|
Log-Analyse und Auswertung: Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPGWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.10.2011, 11:28 | #1 |
| Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Hallo Ich bekam am 05.10.2011 gegen 20Uhr eine Facebooknachricht von einer Freundin. Darin stand nur folgender Link: hxxp://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Natürlich, blöd wie ich war, habe ich ihn angeklickt. Danach kamen vllt. 50 Meldungen von der Benutzerkontensteuerung. Ich sollte Datein, die viele Ziffern enthielten, zulassen. z.B. "5763892792.exe" Meiner Meinung nach habe ich vllt. die erste und zweite zugelassen. Danach wurde ich stutzig und lehnte alle weiteren ab. Dann führte ich eine Systemwiederherstellung durch. War aber nicht erfolgreich. Aber für den 05.10. kam erstmal nichts verdächtiges mehr. Am 06.10. kamen gg 20Uhr (keine Ahnung ob das Zufall ist) wieder viele von diesen o.g. Benutzerkontensteuerungsanfragen. Ich habe alle abgelehnt. Daraufhin habe ich ein wenig recherchiert, aber nichts weiter gefunden. Der Wurm/Virus war wohl relativ neu. Habe im Task Manager die CPU Auslastung gecheckt. Diese war relativ hoch, obwohl nichts im Reiter "Prozesse" zu sehen war. Nach einem Klick auf "Prozesse aller Benutzer anzeigen" fiel mir die enorme Anzahl an "svchost.exe" auf. Momentan sind es 14 Stück. Weiterhin sind 3 "iexplore.exe" geöffnet. Beim Öffnen des Firefox kommt eine Benutzerkontenmeldung, ob ich "firefox.exe" zulassen möchte. Ich klicke "nein", da mich die Kontensteuerung in letzter Zeit sehr verunsichert. Der Firefox funktioniert, seitdem dieses Fenster vorher kommt, nichtmehr. Als Nächstes finde ich auffällige Prozesse im Task Manager: "lvvm.exe" (Beschreibung: lvvm), "dwm.exe" (Beschreibung: dwm) -> dwm.exe (Beschreibung: "Desktop Window Manager" gibt es extra noch), "conhost.exe" (Beschreibung: conhost) -> conhost.exe (Beschreibung: "Host für Konsolenfenster" gibt es extra noch) Weiterhin kommen bei Suchanfragen über die Google Searchbar manchmal irgendwelche anderen Dinge. Habe aber jetzt keine genauen Seiten, da der Firefox nichtmehr funktioniert. Der Internet Explorer funktioniert momentan noch relativ problemlos. Der Laptop an sich ist seitdem verhältnismäßig langsam. Es beginnt bei der Anmeldung. Windows 7 Passwortabfrage dauert vllt. 10s statt üblich 1-2s. Der Lüfterläuft permanent, weil eine der vielen svchost.exe über die Dauer den Arbeitsspeicher voll macht und somit die Systemauslastung steigt. Was kann ich tun? Über Hilfe würde ich mich sehr freuen! PS: OTL EXTRA GMER sind im Anhang |
11.10.2011, 16:46 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
__________________Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
__________________ |
12.10.2011, 13:02 | #3 |
| Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Hallo! Und schonmal danke, für die schnelle Nachricht!
__________________Hier die Malwarebytes Log: Malwarebytes' Anti-Malware 1.51.2.1300 Malwarebytes : Free anti-malware, anti-virus and spyware removal download Datenbank Version: 7924 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 12.10.2011 14:00:11 mbam-log-2011-10-12 (14-00-11).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 535495 Laufzeit: 2 Stunde(n), 54 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 4 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 5 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicherprozesse: c:\Users\Tommy\AppData\Roaming\conhost.exe (Backdoor.Bot) -> 1560 -> Unloaded process successfully. c:\Users\Tommy\AppData\Roaming\microsoft\lvvm.exe (Backdoor.Bot) -> 1904 -> Unloaded process successfully. c:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe (Backdoor.Bot) -> 1980 -> Unloaded process successfully. c:\Users\Tommy\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 3960 -> Unloaded process successfully. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEXPLORE.EXE (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\155.exe (Backdoor.Bot) -> Value: 155.exe -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.CycBot) -> Value: Load -> Delete on reboot. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell.Gen) -> Value: Shell -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Backdoor.Bot) -> Bad: (C:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe) Good: () -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\Users\Tommy\AppData\Roaming\conhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Roaming\microsoft\lvvm.exe (Backdoor.Bot) -> Delete on reboot. c:\Users\Tommy\AppData\Roaming\9BDC2\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Tommy\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Roaming\microsoft\C1B3\155.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\H8WKO9DV\st[1].exe (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Local\Temp\lvvm.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Local\Temp\dwm.exe (Backdoor.Bot) -> Delete on reboot. c:\Users\Tommy\AppData\Roaming\firefox.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Roaming\iexplore.exe (Backdoor.Bot) -> Quarantined and deleted successfully. c:\Users\Tommy\AppData\Roaming\microsoft\csrss.exe (Backdoor.Bot) -> Quarantined and deleted successfully. vorige Logfiles sind als Anhang verfügbar! die ESET log.txt folgt! Bin grade dabei! |
12.10.2011, 19:05 | #4 |
| Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG SORRY, dass ich mich erst sö spät melde, aber ... nachdem ich den Malwarebytes Vollscan durchgeführt und die infizierten Datein gelöscht habe, habe ich einen Neustart durchgeführt um die übrigen Datein loszuwerden. Danach wollte ich sofort einen ESET Scan machen. Worauf der Laptop einen Bluescreen zeigte. Nach 4 bis 5 Versuchen stellte ich fest, dass der Laptop immer ca. 1-2 Minuten nach dem Hochfahren abstürzt. Es liegt augenscheinlich am Löschen der "vor dem Neustart nicht löschbaren Daten". Ich kann jetzt auch nichtmehr wirklich etwas am Rechner machen. Was kann ich tun, um ihn wieder in Gang zu bekommen? Evtl. abgesicherter Modus o.ä.? Kann ich irgendwie meine Daten retten, ohne andere Dinge zu infizieren? Bekomme ich die Malwaredaten irgendwie zumindest zurück in die Quarantäne oder so? Ich möchte am Rechner jetzt nicht "irgendetwas" versuchen, weil die Abstürze sicher nicht gut sind. Vielen Dank schon einmal für eine Antwort. |
12.10.2011, 19:12 | #5 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Hast du die Abstürze auch im abgesicherten Modus?
__________________ Logfiles bitte immer in CODE-Tags posten |
14.10.2011, 12:12 | #6 |
| Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG Hallo, hab den Rechner wieder zum Laufen bekommen. Konnte Ihn mit den letzten bekannten funktionierenden Einstellungen starten, oder so ähnlich. Danach war Malwarebytes wieder entfernt. habe deshalb erstmal nur den ESET Scan gemacht, welcher folgende Log.txt lieferte: ESETSmartInstaller@High as CAB hook log: OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330) # OnlineScanner.ocx=1.0.0.6528 # api_version=3.0.2 # EOSSerial=6a78fce0e5ff3043a61b2ba932449ced # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-10-13 10:05:35 # local_time=2011-10-14 12:05:35 (+0100, Mitteleuropäische Sommerzeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=1797 16775165 100 100 688824 93419660 593532 0 # compatibility_mode=5893 16776573 100 94 74726 70157887 0 0 # compatibility_mode=8192 67108863 100 0 1672 1672 0 0 # scanned=364154 # found=19 # cleaned=0 # scan_time=16838 C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\H8WKO9DV\l[1].exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YU69ZEMZ\fu[1].exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Local\Temp\3563225.exe a variant of Win32/Kryptik.TWC trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Local\Temp\dwm.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Roaming\conhost.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Roaming\firefox.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Roaming\iexplore.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Roaming\Microsoft\csrss.exe a variant of Win32/Kryptik.TQJ trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\AppData\Roaming\Microsoft\lvvm.exe a variant of Win32/Kryptik.TTW trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\Downloads\freeripmp3.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I C:\Users\Tommy\M-1-52-5782-8752-5245\winsvc.exe a variant of Win32/AutoRun.Injector.AE worm (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19\4a845153-19811dbe a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29\110b23dd-48dbae11 Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\6069a99f-2c4fd5ad a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\760fb827-376048f6 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\7fc86eef-5743fedb a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\277ba57e-4dc0cda6 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean) 00000000000000000000000000000000 I C:\Windows\System32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\3104b1ff-1681fbbc Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I ${Memory} multiple threats 00000000000000000000000000000000 I Hoffe Du/Ihr könnt mir so helfen, dass ich die ganze Aktion irgendwie geregelt bekomme. ( Also möglichst ohne neues draufziehen von Windows.) Grüße |
16.10.2011, 12:40 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG mach bitte ein neues OTL-Custom-Log: CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs msconfig safebootminimal safebootnetwork activex drivers32 %ALLUSERSPROFILE%\Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.exe /md5start wininit.exe userinit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll ws2ifsl.sys sceclt.dll ntelogon.dll winlogon.exe logevent.dll user32.DLL iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Facebookwurm allzedax http://www.allezdax.com/images/img.php?image=IMG0085976479501.JPG |
allzedax, anzeige, arbeitsspeicher voll, auslastung, blöd, cpu, datei, desktop, explorer, facebook, facebook allzedax, firefox, folge, frage, google, iexplore.exe, internet, internet explorer, laptop, link, lvvm.exe, prozesse, seite, seiten, svchost.exe, systemauslastung, systemwiederherstellung, voll, windows |