|
Hi! Seit ca. einer woche habe ich mit diesen viren probleme. Ich hab keine ahnung wie ich sie bekommen hab.. ich hab nichts besonderes gemacht und aufeinmal wurden alle möglichen sachen (fake adware scanner etc) ausgeführt. Ich hab dann alles mit kaspersky und spybot gelöscht.. nach mehreren scans ham die dann beide auch nichts mehr gefunden. Das war vor einer woche... zwischendurch hatte ich nochmal ein kurzes intermezzo, aber da war ich die viren schnell wieder los(dachte ich zumindest) und jetzt sind sie wieder da... ich hab wieder nichts besonderes gemacht..hab musik gehört und eine geraucht, da hat sich aufeinmal das benutzerkonten fenster mehrmals geöffnet und wieder geschlossen. Ich hab dann sofort kaspersky wieder angeschmissen(habs öfters mal aus wenn ich spiele) und jetzt sucht und zerstört es seit stunden allerlei viren, aber es hört halt einfach nicht auf. Ich hab bei google ein bisschen gesucht aber zu den viren nichts gefunden was mir geholfen hat Ich bin jetzt seit 2 monaten mit win7 64bit unterwegs und kenn mich nicht so sehr damit aus. Ich mache gerade scans mit malware bytes anti-malware und schau mir die hijacklogs an. Wenn die scans fertig sind und alles gefundene gefixt ist, poste ich nen aktuellen hijackthis log und was auch immer ihr braucht. Wenn ihr irgendwas bestimmtes braucht um mir zu helfen, dann sagt es nur kurz und ich antworte so schnell wie möglich. Ich danke schonmal im vorraus und hoffe ihr könnt mir helfen! regards josh edit: ok noch was anderes.. ich kann keine programme mehr starten.. es scheint als hätte ich dazu keine berechtigung mehr... was aber seltsam ist, da ich zb firefox über den taskmanager noch ausführen kann.. nicht jedoch über die verknüpfung oder die .exe an sich. ausserdem ist mir ein prozess aufgefallen der andauernd wieder im taskmanager auftaucht aber nie von avp oder ähnlichem erkannt wird.. skype_names_2.exe oder so ähnlich. oh und mir fällt grade auf, dass das board auf deutsch is =S hab das ganze jetzt ins deutsche umgeschrieben.. man is das peinlich =D Hijackthis log:HiJackthis Logfile: Code: Logfile of Trend Micro HijackThis v2.0.2--- --- --- sry das ich die logs so blöd geposted hab, hab sie jetzt als rar hochgeladen, kann aber meinen beitrag iwie nichmehr editieren, könnte ein mod/admin den log part löschen? hier die logfiles: rsit logs: hxxp://www.file-upload.net/download-2785552/rsit.rar.html hijackthis log: hxxp://www.file-upload.net/download-2785551/hijackthis.rar.html |
Zitat:
Aus den Regeln: 5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung ab Punkt 2. durch Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe) Fehlen diese Angaben, kann und wird dir hier niemand helfen. |
Tut mir Leid, das hab ich glatt vergessen =S kaspersky: 1. viren befall vor einer woche: Trojan.win32.Swizzor.wrg -fülle an .htm datein aus dem temp. inet files/content.IE5 ordner Trojan-Downloader.Java.OpenStream.al -aus dem java deployment/chache ordner Trojan-Downloader.Java.Agent.cd -aus dem java deployment/chache ordner befall von gestern: Trojan-Dropper.Win32.FrauDrop.azy Trojan.win32.FakeAV.ckd Packed.win32.krap.ao Trojan-PSW.win32.Agent.sig Trojan-Downloader.win32.Suurch.bwe HEUR:Trojan.Win32.Generic Backdoor.win32.VB.Lvn packed.win32.katusha.n Trojan-PSW.win32.LdPinch.aova Trojan.win32.FraudPack.bhhn Mbam: Malwarebytes' Anti-Malware 1.46 Malwarebytes Datenbank Version: 4504 Windows 6.1.7600 Service Pack 3 Internet Explorer 8.0.7600.16385 30.08.2010 01:54:39 mbam-log-2010-08-30 (01-54-39).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 146769 Laufzeit: 4 Minute(n), 23 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 13 Infizierte Registrierungswerte: 4 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 10 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\cscrptxt.cscrptxt (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{e0ec6fba-f009-3535-95d6-b6390db27da1} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\cscrptxt.cscrptxt.1.0 (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\AppID\{7b6a2552-e65b-4a9e-add4-c45577ffd8fd} (Adware.EZLife) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{b1ba40a2-75f2-51bd-f413-04b13a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b1ba40a2-75f2-51bd-f413-04b13a2c8953} (Trojan.Ertfor) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\Software\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Street-Ads (Adware.Adrotator) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hse897ifdsjf98u3heuidhfdd (Malware.Packer.Gen) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\idstrf (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions (Hijack.FolderOptions) -> Delete on reboot. Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Windows\$NtUninstallMTF1011$ (Adware.Adrotator) -> Quarantined and deleted successfully. Infizierte Dateien: C:\Users\aspnet\AppData\Local\Temp\ctfkde.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\Windows\SysWOW64\iquup.dll (Adware.EZlife) -> Quarantined and deleted successfully. C:\Windows\SysWOW64\zo3kxwx.dll (Trojan.Ertfor) -> Quarantined and deleted successfully. C:\Windows\System32\iquup.dll (Adware.BHO) -> Quarantined and deleted successfully. C:\Users\aspnet\AppData\Local\Temp\gdf2aba.