Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Nach Win32/Cryptor Entfernung bei Malwarebytes Scan mehrere weitere Funde (https://www.trojaner-board.de/80448-win32-cryptor-entfernung-malwarebytes-scan-mehrere-funde.html)

brough 16.12.2009 11:45
Nach Win32/Cryptor Entfernung bei Malwarebytes Scan mehrere weitere Funde
 
-Laptop
-Windows XP (laut System SP 2, hatte aber eigentlich alle Updates gemacht - habe mir gerade SP3-Update von Microsoft gezogen, wollte ich dann nach Bereinigung aufspielen)
-erst vor kurzem (2-3 Monate) Umstieg von Avira auf AVG Virenscanner


Hallo Forengemeinde,

nachdem ich ursprünglich davon ausgegangen war, daß ich so schnell von keinem Virus auf dem falschen Fuß erschwischt werde, da ich gewissenhaft surfe, immer wieder Scans durchführe, und außer den üblichen Warnung aus dem Browser Cache nie etwas besonderes auftrat, wurde letzte Woche vom Scanner der Virus "Win32/Cryptor" gefunden, und 2 Einträge, einmal

"C:\WINDOWS\system32\ftwnbqh.exe";"Virus gefunden: Win32/Cryptor";"In Virenquarantäne verschoben"
und dann auch in der Registry gelöscht, bzw. in Qarantäne verschoben (hier suche ich noch nach dem genauen Datensatz).

Da ich mir zur Angewohnheit gemacht habe, den PC nur in den "Schlafmodus" zu versetzen, bzw. den Ruhestand, um am nächsten Tag da weiterzumachen, wo ich aufgehört habe, hatte ich erst am Samstag morgen das böse erwachen: XP startete bis zum Desktop und meldete sich sofort wieder ab! Dies hatte dann in Folge, daß ich das gesamte Wochenende damit verbracht habe, den PC wieder gangbar zu machen (durch die zeitliche Entfernung zum dem Virenscanner Fund kam ich erst später). Ich habe letztendlich mit Hilfe des Webs und vieler Foren und zuletzt einem auf meinem Mist gewachsenen Trick die Lösung gefunden, was letztendlich im einfachen Löschen eines Registryeintrages bestand (ich würde den Lösungsansatz gerne hier posten, wenn das gewünscht ist! System mittels BART PE usw. dort dann Zugang zur Registry und dortdann Löschung des Eintrages, war insgesamt ein Userinit.exe Problem).
Aufgeweckt durch den Vorfall habe ich mal wieder dieses unschätzbare Forum besucht und mir hier einige Scanner und Anleitungen angesehen, und dann doch mit Überraschung einige weitere ziemlich übele Zeitgenossen gefunden!

Folgendes habe ich durchgeführt:

Großaufräumen mittles CCleaner (mache ich alle 1/2 Jahre)

Scan mittels Germ -> keine Funde
Scan mittels Malwarebytes-Anti-Malware -> Funde, siehe unten.

Da es sich "nur" um Registryeinträge handelt, würde ich diese einfach dann manuell löschen; bevor ich jedoch hier etwas falsch machen, hier die Bitte um kurze Info, ob das so richtig wäre!

Danke!
brough

Zitat:
Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3368
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

15.12.2009 21:50:42
mbam-log-2009-12-15 (21-50-38).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 122469
Laufzeit: 9 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.

cosinus 18.12.2009 13:21
Hallo und :hallo:

Erstell bitte Logs mit RSIT und poste diese


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27