mor.exe von Norton isoliert/entfernt - weitere Aktion erforderlich?
 

Hallo,

heute bekam ich beim Surfen eine Meldung von der Norton Internetsecurity:

____________________________
____________________________
Auf Computern ab 02.07.2012 um 10:27:04
Zuletzt verwendet 02.07.2012 um 10:27:04
Start-Element Nein
Gestarted Ja
____________________________
____________________________
Sehr wenige Benutzer
Weniger als 5 Benutzer in der Norton Community haben diese Datei verwendet.
____________________________
Sehr neu
Diese Datei wurde vor weniger als 1 Woche veröffentlicht.
____________________________
Hoch
Das Risiko dieser Datei ist hoch.
____________________________
Bedrohungsdetails
SONAR-Schutz überwacht Ihren Computer auf verdächtige Programmaktivitäten.
____________________________


Quelldatei:
zipper.exe

Datei erstellt:
java.exe

Datei erstellt:
mor.exe
____________________________
Dateiaktionen
Infizierte Datei: j:\dokumente und einstellungen\kuschelbär\lokale einstellungen\temp\mor.exe
entfernt
____________________________
Netzwerkaktionen
Ereignis: Netzwerkaktivität (Ausgeführt von j:\dokumente und einstellungen\kuschelbär\lokale einstellungen\temp\mor.exe, PID:2832)
Keine Aktion unternommen
____________________________
Systemeinstellungsaktionen
Ereignis: Prozessstart (Ausgeführt von j:\dokumente und einstellungen\kuschelbär\lokale einstellungen\temp\mor.exe, PID:2832)
Keine Aktion unternommen
____________________________
Dateiabdruck - SHA:
7ff9ba4fc299cbc6fb4e9a986b1f26b45997d4620684e10d929bbef4db6aff90
____________________________
Dateiabdruck - MD5:
099fa8fd3b40b78a954287ed2f692ad5
____________________________



Norton sagt das keine weitere Aktion erforderlich ist. Ich traue der Sache aber nicht wirklich. Die Angaben zum Status ist in der Übersicht "isoliert" und in den Details steht "entfernt". Was trift jetzt zu? Ist der Bösewicht noch auf der Festplatte und kann er vielleicht wieder ausbrechen?

Anschließend habe ich mit Norton einen vollständigen Systemscan ausgeführt, bei dem aber keinen Bedrohungen gefunden wurden.

Danach habe ich Malwarebytes installiert, aktualisiert und einen vollständigen Systemscan ausgeführt, bei dem ein paar Sachen gefunden wurden, die ich dann gelöscht habe:

Malwarebytes Anti-Malware (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.02.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Kuschelbär :: KUSCHELBAER [Administrator]

Schutz: Aktiviert

02.07.2012 10:57:48
mbam-log-2012-07-02 (10-57-48).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 404958
Laufzeit: 27 Minute(n), 18 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SYSTEM\CurrentControlSet\Services\SeekService Service (Adware.SeekService) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
J:\Programme\SeekService (Adware.SeekService) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
J:\Dokumente und Einstellungen\Kuschelbär\Eigene Dateien\Downloads\SoftonicDownloader_fuer_pdf-xchange-viewer-portable.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.
J:\Dokumente und Einstellungen\Kuschelbär\Eigene Dateien\Downloads\ADLSoft_UnCompressor_v2.exe (PUP.Adware.InstallCore) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Anschließend habe ich wie verlangt den Rechner neu gestartet und noch mal einen ergebnislosen Quickscan mit Malwarebytes durchgeführt.

Muss ich jetzt noch etwas tun wegen der mor.exe? Was ist mit dieser java.exe die laut Norton auch erstellt wurde?

Vielen Dank für eure Hilfe!

Gruß
gr.nagus

So hier sind noch die Logfiles:

OTL:OTL Logfile:
--- --- ---


Extras:OTL Logfile:
--- --- ---


Gmer:

GMER Logfile:
--- --- ---


Ich hoffe das hilft etwas.

Danke nochmal.

Gruß
gr.nagus

Vermüllte Software von Softonic scheint gerade stark in Mode zu sein! http://cosgan.de/images/midi/boese/a040.gif

Finger weg von Softonic!! :pfui:

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Hallo Cosinus,

Malwarebytes habe ich heute zum ersten mal benutzt, daher gibts kein älteren Log-Files.

Mit der Software die man sucht, ist das so, dass man manchmal den Hersteller garnicht kennt und dann nicht so richtig weiß bei wem man da eigentlich läd.
Ich gelobe in Zukunft besser aufzupassen. :pfeiff:

Danke für den Hinweis.

Droht jetzt noch Gefahr von mor.exe?

Gruß
gr.nagus

Führ bitte auch ESET aus, danach sehen wir weiter.

Hinweis: ESET zeigt durchaus öfter ein paar Fehlalarme. Deswegen soll auch von ESET immer nur erst das Log gepostet und nichts entfernt werden.

ESET Online Scanner

Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

• Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt so öffnen: per Rechtsklick => als Administrator ausführen
• Dein Anti-Virus-Programm während des Scans deaktivieren.
  
