|
Trojaner immer noch im autostart abgebildet Liste der Anhänge anzeigen (Anzahl: 1) Nabend Ich steh hier vor einem Rätsel und zwar hatte ich mir vorgestern noch den BKA Trojaner eingefangen und dann erstmal paar stunden dran gesässen um es wieder in den griff zubekommen. Erstmal möchte ich erklären was genau ich gemacht habe , allerdings habe ich jetzt auch nicht soviel erfahrung was das solche probleme mit dem pc angehen : 1. In den Abgesichertenmodus mit Eingabeaufforderung gegangen und die regedit aufgerufen. anschließten diese pfade überprüft auf das "Shell" verzeichnis wegen dem explorer.exe wert : "HKEY_LOCAL_MASCHINE/SOFTWARE/Microsoft/windowsNT/CurrentVersion/Winlogo " Ebenfalls das ganze auch nochmal unter "HKEY_CURRENT_USER/SOFTWARE/Microsoft/windowsNT/CurrentVersion/Winlogo" Bei HKEY_LOCAL_MASCHINE War unter Shell bereits der wert Explorer.exe eingetragen. Unter HKEY_CURRENT_USER habe ich merkwürdiger weise keinen eintrag namens Shell gefunden , ist das normal?. Dann habe ich den Pc neugestartet und bin ich den Abgesicherten Modus mit Netzwerktreibern gegangne und habe die "msconfig" aufgerufen und dann den Reiter Autostarts ausgewählt mir sprang dann sofort das Systemstartelement " 0.38380274687559535.exe " Ins Auge mit Einem Russischen Namen Als Hersteller. Also: Systemstartelement: 0.38380274687559535.exe Befehl: C:\Windows\System32\rundll32.exe C:\User\"""\AppData\Local\Temp\0.38380274687559535.exe,F1122 Ort: C:\Users\"""\AppData\RoamingMicrosoft\Windows\Start Menu\Programs\Startup Ich habe den Harken des Autostarts dann entfernt und den Pc neugestartet ( Normal Hochgefahren ) und siehe da ich konnte wieder aggieren also es tat sich kein zahlungsscreen mehr auf. Aber damit war ich noch nicht fertig ich habe dann im normalen Windowsmode einmal den Ort des elementes aufgesucht auser einen leeren Startup ordner habe ich aber leider nichts gefunden ( sicht versteckter elemente ist an ) Laut ordner scan mit avast befanden sich dortdrin auch keine datein ( überrüfung von ordner und dateien abgeschlossen 1/1 ) Ich habe den Startup dann zur sicherheit dennoch gelöscht gehabt , habe ich was damit falsch gemacht? Dann habe ich den Befehl pfad aufgesucht und dadrunter habe ich dann wirklich eine temp datei namens " 0.38380274687559535.exe " gefunden. Ich habe sie dann mit rechtsklick gelöscht und den pc nochmal neugestartet. Der Pc fährt nun normal hoch allerdings befindet sich im autostart immer noch die datei allerdings steht nun bei Hersteller Unbekannt also nichtmehr dieser russische name. Das ganze hat mich stuzig gemacht und ich habe den Pc scannen lassen: AdawareFREE im normalen windows mode = Nichts gefunden auser zwei cookies AvastFREE im normalen windows mode = Nichts gefunden. Dann bin ich nochmal in den abgesicherten modus gegangen mit eingabeaufforderung und habe den Explorer aufgerufen mit " explorer.exe " Dann habe ich meinen Mp3 Player angeschlossen aufdem sich die datei " Superantispyware " (nachdem ich sie mit meinem notebook runtergeladen hatte ) befand und habe das programm 2 mal durchlaufen lassen ebenso auch addaware: Superantispyware = 127 Cookies Add Aware = Nichts Superantispyware = Nichts Da er immer noch nichts weiteres fand bin ich nochmal in die regedit gegangen und habe folgende pfade überprüft: HKEY_LOCAL_MASCHINE\Software\Microsoft\Windows\Cur rentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run Unter diesen pfaden habe ich nichts verdächtiges gefunden. Naja nun meine frage: Was meint ihr ist der trojaner somit wirklich verschwunden? gibt es noch andere möglichkeiten das system und prozesse zuchecken vllt mit hijack (weiß aber nicht wie genau das funktioniert vllt kann mir das ja einer kurz erklären) oder gibt es andere programme? Und was ist mit dem Autostart dort befindet sich ja immer noch die datei , ist das ein fehler von windows oder versteckt sich der trojaner noch irgentwo? Ich hoffe man kann mir hier weiterhelfen MfG Chris Hier noch ein screen von meinem Task Was mir dabei gerade auffällt ist das es zweimal den Prozzes "netsession_win.exe" gibt oder ist das normal? Und der Prozzes " splwow64.exe " ist nun nichtmehr aktiv obwohl ich nichts geschlossen hatte er hat sich wohl von selber beendet. Mir ist der Prozzes auch unbekannt soweit ich weiß hatte ich diesen noch nie im Task. |
