Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   nach Virus: Kontextmenu öffnet sich nicht (https://www.trojaner-board.de/122427-virus-kontextmenu-oeffnet.html)

neuernoob 19.08.2012 17:12
nach Virus: Kontextmenu öffnet sich nicht
 
Hallo,
Ich habe mir vor 3 Tagen im Internet (minecraftforum.net) einen
Trojaner eingefangen. Im Internet steht auf vielen Seiten, dass er Daten verschlüsseln würde, was er bei mir aber nicht getan hat(oder ich habs nicht gemerkt). Der Trojaner hat meinen PC ein paar Sekunden(ca.10) nachdem ich den infizierten Link abstürzen und automatisch neustarten lassen. Danach habe ich mich wieder eingeloggt und bekam die Anzeige, dass meine Windows Lizenz abgelaufen wäre und ich sie für 50€ Ukash oder 100€ Paysafe um 10 Jahre verlängern könnte.http://img.trojaner-board.de/verschl...zenzierung.png :wtf:
Ich habe mir den Trojaner unter Windows 7 eingefangen und da ich auf meinem PC auch Windows Vista habe: Neustart>Vista gestartet(vom Trojaner verschont)>Kaspersky CBE 12 installiert>Suchdurchlauf(i Windows 7)>In C:\Users\Timm\AppData das Trojanische Programm roaming1.exe gefunden>
Beschreibung von Kaspersky:Trojanisches Programm, wird von über 10.000 Pers. verwendet und ist seit über einem Jahr bekannt.
Da Kaspersky die Datei NUR mit hoher heuristig gefunden hat, und sich die Beschreibung das Programm harmlos aussehen lassen hat, hab ich es Testweise angeklickt(:stirn::stirn::stirn:)
Allerdings blieb Vista trotzdem noch clean, dar Kaspersky den Trojaner nach dem unfreiwilligen Neustart sofort gekillt hat.
Als ich damit festgestellt hatte, das die Datei wirklich (ein teil) von dem Trojaner ist, hab ich Windows 7 gestartet(natürlich hab ich die roaming1.exe vorher unter Quarantäre gestellt), und hatte statt Erpresserbotschaft einen Blackscreen. Allerdings wurde der Taskmanager nichtmehr blockiert und somit hab ich via ausführen den explorer gestartet und auch hier Kaspersky CBE 12 installiert. Seitdem kann ich Windows 7 wieder fast uneingeschränkt benutzen.(obwohl ich warscheinlich nur ein Teil des Trojaners entfernt habe, was natürlich *** ist):blabla: genug der vorrede.
Ein Problem habe ich aber immernoch(deshalb konnte ich auch kein Bild einfügen): Das Rechtsklickmenu im Browser, Explorer und auf dem Dektop lässt sich nicht mehr öffnen.

In diversen anderen Foren im web hab ich rausgefunden, dass es eine registrierungsdatei(HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
NoViewcontextmenu) gibt, die bei mir nicht vorhanden ist.
Als Grund dafür sollen in den meisten Fällen Vieren oder registry-cleaner wie der CCleaner sein. Ob die Datei vor dem Trojanerbefall noch vorhanden war, weiß ich nicht. Die registry-cleanerfunktion des CCleaners habe ich zwar benutzt, aber das rechtsklickmenu hat auch vorher nicht funktioniert und da ich die registrierungsdateien vorher gesichert hab (und die Regitry auch wieder auf altem Stand gebracht habe), kann ich versichern dass es nichts damit zu tun hat. An meiner Maus(G700) und ihren Treibern liegt es auch nicht. Wenn ihr mir helfen könnt, tut es!

Ein hier anscheinend beliebtes Malwarebytes-log hab ich leider nicht, aber vllt. kommt ihr zur Ausnahme ja auch mal ohne aus.

