| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner AV Security SuitWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.06.2010, 22:14
| #1 |
 |  Trojaner AV Security Suit Hallo, ich versuche seit vorgestern einen Trojaner Namens "AV Security Suit" von meinem PC zu entfernen. Ich habe versucht nach der Anleitung in diesem Forum zu arbeiten. Nach dem ich den PC im Abgesicherten Modus (F8) hochgefahren hatte, ist mir aufgefallen das neben dem Benutzer "Mustermann" noch der Benutzer "Administrator" vorhanden ist. Beide sind aber Computer- administrator. Ich versuche mal zu erklären was ich bis jetzt gemacht habe, denn der Trojaner namens "AV Security Suit" ist leider immer noch da. Achso: Bitte lasst euch von den Zeiten und dem Datum in den Log files nicht irritieren. Ich bin in Sydney. Im Abgesicherten Modus ("Administrator"): 1.Programm "rkill" ausgeführt. Log file: _________________________________________________________________ This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Ran as Administrator on 23.06.2010 at 21:18:33. Processes terminated by Rkill or while it was running: Rkill completed on 23.06.2010 at 21:18:37. _________________________________________________________________ 2. Falsche Proxi Einstellungen entfernt. 3. Quick-Scan mit dem Programm "Malwarebytes" ausgeführt. Log file: _________________________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4227 Windows 5.1.2600 Service Pack 3 (Safe Mode) Internet Explorer 6.0.2900.5512 23.06.2010 21:37:45 mbam-log-2010-06-23 (21-37-45).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 136212 Laufzeit: 8 Minute(n), 13 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Dropper) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\asam.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\WINDOWS\herjek.config (Malware.Trace) -> Quarantined and deleted successfully. _________________________________________________________________ 4. Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt. Nach dem ich das alles gemacht hatte, habe ich die Verbindung ins Netz deaktiviert und den PC neu gestartet. Da ich ihn nicht im Abgesicherten Modus hochgefahren hatte, konnte ich mich nur als "Mustermann", welcher ebenfalls Computeradministrator ist, anmelden. So weit so gut, der Trojaner hatte sich nach dem Hochfahren nicht gemeldet. Nun bin ich wie folgt vorgegangen: 1. Nochmals des Programm "Malwarebytes"ausgeführt. Dieses mal aber den Full-Scan. --> es wurden erneut infizierte Objekte gefunden!!! Log file: _________________________________________________________________ Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Database version: 4227 Windows 5.1.2600 Service Pack 3 Internet Explorer 6.0.2900.5512 23.06.2010 22:56:41 mbam-log-2010-06-23 (22-56-41).txt Scan type: Full scan (C:\|D:\|) Objects scanned: 226576 Time elapsed: 55 minute(s), 53 second(s) Memory Processes Infected: 0 Memory Modules Infected: 0 Registry Keys Infected: 4 Registry Values Infected: 1 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 2 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: (No malicious items detected) Registry Keys Infected: HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\asam (Trojan.Agent) -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: C:\Dokumente und Einstellungen\Dani\Lokale Einstellungen\Anwendungsdaten\syssvc.exe (Trojan.Dropper) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{95F79FDB-E509-44EE-8004-E7945B42DE1F}\RP207\A0068825.exe (Trojan.Dropper) -> Quarantined and deleted successfully. _________________________________________________________________ 2. Nochmals Proxi Einstellungen kontrolliert. Das Häkchen war gesetzt - ich habe es entfernt. 3. Nochmals Programm "CCleaner" ausgeführt. Programm "Malwarebytes" wollte einen Neustart. Ich habe aber zuerst den "CCleaner" ausgeführt. 4. Programm "RSIT" ausgeführt. Log file: _________________________________________________________________ (ist etwas groß, habe es aber gespeichert falls es wichtig ist) _________________________________________________________________ 5. AviraAntiVir --> Luke Filewalker durchgeführt. (es wurden keine Vieren gefunden) 6. Programm "Ad-Aware" durchgeführt. (es wurden keine Vieren gefunden) Log file: _________________________________________________________________ Logfile created: 24.06.2010 06:00:59 Ad-Aware version: 8.2.5 User performing scan: Mustermann *********************** Definitions database information *********************** Lavasoft definition file: 149.299 Genotype definition file version: 2010/06/15 23:24:58 ******************************** Scan results: ********************************* Scan profile name: Intelligenter Scan (ID: smart) Objects scanned: 12316 Objects detected: 0 Type Detected ========================== Processes.......: 0 Registry entries: 0 Hostfile entries: 0 Files...........: 0 Folders.........: 0 LSPs............: 0 Cookies.........: 0 Browser hijacks.: 0 MRU objects.....: 0 _________________________________________________________________ Jetzt habe ich die Verbindung zum Internet wieder hergestellt und der Trojaner hat sich nicht mehr gemeldet. Nachdem ich den PC aber neu gestartet hatte, war er wieder da. Kann mir jemand einen Tip geben was ich noch tun könnte? Hängt es vielleicht irgendwie mit den Benutzerkonten zusammen? Gruß |
| Themen zu Trojaner AV Security Suit |
| ad-aware, administrator, anti-malware, benutzerkonten, dateien, detected, einstellungen, explorer, falsche, forum, infected, log, malwarebytes, microsoft, neustart., nicht mehr, rkill, security, security suit, service pack 3, software, system, system volume information, trojan.agent, trojan.dropper, trojaner, verbindung, vieren, wichtig |
Baum-Darstellung