Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile Malwarebytes - Virus TR/Hiloti.D.1069 ? (https://www.trojaner-board.de/119651-logfile-malwarebytes-virus-tr-hiloti-d-1069-a.html)

Dummer_User 16.07.2012 17:10
Logfile Malwarebytes - Virus TR/Hiloti.D.1069 ?
 
Hallo,

ich poste im Folgenden ein logfile des Programms Malwarebytes.

Vor einiger Zeit meldete Antivir bei mir den Virus TR/Hiloti.D.1069. Da ich keine Zeit hatte, den PC zum Reparaturservice zu bringen, habe ich ihn ausgemacht und versuche nun, das Problem zunächst selbst zu beheben.
Dazu habe ich heute noch mal Antivir drüberlaufen lassen (das keine Viren gefunden hat, ich glaube ich brauche generell ein anderes Virensuchsystem...) und dann habe ich das Programm Malwarebytes installiert.
8 Viren wurden gefunden, die ich wie im Forum geraten in Quarantäne gesteckt, aber nicht gelöscht habe.

Nun also folgende Fragen: Kann ich die Viren/Trojaner jetzt in der Quarantäne löschen? Könnte der oben genannte Virus/Trojaner noch auf meinem PC sein? Muss ich etwa alle Dateien plus Betriebssystem neu installieren...?

Vielen, vielen Dank für jeglichen Antwortversuch und schon einmal Entschuldigung für "Anfängerfehler" und PC-Unkenntniss meinerseits. :stirn:

Dummer_User




Malwarebytes Anti-Malware (Test) 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.16.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
GoWi :: GOWI-NETBOOK [Administrator]

Schutz: Aktiviert

17.07.2012 15:27:07
mbam-log-2012-07-17 (15-27-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 305067
Laufzeit: 2 Stunde(n), 9 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\GoWi\Startmenü\Programme\Windows Recovery (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Dokumente und Einstellungen\GoWi\Startmenü\Programme\Windows Recovery\Uninstall Windows Recovery.lnk (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Startmenü\Programme\Windows Recovery\Windows Recovery.lnk (Trojan.FakeAV) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\plugs\mmc109.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\plugs\mmc250.exe (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\GoWi\Anwendungsdaten\Adobe\plugs\mmc84437031.txt (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

markusg 18.07.2012 21:11
hi
was hat avira wo gefunden öffne es, ereignisse, poste fundmeldungen.
avira, berichte, logs mit funden posten

Dummer_User 24.07.2012 08:54
Hallo,
leider hatte ich damals einen USB-Stick verwendet und den Avirascan extern durchgeführt. Die genaue Virusmeldung hatte ich mir dann abgeschrieben, weil ich den Fundbericht nicht speichern konnte und Avira hat den Virus angeblich gelöscht... als ich den PC dann wieder normal mit Windows gestartet hatte, habe ich den Virus online nachgesehen und dann eben erst gemerkt, dass mein Vorgehen falsch war.
Ich habe meinen ganzen USB-Stick mit der externen Avira durchwühlt, da ist auch leider kein Bericht.
Kann ich jetzt noch irgendetwas tun? Kann ein anderes Virusprogramm sicher sagen, ob ich den Hiloti noch habe?

markusg 26.07.2012 18:29
nutzt du den pc für onlinebanking, zum einkaufen für sonstige zahlungsabwicklungen, oder ähnlich wichtiges, wie berufliches?

Dummer_User 26.07.2012 22:49
Onlinebanking habe ich gar nicht, aber beruflich benutze ich ihn schon öfters und meine Kontonummer an sich habe ich auch schon öfters eingegeben.
Die Frage lässt nichts gutes erahnen...

markusg 27.07.2012 23:07
da diese erkennung zumindest darauf hindeutet, dass du malware hast, die sensible daten klaut, solltest du neu aufsetzen und absichern.
der pc muss neu aufgesetzt und dann abgesichert werden
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.

Dummer_User 01.08.2012 19:44
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo,
erst mal vielen Dank für die Tipps!
Ich war damit allerdings etwas überfordert und habe mir noch einmal "reale" Hilfe gesucht. Wir haben den Hiloti-Virus nun gefunden, anscheinend war er doch noch in der Avira-Quarantäne. Ist es plausibel, dass Malwarebytes ihn deswegen nicht mehr gefunden hat oder hätte er dennoch gefunden werden müssen?
Der Bericht ist leider trotzdem nicht auffindbar... ich habe aber einen Screenshot der Avira-Quarantäne mit genauem Ort des Viruses angefügt.
Soll ich jetzt trotzdem den PC neu formatieren etc., so wie du es beschrieben hast?

Dummer_User 01.08.2012 19:46
Entschuldigung, und noch einmal eine sehr dumme Frage: Was soll ich mit den Viren denn genau machen?? In der Quarantäne lassen oder versuchen zu löschen? (Bei Malwarebytes habe ich auch alles in der Quarantäne gelassen)

markusg 02.08.2012 16:59
poste mir mal die pfadangabe aus avira, kanns auf dem screen nicht erkennen

Dummer_User 04.08.2012 06:49
Den Pfad hatte ich in dem Bild darüber kopiert, vielleicht zu klein. Er lautet: C:\Dokumente und Einstellungen\GoWi\Lokale Einstellungen\Anwendungsdaten\{03597FCF-9313-47E6-A3D4-529513BFB0CE}\chrome\content\overlay.xul.vir

Zeigt die Endung .vir immer an, dass es sich um einen Virus handelt?
Das ist jetzt der Hiloti-Virus, den Avira erkannt hat.

markusg 08.08.2012 17:57
nein, das heißt das die datei umbenannt wurde
die funde in adobe deuten auf ältere infektionen hin,würd deshalb auf jeden fall neu aufsetzen

Dummer_User 09.08.2012 02:12
OK, danke! Dann versuche ich das in den nächsten Tagen hinzubekommen und melde mich dann noch mal.
Dir ein schönes Wochenende und danke für die Hilfe :-).

markusg 14.08.2012 18:21
ok meld dich dann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:01 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131