Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover

WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover


Log-Analyse und Auswertung: WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 18.11.2009, 14:59   #1
Gonzo
 
WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover - Standard

WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover


Hallo zusammen,

ich habe folgendes Problem.
Gestern kamen beim Besuch eines externen links einer (bis dato vetrauenswürdigen) Seite - noch während des Seitenaufbaus - Update-Meldungen meines Computers (wie schon 1000mal zuvor). Ich weiß nur noch, dass Java sich gemeldet hat und nachdem NortonAV alles als vertrauenswürdig eingestuft hat, habe ich "dummerweise" ohne genaueres Hinsehen auf akzeptieren gedrückt.
Danach ging alles recht schnell. Die Seite stockt im Aufbau, im Hintergrund arbeitet der Rechner und aus der Taskleiste poppt ein recht professionell aussehendes Fenster hoch (in der Taskleiste war ein Symbol, das dem Sicherheitcenter sehr ähnlich sah): Ihr Rechner ist potenziellen Gefährdungen ausgessetzt oder so ähnlich...
Reaktion von Norton gleich null. Dann ist ein Fenster (Advanced Virus Remover aufgegangen) und hat mich mit Meldungen bombardiert und zugegebenermaßen etwas theadralisch meinen Dekstophintergrund durch ein: "your computer is infected" in roten Lettern ersetzt. Da war trotz profesioneller Hülle schnell klar, dass etwas faul sein muss.
Für jedes geschlossene Fenster sind 2 aufgegangen und der Taskmanager war deaktiviert. Habe den Rechner sofort vom Netz genommen und SUPERAntiSpyware starten können und nach 2maligen Neustarten hat es folgende Elemente erkannt und unter Quarantäne gesetzt:

Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/17/2009 at 03:37 PM

Application Version : 4.29.1004

Core Rules Database Version : 4179
Trace Rules Database Version: 2075

Scan type       : Quick Scan
Total Scan Time : 00:21:20

Memory items scanned      : 799
Memory threats detected   : 1
Registry items scanned    : 204
Registry threats detected : 0
File items scanned        : 0
File threats detected     : 1

Adware.Vundo/Variant-MSFake
	C:\WINDOWS\SYSTEM32\WINUPDATE86.EXE
	C:\WINDOWS\SYSTEM32\WINUPDATE86.EXE
Code:
ATTFilter
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 11/17/2009 at 05:10 PM

Application Version : 4.29.1004

Core Rules Database Version : 4179
Trace Rules Database Version: 2075

Scan type       : Complete Scan
Total Scan Time : 01:16:56

Memory items scanned      : 703
Memory threats detected   : 0
Registry items scanned    : 7381
Registry threats detected : 6
File items scanned        : 27157
File threats detected     : 4

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Besitzer\Cookies\besitzer@atdmt[3].txt

Rogue.AdvancedVirusRemover
	HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Run#Advanced Virus Remover [ C:\Program Files\AdvancedVirusRemover\AVR.exe ]
	C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Advanced Virus Remover.lnk
	C:\Dokumente und Einstellungen\Besitzer\Desktop\Advanced Virus Remover.lnk
	C:\Dokumente und Einstellungen\Besitzer\Startmenü\Advanced Virus Remover.lnk
	HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR
	HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastVFC
	HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#VirList
	HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastD
	HKU\S-1-5-21-746137067-838170752-725345543-1003\Software\AVR#LastScan
Ich habe währenddesssen in meiner (dezent aufsteigenden) Panik noch meinen USB-Stick angeschlossen, um die aktuellste Version meiner Abschlussarbeit und einige Daten zu sichern (selbstverständlich war der Stick dann auch infiziert...).

Erste Bilanz waren ein ausgetauschter Desktophintergrund, ein deaktivierter Taskmanager und die Tatsache, dass Google-Suchen deaktiviert waren. Ein erster Hijackthis-scan hat dann auch komische Einträge angezeigt (s.u.)

Habe dann die Schritte, die hier im Forum empfohlen werden befolgt:

- CCleaner

- Malwarebytes-Komplettscan (inclusive USB-Stick):

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3189
Windows 5.1.2600 Service Pack 3

18.11.2009 00:35:25
mbam-log-2009-11-18 (00-35-06).txt

Scan-Methode: Vollständiger Scan (C:\|G:\|H:\|)
Durchsuchte Objekte: 248404
Laufzeit: 2 hour(s), 23 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 9
Infizierte Verzeichnisse: 2
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1 (Refog.Keylogger) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Adware.ADON) -> No action taken.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\itOn.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{B83D99E9-7680-465F-992B-EE7BF08FDE2C}\RP501\A0091020.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\winhelper86.dll (Trojan.Fakeinit) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\M0000 (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\S0000 (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\D0000 (Refog.Keylogger) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MPK\1\S0000 (Refog.Keylogger) -> No action taken.
C:\WINDOWS\system32\critical_warning.html (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> No action taken.
Alle Elemente sind bisher unter Quarantäne gesetzt worden und der Taskmanager funktionniert wieder.

