Trojaner-Board - Windows-Recovery - Auswertung Malwarebytes' log-file

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows-Recovery - Auswertung Malwarebytes' log-file (https://www.trojaner-board.de/97886-windows-recovery-auswertung-malwarebytes-log-file.html)

Windows-Recovery - Auswertung Malwarebytes' log-file

Hallo liebe Community,

gestern Abend habe ich mir beim surfen Windows-Recovery eingefangen. Daraufhin habe ich die fertige Anleitung zu dessen Entfernung befolgt, d.h. erst rkill.com installiert und ausgeführt und anschließend einen vollständigen Systemscan mit einer aktualisierten Version von Malwarebytes Anti-Malware durchgeführt. Das log-file folgt unten. Ich bin ein bisschen irritiert davon, dass bei allen Einträgen "no action taken" steht, obwohl ich nach Ende des Scans "Ausgewähltes entfernen" geklickt habe. Ich finde z.B. im Explorer auch noch ein Symbol in c:\programdata\40754952 (ohne dateiendung *.exe).
Wie kann ich sichergehen, dass der Trojaner vollständig entfernt wurde, bzw. welche weiteren Schritte sollte ich unternehmen? In meinem Browser (Mozilla Firefox) habe ich viele Benutzernamen und Passwörter für Foren u.ä., aber auch Email-accounts gespeichert. Sollte ich in Erwägung ziehen diese zu ändern?

Vielen Dank im Voraus,
Adjmal.

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6415

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

22.04.2011 09:27:31
mbam-log-2011-04-22 (09-27-22).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 580548
Laufzeit: 2 Stunde(n), 24 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\uvEWQXCeAJwf (Trojan.FakeAlert) -> Value: uvEWQXCeAJwf -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\programdata\uvewqxceajwf.exe (Trojan.FakeAlert) -> No action taken.
c:\Build.exe (RiskWare.Tool.CK) -> No action taken.
c:\programdata\40754952.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\****\AppData\Local\Temp\jar_cache5074184941066849768.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\****\AppData\Roaming\thinstall\matlab r2007b\40000018500003i\dynare_m.exe (Rootkit.Dropper) -> No action taken.
c:\Users\****\AppData\Roaming\thinstall\matlab r2007b\400000eb00002i\MATLAB.exe (Rootkit.Dropper) -> No action taken.
c:\Users\****\AppData\Roaming\thinstall\matlab r2007b\4ad000005000003i\cmd.exe (Rootkit.Dropper) -> No action taken.
c:\Users\****\Desktop\null0.12549485124285253.exe (Trojan.FakeAlert) -> No action taken.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.

Danke für die schnelle Antwort. Ich poste ein zip-Archiv mit allen Log-files. Das nächst-ältere ist allerdings von 2009, aber egal.

Zitat:

c:\Build.exe (RiskWare.Tool.CK)

Was soll das hier sein?

Ich habe gerade nach der Datei gesucht und sie nicht gefunden. Auch dann nicht, wenn ich versteckte und geschützte Systemdateien anzeigen lasse. Ich kann auch nicht sagen, ob die Datei von einem absichtlich installierten Programm stammte.
Ich habe seit dem Virenscan drei Programme deinstalliert, möglicherweise gehörte sie zu einem von diesen.

Kann ich davon ausgehen, dass sie gelöscht wurde, wenn ich sie nicht mehr finde? Oder könnte sie sich selbst umbenannt haben?

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Bitte sehr, ich hoffe es hilft weiter.
Besten Gruß,
Adjmal.

Bitte ZoneAlarm deinstallieren, das Teil ist kontraproduktiv. Verwende die Windows-Firewall.
Mach nach der Deinstallation bitte neue OTL-Logs.

Hier die log-files nach Deinstallation von ZoneAlarm.

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

:OTL

[2011.04.26 12:07:21 | 000,000,000 | ---D | C] -- C:\Windows\Internet Logs

:Files

C:\Windows\tasks\At*.job

C:\ProgramData\4*

C:\ProgramData\~*

:Commands

[purity]

[resethosts]

[emptytemp]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Ich war mir nicht ganz sicher wo ich den Code einfügen sollte, da ich ihn nicht direkt in das Fenster in der unteren Bildschirmhälfte kopieren konnte. Habe zunächst einfach so auf Fix geklickt, in der Hoffnung es werde sich noch ein Dialogfenster öffnen. Nach dem Neustart habe ich es dann nocheinmal wie beschrieben durchgeführt.

Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Ich habe bereits alle Dateien manuell wieder "unversteckt". Die log-Datei folgt gleich.

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.