|
Gen:Variant.Zbot.6(DB) - Meredrop.A.10285 Hallo zusammen, ich denke in den nächsten Wochen werde ich wohl nach einer Infizierung nicht um einen Neuaufsatz herumkommen. Was kann ich jedoch kurzfristig gegen folgende Plagegeister trojanischer Pferde (siehe Titel) tun? Vielen Dank für alle möglichen Hinweise. Weiß es sehr zu schätzen, dass hier viele Experten unentgeltlich mit ihrem Wissen aushelfen. Hintergrund: Es fing alles Anfang Mai an mit einem wilden scheinbaren Security Tool als Rogueware. Probleme mit Malware entfernt. Ende Mai ein ähnliches Problem, seitdem habe ich den Verdacht, dass Firewall bzw. Virenprogramme nicht mehr 100% funktionieren. Jetzt erneut Trojaner-Befall: Auswertungen: - Antivir erkennt die Schädlinge (siehe Auswertung) - Ebenso eScan (in Teilen sowie mit anderen kritischen Punkten, Sorge machen mir hier auch die Millionen Zeilen von Veränderungen zum Host 127.01 - siehe Auswertung) - was sind das für Seiten und Veränderungen??? - Anti-Malware erkennt heute keine Schädigungen (es wurden jedoch am 01. und 31.05 Trojaner und Rogueware entdeckt und in Quarantäne verlagert)- -GMER stürzt bei der Ausführung jedes Mal ab (bei Befolgung alles Hinweise). Was tun? Auswertung 1: AntiVir Code: Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht |
Auswertung 2 (eScan) Auswertung muss hier abgekürzt dargestellt werden. In der letzten Auswertung - "Zeilen die nicht dem Standard entsprechen" kommen Millionen von irrwitzigen Seitennamen, jeweils zu folgendem Eintrag [Code]C:\Windows\System32\drivers\etc\hosts:127.0.0.1[Code] Eigentliche Auswertung [CODE]Microsoft Windows [Version 6.0.6002] Bootmodus: Normal eScan Version: 11.0.86 Sprache: German C:\Users\***\AppData\Local\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Program Files\EASEUS\EASEUS Partition Master 5.8.1 Home Edition\bin\xmlparse.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Program Files\EASEUS\EASEUS Partition Master 5.8.1 Home Edition\bin\xmltok.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. Datei C:\Users\Büro\AppData\Local\acprgwizk.exe ist durch den Virus "Gen:Variant.Zbot.6 (DB)" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\lock.dat Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{00D8862B-6453-4957-A821-3D98D74C76BE}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{205286E5-F5F2-4306-BDB1-864245E33227}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{48DE2B25-A3A2-4121-808D-5DD991D9FEBB}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{6C815596-821F-40b3-8A84-643B73A8EB16}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{91CA4D38-EA2B-4f3c-94DE-36C1386182FC}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AF698A5B-24D6-4f78-AE95-204B09EDC7B6}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{AFA7FF39-1DDF-4f70-A2D5-23FCFFF02E5F}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{D1A7F7E0-D4E9-49e8-BF2C-CEAA01D2E670}\SupportTasks\0\Home Page.lnk Offending file found: C:\ProgramData\Microsoft\Windows\GameExplorer\{E91579C0-4EA9-4a2a-A9B2-04BEF1D6DC29}\SupportTasks\0\Home Page.lnk ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ eScan-Antiviren- und Antispyware-Werkzeugsatz. Antiviren- und Antispywaredatenbanken werden heruntergeladen... Indexed Spyware Databases Successfully Created... eScan-Antiviren- und Antispyware-Werkzeugsatz. eScan-Antiviren- und Antispyware-Werkzeugsatz. Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft ***** Indexed Spyware Databases Successfully Created... System found infected with CoreGuardAntivirus2009 Corrupted Adware/Spyware (HKEY_CLASSES_ROOT\clsid\{5E2121EE-0300-11D4-8D3B-444553540000})! Action taken: Keine Maßnahme ergriffen. System found infected with WinFixer/ErrorSafe Adware (lock.dat)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with User Account Control (Fake) Spyware/Adware (Home Page.lnk)! Action taken: Keine Maßnahme ergriffen. System found infected with Your Protection Spyware/Adware (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved/{5E2121EE-0300-11D4-8D3B-444553540000})! Action taken: Keine Maßnahme ergriffen. System found infected with Joke.Program BadJoke (HKCU\Software\Local AppWizard-Generated Applications)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending file found: C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys\lock.dat Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e24407af-c5d2-11dd-a55c-806e6f6e6963} !