![]() |
|
Plagegeister aller Art und deren Bekämpfung: "mediashifting.com" TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
| ![]() "mediashifting.com" Trojaner Hallo zusammen! Leider habe ich seit einigen Tagen das Problem, dass sich immer wieder eine Seite "mediashifting.com" öffnet, wenn ich meinen Firefox-Browser nutze. Ich habe mich nun über Google so gut wie möglich informiert - anscheinend handelt es sich dabei um einen Trojaner. Ich habe dazu vor allem auch die aktuelle Diskussion von DanyRibi und Chris4You hier im Forum angeschaut. Ich habe nun einiges ausprobiert, aber leider existiert das Problem immer noch. Konkret habe ich bereits: - Einen kompletten Systemcheck mit Antivir durchgeführt und die gefundenen Viren in die Quarantäne verschoben (Genauer Report s.u.) - Einen kompletten Systemcheck mit Malwarebytes gemacht (Log s.u.) und anschließend neu gestartet - Mit Spybot Search and Destroy gearbeitet und Probleme behoben (dazu kann ich leider nichts zeigen, das ist ja gelöscht oder ich finde es nur einfach nicht) Ich werde gleich auch noch ein OTL und MBR-Check versuchen und posten (hilft das?!?). Wichtig ist mir im Moment auch: Darf ich alles machen oder sind Online-Banking/Shopping usw. eine ganz schlechte Idee...? Außerdem habe ich mir nun als vorläufige Ersatzlösung Google Chrome geholt (hier hatte ich das Problem bislang nicht) - wahrscheinlich eine dumme Frage, aber ist der Virus inaktiv, wenn ich nicht mit Firefox arbeite? Ich freue mich sehr, wenn mir jemand dabei helfen kann, den Virus wieder loszuwerden. Vielen vielen Dank im Voraus für eure Hilfestellungen und das tolle Angebot allgemein!! ![]() Liebe Grüße Hannah __________________________________________________ Report zu Antivir: Avira AntiVir Personal Erstellungsdatum der Reportdatei: Samstag, 14. Januar 2012 11:54 Es wird nach 3069807 Virenstämmen gesucht. Das Programm läuft als uneingeschränkte Vollversion. Online-Dienste stehen zur Verfügung. Lizenznehmer : Avira AntiVir Personal - Free Antivirus Seriennummer : 0000149996-ADJIE-0000001 Plattform : Windows 7 x64 Windowsversion : (Service Pack 1) [6.1.7601] Boot Modus : Normal gebootet Benutzername : SYSTEM Computername : HANNAH-PC Versionsinformationen: BUILD.DAT : 10.2.0.704 35934 Bytes 28.09.2011 13:14:00 AVSCAN.EXE : 10.3.0.7 484008 Bytes 10.07.2011 10:52:30 AVSCAN.DLL : 10.0.5.0 57192 Bytes 10.07.2011 10:52:30 LUKE.DLL : 10.3.0.5 45416 Bytes 10.07.2011 10:52:30 LUKERES.DLL : 10.0.0.0 13672 Bytes 14.01.2010 10:59:47 AVSCPLR.DLL : 10.3.0.7 119656 Bytes 10.07.2011 10:52:30 AVREG.DLL : 10.3.0.9 88833 Bytes 16.07.2011 10:52:53 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 08:05:36 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 16:13:16 VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 21:40:42 VBASE003.VDF : 7.11.19.171 2048 Bytes 20.12.2011 21:40:42 VBASE004.VDF : 7.11.19.172 2048 Bytes 20.12.2011 21:40:42 VBASE005.VDF : 7.11.19.173 2048 Bytes 20.12.2011 21:40:42 VBASE006.VDF : 7.11.19.174 2048 Bytes 20.12.2011 21:40:42 VBASE007.VDF : 7.11.19.175 2048 Bytes 20.12.2011 21:40:42 VBASE008.VDF : 7.11.19.176 2048 Bytes 20.12.2011 21:40:42 VBASE009.VDF : 7.11.19.177 2048 Bytes 20.12.2011 21:40:42 VBASE010.VDF : 7.11.19.178 2048 Bytes 20.12.2011 21:40:42 VBASE011.VDF : 7.11.19.179 2048 Bytes 20.12.2011 21:40:42 VBASE012.VDF : 7.11.19.180 2048 Bytes 20.12.2011 21:40:43 VBASE013.VDF : 7.11.19.217 182784 Bytes 22.12.2011 12:10:11 VBASE014.VDF : 7.11.19.255 148480 Bytes 24.12.2011 14:20:43 VBASE015.VDF : 7.11.20.29 164352 Bytes 27.12.2011 11:58:27 VBASE016.VDF : 7.11.20.70 180224 Bytes 29.12.2011 11:58:53 VBASE017.VDF : 7.11.20.102 240640 Bytes 02.01.2012 21:52:48 VBASE018.VDF : 7.11.20.139 164864 Bytes 04.01.2012 16:08:46 VBASE019.VDF : 7.11.20.178 167424 Bytes 06.01.2012 13:57:35 VBASE020.VDF : 7.11.20.207 230400 Bytes 10.01.2012 21:52:38 VBASE021.VDF : 7.11.20.236 150528 Bytes 11.01.2012 22:23:18 VBASE022.VDF : 7.11.21.13 135168 Bytes 13.01.2012 