|
Plagegeister aller Art und deren Bekämpfung: Trojaner lassen sich mit Malwarebytes nicht löschen, was tun?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.07.2012, 10:43 | #1 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hallo liebes Team, habe seit 5 Tagen folgendes Problem. Nach Windows- und Adobe Update (eins von beiden wirds wohl sein) habe ich Trojaner an Bord. Trend Micro hat das System komplett blockiert, deshalb habe ich Trend Micro deinstalliert und Malwarebytes installiert. Beim Scann fallen immer diese 4 Trojaner im Installer Verz. auf, die nach Quarantäne und Neustart schnell wieder da sind. Was tun? hier das Logfile: Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.16.04 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 chef :: IBL-PC-LL71 [Administrator] Schutz: Aktiviert 16.07.2012 11:25:31 mbam-log-2012-07-16 (11-33-10).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 305856 Laufzeit: 6 Minute(n), 56 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 1 C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt. Infizierte Dateien: 5 C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@ (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Keine Aktion durchgeführt. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@ (Rootkit.0Access) -> Keine Aktion durchgeführt. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@ (Trojan.Sirefef) -> Keine Aktion durchgeführt. C:\Program Files\RelevantKnowledge\shfscp.dat (PUP.Spyware.MarketScore) -> Keine Aktion durchgeführt. (Ende) Vielen Dank im voraus für die Hilfe Grüsse Venividi |
16.07.2012, 11:05 | #2 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi,
__________________das ist ein Rootkit, meist ist noch ein regulärer Treiber infiziert. Das geht nicht so einfach, auch musst Du einen Fullscan machen... Teile davon liegen noch in anderen Bereichen... OTL Lade Dir OTL von Oldtimer herunter (http://filepony.de/download-otl/) und speichere es auf Deinem Desktop
TDSS-Killer Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft? Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)! Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe. Stelle den Killer wir folgt ein: Dann den Scan starten durch (Start Scan). Wenn der Scan fertig ist bitte "Report" anwählen (eventuelle Funde erstmal mit Skip übergehen). Es öffnet sich ein Fenster (Report anklicken), den Text abkopieren und hier posten... chris
__________________ |
16.07.2012, 12:04 | #3 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Lieber Chris,
__________________bevor ich starte: soll ich jetzt gleich beide Tools nacheinander laufen lassen, oder erst das eine, dann Ergebnis posten und dann das andere ? |
16.07.2012, 13:05 | #4 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi, ist egal, beides sind nur Analyseläufe... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
16.07.2012, 13:46 | #5 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? lieber Chris hier die Dateien Wie kann man sich eigentlich erkenntlich zeigen? Kontonummer? Grüssle Venividi |
16.07.2012, 15:32 | #6 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hallo Chris, hier noch Ergebnis "Vollständiger Scan" Laufwerk C: Grüssle |
16.07.2012, 16:23 | #7 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi, Fix für OTL (vor dem Fix die Antivirenlösung ausschalten):
Code:
ATTFilter :OTL O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [] File not found [2012.07.16 13:26:04 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@ [2012.07.16 13:25:56 | 000,012,288 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@ [2012.07.16 13:25:54 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@ [2012.07.16 13:25:49 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@ [2012.07.13 14:07:47 | 000,095,744 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000032.@ [2012.07.12 07:36:15 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\L\00000004.@ [2012.01.13 09:11:30 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@ [2012.01.13 09:11:30 | 000,002,048 | -HS- | C] () -- C:\Users\chef\AppData\Local\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@ :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] "cval" = dword:0x01 :Commands [emptytemp] [Reboot]