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully. C:\Users\aspnet\AppData\Local\Temp\osemrcwaxn.exe (Adware.BHO) -> Quarantined and deleted successfully. C:\Windows\$NtUninstallMTF1011$\apUninstall.exe (Adware.Adrotator) -> Quarantined and deleted successfully. C:\Windows\$NtUninstallMTF1011$\zrpt.xml (Adware.Adrotator) -> Quarantined and deleted successfully. C:\Users\aspnet\AppData\Local\Temp\skaioejiesfjoee.tmp (Malware.Trace) -> Quarantined and deleted successfully. C:\Users\aspnet\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully. Kaspersky der hat beim ersten befall am 14.08 alles aufgeräumt und danach war alles wie voher. zwischen dem 14.08 und dem 30.08 gab es keine einzige viren meldung oder ähnliches und gestern fings ohne vorwarnung aufeinmal wieder an. dann mit den oben genannten viren. mbam hat beim ersten quicksearch am 30.08 das oben gepastete als log ausgegeben. Hoffe man kann mir jetzt helfen :( mitlerweile stürzt der explorer andauernd ab, startleisten einträge funktionieren nur zur hälfte (msn geht, firefox nicht) und das ich alles wegbekommen habe glaub ich nicht wirklich. mfg josh |
Zitat:
|
ok das wird ein wenig dauern.. ich muss kurz zum arzt weil ich krank bin(deswegen auch so schusselig) und danach geh ich alle listen mal durch. Kann man von kaspersky alle funde als log ausgeben lassen wo man die pfade rauskopieren kann? |
Zitat:
|
ich bin froh das ich bei meinen kopfschmerzen überhaupt lesen kannst was du schreibst =S trojan.brain32.destroyer detected.. =/ also.. im anhang poste ich dann nochmal die gesammten detections vom 14.08 bis zum heutigen tag, welche von kaspersky erkannt und (vermeindlich) gelöscht wurden. spybot hat anscheinend keine logs gespeichert, ausser update bericht gibts keine logs. mbam is oben genauso wie hijackthis. Momentan erkennt ekaspersky nur noch das hier: 30.08.2010 01:20:08 Kaspersky Internet Security Task started Proactive Defense 30.08.2010 01:20:26 Windows Explorer Detected: PDM.Keylogger C:\WINDOWS\EXPLORER.EXE und das kommt dann, wenn die explorer.exe abstürzt.. dies passiert ohne unterbrechung in verbindung mit der wow.exe und total random ohne wow. hier die ksprsky liste: hxxp://www.file-upload.net/download-2786976/kaspersky-list.txt.html edit: kaspersky fragt mich die ganze zeit ob ich dateien aus der quarantäne wiederherstellen will, welche angeblich nicht infeziert sind.. die dateien sind/waren zu 90% eindeutig viren..(-> namen wie zb. 9zszdh2223901.exe oder so). restoren oder in quarantäne lassen? |
Zitat:
|
bitte nicht vorverurteilen.. ich bin uploader/mod auf einer bekannten cheat website und da hab prüfe ich jeden tag dateien auf viren und trojaner. ich lade die dateien runter, prüfe sie in sandboxen, vm, virenscanner, gegebenenfalls bisschen inner IDE und dann lade ich sie auf die website. Diese dateien führe ich jedoch nie selbst aus, so dumm bin ich dann doch nicht :pfeiff: |
Naja, was das genau ist, ist damit aber nicht nicht beantwortet. Hat das was mit Steam zu tun? :pfeiff: |
das is teil eines counterstrike source cheats. der vac blocker part ist eine durch einen injector in steam injezierte .dll die vac aushebelt. Ob dem so ist oder nicht weiss ich nichtmehr.. liegt schon lange auf meiner platte, hab noch nich aufgeräumt. Die .dll + injector is mitlerweile schon von kaspersky gelöscht worden. |
Zitat:
CustomScan mit OTL Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code: netsvcs
|
Ich reg mich selbst des öfteren über cheater auf ;D das ich das mache hat mehr was damit zu tun, dass ich das letzte aktive staff mitglied bin und die site ohne mich ganz austerben würde.. verantwortung und so..ich hab keine ahnung (: und was die legalität angeht.. ich selbst verändere nichts an den binaries und benutzen tu ich auch keine cheats, ausserdem sind alle programme natürlich nur für educational purposes erstellt worden =D konnte den inhalt der logfiles nicht direkt im thread posten, weils zuviel war denke ich. habs wieder bei file-upload hochgeladen. hier die ot resultate.. OTL: hxxp://www.file-upload.net/download-2787432/otl.txt.txt.html extras: hxxp://www.file-upload.net/download-2787437/extras.txt.txt.html |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Super Antispyware: SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 08/31/2010 at 00:25 AM Application Version : 4.42.1000 Core Rules Database Version : 5428 Trace Rules Database Version: 3240 Scan type : Complete Scan Total Scan Time : 00:50:34 Memory items scanned : 732 Memory threats detected : 0 Registry items scanned : 14789 Registry threats detected : 0 File items scanned : 33051 File threats detected : 3 Adware.Tracking Cookie C:\Users\aspnet\AppData\Roaming \Microsoft\Windows\Cookies\aspnet@atdmt[2].txt Rogue.AntiMalwareDoctor C:\Users\aspnet\AppData\Roaming\D0D1454467250BB5C55455E03B7D5C04 Trojan.Smitfraud Variant-Gen/Bensorty C:\WINDOWS\SYSWOW64\FHRKT.DLL -------------------------------------------------------------------------- Malwarebytes: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4510 Windows 6.1.7600 Service Pack 3 Internet Explorer 8.0.7600.16385 31.08.2010 00:40:48 mbam-log-2010-08-31 (00-40-48).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|H:\|I:\|) Durchsuchte Objekte: 405341 Laufzeit: 1 Stunde(n), 3 Minute(n), 45 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board