![]() |
|
Plagegeister aller Art und deren Bekämpfung: Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() | #1 |
![]() ![]() | ![]() Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt. Guten Tag, gestern hat Malwarebytes Anti-Malware folgenden Befall festgestellt: "Spyware.passwords.xgen" siehe Logfile: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4986 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 01.11.2010 21:20:16 mbam-log-2010-11-01 (21-20-16).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Durchsuchte Objekte: 384706 Laufzeit: 1 Stunde(n), 40 Minute(n), 59 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Vorlagen\memory.tmp (Spyware.Passwords.XGen) -> Quarantined and deleted successfully. Zur Vorgeschichte: Ich hatte vor ca. zwei Monaten erstmaligen Befall von Schädlingen. Hier der damalige Bericht: Malwarebytes' Anti-Malware 1.43 Datenbank Version: 3458 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 04.09.2010 12:30:16 mbam-log-2010-09-04 (12-30-16).txt Scan-Methode: Quick-Scan Durchsuchte Objekte: 158536 Laufzeit: 15 minute(s), 9 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 7 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 3 Infizierte Dateien: 31 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data (Adware.PriceGong) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully. C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\1.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\a.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\b.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\c.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\d.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\e.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\f.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\g.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\h.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\i.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\J.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\k.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\l.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\m.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\mru.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\n.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\o.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\p.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\q.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\r.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\s.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\t.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\u.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\v.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\w.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\x.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\y.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\PriceGong\Data\z.xml (Adware.PriceGong) -> Quarantined and deleted successfully. C:\WINDOWS\Jimmy Neutron 2.dat (Trojan.Agent) -> Quarantined and deleted successfully. Das Problem danach war, das mein TCP/IP überhaupt nicht mehr funktionierte (ich kam also nicht mehr ins Internet). Nach diversen Reparaturversuchen die leider alle keinen sichtbaren Erfolg hatten, habe ich Ende letzer Woche die Datei "tcpip.sys" im Verzeichnis "C:\WINDOWS\system32\drivers" mit der gleichen Datei eines funktionierenden Systems ausgetauscht. Und nach einem Neustart hat das Internet auch tatsächlich wieder funktioniert. Das war deshalb für mich sehr überraschend, weil ich das zwei Wochen vorher schon mal probiert hatte und es damals nicht geklappt hatte. Na wie auch immer. Das Internet funktioniert, allerdings hatte sich Firefox in seltenen Fällen etwas merkwürdig verhalten. 1. Bei einer bestimmten Seite kam es verstärkt zu Abstürzen 2. Bei Klick auf eine in Google gefundene Seite wurde mir eine andere Seite aufgerufen. Malwarebytes brachte oben aufgeführtes Ergebnis. Als Virenscanner setze ich ausserdem "AVG" ein, Betriebssystem ist XP SP3. Bitte schreibt mir, wie ich nun genau vorzugehen habe um den Rechner möglichst sauber zu bekommen. Vielen Dank. |
Themen zu Malware Spyware.passwords.xgen durch Malwarebyte Anti-Malware erkannt. |
avg, dateien, diverse, einstellungen, explorer, festgestellt, firefox, folge, google, logfile, malware, malwarebytes, microsoft, neu, neustart, problem, schädlinge, security, seite, software, spyware.passwords.xgen, stolen.data, system, system32, tcp/ip, trojan.agent, userinit, winlogon |