\3104b1ff-1681fbbc Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I
${Memory} multiple threats 00000000000000000000000000000000 I




Hoffe Du/Ihr könnt mir so helfen, dass ich die ganze Aktion irgendwie geregelt bekomme. ( Also möglichst ohne neues draufziehen von Windows.)

Grüße

Alt 16.10.2011, 12:40   #7
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Standard

Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG



mach bitte ein neues OTL-Custom-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
Logfiles bitte immer in CODE-Tags posten

Antwort

Themen zu Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG
allzedax, anzeige, arbeitsspeicher voll, auslastung, blöd, cpu, datei, desktop, explorer, facebook, facebook allzedax, firefox, folge, frage, google, iexplore.exe, internet, internet explorer, laptop, link, lvvm.exe, prozesse, seite, seiten, svchost.exe, systemauslastung, systemwiederherstellung, voll, windows




Ähnliche Themen: Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG


  1. Systembackups/images von Windows bzw der Festplatte
    Antiviren-, Firewall- und andere Schutzprogramme - 26.12.2015 (113)
  2. Vielen Dank an Schrauber!!!http://www.trojaner-board.de/images/smilies/dankeschoen.gif
    Lob, Kritik und Wünsche - 21.02.2015 (0)
  3. Skype Virus - http://sendspace.com/pro/dl/8a963g?image=ichliebefilme
    Plagegeister aller Art und deren Bekämpfung - 03.10.2012 (5)
  4. Virtual CD v10 Images umwandeln
    Alles rund um Windows - 02.04.2012 (3)
  5. Allezdax-Reloaded. Grundsätzliche Fragen!
    Plagegeister aller Art und deren Bekämpfung - 19.02.2012 (1)
  6. Facebook Malware durch: http://www.offisense.co.il/lang/images.php?facebookimage=...6704
    Plagegeister aller Art und deren Bekämpfung - 29.11.2011 (3)
  7. Facebook-Trojaner: vinamost.net/images/facebook/get.php?image=IMG39348819.JPG
    Log-Analyse und Auswertung - 21.11.2011 (42)
  8. Risiken bei vorkonfigurierten Images für Amazons Cloud
    Nachrichten - 10.11.2011 (0)
  9. allezdax, facebook, trojaner
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (3)
  10. facebook virus allezdax.jpg
    Plagegeister aller Art und deren Bekämpfung - 10.10.2011 (4)
  11. Facebook-Virus Allezdax.JPG.SCRS
    Log-Analyse und Auswertung - 07.10.2011 (14)
  12. Facebook Trojaner .allezdax.com/images
    Plagegeister aller Art und deren Bekämpfung - 07.10.2011 (15)
  13. Facebook: allezdax virus
    Diskussionsforum - 06.10.2011 (0)
  14. MSN Virus - http://facebook.spaceb-blogs.com/images/PHOTO-JPG-20100512.SCR -
    Plagegeister aller Art und deren Bekämpfung - 17.05.2010 (1)
  15. http://img49.imageshack.us/my.php?image=viruspicx2ta.jpg
    Plagegeister aller Art und deren Bekämpfung - 18.03.2006 (1)
  16. True Image 8 - "richtiges" Image
    Alles rund um Windows - 11.01.2006 (5)
  17. CD-Images
    Plagegeister aller Art und deren Bekämpfung - 04.02.2003 (3)

Zum Thema Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG - Hallo Ich bekam am 05.10.2011 gegen 20Uhr eine Facebooknachricht von einer Freundin. Darin stand nur folgender Link: hxxp://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Natürlich, blöd wie ich war, habe ich ihn angeklickt. Danach kamen vllt. - Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG...
Archiv
Du betrachtest: Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.