  Button http://img695.imageshack.us/img695/1599/eset1l.jpg (<< klick) drücken.
  • Firefox-User:
    Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
  • IE-User:
    müssen das Installieren eines ActiveX Elements erlauben.
• Setze den einen Haken bei Yes, i accept the Terms of Use.
• Drücke den http://img707.imageshack.us/img707/687/starteg.jpg Button.
• Warte bis die Komponenten herunter geladen wurden.
• Setze einen Haken bei "Scan archives".
• Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
• http://img707.imageshack.us/img707/687/starteg.jpg drücken.
• Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

• Klicke Finish.
• Browser schließen.

Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

Poste nun den Inhalt der log.txt.

Hallo Cosinus,

hier ist das Ergebnis des ESET Scans:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=b8ca76f2733c9842a2a6acf0e7c5d1a1
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-07-03 08:57:09
# local_time=2012-07-03 10:57:09 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3589 16777173 100 74 2420656 92008968 0 0
# compatibility_mode=8192 67108863 100 0 131 131 0 0
# scanned=138537
# found=3
# cleaned=0
# scan_time=2557
F:\Andreas_9\Nero-8.3.6.0_deu_trial.exe Win32/Toolbar.AskSBar application (unable to clean) 00000000000000000000000000000000 I
F:\Andreas_9\Audigrabber\agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
J:\Dokumente und Einstellungen\Kuschelbär\Eigene Dateien\Downloads\vlc-1.1.11-win32.exe Win32/StartPage.OIE trojan (unable to clean) 00000000000000000000000000000000 I


....mit jedem neuen Scanner wird neues Zeugs gefunden :crazy:

Gruß
gr.nagus

Wenn man sich Software von shice Seiten runterlädt ist das auch kein Wunder, dass ständig was gefunden wird! :pfui:
Den VLC-Player lädt man von videolan.org und nicht vlc.de ! :balla:

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

OK, jetzt weiß ich das. :stirn:


Der normale Windows-Modus ging immer. Ich hatte damit keinem Zeitpunkt Probleme. Ich war nur verunsichert weil Norton sich nicht klar ausdrückt was mit dem Schädling geschehen ist. (isoliert oder gelöscht?)
Leere Programmordner gibts nicht. Alles sieht aus wie immer, ich habe auch keine Fehlfunktionen festgestellt.

Gruß
gr.nagus

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

CustomScan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

• Starte bitte die OTL.exe.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Setze oben mittig den Haken bei Scanne alle Benutzer
• Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die http://billy-oneal.com/Canned%20Spee.../customFix.png Textbox von OTL - wenn OTL auf deutsch ist wird sie mit http://larusso.trojaner-board.de/Images/otlfix.jpg beschriftet

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Hallo Cosinus,

so, hier ist ein neuer Scan:

OTL Logfile:
--- --- ---


Und, was sagt der Meister?

Gruß
gr.nagus

Du hast den Haken bei alle Benutzer vergessen :(
Und ein CustomScan war das auch nicht! http://cosgan.de/images/midi/boese/a040.gif

Hallo Meister der Winkelfunktion,

ja mit mir hat man´s nicht leicht. :balla:
Ich war wohl schon zumüde um die Aufgabenstellung zu verstehen.

Ein neuer Versuch:

OTL Logfile:
--- --- ---


Gruß
gr.nagus

Ja nun ist es richtig :)

Sage mir mal, was willst du mit so vielen kleinen Splitter-Partitionen? :wtf:
Zur logischen Ordnung gibt es doch Verzeichnisse

Ja, einmal sind es 3 Festplatten 2 kleine SSD´s, und eine 160er Platte. Die SSD´s sind später dazugekommen. Die Festplatte zu zerhackstücken ist noch so ne Angewohnheit aus Windows 98-Zeiten, wo ich alle 6 Monate neu installiert habe. Also einmal eine Systempartition wo nix anderes drauf sollte als das System, dann eine separate Partition für die Auslagerungsdatei (wegen Fragmentierung), dann eine für eigene Dateien damit die bei der Neuinstallation nicht weg sind und der Rest sollte so eine Art Ordungssystem sein.

Zugegeben, so wie das jetzt ist macht es keinen Sinn mehr. Wen ich mir demnächst eine große SSD hole, hat das ein Ende. Werde sicher auch bald auf Windows 7 umsteigen.

So, was ist jetzt mit den Bösewichten? Muss ich jetzt noch irgendwie... :kloppen:


Gruß
gr.nagus

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Hallo, habe ich gemacht wie beschrieben. Habe dann "Fix" gedruckt. Unten stand dann "killing in processes - DO NOT INTERRUPT"

Das ist ca. eine halbe Stunde so geblieben und nix ist passiert. System hing fest, habe dann ausgeschaltet.

Was nun?

Gruß
gr.nagus

Starte Windows neu im abgesicherten Modus (mit Netzwerktreibern nach Möglichkeit), manchmal hakt das Fixen mit OTL im normalen Modus aber sehr oft funktioniert der Fix im abgesicherte Modus.

Befehl ausgeführt!

Was hab ich jetzt eigentlich gemacht? :wtf:

Gruß
gr.nagus

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Search.
• Nach Ende des Suchlaufs öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Hallo Cosinus,

hier ist der Log:
Gruß
gr.nagus

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

• Schließe alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Delete.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Hallo Cosinus,

wieder alles ausgeführt. Langsam werde ich zum Profi :rolleyes:

Wie viele Programme gibts denn noch, die was finden können?

Gruß
gr.nagus

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

Hey,

ich werde immer schneller! :singsing:

...auch wenn ich nicht weiß, was ich da eigentlich mache....

Gruß
gr.nagus

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop.

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.