Mir hat gestern jemand noch geraten Malwarebytes zuladen und das system damit zuchecken das hier ist das ergebnis: _________________________________________ Malwarebytes Anti-Malware (Test) 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.27.05 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 9.0.8112.16421 Soapi :: SOAPI-PC [Administrator] Schutz: Aktiviert 27.01.2012 19:27:19 mbam-log-2012-01-27 (19-27-19).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 376383 Laufzeit: 44 Minute(n), 30 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 1 C:\Users\Soapi\AppData\LocalLow\Sun\Java\Deploymen t\cache\6.0\54\357047b6-744d1ac7 (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) ________________ 2012/01/27 19:25:34 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 19:25:35 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 19:25:38 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 19:25:39 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 19:36:08 +0100 SOAPI-PC Soapi MESSAGE Executing scheduled update: Daily 2012/01/27 19:36:09 +0100 SOAPI-PC Soapi MESSAGE Database already up-to-date 2012/01/27 20:20:14 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 20:20:17 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 20:20:20 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 20:20:21 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 20:27:32 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 20:27:34 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 20:27:37 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 20:27:38 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 20:31:42 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 20:31:44 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 20:31:47 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 20:31:49 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 20:39:27 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 20:39:29 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 20:39:32 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 20:39:33 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 21:10:42 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 21:10:44 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 21:10:47 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 21:10:47 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 21:17:19 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 21:17:21 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 21:17:24 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 21:17:25 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 21:19:26 +0100 SOAPI-PC Soapi MESSAGE Stopping IP protection 2012/01/27 21:20:32 +0100 SOAPI-PC Soapi MESSAGE IP Protection stopped 2012/01/27 21:26:33 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 21:26:34 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 21:30:21 +0100 SOAPI-PC Soapi MESSAGE Stopping IP protection 2012/01/27 21:31:41 +0100 SOAPI-PC Soapi MESSAGE IP Protection stopped 2012/01/27 21:37:13 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 21:37:15 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 21:37:18 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 21:37:19 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 21:45:05 +0100 SOAPI-PC Soapi MESSAGE Starting protection 2012/01/27 21:45:07 +0100 SOAPI-PC Soapi MESSAGE Protection started successfully 2012/01/27 21:45:10 +0100 SOAPI-PC Soapi MESSAGE Starting IP protection 2012/01/27 21:45:11 +0100 SOAPI-PC Soapi MESSAGE IP Protection started successfully 2012/01/27 21:46:45 +0100 SOAPI-PC Soapi MESSAGE Stopping IP protection Allerdings bin ich mir jetzt nicht sicher ob es sich damit wirklich erledigt hat denn der autostart eintrag ist immer noch da. Und habe ich vielleicht in meinem vorgang gegen den Trojaner etwas falsch gemacht oder war das alles richtig? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board