Windows Security Alert - Trojaner?

Sammael · 17.04.2011, 11:47

Hallo,
seit heute morgen habe ich folgendes Problem unter Windows 7 32-bit:

In regelmäßigen Abständen tauchte rechts unten ein Popup auf von "Windows Security Alert" auf, welches mir abwechselnd mitteilte das Windows keinen Speicherplatz auf der Festplatte finden könne oder das mein RAM Speicher zu einem krittischen Wert ausgelastet sei. Zudem öffnete sich immer wieder ein Fenster, indem gesagt wurde das es Probleme mit meiner IDE - Festplatte geben solle.

AUßerdem wurden ca. die Hälfte der Icons auf meinem Desktop gelöscht und ich habe keinerlei Zugriff mehr auf meine eigenen Dateien, weder über die Windows Bibliotheken noch über den den herkömlichen Arbeitsplatz Pfad. Im Ordner C:\Benutzer\ ist mein Name verschwunden und alles was sich findet ist ein Ordner mit einem von mit verwendeten Internetpseudonym, welcher leer ist.

Daraufhin habe ich sowohl Malwarebytes als auch OTL laufen lassen. Malwarebytes fand drei infizierte Dateien (im abgesicherten Modus). Nach dem Löschen dieser Dateien kommen die oben genannten Meldungen nicht mehr. (Logfiles sind als zip im Anhang)

Meine Frage ist jetzt also: Ist mein System wieder sauber und gibt es irgendeine Möglichkeit meine verloren gegangenen Daten wiederherzustellen?
Denn anscheinend sind sie noch auf dem Rechner gespeichert, die Speicherplatzbelegung meiner beiden Partitionen hat sich nicht verändert seit gestern. Außerdem ist das mein Laptop immer noch nur sehr langsam, grade der Systemstart dauert eine gefühlte Ewigkeit.

Liebe Grüße
Sammael

Edit: Habe die verlorengegangenen Dateien wiedergefunden, der Trojaner/Virus hat alle eigenen Dateien versteckt und die Option "Versteckte Ordner und Dateien anzeigen" deaktiviert.

cosinus · 18.04.2011, 14:07

Zitat:

Art des Suchlaufs: Quick-Scan

Hallo und

Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Sammael · 18.04.2011, 14:57

hi cosinus,
erstmal dankeschön für die schnelle hilfe.

ich habe in der nacht von gestern auf heute noch einen vollscan gemacht (wusste nicht wie lange der dauert). dabei wurde noch zu den drei im quickscan gefundenen trojanern ein weiterer fund gemacht:

Zitat:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6383

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

17.04.2011 19:22:48
mbam-log-2011-04-17 (14-22-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 399325
Laufzeit: 1 Stunde(n), 20 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\***\AppData\LocalLow\Sun\Java\deployment\cache\6.0\20\67b16354-2a05cf10 (Trojan.Agent) -> Quarantined and deleted successfully.

weitere Logfiles gibt es nicht. ich bin erst gestern auf diese board und damit auf malwarebyte gestoßen. ich hab jetzt grade gesehen, dass malwarebyte die funde nicht gelöscht, sondern nur unter quarantäne gestellt hat. soll ich sie dort auch löschen?

ich hatte mir außerdem auf empfehlung meines vaters eine testversion von kapersky heruntergeladen und den virentest laufen lassen, dabei wurde folgendes gefunden:

Zitat:

Status: Desinfiziert (Ereignisse: 10)
17.04.2011 15:13:39 Desinfiziert trojanisches Programm Exploit.Java.CVE-2010-0840.c C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\162f094a-14f97287 Hoch
17.04.2011 15:13:40 Desinfiziert trojanisches Programm Exploit.Java.CVE-2010-0840.c C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\5e1554a-34274741 Hoch
17.04.2011 15:13:44 Desinfiziert trojanisches Programm Exploit.Java.CVE-2010-0840.e C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\19174e0b-645cfc78 Hoch
17.04.2011 15:13:56 Desinfiziert trojanisches Programm Trojan-Downloader.Java.OpenConnection.cx C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\2578ccd9-24394be1 Hoch
17.04.2011 15:13:57 Desinfiziert trojanisches Programm Trojan-Downloader.Java.Agent.js C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\3b2abd25-1bfbc9e7 Hoch
17.04.2011 15:13:58 Desinfiziert trojanisches Programm Exploit.Java.CVE-2010-0840.b C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\5d9f5ef3-2b6d4f4a Hoch
17.04.2011 15:14:00 Desinfiziert trojanisches Programm Trojan-Downloader.Java.OpenConnection.dd C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\67267135-561edc85 Hoch
17.04.2011 15:14:03 Desinfiziert trojanisches Programm Trojan-Downloader.Java.Agent.jh C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\2141ccfa-46f5a197 Hoch
17.04.2011 15:14:04 Desinfiziert trojanisches Programm Exploit.Java.CVE-2010-0840.c C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\3a7d3989-6618b1c9 Hoch
17.04.2011 15:14:07 Desinfiziert trojanisches Programm Trojan-Downloader.Java.OpenConnection.dj C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\3b6b4209-6c702d2f Hoch
Status: Gelöscht (Ereignisse: 17)
17.04.2011 15:13:39 Gelöscht trojanisches Programm Exploit.Java.CVE-2010-0840.c C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\162f094a-14f97287/plugin/sportGame.class Hoch
17.04.2011 15:13:40 Gelöscht trojanisches Programm Exploit.Java.CVE-2010-0840.c C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\5e1554a-34274741/plugin/sportGame.class Hoch
17.04.2011 15:13:44 Gelöscht trojanisches Programm Exploit.Java.CVE-2010-0840.e C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\19174e0b-645cfc78/lort/cooter.class Hoch
17.04.2011 15:13:46 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.cx C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\2578ccd9-24394be1/a.class Hoch
17.04.2011 15:13:52 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.cx C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\2578ccd9-24394be1/aa79d1019d8.class Hoch
17.04.2011 15:13:50 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.cx C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\2578ccd9-24394be1/a4cb9b1a8a5.class Hoch
17.04.2011 15:13:54 Gelöscht trojanisches Programm Trojan.Java.Agent.an C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\2578ccd9-24394be1/ae28546890f.class Hoch
17.04.2011 15:13:56 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.cx C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\2578ccd9-24394be1/af439f03798.class Hoch
17.04.2011 15:13:57 Gelöscht trojanisches Programm Trojan-Downloader.Java.Agent.js C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\3b2abd25-1bfbc9e7/mordor/saruman.class Hoch
17.04.2011 15:13:58 Gelöscht trojanisches Programm Exploit.Java.CVE-2010-0840.b C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51\5d9f5ef3-2b6d4f4a/setup/lang.class Hoch
17.04.2011 15:13:59 Gelöscht trojanisches Programm Trojan.Java.Agent.ak C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\67267135-561edc85/chrome/Unicode.class Hoch
17.04.2011 15:14:00 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.dd C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\67267135-561edc85/direct/bear.class Hoch
17.04.2011 15:14:02 Gelöscht trojanisches Programm Trojan.Java.Agent.ak C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\2141ccfa-46f5a197/encode/Unicode.class Hoch
17.04.2011 15:14:03 Gelöscht trojanisches Programm Trojan-Downloader.Java.Agent.jh C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\2141ccfa-46f5a197/setup/lang.class Hoch
17.04.2011 15:14:04 Gelöscht trojanisches Programm Exploit.Java.CVE-2010-0840.c C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\3a7d3989-6618b1c9/plugin/sportGame.class Hoch
17.04.2011 15:14:06 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.ds C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\3b6b4209-6c702d2f/lort/cooter.class Hoch
17.04.2011 15:14:07 Gelöscht trojanisches Programm Trojan-Downloader.Java.OpenConnection.dj C:\Documents and Settings\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\3b6b4209-6c702d2f/lort/object4.class Hoch

Liebe grüße
sammael

cosinus · 18.04.2011, 15:00

Zitat:

C:\Users\***\Desktop\ArtMoney.Pro-v7.28.Inc.Key

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Sammael · 18.04.2011, 15:21

ok schade...
aber trotzdem danke.

Windows Security Alert - Trojaner?

Log-Analyse und Auswertung: Windows Security Alert - Trojaner?