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - csrss.exe - wininit.exe - csrss.exe - services.exe - lsass.exe - lsm.exe - winlogon.exe - svchost.exe - svchost.exe - svchost.exe - Ati2evxx.exe - svchost.exe - svchost.exe - svchost.exe - audiodg.exe - SLsvc.exe - svchost.exe - svchost.exe - Ati2evxx.exe - spoolsv.exe - sched.exe - svchost.exe - taskeng.exe - taskeng.exe {29F8CD2E-7265-473E-97BF-29ED809505A7} dwm.exe - "C:\Windows\system32\Dwm.exe" explorer.exe - C:\Windows\Explorer.EXE taskeng.exe - MSASCui.exe - "C:\Program Files\Windows Defender\MSASCui.exe" -hide MemCheck.exe - SysMonitor.exe - "C:\Acer\Empowering Technology\SysMonitor.exe" issch.exe - "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start avguard.exe - mcagent.exe - "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey RtHDVCpl.exe - "C:\Windows\RtHDVCpl.exe" avgnt.exe - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min DivXUpdate.exe - "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW AppleMobileDeviceService.exe - TeaTimer.exe - "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" LSSrvc.exe - mfevtps.exe - Monitor.exe - "C:\Program Files\LG Soft India\forteManager\bin\Monitor.exe" -startup svchost.exe - svchost.exe - svchost.exe - SearchIndexer.exe - avshadow.exe - MOM.exe - "c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE" eRecoveryService.exe - capuserv.exe - WUDFHost.exe - mcshield.exe - mfefire.exe - McSvHost.exe - SDWinSec.exe - WmiPrvSE.exe - conime.exe - C:\Windows\system32\conime.exe Acer.Empowering.Framework.Supervisor.exe - "C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE" eRAgent.exe - "C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE" CCC.exe - "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe" 0 WmiPrvSE.exe - wmpnscfg.exe - "C:\Program Files\Windows Media Player\wmpnscfg.exe" wmpnetwk.exe - taskeng.exe - cmd.exe - cmd /c ""C:\Users\***\Desktop\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! Invalid Entry PCMMediaSharing = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe (in key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. ERROR!!! Invalid Entry MP4 Player = "C:\Program Files\MP4 Player\mp4Player.exe" hmw (in key HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run). No Action Taken. System found infected with WinFixer/ErrorSafe Adware (lock.dat)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen:[Code] |
:hallo: Wird der Rechner gewerblich genutzt ? |
Die Quarantäne Malware kann ich nicht als Code posten (Ergebnisse vom 01.05/31.05). Darf ich diese als Screenshot anhängen? |
Hallo Larusso, nein das ist ein Privatrechner - warum? Falls du die Frage stellst wg. der Benutzerkonten. Ich habe zwei erstellt eines für private Zwecke (Spiele etc.) und eines für meine Diss. (das heißt "Büro"). |
Hallo Larusso, nein. Ich habe zwei Benutzerkonten. Eines für private Dinge und eines für meine Diss. (das habe ich mit "Büro" betitelt. |
Ne Frage hab ich noch. Warum willst Du nicht gleich formatieren wenn Du es sowieso vorhast :confused: |
Hi Larusso, weil das längere Zeit in Anspruch nehmen wird und ich die in der nächsten Woche leider nicht habe, aber den Rechner benutzen muss. Falls du allerdings bestätigen kannst, dass die Probleme mit einer Systemwiederherstellung (Recovery Partition), die man beim Bootvorgang einleiten kann (Hinweis: Ich habe einen blöden ACER Rechner mit Vista 32 Home Premium OEM, jedoch ohne mitgelieferte Installations DVD und wurde damals - ohne Kenntnis wie ich war- auch nicht auf das Herstellen einer Recovery DVD hingewiesen :dummguck::dummguck:), gelöst wären. Dann mache ich das sofort. Aber ich bin in dieser Hinsicht absoluter Laie und habe Bedenken, dass damit die Probleme weiterhin exisitieren könnten und das möchte ich absolut nicht! |
Du wirst lachen, ich habe ein Acer Netbook. Und ja mit der Recovery Partition ist das alles eigentlich ganz easy. Du musst nur deine Wichtigen Daten sichern, den rest erledigt die RP. Ich hab auch zeit den Rechner zu bereinigen, nimmt jedoch sicher nicht weniger Zeit und Aufwand. |
Hi Larusso, danke für die schnelle Antwort. Bin mir nicht ganz sicher, ob ich alles verstanden habe. Verstehe ich dich richtig, dass die Infektionsprobleme mit der Recovery, die ich beim Bootvorgang (nach vorheriger Abspeicherung der wichtigsten Treiber und meiner Daten) initiiere gelöst sind? Verstehe ich dich auch richtig, dass bei diesem Recovery Vorgang eine Formatierung der Laufwerke automatisch stattfindet, so dass keine Restprobleme bestehen bleiben und ich ruhigen Gewissens mit dem Rechner arbeiten kann? Vielen Dank für eine kurze Rückmeldung, Flo |
treiber musst du nicht wirklich sichern ausser für externe Hardware :) Ansonsten hast Du mich richtig verstanden. |
Hi Larusso, danke nochmal, werde heute Abend versuchen, das wie besprochen zu realisieren! Schönen Abend und Grüße, Flo |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board