| |
| |||||||
Log-Analyse und Auswertung: Infiziert mit "System Check" - System wieder in Ordnung?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
26.02.2012, 16:19
| #1 |
 |  Infiziert mit "System Check" - System wieder in Ordnung? Hallo! Nach einigen Registrierungsproblemen mein erster Hilferuf: Ich habe mich mit dem Trojaner "System Check" infiziert. Gefühlte 50 Pop-Ups, vermeintlich vom Windowssystem, nannten mir diverse nicht lesbare oder defekte Dateien, Antivir hat dutzende Trojaner und Viren gefunden und dann sollte ich mein System mit Systemcheck reparieren. Mittlerweile hoffe ich, den Trojaner entfernt zu haben, möchte alledings sicher gehen. Von Antivir gemeldete (angebliche) Infektionen: JS/Agent.cja.3, EXP/Pidief.aik.1, EXP/JAVA.Hapal.Gen, TR/Crypt.XPACK.Gen3 Später dann auch TR/Trash.Gen, EXP/CVE-2010-0840, XP/CVE-2011-3544 Was ich unternommen habe: (angelehnt an die DataRestore-Entfernung) - rkill durchlaufen lassen. Logfile kann ich, wenn erforderlich, posten. - Malwarebytes scannen lassen. Logfiles gibt es mehrere. Auszug aus den gefundenen Infektionen: Code:
ATTFilter
Infizierte Dateiobjekte der Registrierung: 7
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
---
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
- unhide ausgehführt - mit OTH Helper versucht, ist allerdings gescheitert (PC aufgehängt) -> Neustart -> Neue Fenster etc. (Deshalbbei Antivir + ambam auch viele Funde/Logs), dann selbiges von vorne. - Am nächsten Tag: Da Systemcheck eine Verknüpfung auf dem Desktop hatte, habe ich die Dateien, zu denen diese führte, manuell gelöscht (Namen: ~xLlfeCVtLAVqgLr, ~xLlfeCVtLAVqgL, xLlfeCVtLAVqgLr). - Dann noch mehrmals mbam laufen lassen sowie Antivir. Mbam: Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qLYEwoUwbT.exe (Rogue.SystemCheck) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xLlfeCVtLAVqgL.exe (Rogue.SystemCheck) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Mittlerweile ist mein Laptop jedoch immer noch relativ langsam, und in der Schnellstartleiste findet sich immer noch eine Verknüpfung zum Systemcheck (per Hand löschen?), mein Desktop ist nun blau (war kurzzeitig schwarz) Außerdem ist -laut Taskmanager- die Systemleistung rel. gering, also Arbeitsspeicher gut besetzt. Welche LOGs werden benötigt? OTL habe ich durchlaufen lassen, erscheint mir nur extrem lang.. Oder die aus der Hilfsuch-Anleitung? Schonmal vielen Dank! Geändert von Kiwisalat (26.02.2012 um 16:37 Uhr) Grund: Rechtschreibung |
| Themen zu Infiziert mit "System Check" - System wieder in Ordnung? |
| antivir, blau, data restore, dateien, desktop, diverse, einstellungen, exp/cve-2010-0840, exp/cve-2011-3544, exp/pidief.aik.1, explorer, helper, infiziert, infiziert., langsam, logfile, logfiles, löschen, löschen?, malwarebytes, microsoft, namen, neustart, pop-ups, scan, software, system, systemcheck, tr.crypt.xpack.gen, tr/crypt.xpack.ge, tr/crypt.xpack.gen, tr/trash.gen, trojaner, trojaner und viren gefunden, viren |
Baum-Darstellung