| |
| |||||||
Log-Analyse und Auswertung: Trojan.Win32.Chifrax.aWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
09.08.2014, 21:46
| #1 |
| |  Trojan.Win32.Chifrax.a Hallo liebe Trojaner Board leser, und zwar habe ich mir Heute mit dem öffnen einer Winrar Datei den Trojaner "Trojan.Win32.Chifrax.a" eingefangen. (Den Schädling erhielt ich anscheinend durch einen download einer Freeware) Mein Kaspersky Internet Security 2012 hat sofort Alarm geschlagen und versucht den Schädling ausfindig zu machen und in Quarantäne zu verschieben. Jedoch kam es nichtmal so weit den die Datei konnte laut Kaspersky nicht verschoben oder gelöscht werden. Daraufhin ließen sich keine .exe Dateien mehr öffnen, jedoch funktionierten noch laufende Programme wie Kaspersky, Teamspeak, League of Legends oder der Steamclient. Der Taskmanager konnte ebenfalls nicht geöffnet werden, jedoch funktionierte die STRG+Alt+Entf Kombination. Ich löschte die Dateien also manuell via CCleaner. Mit Kaspersky startete ich auf Verdacht das sich der Schädling dubliziert hat, eine Bedrohungssuche, jedoch ohne Ergebnis. Danach startete sich der Computer neu. Schon beim Einloggen (nicht Hochfahren), bemerkte ich das vieles unnatürlich langsam lief, selbst der Desktop baute sich sehr langsam auf oder ladete Icons mehrfach neu. Direkt machte ich einen Bedrohungssuchlauf mit Malwarebytes. (ohne Aktualisierung) Log 1: Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 09.08.2014 Suchlauf-Zeit: 21:34:18 Logdatei: Log1.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.03.04.09 Rootkit Datenbank: v2014.08.04.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Self-protection: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: Pauls PC Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 229729 Verstrichene Zeit: 16 Min, 3 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 4 PUP.Optional.FreeGames.A, HKLM\SOFTWARE\CLASSES\Free Games 111.BackgroundHostObject, In Quarantäne, [ea5f15ea3347d56158b4a4f0a55d8080], PUP.Optional.FreeGames.A, HKLM\SOFTWARE\CLASSES\Free Games 111.BackgroundHostObject.1, In Quarantäne, [a5a419e6e8920a2c14f8672df50d9868], PUP.Optional.FreeGames.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\Free Games 111.BackgroundHostObject, In Quarantäne, [50f95aa504766bcb0705850fa45e7789], PUP.Optional.FreeGames.A, HKLM\SOFTWARE\WOW6432NODE\CLASSES\Free Games 111.BackgroundHostObject.1, In Quarantäne, [2f1a51ae4931e55132da00940bf7ee12], Registrierungswerte: 0 (No malicious items detected) Registrierungsdaten: 0 (No malicious items detected) Ordner: 0 (No malicious items detected) Dateien: 1 PUP.Optional.PCPerformer.A, C:\Windows\System32\roboot64.exe, In Quarantäne, [56f3f40b691167cf8f225717718f06fa], Physische Sektoren: 0 (No malicious items detected) (end) Log 2: Code:
ATTFilter Malwarebytes Anti-Malware www.malwarebytes.org Suchlauf Datum: 09.08.2014 Suchlauf-Zeit: 21:57:17 Logdatei: Log2.txt Administrator: Ja Version: 2.00.2.1012 Malware Datenbank: v2014.08.09.06 Rootkit Datenbank: v2014.08.04.01 Lizenz: Kostenlos Malware Schutz: Deaktiviert Bösartiger Webseiten Schutz: Deaktiviert Self-protection: Deaktiviert Betriebssystem: Windows 7 Service Pack 1 CPU: x64 Dateisystem: NTFS Benutzer: Pauls PC Suchlauf-Art: Bedrohungs-Suchlauf Ergebnis: Abgeschlossen Durchsuchte Objekte: 285728 Verstrichene Zeit: 6 Min, 23 Sek Speicher: Aktiviert Autostart: Aktiviert Dateisystem: Aktiviert Archive: Aktiviert Rootkits: Deaktiviert Heuristics: Aktiviert PUP: Aktiviert PUM: Aktiviert Prozesse: 0 (No malicious items detected) Module: 0 (No malicious items detected) Registrierungsschlüssel: 1 PUP.Optional.FreeGames.A, HKU\S-1-5-21-4102823070-225733025-20569267-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{C45EC9F0-8333-465D-9728-074BD41985C9}, In Quarantäne, [0486c2026e0d30066a7791d77f83d828], Registrierungswerte: 0 (No malicious items detected) Registrierungsdaten: 1 PUP.Optional.Trovi.A, HKU\S-1-5-21-4102823070-225733025-20569267-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, hxxp://www.trovi.com/?gd=&ctid=CT3324424&octid=EB_ORIGINAL_CTID&ISID=M8BA7F187-B753-451B-AA20-A5F7411D309C&SearchSource=55&CUI=&UM=5&UP=SP121883C9-830E-45AA-8E42-DD276DF44869&SSPV=, Gut: (www.google.com), Schlecht: (hxxp://www.trovi.com/?gd=&ctid=CT3324424&octid=EB_ORIGINAL_CTID&ISID=M8BA7F187-B753-451B-AA20-A5F7411D309C&SearchSource=55&CUI=&UM=5&UP=SP121883C9-830E-45AA-8E42-DD276DF44869&SSPV=),Ersetzt,[fd8d4282cead8ea881570fae669ef907] Ordner: 1 PUP.Optional.SoftwareUpdater.A, C:\Users\Pauls PC\AppData\Local\SwvUpdater, In Quarantäne, [1179289cd7a4ea4c1e44a438e41e25db], Dateien: 2 PUP.Optional.SoftwareUpdater.A, C:\Users\Pauls PC\AppData\Local\SwvUpdater\Updater.xml, In Quarantäne, [1179289cd7a4ea4c1e44a438e41e25db], PUP.Optional.SoftwareUpdater.A, C:\Users\Pauls PC\AppData\Local\SwvUpdater\status.cfg, In Quarantäne, [1179289cd7a4ea4c1e44a438e41e25db], Physische Sektoren: 0 (No malicious items detected) (end) Nun frage ich mich ob mein Computer noch weiter infiziert ist oder sich das Problem via MBAM bereinigt hat. Mit freundlichen Grüßen Paul S. |
Baum-Darstellung