Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Möglicher Trojaner? - Auswertung erbeten (https://www.trojaner-board.de/100179-moeglicher-trojaner-auswertung-erbeten.html)

wunderkind87 10.06.2011 16:19
Möglicher Trojaner? - Auswertung erbeten
 
Hallo an alle, war gestern bei Google auf der Suche (mit Firefox) nach Bildern (wie so oft) und ich bekam dieselbe Meldung wie der junge Mann hier:

http://www.trojaner-board.de/100150-...f-malware.html

Warning! Your computer is at risk of malware attacks.
We recommend you to check your system immediately.
Press ok to start the process now.

Ich hab sofort alle Fenster geschlossen und nix gedrückt. Hab danach gleich einen Vollscan mit Malwarebytes auf der neuesten Version (und Update) durchlaufen lassen. Gefunden hat er (und auch Kaspersky) nichts, Auffälligkeiten habe ich bis jetzt auch keine bemerkt, siehe hier:

Code:
Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Datenbank Version: 6821

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.06.2011 02:17:36
mbam-log-2011-06-10 (02-17-35).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|G:\|)
Durchsuchte Objekte: 223797
Laufzeit: 3 Stunde(n), 13 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitdem ich letztes Jahr meinen ersten Virus auf den Laptop hatte (der danach neu aufgesetzt wurde) bin ich immer sehr stutzig. Wenn jemand sich das anschauen könnte wär ich sehr dankbar.

Dankeschön schon mal! :)

cosinus 10.06.2011 23:06
Firefox welche Version? Admin oder Benutzerrechte?

wunderkind87 11.06.2011 11:09
Zitat:
Zitat von cosinus (Beitrag 670635)
Firefox welche Version? Admin oder Benutzerrechte?
Also bin gestern erst auf Firefox 4 umgestiegen, vorher war's die 3.6. und no was, da bin ich mir nicht so sicher, bin eigentlich immer auf dem neuesten Stand, hätt ich bloß früher upgegraded. -.-

Und angemeldet bin ich als Admin. Wenn ich ein Benutzerkonto eingerichtet habe und benutze, ist mein Laptop (Toshiba Sattelite, Jahr 2005, 512 MB RAM :kloppen:) recht langsam unterwegs.

cosinus 11.06.2011 17:16
Zitat:
Wenn ich ein Benutzerkonto eingerichtet habe und benutze, ist mein Laptop (Toshiba Sattelite, Jahr 2005, 512 MB RAM ) recht langsam unterwegs.
Ob Admin oder Benutzer ist völlig egal, das hat keine Auswirkung auf die Geschwindigkeit.


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

wunderkind87 12.06.2011 01:08
Kleine Zwischenfrage:
Ist es denn normal wenn der Quick Scan schon wie jetzt fast 7 Stunden dauert?

cosinus 13.06.2011 18:39
Nein sieben Stunden dauert das nicht. Brich es ab, starte Windows neu und probier es nochmal.

wunderkind87 14.06.2011 16:45
Zitat:
Zitat von cosinus (Beitrag 671649)
Nein sieben Stunden dauert das nicht. Brich es ab, starte Windows neu und probier es nochmal.
Werd ich machen, danke für die Antwort.

Noch eine Frage: Du hast ja geschrieben dass ich alle Programme schliessen sollte. Also das hab ich ja gemacht und den Laptop die ganze Zeit nicht angerührt. Am Ende warf sich für mich die Frage auf:

Kaspersky während des Scans ganz deaktivieren? Vielleicht lag's daran, deshalb frag ich lieber nochmal nach bevor der Kasten wieder 7 Stunden läuft. :)

cosinus 14.06.2011 18:47
Ja, Kaspersky deaktivieren. Fall es stört muss es bis wir durch sind deinstalliert werden.

wunderkind87 14.06.2011 20:29
Zitat:
Zitat von cosinus (Beitrag 672149)
Ja, Kaspersky deaktivieren. Fall es stört muss es bis wir durch sind deinstalliert werden.
Ah okay, vielleicht war das dann der Auslöser für den langen Scan.