Danke im vorraus

Nachträglich doch noch das Log:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.08.19.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Timm :: TIMM-PC [Administrator]

Schutz: Aktiviert

19.08.2012 18:24:31
mbam-log-2012-08-19 (18-24-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 460989
Laufzeit: 47 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Zitat:
Zitat von neuernoob (Beitrag 896142)
Hallo,
Ich habe mir vor 3 Tagen im Internet (minecraftforum.net) einen
Trojaner eingefangen. Im Internet steht auf vielen Seiten, dass er Daten verschlüsseln würde, was er bei mir aber nicht getan hat(oder ich habs nicht gemerkt). Der Trojaner hat meinen PC ein paar Sekunden(ca.10) nachdem ich den infizierten Link abstürzen und automatisch neustarten lassen. Danach habe ich mich wieder eingeloggt und bekam die Anzeige, dass meine Windows Lizenz abgelaufen wäre und ich sie für 50€ Ukash oder 100€ Paysafe um 10 Jahre verlängern könnte.http://img.trojaner-board.de/verschl...zenzierung.png :wtf:
Ich habe mir den Trojaner unter Windows 7 eingefangen und da ich auf meinem PC auch Windows Vista habe: Neustart>Vista gestartet(vom Trojaner verschont)>Kaspersky CBE 12 installiert>Suchdurchlauf(i Windows 7)>In C:\Users\Timm\AppData das Trojanische Programm roaming1.exe gefunden>
Beschreibung von Kaspersky:Trojanisches Programm, wird von über 10.000 Pers. verwendet und ist seit über einem Jahr bekannt.
Da Kaspersky die Datei NUR mit hoher heuristig gefunden hat, und sich die Beschreibung das Programm harmlos aussehen lassen hat, hab ich es Testweise angeklickt(:stirn::stirn::stirn:)
Allerdings blieb Vista trotzdem noch clean, dar Kaspersky den Trojaner nach dem unfreiwilligen Neustart sofort gekillt hat.
Als ich damit festgestellt hatte, das die Datei wirklich (ein teil) von dem Trojaner ist, hab ich Windows 7 gestartet(natürlich hab ich die roaming1.exe vorher unter Quarantäre gestellt), und hatte statt Erpresserbotschaft einen Blackscreen. Allerdings wurde der Taskmanager nichtmehr blockiert und somit hab ich via ausführen den explorer gestartet und auch hier Kaspersky CBE 12 installiert. Seitdem kann ich Windows 7 wieder fast uneingeschränkt benutzen.(obwohl ich warscheinlich nur ein Teil des Trojaners entfernt habe, was natürlich *** ist):blabla: genug der vorrede.
Ein Problem habe ich aber immernoch(deshalb konnte ich auch kein Bild einfügen): Das Rechtsklickmenu im Browser, Explorer und auf dem Dektop lässt sich nicht mehr öffnen.

In diversen anderen Foren im web hab ich rausgefunden, dass es eine registrierungsdatei(HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
NoViewcontextmenu) gibt, die bei mir nicht vorhanden ist.
Als Grund dafür sollen in den meisten Fällen Vieren oder registry-cleaner wie der CCleaner sein. Ob die Datei vor dem Trojanerbefall noch vorhanden war, weiß ich nicht. Die registry-cleanerfunktion des CCleaners habe ich zwar benutzt, aber das rechtsklickmenu hat auch vorher nicht funktioniert und da ich die registrierungsdateien vorher gesichert hab (und die Regitry auch wieder auf altem Stand gebracht habe), kann ich versichern dass es nichts damit zu tun hat. An meiner Maus(G700) und ihren Treibern liegt es auch nicht. Wenn ihr mir helfen könnt, tut es!

Ein hier anscheinend beliebtes Malwarebytes-log hab ich leider nicht, aber vllt. kommt ihr zur Ausnahme ja auch mal ohne aus.

Danke im vorraus

Nachträglich doch noch das Log:
Malwarebytes Anti-Malware (Test) 1.62.0.1300
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.08.19.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Timm :: TIMM-PC [Administrator]

Schutz: Aktiviert

19.08.2012 18:24:31
mbam-log-2012-08-19 (18-24-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 460989
Laufzeit: 47 Minute(n), 10 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)






Problem beseitigt:abklatsch:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131