| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.10.2009, 19:58
| #1 |
 |  Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evt Hallo, nun hat's mich wohl leider auch mal erwischt und ich würde Euch gerne um Hilfe bitten. Nach ein paar Meldungen meiner installierten GData Internet Security und einigen Merkwürdigkeiten im Verhalten meines MSI Wind Netbooks (u.a. teilweise extrem langsam, Maus spinnt manchmal etc.) habe ich mir auf Euren Seiten hier im Forum eine Menge an Infos geholt und auch die diversen empfohlenen Tools heruntergeladen. Ganz offensichtlich habe ich mir irgendetwas durch meine eigene Blödheit eingefangen, da ich aus Bequemlichkeitsgründen mit Adminrechten eingeloggt und im Netz unterwegs war - und irgendwas bei der Firewall bzw. dem Virenschutzprogramm durchgerutscht sein muss. Anscheinend hat sich da etwas ziemlich ins System gegraben und ich hätte die Kiste wohl auch schon längst neu aufgesetzt, wenn es eben nicht ein kleines Netbook ohne Laufwerk wäre und ich die nächsten Tage auch noch unterwegs bin. Zudem habe ich Bedenken, dass ja vielleicht auch die auf dem Netbook enthaltenen Daten der "Recovery-CD" befallen sind - und Formatieren macht ja ohne Recoverymöglichkeit irgendwie nicht wirklich Sinn... *etwas ratlos gugg"...  Ich werde mal versuchen, möglichst alles halbwegs chronologisch aufzulisten, was die letzten Tage vorgefallen ist und evtl. von Wichtigkeit sein könnte. Vorsicht, wird wohl ein Roman... ;o) Der ganze Ärger fing mit zwei gefundenen Dateien an, worauf hin ich mir dann auch mal die Protokolle mit einigen seltsamen Dingen angesehen habe: Laut G Data Internet Security sind folgende Dateien in Quarantäne Code:
ATTFilter 24.10.2009 21:44
Virus:
Win32:Malware-gen
Datei: prun.tmp
C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp
24.10.2009 22:06
Virus: Win32:Malware-gen
Datei: net.net
c:\windows\system32
Code:
ATTFilter 23.10.2009 02:09
Beim Öffnen der Datei "C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp" wurde der Virus "Trojan.Generic.2582319 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
23.10.2009 02:09
Beim Schließen der Datei "C:\WINDOWS\Temp\2C5.tmp" wurde der Virus "Gen:Trojan.Heur.TDSS.buW@kiNrt0mi (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
23.10.2009 02:09
net.net versucht, die Systemkonfiguration zu ändern.
Dieser Eintrag bindet eine neue Anwendung ein, die beim Start des Systems ausgeführt wird.
Es wird versucht eine Verknüpfung auf net.net anzulegen.
Herausgeber: Unbekannter Herausgeber
Die Konfigurationsänderung wurde nicht erlaubt.
23.10.2009 02:09
Die Datei wurde in die Quarantäne verschoben.
Datei: C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp
Virus: Trojan.Generic.2582319 (Engine A)
23.10.2009 02:17
Beim Öffnen der Datei "C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp" wurde der Virus "Trojan.Generic.2582319 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
23.10.2009 02:17
Beim Schließen der Datei "C:\WINDOWS\Temp\2EE.tmp" wurde der Virus "Gen:Trojan.Heur.TDSS.buW@kiNrt0mi (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
23.10.2009 02:17
Die Datei wurde in die Quarantäne verschoben.
Datei: C:\Dokumente und Einstellungen\XXXAdmin-AccountXXX\Lokale Einstellungen\Temp\maccsnet.tmp
Virus: Trojan.Generic.2582319 (Engine A)
23.10.2009 19:27
Beim Öffnen der Datei "C:\WINDOWS\system32\xa.tmp" wurde der Virus "Trojan.Generic.2590206 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
23.10.2009 20:20
Beim Öffnen der Datei "C:\WINDOWS\system32\xa.tmp" wurde der Virus "Trojan.Generic.2590206 (Engine A)" von der Engine "Engine A" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
24.10.2009 21:42
Beim Öffnen der Datei "C:\WINDOWS\system32\net.net" wurde der Virus "Win32:Malware-gen (Engine B)" von der Engine "Engine B" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.