Öhm, nur so als Richtlinie, wie lang dauert denn ein Scan von "normaler Länge"? ^^

cosinus 14.06.2011 21:18
OTL sollte eigentlich in ein paar Minuten durch sein...

wunderkind87 15.06.2011 16:55
Soderle, nun ging's recht fix nachdem ich Kaspersky derweil deaktiviert hatte, war wohl der Bremser.

Im Anhang die OTL Logs:

cosinus 15.06.2011 21:03
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [AdobeBridge]  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.07.22 15:06:58 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.) - E:\AutoRun.exe -- [ CDFS ]
O32 - AutoRun File - [2007.11.07 17:41:52 | 000,000,047 | R--- | M] () - E:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{0cfaeb38-9a5c-11df-b1f8-00f1d000f1d0}\Shell\AutoRun\command - "" = nano/bananna.exe
O33 - MountPoints2\{0cfaeb38-9a5c-11df-b1f8-00f1d000f1d0}\Shell\explore\command - "" = nano/bananna.exe
O33 - MountPoints2\{0cfaeb38-9a5c-11df-b1f8-00f1d000f1d0}\Shell\open\command - "" = nano/bananna.exe
O33 - MountPoints2\{0d5778ba-bcca-11df-b25f-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{0d5778ba-bcca-11df-b25f-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{0d5778ba-bcca-11df-b25f-0012f040eb51}\Shell\AutoRun\command - "" = E:\Install.exe
O33 - MountPoints2\{21e451e5-a2ea-11df-b216-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{21e451e5-a2ea-11df-b216-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{21e451e5-a2ea-11df-b216-0012f040eb51}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
O33 - MountPoints2\{21e451e7-a2ea-11df-b216-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{21e451e7-a2ea-11df-b216-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{21e451e7-a2ea-11df-b216-0012f040eb51}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
O33 - MountPoints2\{7726315e-9a48-11df-b1f4-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{7726315e-9a48-11df-b1f4-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{7726315e-9a48-11df-b1f4-0012f040eb51}\Shell\AutoRun\command - "" = E:\setup.exe AUTORUN=1
O33 - MountPoints2\{9762add2-af95-11df-b240-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{9762add2-af95-11df-b240-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9762add2-af95-11df-b240-0012f040eb51}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
O33 - MountPoints2\{9762add3-af95-11df-b240-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{9762add3-af95-11df-b240-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9762add3-af95-11df-b240-0012f040eb51}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
O33 - MountPoints2\{dbb48968-a0a1-11df-b20e-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{dbb48968-a0a1-11df-b20e-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dbb48968-a0a1-11df-b20e-0012f040eb51}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
O33 - MountPoints2\{dbb4896c-a0a1-11df-b20e-0012f040eb51}\Shell - "" = AutoRun
O33 - MountPoints2\{dbb4896c-a0a1-11df-b20e-0012f040eb51}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dbb4896c-a0a1-11df-b20e-0012f040eb51}\Shell\AutoRun\command - "" = E:\AutoRun.exe -- [2008.04.24 15:44:40 | 000,114,688 | R--- | M] (Huawei Technologies Co., Ltd.)
[2010.07.27 14:29:29 | 000,001,232 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxinit.dat
[2010.07.27 14:29:29 | 000,000,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\alcxhweq.dat
:Commands
[purity]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.


Stell uns bitte danach den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner MovedFiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

wunderkind87 15.06.2011 21:10
Ok werd ich machen und hochladen. Danke soweit. Hab ich mir da doch was eingefangen?

EDIT: Also wenn ich das gepackt hab, darf ich Kaspersky wieder einschalten ja? nur dazwischen eben komplett deaktivieren. Sorry wenn ich lästig bin, aber ich will's eben alles in einem Rutsch richtig haben, nicht dass ich mir noch mehr kaputt mache.

cosinus 15.06.2011 21:35
Nein, bitte richtig lesen!! Erst packen, dann hochladen!! Danach kann der Virenscanner wieder an. Nicht reaktivieren bevor die ZIP hochgeladen ist!

wunderkind87 15.06.2011 21:44
Zitat:
Zitat von cosinus (Beitrag 672783)
Nein, bitte richtig lesen!! Erst packen, dann hochladen!! Danach kann der Virenscanner wieder an. Nicht reaktivieren bevor die ZIP hochgeladen ist!
Ah ok, dann ist's doch gut dass ich nochmal nachgefragt habe. Danke.


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131