Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner über MSN -Link! (https://www.trojaner-board.de/67474-trojaner-msn-link.html)

Django81 29.12.2008 17:34
Trojaner über MSN -Link!
 
Hallo zusammen,

ich bräuchte Eure Hilfe!

Ich habe über MSN einen Link angenommen. Er lautete in etwa: " Kannst Du Dich an das Foto noch erinnern? Peinlich, ne!?"

Da der Link von einer Freundin kam, habe ich mir nix dabei gedacht!:headbang:

Er macht sich insofern bemerkbar, dass immer wieder Internet Explorer mit z.B. Casino Seiten geladen werden oder Seiten wo ein AntiVir download signalisiert wird!

Ich habe gegoogelt und bin auf Eure Seite gestossen. Dabei habe ich ähnliche Themen gesehen und habe sie durch gelesen.
Ich habe mir "Malwarebytes`Anti-Malware runter geladen und einen Kompletscan durchgeführt!

Nun habe ich mir das Ergebniss anzeigen lassen, kann damit aber ehrlich gesagt nix anfangen!

Könnte mir jemand sagen, wie ich nun weiter vorgehe und/oder könnte mir jemand helfen, das Ergebniss Protokoll zu analysieren?

Wäre um jede Hilfe dankbar!

Gruß Django

JoeAlz 29.12.2008 17:42
:hallo:

Lies folgendes und führe aus:

1. Hijack poste dein Log, dabei folgendes beachten:

2. http://www.trojaner-board.de/22770-a...log-files.html

Viele Grüsse

Björn

Django81 29.12.2008 17:58
Hallo Björn,

Danke erstmal für die rasche Antwort.

Hier mein Logfile:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:31, on 29.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\wauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\Microsoft SQL Server\MSSQL$INVENTORCONTENT\Binn\sqlservr.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\winver.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.ebay.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de.yahoo.com/fsc/
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {09268BF8-2816-4716-91CA-0B6B72460AB7} - C:\WINDOWS\system32\urqOHBQK.dll (file missing)
O2 - BHO: {7dd0db10-d743-ad88-aac4-b4d5ad7c10d4} - {4d01c7da-5d4b-4caa-88da-347d01bd0dd7} - C:\WINDOWS\system32\lvrwwm.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qoMeFxxu.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {96DD3417-7999-46C4-9E82-8764B14A53BC} - C:\WINDOWS\system32\iifcBqQJ.dll (file missing)
O2 - BHO: (no name) - {e49fe91e-f469-4c9e-b1b8-a51f8cc87a4b} - C:\WINDOWS\system32\dejufedu.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Muscbrigade] c:\Musicbrigade\Musicbrigade.exe check
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
O4 - HKLM\..\Run: [98e7f43b] rundll32.exe "C:\WINDOWS\system32\utauteoq.dll",b
O4 - HKLM\..\Run: [sopekumeke] Rundll32.exe "C:\WINDOWS\system32\rasawofu.dll",s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S8D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: tax aktuell.lnk = C:\Programme\Tax-Genie 2008\taxaktuell.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @c:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:  confifc.dll ifcstat.dll,lvrwwm.dll,C:\WINDOWS\system32\wanisupa.dll
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: nethesen - C:\WINDOWS\system32\nethesen.dll (file missing)
O20 - Winlogon Notify: qoMeFxxu - C:\WINDOWS\SYSTEM32\qoMeFxxu.dll
O20 - Winlogon Notify: urqOHBQK - urqOHBQK.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

--
End of file - 10300 bytes

Ich hoffe das war soweit alles richtig!

JoeAlz 29.12.2008 20:13
1. Versuche folgende Einträge mit Hijack zu fixen

Code:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {09268BF8-2816-4716-91CA-0B6B72460AB7} - C:\WINDOWS\system32\urqOHBQK.dll (file missing)
O2 - BHO: {7dd0db10-d743-ad88-aac4-b4d5ad7c10d4} - {4d01c7da-5d4b-4caa-88da-347d01bd0dd7} - C:\WINDOWS\system32\lvrwwm.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\qoMeFxxu.dll
O2 - BHO: (no name) - {96DD3417-7999-46C4-9E82-8764B14A53BC} - C:\WINDOWS\system32\iifcBqQJ.dll (file missing)
O2 - BHO: (no name) - {e49fe91e-f469-4c9e-b1b8-a51f8cc87a4b} - C:\WINDOWS\system32\dejufedu.dll
O4 - HKLM\..\Run: [98e7f43b] rundll32.exe "C:\WINDOWS\system32\utauteoq.dll",b
O4 - HKLM\..\Run: [sopekumeke] Rundll32.exe "C:\WINDOWS\system32\rasawofu.dll",s
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
O20 - Winlogon Notify: nethesen - C:\WINDOWS\system32\nethesen.dll (file missing)
O20 - Winlogon Notify: qoMeFxxu - C:\WINDOWS\SYSTEM32\qoMeFxxu.dll
O20 - Winlogon Notify: urqOHBQK - urqOHBQK.dll (file missing)
das geht so:

fixe mit HiJack
hierzu system scan only ausführen, Häkchen an die o.g. Einträge und
fix checked klicken

dann

2. Deaktiviere deine Systemwiederherstellung
3. Versteckte Dateien anzeigen start>systemsteuerung>ordneroptionen Quelle:sicherinsnetz
4. Scanne mit Malwarebytes Anti-Malware - Download, Update ausführen lassen, ALLE Hintergrundwächter ausschalten
5. Scanergebnis hier posten

Viele Grüsse

Björn

handball10 30.12.2008 01:15
@ JoeAlz: Sorry, dass ich dir hier reinfunke, aber ich glaube, dass du das Wichtigste (oder das "Schlimmste") übersehen hast.