Nach einigem Sammeln von Infos in Eurem Forum habe ich daraufhin einige Tools laufen lassen. Malwarebyte's Anti-Malware findet am 25.10. (Trojan.Agent) und (Malware.Trace) und entfernt diese (siehe nachstehende Logs): Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3027
Windows 5.1.2600 Service Pack 3
25.10.2009 02:29:17
mbam-log-2009-10-25 (02-28-56).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 183700
Laufzeit: 1 hour(s), 18 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> No action taken.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3027
Windows 5.1.2600 Service Pack 3
25.10.2009 02:32:58
mbam-log-2009-10-25 (02-32-58).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 183700
Laufzeit: 1 hour(s), 18 minute(s), 29 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\net (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Bei erneuten Scans finden dann weder Malwarebyte's Anti-Malware, SUPERAntiSpyware und Blacklight etwas Verdächtiges. Immer noch ein wenig verunsichert, ob der Rechner nun wirklich clean ist, surfe ich dann zumindest mal mit einem Account ohne Admin-Rechte, in mein web.de-Postfach oder auf andere Seiten wie ebay habe ich mich aus Sicherheitsgründen bisher auch nicht mehr eingeloggt - wahrscheinlich auch ganz gut so: Am 26.10. bin ich als User mit eingeschränkten Rechten eingeloggt uns starte Firefox, das WLAN war jedoch noch getrennt. Unten in der Taskleiste erscheint "Update" und die Firewall poppt hoch: Ein Prozeß namens "swaw.tmp" (der auch in der Liste im Taskmanager zu sehen ist) möchte auf die URL "hioprxmetn.com" zugreifen... Das Spannende daran: Die Datei "swaw.tmp" ist nach Suche über die Festplatten nirgendwo zu finden, ein gleich auf die obengenannte Meldung folgender Scan mit Blacklight bleibt ohne Warnung, Blacklight findet scheinbar nichts Verdächtiges und listet diese Datei "swaw.tmp" als offensichtlich normalen Prozeß mit allen anderen üblicherweise laufenden Prozessen auf. Nun gingen mal wieder alle Alarmglocken bei mir an, also erstmal Malwarebyte's Anti-Malware gestartet. Das Programm hatte sich dann mehrfach nach kurzer Laufzeit aufgehängt, auch wenn ich es mit "Ausführen als" mit Admin-Rechten startete. Das Merkwürdige daran war, dass er einmal von etwa 3, 4 Anläufen eine Meldung brachte, dass etwas gefunden wurde - was aber leider dank abgeschmiertem Programm nicht mehr nachzuvollziehen war. Als bei einem weiteren Versuch wieder etwas angezeigt wurde, habe ich schnell einen Screenshot davon gemacht: Leider kann ich Euch den Screenshot nicht direkt einbinden, da ich nicht weiß, wo ich ihn jetzt mal eben schnell ins Netz hochladen kann... Demnach sollten nun also die Dateien c:\windows\system32\config\ODiag.evt und c:\windows\system32\config\OSession.evt mit einem Rootkit.Agent.H versucht sein - na prima...  Nach dem Versuch, Info's über die Dateien ODiag.evt und OSession.evt zu bekommen (müssen wohl im Zusammenhang mit Microsoft Office auf dem Rechner sein, Office Diagnostics und Office Session oder so was?) habe ich dann mal versucht, diese zu löschen, da ich ohnehin kein Office nutze und auf dem Rechner nur eine nicht aktivierte 60-Tage Testversion enthalten ist - keine Chance, da lässt sich nichts löschen, nicht mal kopieren kann ich diese Dateien. Mittlerweile bin ich ein wenig unsicher, ab diese beiden Dateien wirklich infiziert waren bzw. sind, denn ich bekomme mit keinem Programm mehr irgendeine Warnung. Mehrere Komplettscans von Malwarebyte's Anti-Malware, SUPERAntiSpyware und Blacklight unter dem Admin-Account blieben ohne Ergebnis, laut diesen Programmen sollte mein Rechner wieder clean sein - aber ich traue dem Frieden nicht... Nachdem ich gestern Crapcleaner und heute darauf hin nochmal die 3 oben genannten Programme habe laufen lassen, gab es keinerlei Warnmeldungen. SUPERAntiSpyware hat bei mittlerweile 5 Komplettscans nichts gefunden, die letzten Ergebnisse von Malwarebyte's Anti-Malware und Blacklight: Code:
ATTFilter Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3036
Windows 5.1.2600 Service Pack 3
27.10.2009 01:32:35
mbam-log-2009-10-27 (01-32-35).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 194510
Laufzeit: 1 hour(s), 36 minute(s), 53 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Code:
ATTFilter 10/27/09 15:20:08 [Info]: BlackLight Engine 2.2.1092 initialized
10/27/09 15:20:08 [Info]: OS: 5.1 build 2600 (Service Pack 3)
10/27/09 15:20:09 [Note]: 7019 4
10/27/09 15:20:09 [Note]: 7005 0
10/27/09 15:20:13 [Note]: 7006 0
10/27/09 15:20:13 [Note]: 7011 2884
10/27/09 15:20:13 [Note]: 7035 0
10/27/09 15:20:13 [Note]: 7026 0
10/27/09 15:20:14 [Note]: 7026 0
10/27/09 15:20:18 [Note]: FSRAW library version 1.7.1024
10/27/09 15:43:33 [Note]: 7007 0
Fortsetzung folgt... |
| Themen zu Immer neue Probleme: prun.tmp net.net Trojan.Agent swaw.tmp ODiag.evt |
| .com, aufgehängt, aus sicherheitsgründen, blödheit, c:\windows\temp, datei gelöscht, diagnostics, ebay, einstellungen, extrem langsam, festplatte, firefox, firewall, g data, gdata, internet, internet security, kis, langsam, malware.trace, malwarebytes' anti-malware, maus, maus spinnt, net.net, neu aufgesetzt, programme, registrierungsschlüssel, schließen, security, seiten, sicherheitsgründe, sicherheitsgründen, software, superantispyware, system, taskleiste, taskmanager, temp, trojan.generic., warnung, windows, windows\temp, wlan |
Baum-Darstellung