MAM alle Funde bereinigen lassen! Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter C:\ProgramData\479C140FFB.sys
Combofix Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Achtung: In einigen wenigen Fällen kann es vorkommen, das der Rechner nicht mehr booten kann und Neuaufgesetzt werden muß! Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report (ComboFix.txt) angezeigt, den bitte kopieren und in deinem Thread einfuegen. Das Log solltest Du unter C:\ComboFix.txt finden... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.07.2012, 11:24 | #8 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? hi, bin gerade beim Neustart nach dem OTL Scan, nur kurze Zwischenfrage: was ist "MAM"? alles bereinigen lassen? Vielen Dank! All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000008.@ moved successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000000.@ moved successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\000000cb.@ moved successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\00000004.@ moved successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\U\80000032.@ moved successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\L\00000004.@ moved successfully. C:\Windows\Installer\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@ moved successfully. C:\Users\chef\AppData\Local\{10c1ddf6-d431-0328-1fde-564604bae3f3}\@ moved successfully. ========== REGISTRY ========== HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\\"cval" |dword:0x01 /E : value set successfully! ========== COMMANDS ========== [EMPTYTEMP] User: administrator ->Temp folder emptied: 477538455 bytes ->Temporary Internet Files folder emptied: 22864299 bytes ->Flash cache emptied: 456 bytes User: All Users User: chef ->Temp folder emptied: 178789377 bytes ->Temporary Internet Files folder emptied: 337738250 bytes ->Java cache emptied: 6814308 bytes ->FireFox cache emptied: 32811405 bytes ->Google Chrome cache emptied: 6165168 bytes ->Apple Safari cache emptied: 0 bytes ->Flash cache emptied: 9571 bytes User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: mkg ->Temp folder emptied: 2026136 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Public User: UpdatusUser ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: User ->Temp folder emptied: 81614002 bytes ->Temporary Internet Files folder emptied: 6929873 bytes ->Flash cache emptied: 326 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 6432 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 123041788 bytes RecycleBin emptied: 33030 bytes Total Files Cleaned = 1.217,00 mb OTL by OldTimer - Version 3.2.54.0 log created on 07172012_122022 Files\Folders moved on Reboot... File move failed. C:\Windows\temp\hlktmp scheduled to be moved on reboot. PendingFileRenameOperations files... [2012.07.17 12:26:35 | 008,405,015 | ---- | M] () C:\Windows\temp\hlktmp : Unable to obtain MD5 Registry entries deleted on Reboot... Hi Chris, dies ist nach dem Reboot nach OTL Scan gekommen. Wie soll ich jetzt weitermachen? was hat es mit dem OTL Fix Log auf sich. Brauchst Du den? MAM? Grüssle Andi |
17.07.2012, 13:43 | #9 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi, ist soweit ok, bitte die angegebene Datei mit Virustotal überprüfen lassen, das Ergebnis posten und dann umgehen ComboFix laufen lassen. Das Ding infiziert normalerweise einen Treiber, solange der da ist, kann er sich der Trojaner "wiederherstellen"... Poste das CF-Log und ein neues OTL-Log... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.07.2012, 14:04 | #10 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi, hier das Ergebnis ich mach jetzt gleich weiter vorher habe ich halt nix mit MAM gesäubert weil ich nicht weiß was das ist? Grüssle Community Statistics Dokumentation FAQ About Join our community Sign in SHA256: 9d7d948ef1329cc1db5fb77cbe9ed7bbf7d74cd8be1ad214689ebbe52a2267cb SHA1: 2fa91927668fb0b3a4da32722825e15080cb5c21 MD5: 0641a46f1e58529a42ead4573a3a0861 File size: 8 Bytes ( 8 bytes ) File name: C:\ProgramData\479C140FFB.sys File type: unknown Detection ratio: 1 / 42 Analysis date: 2012-07-17 12:49:50 UTC ( 1 Minute ago ) 1 0 More details Antivirus Result Update AhnLab-V3 - 20120716 AntiVir - 20120717 Antiy-AVL - 20120717 Avast - 20120717 AVG - 20120717 BitDefender - 20120717 ByteHero - 