| Erdbeerchen | 24.05.2012 15:59 |
Bluescreen beim Herunterfahren; verschiedene Trojaner
Hallo,
am Sonntag zeigte sich das Problem zum ersten Mal: Ich wollte den Laptop herunterfahren, plötzlich Bluescreen. Normal neu starten wollte er nicht. Also erst abgesicherte Modus und dann im normalen hochfahren. So geht es immer noch.
Schon min. 5 mal mit Antivir und Malwarebytes gescannt, finden immer wieder was (unter anderem TR/Dropper.Gen...diese scheinen sich wiederherzstellen, oder sowas in der Art) und noch einige andere.
Unter anderem wollte die Firewall auch den Windows Explorer blockieren und es öffnet sich andauernd ein Fenster, ob ich das und das Programm ausführen möchte (anscheinend ist dies jetzt weg, kam seit dem letzten Start vor ca. einer Viertelstunde nicht mehr).
Im Anhang sind DDS und Gmer Ergebnis. (Bei Gmer erhielt ich die Meldung "error ... angeschlossenes Gerät funktioniert nicht mehr" oder so ähnlich, beim ersten Mal gab es einen Bluescreen, beim zweiten Mal konnte ich das Programm öffnen).
Hatte vor kurzem schon den Gema-Virus, dieser hatte sich allerdings selber ausgeschaltet (hab natürlich trotzdem Virenscan gemacht, aber nachdem mehrere Tage lang der Scan nichts fand, dachte ich eigentlich, er müsste weg sein). Kann es sein, dass der noch damit zusammen hängt?
Würde das aufsetzen eigentlich gerne vermeiden, da ich sowieso schon einen neuen Laptop bestellt habe. Bräuchte diesen eigentlich nur noch, um eine externe Festplatte anzuschließen um mir meine Dateien draufzukopieren. (Mein letztes Backup ist vom letzten Jahr, damit wären dann ungefähr 50% meiner gesamten Dateien weg)
aktueller MalwarebytesScan: Zitat:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.05.22.02
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
*** :: *** [Administrator]
24.05.2012 16:35:02
mbam-log-2012-05-24 (16-35-02).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 322588
Laufzeit: 43 Minute(n), 16 Sekunde(n)
Infizierte Speicherprozesse: 1
C:\Users\***\AppData\Roaming\WMPRWISE.EXE (Trojan.Agent) -> 2028 -> Löschen bei Neustart.
Infizierte Speichermodule: 1
C:\Users\***\AppData\Roaming\ntuser.dat (Misused.Legit) -> Löschen bei Neustart.
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Firewall 2.9 (Trojan.Agent) -> Daten: C:\Users\***\AppData\Roaming\WMPRWISE.EXE -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Users\***\AppData\Roaming\ntuser.dat (Misused.Legit) -> Löschen bei Neustart.
C:\Users\***\AppData\Local\{a9b65808-44f7-bdd8-9705-8311a7f4a899}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\Users\***\AppData\Roaming\WMPRWISE.EXE (Trojan.Agent) -> Löschen bei Neustart.
(Ende)
| ältere Scans Zitat:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.05.22.02
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
*** :: *** [Administrator]
23.05.2012 18:27:10
mbam-log-2012-05-23 (18-27-10).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 320399
Laufzeit: 46 Minute(n), 11 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 2
C:\ProgramData\wwmy7shq7d.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Local\{a9b65808-44f7-bdd8-9705-8311a7f4a899}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
(Ende)
| Zitat:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Datenbank Version: v2012.05.22.02
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
*** :: *** [Administrator]
22.05.2012 18:28:45
mbam-log-2012-05-22 (18-28-45).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 321023
Laufzeit: 51 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wwmy7shq7d (Trojan.Agent) -> Daten: C:\Users\***\wwmy7shq7d.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Regedit32 (Trojan.Agent) -> Daten: C:\Windows\system32\regedit.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 6
C:\Users\***\Downloads\SoftonicDownloader_fuer_photoscape.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
c:\users\***\wwmy7shq7d.exe (Trojan.Agent) -> Löschen bei Neustart.
c:\users\public\wwmy7shq7d.exe (Trojan.Agent) -> Löschen bei Neustart.
c:\windows\serviceprofiles\localservice\wwmy7shq7d.exe (Trojan.Agent) -> Löschen bei Neustart.
c:\windows\serviceprofiles\networkservice\wwmy7shq7d.exe (Trojan.Agent) -> Löschen bei Neustart.
c:\windows\system32\config\systemprofile\wwmy7shq7d.exe (Trojan.Agent) -> Löschen bei Neustart.
(Ende)
| Zitat:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.04.01.01
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
*** :: *** [Administrator]
02.04.2012 15:09:16
mbam-log-2012-04-02 (15-09-16).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 313951
Laufzeit: 1 Stunde(n), 33 Minute(n), 9 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)
(Ende)
| Zitat:
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Datenbank Version: v2012.04.01.01
Windows Vista x86 NTFS
Internet Explorer 7.0.6000.16982
*** :: ***[Administrator]
01.04.2012 12:34:55
mbam-log-2012-04-01 (12-34-55).txt
Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 315660
Laufzeit: 1 Stunde(n), 45 Minute(n), 55 Sekunde(n)
Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EDDBB5EE-BB64-4bfc-9DBE-E7C85941335B} (Adware.Zango) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|gema (Trojan.Ransom.ICL) -> Daten: C:\Users\***\AppData\Roaming\gema\gema.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Ransom.ICL) -> Daten: C:\Users\***\AppData\Roaming\gema\gema.exe,Explorer.exe, -> Erfolgreich gelöscht und in Quarantäne gestellt.
Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)
Infizierte Dateien: 3
C:\Users\***\Downloads\SoftonicDownloader_fuer_trackmania-nations-forever.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\ProgramData\gema\gema.exe (Trojan.Ransom.ICL) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\***\AppData\Roaming\gema\gema.exe (Trojan.Ransom.ICL) -> Erfolgreich gelöscht und in Quarantäne gestellt.
(Ende)
| Schonmal Danke im Vorraus für eure Bemühungen. | 
