![]() |
TrojanDownloader:Win32/Deyjalil.A hej, mein pc (windows vista) hat nach der zeitumstellung sonntag und heute erneut nach dem hochfahren das datum auf den 1.1.2008 zurückgesetzt (was mir ohne eine fehlermeldung von dropbox & dem windows update service wahrscheinlich nicht so schnell aufgefallen wäre). zur sicherheit habe ich bis eben einen vollständigen scan mit microsoft security essentials durchlaufen lassen, der oben genannte bedrohung gefunden hat (TrojanDownloader:Win32/Deyjalil.A). bevor ich den entferne und damit schlimmeres anrichte, wollte ich mir gern euren rat einholen. soweit ich das per suchfunktion erkennen konnte, gibt es noch keinen thread zu dem trojaner(?)- falls da doch schon was vorhanden sein sollte, bin ich für einen link sehr dankbar und sorry für die dopplung. ansonsten bis hoffentlich später, mit bestem gruss, yvonne |
hi poste die genaue pfadangabe, danke. |
Liste der Anhänge anzeigen (Anzahl: 1) ich habe gerade probleme damit, die pfade aus dem scan-verlauf zu kopieren. bevor ich dir screenshots schicke oder alles unnötiger weise abtippe, lassen sich die ergebnisse als .txt oder ähnliches abspeichern? neben dem oben genannten fund werden im verlauf noch 6 weitere elemente aufgeführt (s. screenshot), die mse direkt nach dem scan aber nicht als "potenzielle bedrohung" aufgeführt hat. |
ich glaub bei mse gibts etwas das heißt details oder ähnlich, da kann man die pfade sehen, wenn nicht halt abtippen. |
ok, dann mal ran ans abtippen. folgende daten sind unter den details zu TrojanDownloader:Win32/Deyjalil.A vorhanden: kategorie: downlodtrojaner beschreibung: dieses programm ist gefährlich. es läd andere programme herunter. empfohlene aktion: entfernen sie diese software unverzüglich elemente: containerfile:C:\Users\Yvi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XBR8HVZO\codecv_extension[1].exe containerfile:C:\Users\Yvi\AppData\Local\temp\{F0094BC2-DAEC-6F4B-8DA0-92CE2BEA6934}\Addons\codecc_extension.exe file:C:\Users\Yvi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XBR8HVZO\codecv_extension[1].exe->(nsis-6-Codec-V.dll) containerfile:C:\Users\Yvi\AppData\Local\temp\{F0094BC2-DAEC-6F4B-8DA0-92CE2BEA6934}\Addons\codecc_extension.exe->(nsis-6-Codec-V.dll) im verlauf von mse wird der deyjali.a unter folgendem pfad verortet: file:C:\Program Files\Codec-C\Codec-V.dll die pfade der anderen elemente lauten wie folgt: Trojan:Win32/Orsam!rts file:C:\Users\Yvi\AppData\Local\Temp\tmpTLapp\McLoad-Preinstaller.exe Exploit:Java/CVE-2008-5353.BJ file:C:\Users\Yvi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\1cc304f-6e79c495 Exploit:Java/CVE-2009-3867.CD ile:C:\Users\Yvi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\7beb3c22-24a4fff6 Exploit:Java/CVE-2008-5353.HR file:C:\Users\Yvi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\1cc304f-6e79c495 Exploit:Java/CVE-2008-5353.EV file:C:\Users\Yvi\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15\1cc304f-6e79c495 TrojanClicker:Win32/Yabector.B file:C:\Users\Yvi\AppData\Local\Temp\OCS\27\ICQ Away Reader 1.4 Setup.exe guten morgen, kleines update: gleiches spiel mit dem datum beim hochfahren eben, verbunden mit einem "piepen" vorm erscheinen des bootmanagers, dass er sonst an dieser stelle nicht von sich gibt. die funde von mse habe ich soweit nicht angerührt, sie stehen lediglich unter quarantäne. |
hi die funde sehen nicht weiter tragisch aus. Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
|
hej, vielen dank für die unterstützung schon mal. hier der inhalt der comofix.txt: Combofix Logfile: Code: ComboFix 12-10-31.03 - Yvi 31.10.2012 19:40:32.2.4 - x86 info: das mit dem piepen und der datumsumstellung hat sich leider auch nach dem combofix-scan noch nicht gegeben. |
malwarebytes: Downloade Dir bitte Malwarebytes
öffne malwarebytes, logdateien, poste alle logs mit funden |
hier der inhalt des logfiles, das sich nach dem entfernen der funde geöffnet hat Malwarebytes Anti-Malware 1.65.1.1000 www.malwarebytes.org Datenbank Version: v2012.11.02.10 Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 Yvi :: GLUECKSKIND [Administrator] 02.11.2012 20:33:34 mbam-log-2012-11-02 (20-33-34).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|) Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 460785 Laufzeit: 2 Stunde(n), 18 Minute(n), 46 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 1 HKCR\CrossriderApp0000435.BHO (PUP.Codec.PR) -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 6 C:\Program Files\Codec-V\Uninstall.exe (Trojan.LilyJade) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Program Files\eRightSoft\SUPER\SUPER.exe (Trojan.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\ProgramData\CodecUpdate\ix_updater.exe (Trojan.Dropper.H) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Qoobox\Quarantine\C\ProgramData\Codecv\bhoclass.dll.vir (PUP.DownloadnSave) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Yvi\Downloads\Codec-V.exe (Affiliate.Downloader) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Yvi\zombiespiel\Plants vs. Zombies\Uninstall.exe (Malware.Packer.Krunchy) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) unter malwarebytes/logdateien sind 23 andere "protection-logs" von früheren zeitpunkten, ich denke nicht, dass du die haben willst (?) das piepen und die datumsumstellung kommt an jedem neuen tag 1x wieder. |
hi wie alt ist denn der pc? es ist möglich, dass die baterie fürs bios leer ist. |
hej, etwa 4.5 jahre. heute hat er allerdings noch keine spirenzchen gemacht. kann ich den zustand der batterie mit einem programm o.ä. anzeigen lassen oder sollte ich dafür eine/n fachfrau/mann nachschauen lassen? |
nö, die kann man eig selbst wechseln. ist ne ganz normale knopfzelle, die es zb im uhren gescheft gibt BIOS-Batterie wechseln - so funktioniert's dann musst du im bios wieder die uhr richtig einstellen |
alles klar, dann an dieser stelle erstmal vielen dank für die anleitung und deine hilfe! |
meld dich dann auf jeden fall noch mal, haben dann noch nen bissel zu tun. |
ah, gut dass du's sagst. werd ich tun, den batteriewechsel werd ich auf in zwei wochen verschieben, da ich dann mit meiner bachelorarbeit durch bin (auch, wenn ich die dokumente nach jeder änderung auf extern sichere, und bei dem wechsel wahrscheinlich nichts schiefgehen kann, geh ich da lieber auch kein minimales risiko ein). gestern und heute hat sich das datum nicht wieder verstellt; mich irritiert nach wie vor die tatsache, dass dieser 'fehler' zum ersten mal mit der automatischen winterzeit-umstellung aufgetreten ist, deshalb hatte ich den zusammenhang dort vermutet. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 04:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board