| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: prunnet.exe - Malwarebyte-Log anbeiWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.12.2008, 02:03
| #1 |
 |  prunnet.exe - Malwarebyte-Log anbei Hallo, ich bin vorhin auf der Suche nach Infos über Google auf so eine Download-Seite gekommen. Hab sie sofort geschlossen, trotzdem ging scheinbar was schief. ZoneAlarm und Antivir sprangen an, verschiedene .tmp-Dateien seien Trojaner. Es öffnete sich der IE und mir wurde ein kostenloses Virenprogramm angeboten. Hab die Seite und Fenster geschlossen und im Task Manager die prunnet.exe gelöscht, seitdem ist Ruhe damit. Ach ja, außerdem war wohl plötzlich mein virtueller Speicher zu klein und musste erweitert werden… Was heißt das? Es scheint das gleiche Problem wie in diesem Beitrag zu sein, denn die prunnet.exe hab ich auch: http://www.trojaner-board.de/67280-prunnet-exe-ie-oeffnet-sich-ungefragt.html?highlight=prunnet Habe mich daran gehalten, Systemwiederherstellung ist aus, Virenscanner ist ja eh weg durch den Trojaner. ZoneAlarm ist noch an. Blacklight findet nichts. Hier der Log von Malwarebyte (6 infizierte Objekte, sind entfernt) Code:
ATTFilter Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1571
Windows 5.1.2600 Service Pack 3
30.12.2008 00:10:41
mbam-log-2008-12-30 (00-10-41).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 98154
Laufzeit: 52 minute(s), 56 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prunnet (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Downloader) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\prunnet.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\prun.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
Mich wundert aber, dass er nur prunnet.exe und prun.tmp gefunden hat. Avira hat auch vor anderen .tmp Dateien gewarnt: rasesnet, wavvsnet, winvsnet, xpre Die Windows-Suche findet diese Dateien aber nicht mehr. SuperAntiSpyware hat sich nach 30 Minuten Scan aufgehängt und weil ich so fertig bin, hab ich nur noch einen Schnell-Scan gemacht. Der hat lediglich 230 Adware.Tracking Cookies gefunden. Hab sie entfernt, aber ist nichts wildes, oder? Hier noch der Log von Avira, falls das hilft: Code:
ATTFilter
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 30. Dezember 2008 00:55
Es wird nach 1132411 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: ***
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: ***
Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 29.11.2008 08:45:15
AVSCAN.DLL : 8.1.4.0 48897 Bytes 19.07.2008 07:14:05
LUKE.DLL : 8.1.4.5 164097 Bytes 19.07.2008 07:14:05
LUKERES.DLL : 8.1.4.0 12545 Bytes 19.07.2008 07:14:05
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 18:44:28
ANTIVIR1.VDF : 7.1.1.33 1705984 Bytes 24.12.2008 20:42:53
ANTIVIR2.VDF : 7.1.1.34 2048 Bytes 24.12.2008 20:42:54
ANTIVIR3.VDF : 7.1.1.48 188928 Bytes 29.12.2008 21:14:45
Engineversion : 8.2.0.45
AEVDF.DLL : 8.1.0.6 102772 Bytes 19.10.2008 14:15:59
AESCRIPT.DLL : 8.1.1.19 336252 Bytes 16.12.2008 21:54:24
AESCN.DLL : 8.1.1.5 123251 Bytes 13.11.2008 15:51:35
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 16:02:16
AEPACK.DLL : 8.1.3.4 393591 Bytes 13.11.2008 15:51:34
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 16.12.2008 21:54:23
AEHEUR.DLL : 8.1.0.75 1524087 Bytes 16.12.2008 21:54:21
AEHELP.DLL : 8.1.2.0 119159 Bytes 21.11.2008 22:22:41
AEGEN.DLL : 8.1.1.8 323956 Bytes 16.12.2008 21:54:16
AEEMU.DLL : 8.1.0.9 393588 Bytes 19.10.2008 14:15:49
AECORE.DLL : 8.1.5.2 172405 Bytes 29.11.2008 08:45:15
AEBB.DLL : 8.1.0.3 53618 Bytes 19.10.2008 14:15:45
AVWINLL.DLL : 1.0.0.12 15105 Bytes 19.07.2008 07:14:05
AVPREF.DLL : 8.0.2.0 38657 Bytes 19.07.2008 07:14:05
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 19:47:57
AVREG.DLL : 8.0.0.1 33537 Bytes 19.07.2008 07:14:05
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 05:26:02
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 19.07.2008 07:14:05
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 05:26:03
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 19.07.2008 07:14:05
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 05:26:02
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 19.07.2008 07:14:02
RCTEXT.DLL : 8.0.52.0 86273 Bytes 19.07.2008 07:14:02
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Beginn des Suchlaufs: Dienstag, 30. Dezember 2008 00:55
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msworks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SUPERAntiSpyware.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WCESCOMM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WkUFind.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CALMAIN.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmurfService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '33' Prozesse mit '33' Modulen durchsucht
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Dienstag, 30. Dezember 2008 01:59
Benötigte Zeit: 1:03:51 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
4782 Verzeichnisse wurden überprüft
164463 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
164462 Dateien ohne Befall
1057 Archive wurden durchsucht
5 Warnungen
0 Hinweise
Was muss/kann ich sonst noch tun? Ach ja, zum Zeitpunkt des „Angriffs“ waren ein USB-Stick und ein Navigationsgerät per USB am PC angeschlossen. Muss ich die auch prüfen? Danke für eure Hilfe im Voraus! Eine verzweifelte Jewel |
| Themen zu prunnet.exe - Malwarebyte-Log anbei |
| .dll, antivir, aufgehängt, avgnt.exe, avira, einstellungen, ellung, google, hijack, infizierte, log, logon.exe, malware.trace, malwarebytes' anti-malware, microsoft, net.exe, neustart, nt.dll, problem, programm, programme, prüfen, registrierungsschlüssel, registry, scan, sched.exe, services.exe, software, suche, suchlauf, svchost.exe, temp, trojan.downloader, usb-stick, verweise, virus, virus gefunden, warnung, winlogon.exe |
Baum-Darstellung