Trojaner-Board - privacy.exe "Failed to save all the components for the file System32\\00... " Win7

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - privacy.exe "Failed to save all the components for the file System32\\00... " Win7 (https://www.trojaner-board.de/106236-privacy-exe-failed-to-save-all-the-components-for-the-file-system32-00-win7.html)

privacy.exe "Failed to save all the components for the file System32\\00... " Win7

Guten Abend,

gestern abend (22 Uhr) hat mein antivir angeschlagen. "privacy.exe" habe auf löschen geklickt. Selbige Meldung kam nochmal nur hat sich dann der pc von alleine runtergefahren. Als ich neu hochgefahren habe konnte ich auf nichts mehr zugreifen. Und die Meldung im Topic erschien gute 20x.
Konnte mit ein bisschen glück in die Systemsteuerung und Wiederherstellungspunkt von gestern 19 Uhr laden.
System hat dann wieder funktioniert. Habe mich dann dazu entschieden gehabt ein Windowsbackup (image) dass ich anfang November gemacht habe aufzuspielen.

Soweit sogut. Wollte jetzt nur die "reste" der malware (?) entfernen bzw. sicherstellen dass alles weg ist. Ich weiss nicht ob das Image diesbezüglich ausreicht.
Im Anhang die OTL Datein zur Auswertung.
Logs als .zip, da zu gross.

Sorry für den langen Text und vielen Dank für eure Hilfe im vorraus!

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Update: habe gestern nach meinem Post festgestellt, dass ich beim surfen oft über "mydirectpet" auf "12finder.com" weitergeleitet werde. - nach malwarebytescan NICHT behoben.

Desweiteren hat Antivir gestern wieder angeschlagen. Habe dann mal ccleaner durchlaufen lassen gehabt. Danach neugestartet und seitdem habe ich auf Partition "d:" keinen zugriff mehr. Habe Wiederherstellungspunkt geladen, hat jedoch nicht geholfen.
in "d:" ist lediglich eine "bootsqm.dat" drinnen. Die datein sind nicht ersichtlich, aber vorhanden - Speicherplatz ist belegt -
Wenn ich auf Festplatte "H:" zugreifen will, zeigt er mir lediglich "dieser ordner ist leer" an. Auch hier sind die Datein jedoch noch vorhanden. - nach malwarebytescan NICHT behoben.
selbigen Fehler hatte ich bereits nachdem "privacy.exe" mein system das erste mal getötet hat. Laut google könnte das auch aufgrund eines fehlgeschlagenen chkdsk check sein. Werde diesen erneut durchführen sobald ESET fertig gescannt hat.

Dachte dass die infizierte Datei auf H: liegt, malwarebytes hat jedoch nichts gefunden, zumindest hat antivir immer auf H: angeschlagen. Frage mich jetzt ob H: aufgrund von ccleaner, oder aufgrund der infizierten datei unersichtlich ist.
- soll ich "OTL" nach den erneuten vorkommnissen erneut durchführen?

Vor dem starten von ESET habe ich antivir abgestellt und microsoft defender über msconfig deaktiviert. Trotzdem hat ESET mir angezeigt, dass die zwei laufen. Hoffe das ist nicht doof.

Nachdem ich den PC neugestartet habe wegen malwarebyte kam beim neustart "[Openevent] die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2

Malwarebytes log:

Code:

 Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org
 

Datenbank Version: 8377
 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385
 

15.12.2011 20:59:17

mbam-log-2011-12-15 (20-58-55).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|H:\|)

Durchsuchte Objekte: 380802

Laufzeit: 1 Stunde(n), 4 Minute(n), 50 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 15

Infizierte Registrierungswerte: 4

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 3
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> No action taken.

HKEY_CLASSES_ROOT\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Value: {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

c:\program files (x86)\vshare.tv plugin\BarLcher.dll (PUP.VShareRedir) -> No action taken.

c:\Users\masta\AppData\LocalLow\Sun\Java\deployment\cache\6.0\32\6b6ad920-400bc812 (Trojan.Agent) -> No action taken.

c:\Users\masta\AppData\LocalLow\Sun\Java\deployment\cache\6.0\32\6b6ad920-428533d2 (Trojan.Agent) -> No action taken.