Ich glaube, dass es diesem verseuchtem System sich nicht mehr lohnen wird, es zu bereinigen.

Code:
Running Process:
C:\WINDOWS\system32\wauclt.exe
---------------------------------------
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
--> Das ist ein Gaobot!
http://www.symantec.com/ Gaobot-Information

Den Rest, den JoeAlz schon aufgelistet hat, gehört u.a. zu diesen Fieslingen:
Code:
O20 - Winlogon Notify: dbgmgr - ifcmgr32.dll (file missing)
-->Email-Worm.Win32.Warezov.mg (Kaspersky)

Ich denke, dass es für Django81 hier weitergeht:
Anleitung: Neuaufsetzen des Systems + Absicherung

Würde jedoch, bevor du neuaufsetzt, nochmal gerne Wissen, was sich hinter den von JoeAlz genannten Dll's verbirgt.
Deshalb:
  • Virustotal
  • Dort folgende File überprüfen lassen und die Ergebnisse hier posten:
    Code:
    C:\WINDOWS\system32\qoMeFxxu.dll
    C:\WINDOWS\system32\dejufedu.dll
    C:\WINDOWS\system32\lvrwwm.dll
    C:\WINDOWS\system32\urqOHBQK.dll
    C:\WINDOWS\system32\utauteoq.dll
    C:\WINDOWS\system32\rasawofu.dll
    C:\WINDOWS\system32\nethesen.dll
    C:\WINDOWS\SYSTEM32\qoMeFxxu.dll
    C:\WINDOWS\urqOHBQK.dll
Gruß
Handball

Tayk 30.12.2008 01:24
Kein sry das ich dazwischenfunke!
@handball
1. Glauben ist gut Wissen ist besser!
Deswegens sollte er die datei
Zitat:
C:\WINDOWS\system32\wauclt.exe
bei Virustotal hochladen und den kompletten Bericht posten!

Danach am besten mit Malwarebytes scannen und den vollständigen bericht posten!

Django81 30.12.2008 01:28
@ tayk und handball

Ich habe jetzt, wie JoeALZ beschrieben die Schritte 1,2 und 3 ausgeführt. Jetzt habe ich eure Posts gelesen. Soll ich Schritt 4 und 5 trotzdem ausführen??

Tayk 30.12.2008 01:30
Jop Malwarebytes schadet nie und die ergebnisse musst du posten sonst sind alle anderen schritt sinnlos!

Django81 30.12.2008 03:07
So, hier die Logfile der Maleware Überprüfung:

Code:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1571
Windows 5.1.2600 Service Pack 2

30.12.2008 03:06:26
mbam-log-2008-12-30 (03-06-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 194141
Laufzeit: 1 hour(s), 31 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\HJT\backups\backup-20081230-011151-764.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\inwpbikk.VIR (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vagifoto.VIR (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\awncnxsx.VIR (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\awtqnoLc.VIR (Trojan.Vundo) -> No action taken.

Tayk 30.12.2008 04:18
Nochma scannen und alle funde löschen lassen!

JoeAlz 30.12.2008 09:21
Zitat:

Code:

Running Process:
C:\WINDOWS\system32\wauclt.exe
---------------------------------------
O4 - HKLM\..\Run: [Generic Host] wauclt.exe
@handball10 . Klar! Schritt für Schritt, damit Django91, wie die meisten, nicht überfordert ist!

Ich sehe das genauso wie Tayk:

Zitat:
Malwarebytes schadet nie und die ergebnisse musst du posten sonst sind alle anderen schritt sinnlos!
Viele Grüsse

handball10 30.12.2008 10:03
Moin Moin,

Zitat:
Zitat:
Malwarebytes schadet nie und die ergebnisse musst du posten sonst sind alle anderen schritt sinnlos!
Stimmt :)
Ich denke, ich war vielleicht etwas zu voreilig.

Zitat:
Klar! Schritt für Schritt, damit Django91, wie die meisten, nicht überfordert ist!
Bin ich auch der Meinung.
Ich denke, dass solche Situationen immer wieder gut sind, Erfahrungen zu sammeln.
Zum Lernen ist es ja nie zu spät. :)

So, und jetzt noch einen schönen Tag.
Gruß
handball10

Django81 30.12.2008 14:31
Hallo zusammen,

ich habe die Schritte 1-5 ausgeführt und Maleware nochmal durchlaufen lassen.

Hier der Bericht:

Code:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1571
Windows 5.1.2600 Service Pack 2

30.12.2008 14:28:48
mbam-log-2008-12-30 (14-28-48).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 197643
Laufzeit: 1 hour(s), 24 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Frage, ist jetzt alles eliminiert?
Und, muss ich die Schritte, z.B. Systemwiederherstellung rückgänig machen??

JoeAlz 30.12.2008 19:50
Zitat:
Frage, ist jetzt alles eliminiert?
Was du durchführt hast war die Routine für eine Analyse.
Letztlich ist das Restrisiko einfach zu hoch. Es ist fast unmöglich den Gaobot restlos zu entfernen. Es sieht zwar recht clean aus, aber niemand kann aber vollkommen ausschliessen, dass sich noch irgendeine böse Überraschung versteckt. Deshalb ändere alle deine Passwörter von einem cleanen System und setzte wie folgt neu auf:

http://www.trojaner-board.de/51262-a...sicherung.html

Viele Grüsse

Björn


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131