| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Agent.VBS | Misused.Legit.AI | .vbs und .exe Dateien - sicher entfernt?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.03.2014, 21:34
| #1 |
| |  Trojan.Agent.VBS | Misused.Legit.AI | .vbs und .exe Dateien - sicher entfernt? Hallo! Ich hatte vor kurzem ein leider Archiv geöffnet und im Eifer des Gefechts eine .exe ohne Überlegung ausgeführt. Leider kam dort nicht das Programm welches ich eigentlich haben wollte, sondern keinerlei Reaktion. Im Hintergrund wurde ein Prozess ausgeführt, welchen ich aber direkt beendete da ich zu dem Zeitpunkt der Sache schon nicht mehr traute. Am Tag darauf ist mir aufgefallen das mein Autostart nicht mehr wie vorher war, denn es fehlte mein Programm zur Maus, sowie Dropbox. Einen Blick in den Autostart über CC Cleaner zeigt mir dir 3 .vbs Dateien welche ich schnell deaktivierte und danach neustartete. Diese blieben "angeblich" auch deaktiviert im Autostart. Heute Abend habe ich dann mal Malwarebytes Anti-Malware drüberlaufen lassen und dabei wurden einige infizierte Objekte gefunden. Anbei die .log Datei. Diese habe ich direkt mit Malwartebytes auch löschen lassen. Nun grade läuft im Hintergrund noch ein FullScan von Malwarebytes, dessen Bericht werde ich nachträglich anhängen. Wäre nett wenn ihr mir helfen könntet es wieder loszuwerden, sofern ich es mit Malwarebytes nicht schon losgeworden bin. Danke im Voraus! -Silwnar Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2014.03.21.09 Windows 8 x64 NTFS Internet Explorer 11.0.9600.16521 Lukas Esch :: LUKAS-ESCH [Administrator] 21.03.2014 21:01:09 mbam-log-2014-03-21 (21-01-09).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 222637 Laufzeit: 2 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 2 C:\Users\Lukas Esch\jmmek\xiiMIwlHiysy.exe (Misused.Legit.AI) -> 4264 -> Löschen bei Neustart. C:\Users\Lukas Esch\xhdtx\HYwA.exe (Misused.Legit.AI) -> 4272 -> Löschen bei Neustart. Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKLM\Software\InstallIQ (PUP.Optional.InstallBrain.A) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 2 HKCU\Software\Microsoft\Windows\CurrentVersion\runonce|xhdtx (Trojan.Agent.VBS) -> Daten: C:\Users\LUKASE~1\xhdtx\57053.vbs -> Erfolgreich gelöscht und in Quarantäne gestellt. HKCU\Software\Microsoft\Windows\CurrentVersion\runonce|jmmek (Trojan.Agent.VBS) -> Daten: C:\Users\LUKASE~1\jmmek\73535.vbs -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 4 C:\Users\Lukas Esch\jmmek\xiiMIwlHiysy.exe (Misused.Legit.AI) -> Löschen bei Neustart. C:\Users\Lukas Esch\xhdtx\HYwA.exe (Misused.Legit.AI) -> Löschen bei Neustart. C:\Users\Lukas Esch\xhdtx\57053.vbs (Trojan.Agent.VBS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Lukas Esch\jmmek\73535.vbs (Trojan.Agent.VBS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Edit: Auf anratem von einem Freund noch HitmanPro drüberlaufen lassen. Anbei die Log Datei. Scheint alles sauber zu sein. Warte nun auf eure Rückmeldung für weitere Anweisungen. Code:
ATTFilter HitmanPro 3.7.9.212
www.hitmanpro.com
Computer name . . . . : LUKAS-ESCH
Windows . . . . . . . : 6.3.0.9600.X64/4
User name . . . . . . : Lukas-Esch\Lukas Esch
UAC . . . . . . . . . : Enabled
License . . . . . . . : Free
Scan date . . . . . . : 2014-03-21 21:48:40
Scan mode . . . . . . : Normal
Scan duration . . . . : 1m 12s
Disk access mode . . : Direct disk access (SRB)
Cloud . . . . . . . . : Internet
Reboot . . . . . . . : No
Threats . . . . . . . : 0
Traces . . . . . . . : 20
Objects scanned . . . : 1.399.892
Files scanned . . . . : 37.724
Remnants scanned . . : 399.690 files / 962.478 keys
Suspicious files ____________________________________________________________
C:\Users\Lukas Esch\AppData\Local\PunkBuster\BF4\pb\pbcl.dll
Size . . . . . . . : 963.808 bytes
Age . . . . . . . : 96.2 days (2013-12-15 15:49:34)
Entropy . . . . . : 7.6
SHA-256 . . . . . : 606BF35587821588DF7788E9265CEA593E832F8F048BDAD480E8BFF45E52A60D
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
Program is code signed with a valid Authenticode certificate.
