| |
| |||||||
Log-Analyse und Auswertung: Trojaner (u.A. msa.exe) eingefangen :(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
18.02.2010, 22:27
| #1 |
| |  Trojaner (u.A. msa.exe) eingefangen :( Hallo, ist ja wirklich super, dass es sowas wie hier gibt! Echt toll!!!  Ich hoffe Ihr könnt mir helfen!Mein Problem ist folgendes: Dieser Laptop ist in meiner WG quasi ein öffentlicher PC (ich weiß, Fehler Nr.1) der von mir zwar primär zum Musikhören zur Verfügung gestellt wurde, aber anscheinend auch anderweitig genutzt wurde. Leider musste ich jetzt feststellen, dass sich ein (oder mehrere) Trojaner auf dem Laptop befinden (z.B. msa.exe genannt). Die Forum-Anleitung hab ich aufmerksam gelesen und werde sie nun im Folgenden so gut wie es geht einhalten. Ich hoffe, dass meine Beschreibung nicht zu ausführlich ist (boah, die is echt lang geworden  ):Da ich so ein Problem noch nie hatte, hab ich erstmal auf eigene Faust losgelegt und bin erst im Nachhinein auf dieses Forum aufmerksam geworden. Folgendes habe ich auf eigene Faust unternommen: - ccleaner drüber laufen lassen, aber was ich machen hab lassen, kann ich nicht mehr genau sagen... - wenn, dann aber nur Standardanalysen und -bereinigungen + kann ich dadurch irgendwelche Informationen vernichtet haben, die für das Vorgehen nach der trojaner-board-Anleitung wichtig gewesen wären? - leider bin ich mir ebenfalls nicht sicher, ob ich Glary Utilities danach benutzt habe. Hm, ich war total schockiert wegen dem Trojaner, dass ich zunächst etwas unkoordiniert vorgegangen bin. Aber falls ich Glary Utilities verwendet habe - was ich eher nicht glaube - dann waren es nur irgendwelche Routinechecks ala CCleaner - Was mir zum CCleaner noch eingefallen ist: Ich habe im Nachhinein leider bemerkt, dass ich nicht die aktuellste Version benutzt habe. Anstatt Version 2.28.1091 habe ich Version 2.27.1070 benutzt und hoffe, dass meine Version genauso brauchbar für diesen Zweck ist. Nachdem ich dann aber auf das Forum gestoßen bin, hab ich die Anleitung befolgt. Also CCleaner wie beschrieben drüber laufen lassen. Nach zweimaligem Ausführen war alles "clean". Dann hab ich Malwarebyte's Anti-Malware drüber laufen lassen und es wurden 15 infizierte Objekte festgestellt. Nachdem ich alles entfernen hab lassen, erschien folgende Meldung: "Bestimmte Objekte konnten nicht entfernt werden! Die ersten paar Einträge werden unten aufgeführt. Alle Objekte, die nicht entfernt werden konnten, wurden der Liste "Löschen bei Neustart" hinzugefügt. Bitte starten Sie ihren Rechner jetzt neu. Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert. C:\Windows\system32\sshnas21.dll Ihr Rechner muss neu gestartet werden, um den Entfernungsprozess zu vervollständigen. Wollen Sie weitermachen? Ja/Nein" und ich konnte mir folgende Log-Datei anzeigen lassen: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3753 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 18.02.2010 19:50:00 mbam-log-2010-02-18 (19-50-00).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 198064 Laufzeit: 3 hour(s), 7 minute(s), 39 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 9 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\ROUA3O12PW (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\TOY5KNQ8OC (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\toy5knq8oc (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot. C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\Mph.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5xf471l6.default\Cache\C02D5F67d01 (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\5xf471l6.default\Cache\08209FF1d01 (Trojan.Downloader) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\Mpf.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Temp\Mpg.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully. C:\WINDOWS\msa.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully. C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully. Danach bin ich wie weiter in der Anleitung beschrieben vorgegangen und hab die RSIT.exe ausgeführt. die beiden daraus resultierenden .txt-Dateien hab ich angehängt, da ich ansonsten die maximale Zeichenanzahl mit meinem Post überstiegen hätte. So, das wars so weit mit der Anleitung. Zu guterletzt hätte ich noch zwei Fragen: 1) Da mir ja zu anfangs mitgeilt wurde, dass bestimmt Objekte nicht entfernt werden konnten, und ich deswegen neustarten sollte, würde ich gerne wissen ob besagte Objekte jetzt nach dem Neustart wirklich gelöscht wurden, wie in der Mitteilung beschrieben ("Alle Objekte, die nicht entfernt werden konnten, wurden der Liste "Löschen bei Neustart" hinzugefügt"), oder ob ich die ganze dreistündige Prozedur lieber nochmal durchlaufen lassen sollte...? 2) Grundsätzliche Frage zu dem Trojaner: Ich habe gelesen, dass dieser Trojaner anscheinend Benutzernamen und die zugehörigen Passwörter ausspioniert und versendet.Kann es sein, dass er dies bereits getan hat, ohne dass ich es gemerkt habe? Ich hab mich während dieser Zeit zum Beispiel einige Male bei meinem Hotmail-Account, Facebook, studivz eingeloggt... Sollte ich diese Passwörter jetzt ändern? Vielen herzlichen Dank schonmal im Vorraus!!! |
| Themen zu Trojaner (u.A. msa.exe) eingefangen :( |
| anzeige, ausspioniert, dateien, einstellungen, entfernen, explorer, fehler, firefox, frage, gelöscht, infizierte, laptop, log-datei, löschen, mail-account, malware.trace, microsoft, mozilla, neustart, neustarten, nicht sicher, problem, registrierungsschlüssel, software, starten, super, system, system32, temp, trojan.downloader, trojan.fraudpack, trojaner, windows, ändern, {66ba574b-1e11-49b8-909c-8cc9e0e8e015}.job |
Baum-Darstellung