Hallo zusammen,
seit einiger Zeit meldet mein Kaspersky Internet Security eine "Bedrohung"
und zwar sei meine svchost.exe von einem Virus befallen. Kaspersky
spuckt dann die Bezeichnung "not-a-virus:RiskTool.Win32.BitCoinMiner.jdc"
aus. Ich kann die Datei löschen und mein System während eines Neustarts "desinfizieren",
was allerdings keine Veränderung bringt - nach dem Neustart kommt meist ziemlich bald
die selbe Meldung erneut.
Habe dann hier in dem Forum einen ähnlichen Threat gefunden (
http://www.trojaner-board.de/133045-...erbraucht.html ) bei dem es um
einen svchost-Befall ging. Darin war beschrieben das dieser viel CPU-Auslastung
auslöst - was bei mir jedoch nicht der Fall ist.
Ich habe mir trotzdem mal die dort empfohlene Software:
Malwarebytes Anti-Malware , Malwarebytes Anti-Rootkit und OTL runtergeladen und laufen lassen.
Malwarebytes
Anti-Malware fand beim ersten Scann mehrere Trojaner etc. die ich dann entfernte.
LOGEINTRAG dazu
Zitat:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2013.10.29.09
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
Carl :: CARL-PC [Administrator]
Schutz: Aktiviert
29.10.2013 21:17:40
mbam-log-2013-10-29 (21-17-40).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 241007
Laufzeit: 7 Minute(n), 29 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 3
C:\Users\Carl\AppData\Local\Temp\mt_ffx\Delta (PUP.Optional.Delta.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\mt_ffx\Delta\delta (PUP.Optional.Delta.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\mt_ffx\Delta\delta\1.8.10.0 (PUP.Optional.Delta.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateien: 14
C:\$Recycle.Bin\S-1-5-21-3856524493-717638516-2450426649-1000\$R9FFUDL.exe (PUP.Optional.InstallIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-3856524493-717638516-2450426649-1000\$RG56VJ3.exe (PUP.Optional.InstallIQ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\nsh5C84.tmp (PUP.Optional.Somoto) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\1AC7A9F0-BAB0-7891-8DD1-DA79D44AA0A3\Latest\BExternal.dll (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\1AC7A9F0-BAB0-7891-8DD1-DA79D44AA0A3\Latest\CrxInstaller.dll (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\1AC7A9F0-BAB0-7891-8DD1-DA79D44AA0A3\Latest\MyBabylonTB.exe (PUP.Optional.Delta) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\1AC7A9F0-BAB0-7891-8DD1-DA79D44AA0A3\Latest\Setup.exe (PUP.Optional.Babylon.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\is1070216317\DeltaTB.exe (PUP.Optional.Delta.A) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Carl\AppData\Local\Temp\is1070216317\FindLyrics.exe (PUP.Optional.AdLyrics) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
Nach Neustart und zweitem Scann (und Wiederholungen dieses Vorgangs) werden
nun "nur" noch 5 gefunden.
LOGEINTRÄGE dazu
von
Malwarebytes Anti-Malware
Zitat:
Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org
Datenbank Version: v2013.10.29.09
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
Carl :: CARL-PC [Administrator]
Schutz: Aktiviert
29.10.2013 21:30:43
mbam-log-2013-10-29 (21-30-43).txt
Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 239946
Laufzeit: 3 Minute(n), 43 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 5
C:\Windows\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Windows\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
|
von
Malwarebytes Anti-Rootkit
Zitat:
Malwarebytes Anti-Rootkit BETA 1.07.0.1007
www.malwarebytes.org
Database version: v2013.10.29.09
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16721
Carl :: CARL-PC [administrator]
29.10.2013 21:38:36
mbar-log-2013-10-29 (21-38-36).txt
Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Kernel memory modifications detected. Deep Anti-Rootkit Scan engaged.
Objects scanned: 277761
Time elapsed: 6 minute(s), 13 second(s)
Memory Processes Detected: 0
(No malicious items detected)
Memory Modules Detected: 0
(No malicious items detected)
Registry Keys Detected: 0
(No malicious items detected)
Registry Values Detected: 0
(No malicious items detected)
Registry Data Items Detected: 0
(No malicious items detected)
Folders Detected: 0
(No malicious items detected)
Files Detected: 5
C:\Windows\Temp\phatk121016.cl (Trojan.BitcoinMiner) -> Delete on reboot.
C:\Windows\Temp\scrypt130511.cl (Trojan.BitcoinMiner) -> Delete on reboot.
C:\Windows\Temp\diablo130302.cl (Trojan.BitcoinMiner) -> Delete on reboot.
C:\Windows\Temp\poclbm130302.cl (Trojan.BitcoinMiner) -> Delete on reboot.
C:\Windows\Temp\diakgcn121016.cl (Trojan.BitcoinMiner) -> Delete on reboot.
Physical Sectors Detected: 0
(No malicious items detected)
(end)
|
OTL hab ich auch laufen lassen, die Logs will ich allerdings nicht so gerne hier
öffentlich machen (ich bin kein Experte aber ich glaube da stehen doch auch
private Daten wie IP etc. - oder?) kann die aber gerne per PN schicken.
Wäre super wenn mir jemand Helfen könnte.
Gruß
29.10.2013, 22:27
Baum-Darstellung