Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hartnäckige Plagegeister die einfach nicht kleinzukriegen sind (https://www.trojaner-board.de/97138-hartnaeckige-plagegeister-einfach-kleinzukriegen.html)

Isarae 04.04.2011 19:14

Hartnäckige Plagegeister die einfach nicht kleinzukriegen sind
 
Hallo :)

meine Tochter hat offensichtlich auf einen dieser bescheuerten Facebooklinks angeklickt die im Chatfenster auftauchen. Seitdem hat der PC nur noch Probleme mit ständigen Fehlermeldungen sowohl von Windows selber als auch vom AV-Programm Avast... Spybot findet trotz Entfernens ständig wieder diese Virtumonde.prx-Datei. Windows moniert die unterschiedlichsten Dateien...

Ich habe jetzt sowohl mit Malwarebytes als auch mit OTL gescannt und von jedem einen Log bzw. von OTL zwei Logs... welchen benötigt ihr denn um mir bitte weiterhelfen zu können?

Danke schonmal,

Isarae

cosinus 04.04.2011 20:52

Bitte alle Logs posten.

Isarae 05.04.2011 14:01

Ich packs als Zip in den Anhang, dürft einfacher sein :)

cosinus 05.04.2011 14:39

Zitat:

Art des Suchlaufs: Quick-Scan

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Isarae 05.04.2011 16:20

Soderla... der gestrige war frisch, und jetzt hier nochmal einen neuen vollständigen nach manuellem Update:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6278

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

05.04.2011 17:04:17
mbam-log-2011-04-05 (17-04-14).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 185376
Laufzeit: 45 Minute(n), 43 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{f7add19c-88db-4c3a-a3c3-55056c89ebdb}\RP106\A0181746.dll (Trojan.Hiloti.Gen) -> No action taken.
c:\system volume information\_restore{f7add19c-88db-4c3a-a3c3-55056c89ebdb}\RP106\A0181772.dll (Trojan.Hiloti) -> No action taken.
c:\system volume information\_restore{f7add19c-88db-4c3a-a3c3-55056c89ebdb}\RP106\A0181796.dll (Trojan.Hiloti) -> No action taken.
c:\system volume information\_restore{f7add19c-88db-4c3a-a3c3-55056c89ebdb}\RP107\A0182127.dll (Trojan.Hiloti.Gen) -> No action taken.
c:\system volume information\_restore{f7add19c-88db-4c3a-a3c3-55056c89ebdb}\RP113\A0184240.dll (Trojan.Hiloti) -> No action taken.


So ganz versteh ich den Log allerdings nicht, aber gut... kenn mich da auch überhaupt nicht aus. Weiss nur das Spybot nach wie vor diese Virtumonde.prx findet und Avast z.B. ständig Dateien oder Websites moniert. Sobald ich die nächste Fehlermeldung erhalte, post ich diese auch noch :)

Danke erstmal:dankeschoen:

Isarae 05.04.2011 16:40

Ah... jetzt grad kam wieder eine der Meldungen.... Avast moniert .B. die Datei serial.sys im system32\drivers-Ordner

cosinus 05.04.2011 18:10

Zitat:

-> No action taken.
Du musst alle Funde entfernen!!
hast du noch weitere Logs von Malwarebytes?

Isarae 06.04.2011 13:18

ok, mach ich mal... Wie gesagt, kenn auch das Programm überhaupt nicht... andere Logs gibt es nicht. Werd mich jetzt mal am daran versuchen die Dinger zu entfernen und lass dann nochmal scannen...

Isarae 06.04.2011 14:26

So... nochmal einen Vollscann gemacht und jetzt findet er nichts mehr.... siehe hier:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6278

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.04.2011 15:10:20
mbam-log-2011-04-06 (15-10-20).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 185978
Laufzeit: 55 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Was mich allerdings immer noch verwundert, ist, dass Avast die Datei Serial.sys und Serenum.sys moniert als bösartig, die jedoch soviel ich gefunden habe, völlig reguläre und normale Dateien sind.

cosinus 06.04.2011 15:29

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL
O4 - HKLM..\Run: [Bxolulukeliku]  File not found
[2011.04.02 14:45:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten\{068E6411-DBE9-426B-87DC-BA560947FA2F}
[2011.04.03 10:51:02 | 000,000,000 | ---- | M] () -- C:\WINDOWS\Dxamihojiseciyo.bin
[2011.02.28 17:35:16 | 000,000,120 | ---- | C] () -- C:\WINDOWS\Ffofalute.dat
[2011.02.28 17:35:16 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Dxamihojiseciyo.bin
[2011.03.25 21:05:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Hiqyyg
:Commands
[purity]
[resethosts]
[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131