ESET LOG

Code:

 ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=189b3dae00f01849a48bf0a4ee04e941

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-12-15 10:00:22

# local_time=2011-12-15 11:00:22 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=5.1.2600 NT Service Pack 2

# compatibility_mode=1797 16775165 100 100 4720 99492369 3596 0

# compatibility_mode=5893 16776574 100 94 165395 75610512 0 0

# compatibility_mode=8192 67108863 100 0 4157 4157 0 0

# scanned=219721

# found=2

# cleaned=0

# scan_time=5759

C:\Users\masta\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63\20c7eabf-7d11c440        Java/Exploit.CVE-2011-3544.D trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\masta\Desktop\iw5sp.exe        a variant of Win32/Packed.VMProtect.AAM trojan (unable to clean)        00000000000000000000000000000000        I

Vielen Dank für eure Hilfe und sorry dass ich soviel mist gebaut habe.
Spende kommt nachdem wir hier fertig sind.

Zitat:

-> No action taken.

Die Funde müssen mit Malwarebytes entfernt waren! Bitte nachholen falls noch nicht getan!

Guten Abend,

malwarebytes wollte dass ich einen Neustart mache, da 2 Datein nicht gelöscht werden konnten. Beim neu hochfahren kam dann die Fehlermeldung von malwarebytes
[Openevent] die Ausführung der gewünschten Aktion ist fehlgeschlagen. Fehlermeldung: 2

Die Sachen die Malwarebytes gefunden hat liegen auf C:
Jetzt schau aber mal was ich für eine Entdeckung auf H: gemacht habe.

Ich habe durch viele Umwege rausgefunden, dass der trojaner/malware was auch immer alle ordner auf H: versteckt hat.
Bin dann über win+e in den explorer rein. Oben H:/musik eingegeben. Ich bin im musikordner drinn, er zeigt mir an "ordner ist leer" --> rechtsklick --> eigenschaften --> Haken bei versteckt rausgenommen und zack, da isser wieder.

Ich habe dann einen weg gefunden mir alle ordner die auf H: liegen anzeigen zu lassen auch wenn diese versteckt sind. Und konnte die dann durch obige methode sichtbar machen.

Ich habe dabei 2 neue ordner entdeckt die "$Recycling.bin" und "recycling" heissen. Dort drinn ist eine der datein bei denen mein antivir damals angeschlagen hat (und weitere die ich nicht kenne). Ich wollte die Ordner durch obige Methode sichtbar machen und löschen. Jedoch ist das Kästchen "versteckt" ausgegraut.

Gleiches gilt für Partition D:

Ziemlich gute Herausforderunng hier. :S

UPDATE: habe ein bisschen gegoogled und konnte mit win+r "attrib -s -h h:\* /d /s" den kompletten ordner sichtbar machen. Hat auch bei Partition D: funktioniert. Wenn ich die "recycler" ordner jedoch mit antivir oder malwarebytes scannen lasse finden beide nichts.
Komische angelegenheit.
Und die 2 die Malwarebytes nicht entfernen konnte bekomme ich auch nicht Tot.
Miese Krise :/

UPDATE 2: ich werde beim surfen wenn ich einen link in einem neuen tab öffne immernoch weitergeleitet :/
Malwarebytes konnte bei einem erneuten Vollscan keine infizierten Datein finden.

Konnte die Weiterleitungen abschalten in dem ich die Hosts Datei abgeändert habe.

Habe auch festgestellt, dass der Mist mir genau die Sachen zerschossen hat weswegen ich nicht formatieren wollte.

Werde somit Bilder und Musik auf mein Laptop schieben und alles platt machen.

Vielen Dank für eure Hilfe und sorry für die Zeitverschwendung.

Schönen Tag und frohe Festtage wünsch ich euch noch.