trojaner entdeckt aber nicht mehr sicher ob er noch da ist

bartenwal · 16.12.2012, 18:35

Am freitag abend hat mir jemand über steam einen downloadlink geschickt der für eine mod hätte sein sollen dabei war es ein trojaner.(hab es angeklickt weil ich dem typen eig. vertraut habe) Es handelt sich bei dem trojaner um darkcoment kaspersky hat es anscheinend gleich gelöscht trotzdem wurde mir bei chip.de empfohlen ein mbam zu machen dort habe ich gesehen das darkcoment garnicht mehr auf meinem pc war dafür 22 mal pup.loadtubes und 7 mal pup.bflix da ich immer einen zweiten benutzer mit admin rechte auf meinem pc habe und alle pup.loadtubes nur auf meinem alten benutzer waren hab ich den alten einfach gelöscht und benutze jetzt den neuen jetzt sind nurnoch die 7 pup.blifx beim mbam angezeigt. hab die 7 pup.blifx mit kaspersky unter quarantäne gestellt. besonder interessiert mich dieses C:\ProgramData\TheBflix\uninstall.exe (PUP.BFlix) könnte ich damit den trojaner deinstallieren?
hier die aktuelle mbam (hätte auch noch die mit den 22 pup.loadtubes)
Malwarebytes Anti-Malware (Trial) 1.65.1.1000
Malwarebytes : Free Anti-Malware download

Database version: v2012.12.15.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Bartenwal :: ASUS-PC [administrator]

Protection: Enabled

16.12.2012 17:17:17
mbam-log-2012-12-16 (18-19-12).txt

Scan type: Full scan (C:\|D:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 461155
Time elapsed: 55 minute(s), 44 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} (PUP.BFlix) -> No action taken.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 1
C:\ProgramData\TheBflix (PUP.BFlix) -> No action taken.

Files Detected: 5
C:\ProgramData\TheBflix\background.html (PUP.BFlix) -> No action taken.
C:\ProgramData\TheBflix\content.js (PUP.BFlix) -> No action taken.
C:\ProgramData\TheBflix\ekdjfcdinekpfcedakhpngcnaamhiihn.crx (PUP.BFlix) -> No action taken.
C:\ProgramData\TheBflix\settings.ini (PUP.BFlix) -> No action taken.
C:\ProgramData\TheBflix\uninstall.exe (PUP.BFlix) -> No action taken.

(end)

markusg · 16.12.2012, 19:56

Hi,
kannst du uns die Kaspersky Fundmeldung, als Text, posten bitte?

bartenwal · 16.12.2012, 20:07

hallo
ich versteh nicht ganz was du meinst. als kaspersky den download gelöscht hat?
ich weiß nicht ob ich da eine meldung noch habe

markusg · 16.12.2012, 20:08

Die wird automatisch im Verlaufsprotokoll gespeichert, schau da mal bitte

bartenwal · 16.12.2012, 20:30

da sind halt die sachen die ich in die quarantäne gestellt habe und meldungen von den downloads die kaspersky gelöscht hat

markusg · 16.12.2012, 20:40

Ja und ich sagte, die sollst du posten, also die Meldungen.

bartenwal · 16.12.2012, 21:07

sorry kenn mich da nich so aus wie geht des

markusg · 16.12.2012, 21:08

da wirds wohl ne Schaltfläche exportieren geben, einfach mal im programm lesen.

bartenwal · 16.12.2012, 21:21

ich find da nix. ist das denn so wichtig?

markusg · 16.12.2012, 21:30

Dann tippe die fundmeldungen ab.
natürlich ists wichtig, warum sollte ich es sonst anfordern?

bartenwal · 16.12.2012, 22:02

da steht nur 2 mal killsteak.exe und einmal mw3hack.exe (es sollten ursprüglich cod mods sein die mir der typ geschickt hat) und als status steht gelöscht da und dann halt noch das datum (samstag 2 uhr nachts)

momentan sagt der mbam das ich keine schädliche daten habe (ich geh mal davon aus weil sie in der quarantäne liegen) bin ich momentan sicher?

markusg · 18.12.2012, 13:50

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

bartenwal · 18.12.2012, 19:13

Da ist einmal
Unsigned File
Service: FirebirdServerMAGIXInstance
Suspicious object, medium risk
Service start: Demand (0x3)
File: C:\Program Files\MAGIX Services\Database\bin\fbserver.exe
MD5: 5BD96D8C5411ACE71A7EAACAF0EF2903

und da ist noch
Unsigned File
Service: USBAAPL64
Suspicious object, medium risk
Service type: Kernel Driver (0x1)
service start: Demand (0x3)
File: C:\Windows\system32\Drivers\usbaapl64.sys
MD5: AF1B9474D67897D0C2CFF58E0ACEACCC

das sind alle
was soll ich mit den dateien machen dich bei kaspersky in Quarantäne hab?
danke

markusg · 18.12.2012, 19:19

Öffne c: TDSSKILLER-Version-Datum.txt und poste diese bitte.

bartenwal · 18.12.2012, 19:41

kann ich iwie die datei hochladen weil der text is ca 130.000 zeichen lang oder soll ich ihn in 2 teilen hochladen

16.12.2012, 19:56	#2
markusg /// Malware-holic	trojaner entdeckt aber nicht mehr sicher ob er noch da ist Hi, kannst du uns die Kaspersky Fundmeldung, als Text, posten bitte? __________________ __________________

16.12.2012, 20:40	#6
markusg /// Malware-holic	trojaner entdeckt aber nicht mehr sicher ob er noch da ist Ja und ich sagte, die sollst du posten, also die Meldungen. __________________ --> trojaner entdeckt aber nicht mehr sicher ob er noch da ist

trojaner entdeckt aber nicht mehr sicher ob er noch da ist

Log-Analyse und Auswertung: trojaner entdeckt aber nicht mehr sicher ob er noch da ist