Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   3TR, 3VIREN! W32/INDUC.A, TR/AUTORUN.EV, JAVA AGENT/M.1 und andere, hilfe!? (https://www.trojaner-board.de/92126-3tr-3viren-w32-induc-a-tr-autorun-ev-java-agent-m-1-andere-hilfe.html)

grow.up 22.10.2010 20:07
3TR, 3VIREN! W32/INDUC.A, TR/AUTORUN.EV, JAVA AGENT/M.1 und andere, hilfe!?
 
hallöchen :)

ich bin zum ersten mal hier und hoffe darauf, dass ihr etwas nachsicht mit mir habt und das ich trotz allem alles richtig machen konnte und ihr jede information bekommt, die ihr braucht!
ich habe immer gedacht, dass es ausreicht, wenn man viren und trojaner in quarantäne verschiebt. als ich heute einen trojaner entdeckt habe, habe ich mal google befragt und bin hier gelandet. ich hoffe, ihr könnt mir bei meinem problem helfen und ich krieg das zeug, was ich habe, wieder los ):

ich nenne hier erstmal die dinge, die sich in quarantäne befinden :

TR/Autorun.EV
Windows-Virus W32/Induc.A (2x)
JAVA-Virus JAVA/Agent.M.1
TR/Vilsel.adaz
TR/VB.aqt.1

joa. ich hänge die benötigten txt. mal an, hoffe, da ist alles richtig und so!

danke schonmal für jede hilfe! :dankeschoen:

cosinus 23.10.2010 20:30
Zitat:
ich nenne hier erstmal die dinge, die sich in quarantäne befinden :

TR/Autorun.EV
Windows-Virus W32/Induc.A (2x)
JAVA-Virus JAVA/Agent.M.1
TR/Vilsel.adaz
TR/VB.aqt.1
Die wurden mit AntiVir gefunden? Dann bitte auch davon das Log posten. Schädlingsnamen allein reich nicht aus. Es fehlen die Dateinamen und kompletten Pfadangaben, also welche Datei isoliert wurde.

grow.up 23.10.2010 23:47
hallöchen =)

also, ich weiß nun nicht direkt, wie ich an ein LOG bei antivirus komme (und ja, habe die betroffenen objekte da mit avira antivir in quarantäne)

und poste deshalb mal nur die pfadangaben.

TR/AUTORUN.EV
PFAD: E:\autorun.inf
(war ein alter usb-stick, den es mittlerweile nicht mehr gibt x.x)

WINDOWS VIRUS W32/Induc.A
PFAD: C:\Programme\Glary Utilities\encryptexe.exe
(Programm ist schon länger gelöscht?)

WINDOWS VIRUS W32/Induc.A
PFAD: C:\System Volume Information\_{restore12331E4D-2831D-40C6-97B9-DBD40540FD6DE}\RP112\A0031389.exe

JAVA VIRUS JAVA/AGENT.M.1
PFAD : C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\4380b8c5-328ea070

TR/Vilsel.adaz
Pfad: C:\Programme\AIM6\aim6.exe

TR/VB.aqt.1
Pfad : E\Recycled\ctfmon.exe


hoffe, das geht so? ansonsten - wie mach ichs richtig? /:

cosinus 23.10.2010 23:51
Gibt es noch weitere Logs von Malwarebytes? Wäre sehr sinnfrei, wenn Du das ohne Funde gepostet hättest!

grow.up 24.10.2010 01:58
öhm. nein, es kamen nur diese funde (bei antivira, und einige davon sich auch schon älter, weil ich wie gesagt glaubte, dass wenn sie in quarantäne sind, dann nichts mehr passiert?). den rest hab ich nur gepostet, zwecks anweisung (was muss ich vor eröffnung eines threads beachten) ? xX' ich kenn mich doch damit nicht aus, ich hätte es einfach nur gern weg. lol

ps. dann war es wohl sinnfrei?

cosinus 24.10.2010 13:51
Zitat:
Art des Suchlaufs: Quick-Scan
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

grow.up 24.10.2010 16:31
so, wurde gemacht :

Zitat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4934

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24.10.2010 17:30:06
mbam-log-2010-10-24 (17-30-06).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 182680
Laufzeit: 1 Stunde(n), 23 Minute(n), 39 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
er fand aber nichts; liegt das daran, dass die betreffenden datein bei avira in quarantäne sind? /:

cosinus 24.10.2010 19:39
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
@Alternate Data Stream - 20 bytes -> C:\Dokumente und Einstellungen\Besitzer\Desktop\PAVARK.exe:License
@Alternate Data Stream - 133 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

grow.up 24.10.2010 23:36
gemacht, hier ist das log:

Zitat:
All processes killed
========== OTL ==========
ADS C:\Dokumente und Einstellungen\Besitzer\Desktop\PAVARK.exe:License deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:44807EFA deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

[EMPTYTEMP]

User: All Users

User: Besitzer
->Temp folder emptied: 2866 bytes
->Temporary Internet Files folder emptied: 1091937 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 437226359 bytes
->Flash cache emptied: 1221 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 168108559 bytes

Total Files Cleaned = 578,00 mb


OTL by OldTimer - Version 3.2.16.0 log created on 10252010_003030

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 25.10.2010 09:19
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131