- RSIt.exe: Log-File ist angehängt

Scans heute morgen konnten keine infizierten Elemente mehr finden. Google-Suche funktionniert nach wie vor nicht, was mit den Einträgen zusammenhängt. Wollte vor dem Posting allerdings erstmal nichts manuell verändern.

Meine nächsten Schritte wären erstmal die Datensicherung (nach der Chip.de-Anleitung mit Ubuntu von nem nicht-infizierten System aus...).

Jeder normale Mensch würde mir sicher raten, das System komplett platt zu machen und neu aufzusetzen, allerdings ist jede Menge Software drauf, die ich für meine Abschlussarbeit benötige und an die ich in der Schnelle nicht wieder rankommen werde. Eventuell lässt sich ja kurzfristig doch noch was retten (auch wenn das sicher sehr naiv klingen muss).
Und falls ja, wie schütze ich bis dahin meinen Rechner einigermaßen effektiv ?
Norton hat abgelaufene Virendefinitionen und deinstallieren ist schlecht. Nachdem ich in meinem Institut hinter ner einigermaßen guten Firewall sitze, habe ich fahrlässigerweise keinen Gedanken daran verschwendet (bis gestern...).

Ich hoffe, ich habe alle Informationen gemäß den Forenregeln liefern können und wäre für Hilfe/Ratschläge sehr dankbar .

Grüße

 

Themen zu WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover
.dll, 1.exe, advanced virus remover, adware.adon, besitzer, datensicherung, detected, disabled.securitycenter, disabletaskmgr, ebayshortcuts.exe, explorer, hijack.displayproperties, infected, internet explorer, launch, malwarebytes' anti-malware, microsoft, refog.keylogger, registrierungsschlüssel, rogue.multiple, scan, software, starten, superantispyware, system, taskleiste, taskmanager, virus, windows, your computer is infected


« Log zu a.exe/geringer download | Log file, Versteckte Ordner bleiben unsichtbar, IPsender vorhanden (unsichtbar) »


Ähnliche Themen: WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover


  1. Gen:Variant.Adware.Mplug.44 - Fontex Installer
    Plagegeister aller Art und deren Bekämpfung - 20.05.2015 (34)
  2. Win7 64Bit ADWARE/Adware.Gen7 , 'TR/Rogue.230400.8
    Log-Analyse und Auswertung - 31.01.2015 (24)
  3. Windows 8.1:Variant.Adware.Graftor.159320+Adware.Generic.1133960-Virenbefall?
    Log-Analyse und Auswertung - 13.01.2015 (32)
  4. Variant.Adware.Graftor.159320 (Engine A)
    Plagegeister aller Art und deren Bekämpfung - 30.10.2014 (9)
  5. ADWARE/InstallCore.Gen' + Adware/Vittalia.AB + TR/Agent.887358 Infektion !
    Plagegeister aller Art und deren Bekämpfung - 29.09.2013 (8)
  6. Gen:Variant.Adware.Graftor.108504 im Temp Ordner entdeckt
    Plagegeister aller Art und deren Bekämpfung - 07.09.2013 (8)
  7. Virus: Gen:Variant.Adware.BHO.Bprotector.1
    Plagegeister aller Art und deren Bekämpfung - 20.08.2013 (15)
  8. Trojaner und Virenfund - TR/Rogue.kdz.7620.52 und ADWARE/InstallRex.Gen
    Log-Analyse und Auswertung - 15.08.2013 (4)
  9. Gen:Variant.Adware.BHO.Bprotector.1 (B)
    Plagegeister aller Art und deren Bekämpfung - 28.07.2013 (19)
  10. APPL/Downloader.Gen6 [program] & ADWARE/InstallCore.DA.19 [adware] Infektion
    Plagegeister aller Art und deren Bekämpfung - 15.07.2013 (7)
  11. Gen:Variant.Adware.VidSaver.1 [EngineA]
    Plagegeister aller Art und deren Bekämpfung - 22.03.2013 (23)
  12. Infektion mit Gen:Variant.Symmi.4661
    Log-Analyse und Auswertung - 06.12.2012 (19)
  13. Rogue.ControlCenter und ADWARE/Adware.Gen nach Installation von PDFCreator
    Plagegeister aller Art und deren Bekämpfung - 02.05.2012 (9)
  14. Infektion mit vundo.gen und einigem mehr...
    Plagegeister aller Art und deren Bekämpfung - 03.08.2009 (3)
  15. Adware,Trojaner,Rogue Installer,Worm,Rootkit HILFE!
    Plagegeister aller Art und deren Bekämpfung - 14.06.2009 (65)
  16. TR/Vundo.gen Infektion wieder beseitigt?
    Log-Analyse und Auswertung - 23.06.2008 (0)
  17. TR/Vundo.Gen-Infektion
    Plagegeister aller Art und deren Bekämpfung - 21.06.2008 (10)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover - Hallo zusammen, ich habe folgendes Problem. Gestern kamen beim Besuch eines externen links einer (bis dato vetrauenswürdigen) Seite - noch während des Seitenaufbaus - Update-Meldungen meines Computers (wie schon 1000mal - WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover...
Archiv
Du betrachtest: WinXP - Infektion mit Adware.Vundo/Variant-MSFake und Rogue.AdvancedVirusRemover auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131