| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner "Security Shield"Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.12.2010, 01:36
| #1 |
 |  Trojaner "Security Shield" Hallo, ich bin leider an den Trojaner Security Shield geraten, habe mich sozusagen bereits "eigenhändig" auf Problemlösung begeben und möchte gerne wissen wie ich weiter verfahren soll (da mein Wissen auch nur relativ begrenzt ist). Wie gesagt habe ich mir das Fakeprogramm Security Shield eingefangen und wurde von fingierten Virusmeldungen etc. zugebombt... Mit Malwarebytes Anti-Malware habe ich dann im abgesicherten Modus einen Scan durchgeführt und die Funde enfernt. Die befinden sich bei dem Programm momentan im Bereich Karantäne. Die Pop Ups von Security Shield sind seitdem verschwunden. Anschließend habe ich auch Avira Antivir drüber laufen lassen und die Funde ebenfalls "repariert" und nochmal Malwarebytes bis schließlich nichts mehr gefunden wurde. Als letztes habe ich dann beim Firefox noch in den Einstellungen Verbindung über Proxy ausgestellt. Erst danach konnte ich wieder ins Internet. Das hab ich leider erst später rausgefunden und konnte deswegen erst jetzt hier Hilfe suchen... Es werden keine Bedrohungen mehr von meinen Programmen gefunden. Kann ich jetzt sicher sein, dass alles weg ist? Und wie soll ich weiter vorgehen? Wär es evt. ratsam oder notwendig, dass ich mein Windows neu installiere...und wenn ja, was muss ich beachten? In dem Board hier habe ich durch die Suche Themen zu My-Security-Shield gefunden. Ich glaube aber, dass das hier etwas anderes ist und nur Security Shield gehießen hat... 1. Lauf Code:
ATTFilter Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Datenbank Version: 5402
Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.13
27.12.2010 11:23:11
mbam-log-2010-12-27 (11-23-07).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 203097
Laufzeit: 17 Minute(n), 10 Sekunde(n)
Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10
Infizierte Speicherprozesse:
c:\dokumente und einstellungen\***\anwendungsdaten\dwm.exe (Trojan.FakeAV) -> 136 -> No action taken.
c:\dokumente und einstellungen\***\anwendungsdaten\microsoft\conhost.exe (Spyware.Passwords.XGen) -> 284 -> No action taken.
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\conhost (Spyware.Passwords.XGen) -> Value: conhost -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\coduifhrpd (Trojan.FakeAlert) -> Value: coduifhrpd -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Value: Load -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{3E58BC90-2AC0-B2E4-54D0-712C828DF638} (Trojan.ZbotR.Gen) -> Value: {3E58BC90-2AC0-B2E4-54D0-712C828DF638} -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Value: Shell -> No action taken.
Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load (Trojan.Agent) -> Bad: (C:\DOKUME~1\***\LOKALE~1\Temp\csrss.exe) Good: () -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\dokumente und einstellungen\***\anwendungsdaten\dwm.exe (Trojan.FakeAV) -> No action taken.
c:\dokumente und einstellungen\***\anwendungsdaten\microsoft\conhost.exe (Spyware.Passwords.XGen) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\coduifhrpd.exe (Trojan.FakeAlert) -> No action taken.
c:\dokumente und einstellungen\***\anwendungsdaten\gsjhucbsfs\jhilvt.exe (Spyware.Passwords.XGen) -> No action taken.
c:\dokumente und einstellungen\***\startmenü\programme\security shield.lnk (Rogue.SecurityShield) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\csrss.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\ie1B.tmp (Malware.Trace) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\pdfupd.exe (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\***\anwendungsdaten\Rotoym\geune.exe (Trojan.ZbotR.Gen) -> No action taken.
c:\dokumente und einstellungen\***\lokale einstellungen\Temp\csrss.exe.ren (Heuristics.Reserved.Word.Exploit) -> No action taken.
Code:
ATTFilter Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Datenbank Version: 5402
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
27.12.2010 12:00:45
mbam-log-2010-12-27 (12-00-44).txt
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 203900
Laufzeit: 34 Minute(n), 58 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
c:\system volume information\_restore{db8fef30-f85c-4f72-a6a9-38353561205a}\RP1028\A0085308.exe (Spyware.Passwords.XGen) -> Quarantined and deleted
successfully.
c:\system volume information\_restore{db8fef30-f85c-4f72-a6a9-38353561205a}\RP1028\A0085309.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{db8fef30-f85c-4f72-a6a9-38353561205a}\RP1028\A0085310.exe (Spyware.Passwords.XGen) -> Quarantined and deleted
successfully.
Code:
ATTFilter Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <System>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Dokumente und Einstellungen\Spannagel\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\51063600-2e7132a7
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
C:\Dokumente und Einstellungen\Spannagel\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\494a2d3f-742ea8ef
[0] Archivtyp: ZIP
--> bpac/a.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/OpenConnect.CF
C:\System Volume Information\_restore{DB8FEF30-F85C-4F72-A6A9-38353561205A}\RP1028\A0085307.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
Beginne mit der Suche in 'D:\' <Daten>
Beginne mit der Desinfektion:
C:\Dokumente und Einstellungen\Spannagel\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\0\51063600-2e7132a7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d488921.qua' verschoben!
C:\Dokumente und Einstellungen\Spannagel\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\63\494a2d3f-742ea8ef
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d4c8929.qua' verschoben!
C:\System Volume Information\_restore{DB8FEF30-F85C-4F72-A6A9-38353561205A}\RP1028\A0085307.exe
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d488920.qua' verschoben!
Beste weihnachtliche Grüße SpitFire |
| Themen zu Trojaner "Security Shield" |
| alles weg, antivir, avira, conhost.exe, dwm.exe, einstellungen, explorer, firefox, heuristics.reserved.word.exploit, hijack.shell, host.exe, malwarebytes, microsoft, neu, pop ups, programme, proxy, pum.disabled.securitycenter, rogue.securityshield, scan, security, security shield, software, suche, system, system volume information, tan, temp, tr/crypt.xpack.ge, trojan.fakeav, trojan.zbotr.gen, trojaner, ups, warnung, windows, winlogon |
Baum-Darstellung