C:\Users\Lukas Esch\AppData\Local\PunkBuster\BF4\pb\pbcls.dll
Size . . . . . . . : 963.808 bytes
Age . . . . . . . : 96.2 days (2013-12-15 15:49:34)
Entropy . . . . . : 7.6
SHA-256 . . . . . : 606BF35587821588DF7788E9265CEA593E832F8F048BDAD480E8BFF45E52A60D
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
Program is code signed with a valid Authenticode certificate.
C:\Users\Lukas Esch\AppData\Local\PunkBuster\BF4\pb\PnkBstrK.sys
Size . . . . . . . : 140.120 bytes
Age . . . . . . . : 143.3 days (2013-10-29 15:40:58)
Entropy . . . . . : 7.7
SHA-256 . . . . . : 98A0247DAE95A8EDC82CF5A3D2671A7AD25E7E0085FBAFF27E3835BC9E5803B7
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Program is code signed with a valid Authenticode certificate.
C:\Users\Lukas Esch\AppData\Local\PunkBuster\BLR\pb\pbcl.dll
Size . . . . . . . : 949.190 bytes
Age . . . . . . . : 112.1 days (2013-11-29 19:52:49)
Entropy . . . . . : 7.6
SHA-256 . . . . . : DAF43E93528BEEECC015FA98D6EE6D6FD6D19A049321E47A65665144E4511F41
Fuzzy . . . . . . : 29.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
C:\Users\Lukas Esch\AppData\Local\PunkBuster\BLR\pb\PnkBstrK.sys
Size . . . . . . . : 140.360 bytes
Age . . . . . . . : 112.1 days (2013-11-29 19:53:02)
Entropy . . . . . : 7.8
SHA-256 . . . . . : 0F41B3843E2D2D1BB1ACF8B7CAA293309CC1CF8CF478B1AC86DD6BB214928DC4
RSA Key Size . . . : 2048
Authenticode . . . : Valid
Fuzzy . . . . . . : 22.0
The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
Authors name is missing in version info. This is not common to most programs.
Version control is missing. This file is probably created by an individual. This is not typical for most programs.
Program contains PE structure anomalies. This is not typical for most programs.
The file is a device driver. Device drivers run as trusted (highly privileged) code.
Program is code signed with a valid Authenticode certificate.
Potential Unwanted Programs _________________________________________________
C:\ProgramData\APN\ (AskBar)
Cookies _____________________________________________________________________
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\3UHKN1DI.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\5D9LLVHD.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\8NDESTZM.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\AOD2JAOX.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\EFEIRR75.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\HWHHHW2J.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\J1F6775X.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\KMTQ8BRN.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\LRCAUMT3.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\MCRJF3HN.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\P8EWVVKM.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\SR7APEMR.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\U7T7U6M1.txt
C:\Users\Lukas Esch\AppData\Local\Microsoft\Windows\INetCookies\UENJ7K1J.txt
Geändert von Silwynar (21.03.2014 um 21:54 Uhr) |
| Themen zu Trojan.Agent.VBS | Misused.Legit.AI | .vbs und .exe Dateien - sicher entfernt? |
| angeblich, anhänge, anti-malware, askbar, autostart, bericht, cc cleaner, dateien, entfernt, fehlte, hintergrund, infizierte, malwarebytes, misused.legit.ai, programm, pup.optional.installbrain.a, rar/agent.s, schnell, traces, trojan.agent.vbs |
Baum-Darstellung