10:49:07 VBASE023.VDF : 7.11.21.14 2048 Bytes 13.01.2012 10:49:07 VBASE024.VDF : 7.11.21.15 2048 Bytes 13.01.2012 10:49:07 VBASE025.VDF : 7.11.21.16 2048 Bytes 13.01.2012 10:49:07 VBASE026.VDF : 7.11.21.17 2048 Bytes 13.01.2012 10:49:07 VBASE027.VDF : 7.11.21.18 2048 Bytes 13.01.2012 10:49:07 VBASE028.VDF : 7.11.21.19 2048 Bytes 13.01.2012 10:49:07 VBASE029.VDF : 7.11.21.20 2048 Bytes 13.01.2012 10:49:07 VBASE030.VDF : 7.11.21.21 2048 Bytes 13.01.2012 10:49:07 VBASE031.VDF : 7.11.21.28 26112 Bytes 13.01.2012 10:49:08 Engineversion : 8.2.8.26 AEVDF.DLL : 8.1.2.2 106868 Bytes 25.10.2011 19:07:34 AESCRIPT.DLL : 8.1.3.97 426363 Bytes 13.01.2012 08:15:20 AESCN.DLL : 8.1.7.2 127349 Bytes 13.12.2010 07:39:16 AESBX.DLL : 8.2.4.5 434549 Bytes 05.12.2011 13:59:18 AERDL.DLL : 8.1.9.15 639348 Bytes 10.09.2011 10:14:04 AEPACK.DLL : 8.2.15.1 770423 Bytes 13.12.2011 20:36:01 AEOFFICE.DLL : 8.1.2.25 201084 Bytes 30.12.2011 12:00:04 AEHEUR.DLL : 8.1.3.18 4297079 Bytes 13.01.2012 08:15:19 AEHELP.DLL : 8.1.18.0 254327 Bytes 25.10.2011 19:06:06 AEGEN.DLL : 8.1.5.17 405877 Bytes 09.12.2011 13:56:46 AEEMU.DLL : 8.1.3.0 393589 Bytes 13.12.2010 07:39:10 AECORE.DLL : 8.1.24.3 201079 Bytes 30.12.2011 11:59:01 AEBB.DLL : 8.1.1.0 53618 Bytes 13.12.2010 07:39:10 AVWINLL.DLL : 10.0.0.0 19304 Bytes 13.12.2010 07:39:20 AVPREF.DLL : 10.0.3.2 44904 Bytes 10.07.2011 10:52:30 AVREP.DLL : 10.0.0.10 174120 Bytes 18.05.2011 20:53:26 AVARKT.DLL : 10.0.26.1 255336 Bytes 10.07.2011 10:52:29 AVEVTLOG.DLL : 10.0.0.9 203112 Bytes 10.07.2011 10:52:29 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17.06.2010 13:27:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 13.12.2010 07:39:20 NETNT.DLL : 10.0.0.0 11624 Bytes 17.06.2010 13:27:01 RCIMAGE.DLL : 10.0.0.35 2589544 Bytes 10.07.2011 10:52:29 RCTEXT.DLL : 10.0.64.0 98664 Bytes 10.07.2011 10:52:29 Konfiguration für den aktuellen Suchlauf: Job Name..............................: Vollständige Systemprüfung Konfigurationsdatei...................: C:\Program Files (x86)\Avira\AntiVir Desktop\sysscan.avp Protokollierung.......................: standard Primäre Aktion........................: interaktiv Sekundäre Aktion......................: ignorieren Durchsuche Masterbootsektoren.........: ein Durchsuche Bootsektoren...............: ein Bootsektoren..........................: C:, Durchsuche aktive Programme...........: ein Laufende Programme erweitert..........: ein Durchsuche Registrierung..............: ein Suche nach Rootkits...................: ein Integritätsprüfung von Systemdateien..: aus Datei Suchmodus.......................: Alle Dateien Durchsuche Archive....................: ein Rekursionstiefe einschränken..........: 20 Archiv Smart Extensions...............: ein Makrovirenheuristik...................: ein Dateiheuristik........................: erweitert Beginn des Suchlaufs: Samstag, 14. Januar 2012 11:54 Der Suchlauf nach versteckten Objekten wird begonnen. Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'avscan.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '101' Modul(e) wurden durchsucht Durchsuche Prozess 'firefox.exe' - '110' Modul(e) wurden durchsucht Durchsuche Prozess 'thunderbird.exe' - '134' Modul(e) wurden durchsucht Durchsuche Prozess 'IELowutil.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqgpc01.exe' - '49' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqbam08.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqSTE08.exe' - '61' Modul(e) wurden durchsucht Durchsuche Prozess 'DivXUpdate.exe' - '63' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '20' Modul(e) wurden durchsucht Durchsuche Prozess 'UIExec.