|
Log-Analyse und Auswertung: privacy.exe "Failed to save all the components for the file System32\\00... " Win7Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.12.2011, 19:56 | #1 |
| privacy.exe "Failed to save all the components for the file System32\\00... " Win7 Guten Abend, gestern abend (22 Uhr) hat mein antivir angeschlagen. "privacy.exe" habe auf löschen geklickt. Selbige Meldung kam nochmal nur hat sich dann der pc von alleine runtergefahren. Als ich neu hochgefahren habe konnte ich auf nichts mehr zugreifen. Und die Meldung im Topic erschien gute 20x. Konnte mit ein bisschen glück in die Systemsteuerung und Wiederherstellungspunkt von gestern 19 Uhr laden. System hat dann wieder funktioniert. Habe mich dann dazu entschieden gehabt ein Windowsbackup (image) dass ich anfang November gemacht habe aufzuspielen. Soweit sogut. Wollte jetzt nur die "reste" der malware (?) entfernen bzw. sicherstellen dass alles weg ist. Ich weiss nicht ob das Image diesbezüglich ausreicht. Im Anhang die OTL Datein zur Auswertung. Logs als .zip, da zu gross. Sorry für den langen Text und vielen Dank für eure Hilfe im vorraus! |
15.12.2011, 13:53 | #2 |
/// Winkelfunktion /// TB-Süch-Tiger™ | privacy.exe "Failed to save all the components for the file System32\\00... " Win7 Bitte alles nach Möglichkeit hier in CODE-Tags posten.
__________________Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! ESET Online Scanner
__________________ |
15.12.2011, 23:36 | #3 |
| privacy.exe "Failed to save all the components for the file System32\\00... " Win7 Update: habe gestern nach meinem Post festgestellt, dass ich beim surfen oft über "mydirectpet" auf "12finder.com" weitergeleitet werde. - nach malwarebytescan NICHT behoben.
__________________Desweiteren hat Antivir gestern wieder angeschlagen. Habe dann mal CCleaner durchlaufen lassen gehabt. Danach neugestartet und seitdem habe ich auf Partition "d:" keinen zugriff mehr. Habe Wiederherstellungspunkt geladen, hat jedoch nicht geholfen. in "d:" ist lediglich eine "bootsqm.dat" drinnen. Die datein sind nicht ersichtlich, aber vorhanden - Speicherplatz ist belegt - Wenn ich auf Festplatte "H:" zugreifen will, zeigt er mir lediglich "dieser ordner ist leer" an. Auch hier sind die Datein jedoch noch vorhanden. - nach malwarebytescan NICHT behoben. selbigen Fehler hatte ich bereits nachdem "privacy.exe" mein system das erste mal getötet hat. Laut google könnte das auch aufgrund eines fehlgeschlagenen chkdsk check sein. Werde diesen erneut durchführen sobald ESET fertig gescannt hat. Dachte dass die infizierte Datei auf H: liegt, malwarebytes hat jedoch nichts gefunden, zumindest hat antivir immer auf H: angeschlagen. Frage mich jetzt ob H: aufgrund von ccleaner, oder aufgrund der infizierten datei unersichtlich ist. - soll ich "OTL" nach den erneuten vorkommnissen erneut durchführen? Vor dem starten von ESET habe ich antivir abgestellt und microsoft defender über msconfig deaktiviert. Trotzdem hat ESET mir angezeigt, dass die zwei laufen. Hoffe das ist nicht doof. Nachdem ich den PC neugestartet habe wegen malwarebyte kam beim neustart "[Openevent] die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2 Malwarebytes log: Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8377 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 15.12.2011 20:59:17 mbam-log-2011-12-15 (20-58-55).