![]() |
|
Plagegeister aller Art und deren Bekämpfung: Jetzt hat's mich auch erwischt...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Jetzt hat's mich auch erwischt... Hallo zusammen! Das ist mein erster Beitrag (hoffentlich geht das so einigermaßen in Ordnung) und gleichzeitig Hilfeschrei in diesem Forum, weil ich auch zum ersten Mal überhaupt richtig Probleme mit Trojaner & Co. habe. System: Ich --> Laie Computer --> Win XP HE 2002 SP 3 Problem: Vor ein paar Tagen schlug AntiVir an und meldete u.a. TR/Fakealert, -Fakescanner, -Spy, -Rootkit, BDS/Backdoor, VBS/Agent, sowie hiddenscript oder s.ä.. Dazu kamen ein weißer Desktop mit dämlichen Warnfenster und ein blöder Bluescreen-Bildschirmschoner. Mit diesen Suchbegriffen bin ich dann hier gelandet und habe festgestellt, das ich nicht allein mit diesem Problem dastehe. Maßnahmen: Beiträge dazu lesen und versuchen zu verstehen (ähem), Systemprüfungen mit AntiVir (zum Schluß keine Funde mehr) und Windows-Update. Es blieben weißer Desktop ohne Warnfenster und der Bluescreen-Bildschirmschoner. Dann habe ich heute Super*antispyware und Malewarebytes geladen, gescannt und Berichte erstellt, die ich einfüge. SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 09/22/2008 at 06:02 PM Application Version : 4.21.1004 Core Rules Database Version : 3575 Trace Rules Database Version: 1563 Scan type : Complete Scan Total Scan Time : 01:02:12 Memory items scanned : 481 Memory threats detected : 0 Registry items scanned : 5583 Registry threats detected : 3 File items scanned : 104244 File threats detected : 32 Adware.Tracking Cookie C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@webmasterplan[2].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@2o7[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@de.sitestat[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@clickaider[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@mediaplex[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adserver.trojaner-info[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@kontera[2].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adtech[2].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@ad.adfill[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adopt.euroclick[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@adfarm1.adition[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@advertising[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@doubleclick[2].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@apmebf[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@tradedoubler[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@www.etracker[2].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@zanox-affiliate[1].txt C:\DOKUME~1\*****\LOKALE~1\Temp\Cookies\*****@estat[1].txt Rogue.WindowsSecurityAdviser C:\Programme\Microsoft Security Adviser\msctrl.exe C:\Programme\Microsoft Security Adviser\mssadv.log C:\Programme\Microsoft Security Adviser\mssadv_sp.log C:\Programme\Microsoft Security Adviser Rogue.AntiVirus XP 2008 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008.lnk Trojan.FakeAlert/Desktop HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#WALLPAPER HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#ORIGINALWALLPAPER HKU\S-1-5-21-1912322583-231662381-3233417756-1007\CONTROL PANEL\DESKTOP#CONVERTEDWALLPAPER Trojan.Unclassified/MSCTRL C:\SYSTEM VOLUME INFORMATION\_RESTORE{690F8753-E79B-4C47-A7A7-47173CEE7988}\RP5\A0000245.EXE NotHarmful.Sysinternals Bluescreen Screen Saver C:\WINDOWS\SYSTEM32\BLPHCJO1J0ER9C.SCR C:\WINDOWS\Prefetch\BLPHCJO1J0ER9C.SCR-1899AD8A.pf Malwarebytes' Anti-Malware 1.28 Datenbank Version: 1193 Windows 5.1.2600 Service Pack 3 22.09.2008 19:23:30 mbam-log-2008-09-22 (19-23-30).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 141440 Laufzeit: 42 minute(s), 35 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 3 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 11 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcno1j0er9c (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\rhcno1j0er9c (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcno1j0er9c (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt90B.tmp (Adware.XPAntivirus) -> Quarantined and deleted successfully. C:\WINDOWS\system32\blphcjo1j0er9c.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully. Wie soll ich jetzt weiter vorgehen? Beste Grüße und schon mal dickes Danke im voraus, Thomas. |
![]() | #2 |
![]() | ![]() Jetzt hat's mich auch erwischt... Hallo zusammen!
__________________die Antworten sind bisher sehr übersichtlich ![]() Habe ich etwas falsch gemacht oder gegen irgendwelche Regeln verstoßen?? Wenn ja, tut es mir leid, liegt dann aber an meiner Unwissenheit. Also nochmals die Bitte: Wie gehe ich weiter vor bei meinem Problem? Kann ich die Dateien in der Quarantäne löschen? Und danach? Grüße, Thomas. |
![]() | #3 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Jetzt hat's mich auch erwischt... Hi,
__________________hier gehts derzeit hoch her. Da kann es zu Verzögerungen kommen. Aktualisiere bitte Malwarebytes und lasse dein System nochmal scannen und bereinigen. Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Es kann sein das RSIT ins Internet will um HijackThis herunterzuladen. Lasse dies bitte zu) lg myrtille
__________________ |
![]() | #4 |
![]() | ![]() Jetzt hat's mich auch erwischt... Hallo myrtille, hier gehts derzeit hoch her. Da kann es zu Verzögerungen kommen. danke für die Rückmeldung, ich hatte nur die Befürchtung, das die Betreffzeile nicht aussagekräftig genug ist. Sollte auch nicht ungeduldig rüberkommen. Aktualisiere bitte Malware*bytes und lasse dein System nochmal scannen und bereinigen. Habe ich gemacht, diesmal keine Funde. Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. Zum Anhängen und zum Einfügen in den Text sind die wohl zu groß, ich weiß auch nicht, ob ich da was einkürzen kann? Wie bekomme ich die hier unter? Danke schonmal und liebe Grüße, Thomas. |
![]() | #5 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Jetzt hat's mich auch erwischt... Hi, wenn die Texte zu lang sind, dann lade bitte beide Datein bei file-upload hoch und stelle den Link dann hier online. (sag mir bitte, dass du in den letzten 5 Tagen kein SP3 oder sowas installiert hast!? ![]() lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
![]() | #6 |
![]() | ![]() Jetzt hat's mich auch erwischt... wenn die Texte zu lang sind, dann lade bitte beide Datein bei file-upload hoch und stelle den Link dann hier online. h**p://www.file-upload.net/download-1135991/info.txt.html h**p://www.file-upload.net/download-1135997/log.txt.html (sag mir bitte, dass du in den letzten 5 Tagen kein SP3 oder sowas installiert hast!? ![]() In den letzten 5 Tagen nicht, aber es ist noch nicht so lange her, da hat mich SP3 (glaube ich jedenfalls) ewig lange genervt, bis ich mich dem hingegeben habe... Leicht verwirrte Grüße, Thomas. |
![]() |
Themen zu Jetzt hat's mich auch erwischt... |
8.tmp, adfarm, advertising, anti-malware, antispyware, antivir, bds/backdoor, bluescree, control, dateien, desktop, detected, einstellungen, explorer, festgestellt, forum, hijack.displayproperties, hijack.wallpaper, internet, internet explorer, keine funde, launch, microsoft, microsoft security, prefetch, probleme, programme, registrierungsschlüssel, rogue.antivirus2008, rogue.multiple, script, software, super, system volume information, system32, tradedoubler, trojan.agent, trojan.downloader, trojaner, weißer desktop, win xp |