20120716 CAT-QuickHeal - 20120717 ClamAV - 20120717 Commtouch - 20120717 Comodo - 20120717 DrWeb - 20120717 Emsisoft - 20120717 eSafe Win32.Trojan 20120717 ESET-NOD32 - 20120717 F-Prot - 20120717 F-Secure - 20120717 Fortinet - 20120716 GData - 20120717 Ikarus - 20120717 Jiangmin - 20120717 K7AntiVirus - 20120716 Kaspersky - 20120717 McAfee - 20120717 McAfee-GW-Edition - 20120717 Microsoft - 20120717 Norman - 20120717 nProtect - 20120717 Panda - 20120717 PCTools - 20120717 Rising - 20120717 Sophos - 20120717 SUPERAntiSpyware - 20120717 Symantec - 20120717 TheHacker - 20120716 TotalDefense - 20120717 TrendMicro - 20120717 TrendMicro-HouseCall - 20120717 VBA32 - 20120717 VIPRE - 20120717 ViRobot - 20120717 VirusBuster - 20120717 Comments Votes Additional information ssdeep 3:hl/n:r TrID MS Flight Simulator Aircraft Performance Info (100.0%) First seen by VirusTotal 2008-03-02 16:02:20 UTC ( 4 Jahre, 4 Monate ago ) Last seen by VirusTotal 2012-07-17 12:49:50 UTC ( 11 Minuten ago ) File names (max. 25) 1. 1B750485A4.sys 2. E49E9EDFFB.sys 3. 324D31B5AC.sys 4. 6A0E7F0AE1.sys 5. 28D7687CCB.sys 6. C:\ProgramData\479C140FFB.sys 7. F858D43906.sys 8. F5741CB27C.sys 9. 05C8DC04F0.sys 10. 8351305C78.sys 11. 291C0DB28E.sys 12. 2C39797493.sys 13. C:\Documents and Settings\All Users\Application Data\6D14B0649C.sys 14. 403ED8C272.sys 15. 624E33DE84.sys 16. DACF98CD6F.sys 17. 3669FDB406.sys 18. 79E05550D2.sys 19. 0F4F95A719.sys 20. 17254B3A4F.sys 21. 007CE804A4.sys 22. 3CA87D13E6.sys 23. 6A9A50BC18.sys 24. 1DEDE85914.sys 25. 13ADEA7ACE.sys Blog | Twitter | contact@virustotal.com | Google groups | TOS & Privacy Policy |
17.07.2012, 14:53 | #11 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi, sieht nach f/p aus... Poste die Logs... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
17.07.2012, 15:22 | #12 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? hier die Log.txt hat 2 mal gebootet und am Ende kam auch noch ne Fehlermeldung |
17.07.2012, 16:27 | #13 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? habe gerade nochmals Quickscan laufen lassen, 1 findet er noch? was tun? sonst alles gut? Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.17.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 chef :: IBL-PC-LL71 [Administrator] Schutz: Deaktiviert 17.07.2012 17:16:23 mbam-log-2012-07-17 (17-25-59).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 307388 Laufzeit: 4 Minute(n), 51 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Windows\assembly\GAC\Desktop.ini (Trojan.0access) -> Keine Aktion durchgeführt. (Ende) Hallo Chris, hier von heute morgen der Quickscan, nachdem ich gestern abend nach dem Quickscan das Teil mit Mwb gelöscht habe. ist jetzt alles ok? Grüssle Andi Malwarebytes Anti-Malware (Test) 1.62.0.1300 www.malwarebytes.org Datenbank Version: v2012.07.17.07 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 chef :: IBL-PC-LL71 [Administrator] Schutz: Aktiviert 18.07.2012 07:05:52 mbam-log-2012-07-18 (07-05-52).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 327791 Laufzeit: 7 Minute(n), 8 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) |
18.07.2012, 06:50 | #14 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Hi, einige seltsame Sachen... Bitte folgende Files prüfen: Dateien Online überprüfen lassen:
Code:
ATTFilter c:\windows\DCEBoot.exe c:\windows\ouwininit.exe
Falls die Files erkannt wurden, folgendes Script mit OTL abfahren: Fix für OTL:
Code:
ATTFilter :FILES c:\windows\DCEBoot.exe c:\windows\ouwininit.exe :Commands [emptytemp] [Reboot]
Dann bitte MAM updaten und FULLSCAN, erstelle und poste ein neues OTL-Log... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
18.07.2012, 07:47 | #15 |
| Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? Guten Morgen Chris, was ist MAM? ich blicke nur dies eine nicht!? |
Themen zu Trojaner lassen sich mit Malwarebytes nicht löschen, was tun? |
00000008.@, 80000000.@, administrator, adobe, anti-malware, autostart, blockiert, dateien, explorer, folge, heuristiks/extra, heuristiks/shuriken, logfile, löschen, malwarebytes, micro, neustart, nicht löschen, pup.spyware.marketscore, relevantknowledge, rootkit.0access, scan, schnell, speicher, system, test, trend, trojan.dropper.bcminer, trojan.sirefef, trojaner, update, vista, was tun? |