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|H:\|) Durchsuchte Objekte: 380802 Laufzeit: 1 Stunde(n), 4 Minute(n), 50 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken. HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\program files (x86)\vshare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> No action taken. c:\Users\masta\AppData\LocalLow\Sun\Java\deployment\cache\6.0\32\6b6ad920-400bc812 (Trojan.Agent) -> No action taken. c:\Users\masta\AppData\LocalLow\Sun\Java\deployment\cache\6.0\32\6b6ad920-428533d2 (Trojan.Agent) -> No action taken. Code:
ATTFilter ESETSmartInstaller@High as downloader log: all ok ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=189b3dae00f01849a48bf0a4ee04e941 # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-12-15 10:00:22 # local_time=2011-12-15 11:00:22 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=5.1.2600 NT Service Pack 2 # compatibility_mode=1797 16775165 100 100 4720 99492369 3596 0 # compatibility_mode=5893 16776574 100 94 165395 75610512 0 0 # compatibility_mode=8192 67108863 100 0 4157 4157 0 0 # scanned=219721 # found=2 # cleaned=0 # scan_time=5759 C:\Users\masta\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\20c7eabf-7d11c440 Java/Exploit.CVE-2011-3544.D trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\masta\Desktop\iw5sp.exe a variant of Win32/Packed.VMProtect.AAM trojan (unable to clean) 00000000000000000000000000000000 I Spende kommt nachdem wir hier fertig sind. |
16.12.2011, 10:45 | #4 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | privacy.exe "Failed to save all the components for the file System32\\00... " Win7Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
16.12.2011, 21:22 | #5 |
| privacy.exe "Failed to save all the components for the file System32\\00... " Win7 Guten Abend, malwarebytes wollte dass ich einen Neustart mache, da 2 Datein nicht gelöscht werden konnten. Beim neu hochfahren kam dann die Fehlermeldung von malwarebytes [Openevent] die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2 Die Sachen die Malwarebytes gefunden hat liegen auf C: Jetzt schau aber mal was ich für eine Entdeckung auf H: gemacht habe. Ich habe durch viele Umwege rausgefunden, dass der trojaner/malware was auch immer alle ordner auf H: versteckt hat. Bin dann über win+e in den explorer rein. Oben H:/musik eingegeben. Ich bin im musikordner drinn, er zeigt mir an "ordner ist leer" --> rechtsklick --> eigenschaften --> Haken bei versteckt rausgenommen und zack, da isser wieder. Ich habe dann einen weg gefunden mir alle ordner die auf H: liegen anzeigen zu lassen auch wenn diese versteckt sind. Und konnte die dann durch obige methode sichtbar machen. Ich habe dabei 2 neue ordner entdeckt die "$Recycling.bin" und "recycling" heissen. Dort drinn ist eine der datein bei denen mein antivir damals angeschlagen hat (und weitere die ich nicht kenne). Ich wollte die Ordner durch obige Methode sichtbar machen und löschen. Jedoch ist das Kästchen "versteckt" ausgegraut. Gleiches gilt für Partition D: Ziemlich gute Herausforderunng hier. :S UPDATE: habe ein bisschen gegoogled und konnte mit win+r "attrib -s -h h:\* /d /s" den kompletten ordner sichtbar machen. Hat auch bei Partition D: funktioniert. Wenn ich die "recycler" ordner jedoch mit antivir oder Malwarebytes scannen lasse finden beide nichts. Komische angelegenheit. Und die 2 die Malwarebytes nicht entfernen konnte bekomme ich auch nicht Tot. Miese Krise :/ UPDATE 2: ich werde beim surfen wenn ich einen link in einem neuen tab öffne immernoch weitergeleitet :/ Malwarebytes konnte bei einem erneuten Vollscan keine infizierten Datein finden. Geändert von legende77 (16.12.2011 um 21:59 Uhr) |
17.12.2011, 13:30 | #6 |
| privacy.exe "Failed to save all the components for the file System32\\00... " Win7 Konnte die Weiterleitungen abschalten in dem ich die Hosts Datei abgeändert habe. Habe auch festgestellt, dass der Mist mir genau die Sachen zerschossen hat weswegen ich nicht formatieren wollte. Werde somit Bilder und Musik auf mein Laptop schieben und alles platt machen. Vielen Dank für eure Hilfe und sorry für die Zeitverschwendung. Schönen Tag und frohe Festtage wünsch ich euch noch. |
Themen zu privacy.exe "Failed to save all the components for the file System32\\00... " Win7 |
alles weg, anfang, anhang, antivir, datei, datein, entfernen, entschieden, failed, file, guten, image, konnte, lange, löschen, malware, meldung, neu, nichts, november, sichers, sicherstellen, system, system32, systemsteuerung, win, win7 |