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '38' Modul(e) wurden durchsucht Durchsuche Prozess 'VCDDaemon.exe' - '30' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '33' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht Durchsuche Prozess 'Dropbox.exe' - '75' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '81' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '55' Modul(e) wurden durchsucht Durchsuche Prozess 'EasySpeedUpManager.exe' - '34' Modul(e) wurden durchsucht Durchsuche Prozess 'WTGService.exe' - '32' Modul(e) wurden durchsucht Durchsuche Prozess 'AssistantServices.exe' - '22' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '46' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '69' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen: Die Registry wurde durchsucht ( '1453' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$R3NHUZS.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$R8YZLZ5.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RC9355Y.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RGA7USG.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RNVOMMK.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RYHB7AT.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\$Recycle.Bin\S-1-5-21-3684009831-1757761012-2784501651-1000\$RYLYJD3.part [WARNUNG] Die Datei konnte nicht gelesen werden! C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\10[1].exe [FUND] Ist das Trojanische Pferd TR/Gamarue.be.1 C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\3[1].exe [FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.638 C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\6[1].exe [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen5 C:\Windows\System32\consrv.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 Beginne mit der Desinfektion: C:\Windows\System32\consrv.dll [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen2 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49170921.qua' verschoben! C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\6[1].exe [FUND] Ist das Trojanische Pferd TR/ATRAPS.Gen5 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51bd26ab.qua' verschoben! C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\3[1].exe [FUND] Ist das Trojanische Pferd TR/Drop.Sirefef.B.638 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '03e27c43.qua' verschoben! C:\Users\H A N N A H\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VT0BO17K\10[1].exe [FUND] Ist das Trojanische Pferd TR/Gamarue.be.1 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '65fb336a.qua' verschoben! Ende des Suchlaufs: Samstag, 14. Januar 2012 16:58 Benötigte Zeit: 3:58:22 Stunde(n) Der Suchlauf wurde vollständig durchgeführt. 43747 Verzeichnisse wurden überprüft 2290955 Dateien wurden geprüft 4 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 4 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 0 Dateien konnten nicht durchsucht werden 2290951 Dateien ohne Befall 16124 Archive wurden durchsucht 7 Warnungen 4 Hinweise 660200 Objekte wurden beim Rootkitscan durchsucht 0 Versteckte Objekte wurden gefunden __________________________________________________________ Logdatei zu Malwarebytes Malwarebytes Anti-Malware (Test) 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.14.02 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 H A N N A H :: HANNAH-PC [Administrator] Schutz: Aktiviert 14.01.2012 12:17:57 mbam-log-2012-01-14 (12-17-57).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 461952 Laufzeit: 2 Stunde(n), 18 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Daten: C:\Users\H A N N A H\AppData\Local\57af559d\X -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Program Files (x86)\Real\RealPlayer\rp11_premium.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\AutoKMS.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) |
Themen zu "mediashifting.com" Trojaner |
.dll, administrator, antivir, avg, dateisystem, desktop, explorer, frage, google, google chrome, heuristiks/extra, heuristiks/shuriken, internet, log, mediashifting.com, modul, neu, nt.dll, problem, programm, prozesse, recycle.bin, registry, report, services.exe, software, svchost.exe, trojane, trojaner, verweise, viren, virus, warnung, windows, öffnet |