Hallo,
folgende Problematik auf meinem Notebook (Samsung R510-Aura(?)): Nachdem er vor ca. einem 3/4-Jahr nach dem Hochfahren nur noch einen schwarzen Bildschirm zeigte, hab ich ihn einem befreundeten ITler gegeben, der ihn wieder zum Laufen brachte, habe aber keine Ahnung, wie genau. Ob das hier überhaupt relevant ist, weiß ich auch nicht.
Kurz darauf jedenfalls hat sich nach dem Hochfahren immer ein "Ausführen"-Fenster (zumindest optisch) geöffnet, das "C:\Users\***\AppData\Roaming\Netwin\busatl.exe" hieß. Habe das fleißig ignoriert.
Vor ein paar Tagen kam eine Windows-Fehlermeldung dazu, die davon sprach, dass die ntvdm cpu eine illegal instruction encountered hat. Zu diesem Zeitpunkt hat auch Antivir begonnen sich zu beschweren und Scans durchführen wollen, die aber nie bis zum Ende durchgelaufen sind. Antivir schien damit nicht klar zu kommen und nach ein bisschen Systemspack gings wieder. Die Google-Suche eben danach führte in dieses Forum, aber ich wurde immer nach kurzer Wartezeit auf anscheinend zufällige andere Seiten aus der weiten Welt des Internets weitergeleitet. Das hat mich stutzig gemacht und ich hab mal vom Desktop-PC aus gegooglet und hier einige tote Threads gefunden:
http://www.trojaner-board.de/95419-e...in32-vbot.html http://www.trojaner-board.de/94241-s...d-alleine.html
Hab (dummerweise?) versucht das einfach mal irgendwie anzuwenden und
Malwarebytes laufen lassen. Hat einmal was gefunden und in Quarantäne verschoben:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 8277
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19154
30.11.2011 13:36:31
mbam-log-2011-11-30 (13-36-31).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 180643
Laufzeit: 5 Minute(n), 9 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 23
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
c:\fheydbueyj.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\siodfjisod.exe (Trojan.SpyEyes) -> Quarantined and deleted successfully.
Infizierte Dateien:
c:\Users\Franzi\AppData\Roaming\Sun\mxd1.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\010112010146101105.rx (Malware.Trace) -> Quarantined and deleted successfully.
c:\Windows\010112010146111103.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\010112010146116101.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465249.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465250.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465348.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465349.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465350.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465355.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465548.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\0101120101465649.xxe (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\mmsmark3.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
c:\Windows\rdr_1259162704.exe (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Windows\rdr_1259162765.exe (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Windows\rdr_1259783724.exe (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Windows\rdr_1260043108.exe (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Windows\rdr_1260043110.exe (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Windows\rdr_1260043115.exe (Worm.Koobface) -> Quarantined and deleted successfully.
c:\Users\Franzi\AppData\Roaming\Sun\cetw.txt (Malware.Trace) -> Quarantined and deleted successfully.
c:\fheydbueyj.exe\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\siodfjisod.exe\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.
|
Danach konnte ich vom Laptop immer noch nicht in dieses Forum, also nochmal laufen lassen:
Zitat:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Datenbank Version: 8277
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19154
30.11.2011 13:47:47
mbam-log-2011-11-30 (13-47-47).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 180777
Laufzeit: 6 Minute(n), 13 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
Also nicht so recht ein Ergebnis und dass der PC noch nicht sauber ist, kann man ja an der ominösen Weiterleitung vom Trojaner-Forum weg erkennen. Allerdings finden weder Antivir noch
Malwarebytes irgendetwas. Außerdem sagt Antivir jetzt, dass der Echtzeitscanner nicht aktiv ist und der Planer aus sei. Aber auch nach Aktivierung des Planers kein Scan.
Also?
MfG
Möhre
30.11.2011, 17:10
Baum-Darstellung