Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Seltsame Einträge in der Autostartliste (https://www.trojaner-board.de/92167-seltsame-eintraege-autostartliste.html)

Klangfarben 24.10.2010 16:13
Seltsame Einträge in der Autostartliste
 
Tag zusammen.


Ich hatte gestern mir das Spiel Divine Divinity aus dem Schrank gesucht, installiert und Update beim Hersteller gedownloadet. Ich habs Spiel gesstartet und es kam seltsamer Weise die Meldung *Bitte Spiel-CD einlegen*.
Also dachte ich mir, das Problem haben bestimmt andere auch. Ich also nach Hilfe auf nem Forum gesucht und Zack...hatte ich mir das tolle *ThinkPoint* eingefangen.

Ein Beitrag dazu auf eurem Forum hat mir dabei geholfen und dieses Prpblem konnte ich lösen (Prozess gekillt, Registryeintrag gelöscht und Malwarebytes die Hotfix.exe löschen lassen). Alles super, aber jetzt hab ich mal beim CCleaner in die Autostartliste geschaut und finde 3 seltsame Einträge:


android 1 C:\Users\Name\AppData\Local\Temp\~TM10DC.tmp
cnaxosemwr.exe "C:\Users\Name\AppData\Local\Temp\cnaxosemwr.exe"
sysogp32.exe C:\Users\Name\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sysogp32.exe



Weder Avast noch Malwarebytes hat bisher was erkannt und ich selbst hab noch keinerlei Einfluss entdecken können. Seltsam sind die Einträge dennoch und zudem nich auffindbar.
Irgendwas muss doch dahinter stecken. Ich werde jetzt wo ich Malwarebytes aktualisiert habe und auch die Hotfix.exe erkannt wurde mal nen kompletten Tiefenscan mit Malwarebytes machen, mal schaun ob`s jetzt erkannt wird.

Wäre allerdings hilfreich wenn irgendwer genaueres darüber weiss, denn im Internet hab ich so nix gefunden, ausser auf französisch und polnisch und das kann ich nicht entziffern.

Danke im Voraus falls jemand da was weiss.

cosinus 24.10.2010 20:49
Poste bitte alle Logs von malwarebytes. Ohne Logs läuft hier nichts.

Klangfarben 24.10.2010 23:16
Musste erstmal den Ordner mit den Log-Dateien suchen. Ich häng se im Anschluss hier ran.



Die *sysogp32.exe* wurde übrigens nach dem letzten Scan, den ich ja zu guter Letzt nochmal gemacht hatte und welcher satte 4einhalb Stunden dauerte, mit dem aktualisierten Malwarebytes gefunden und gelöscht.
Es handelt sich wohl um ein sogenanntes *Trojan.Bredolab*. Aus der Autostart Liste beim CCleaner isses jedenfalls nun wech.


EDIT: Mir fiehl grad ein, ich häng mal noch die *startup* TXT vom CCleaner mit ran, dann siehste direkt was alles beim Hochfahren gestartet wird und ob da eventuell was falsch sein könnte.

cosinus 25.10.2010 09:17
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.

Klangfarben 26.10.2010 23:05
Liste der Anhänge anzeigen (Anzahl: 1)
Danke erstmal, werde den Scan mit OTL am Wochenende durchführen, wenn ich genug Zeit habe.

Nebenbei noch, seit 2 Tagen bekomme ich folgende Meldung (siehe Anhang). Ist das ne vertrauenswürdige Meldung von Avast! oder wieder so ein Fake-Dingens wie ThinkPoint?

Klangfarben 27.10.2010 14:49
So, da ich heute wegen Prüfungswoche nicht zur Schule muss, habe ich mal wie von beschrieben den Systemscan mit OTL durchgeführt. Die beiden LOG Files gibts wie immer im Anhang.





Um Avast!, was ich im Post zuvor erwähnte, habe ich mich nun gekümmert. Habe neue Avast! Internet Security gedownloadet, altes Avast! deinstalliert (normal und mit Avast! Uninstall Programm im Sicherheitsmodus) und Internet Security installiert. Müsste jetzt ein wenig sicherer vor Angriffen sein.

cosinus 28.10.2010 18:23
Die Meldung von avast sieht echt aus. Ich denk mal das machen die aus Marketingstrategischen Gründen für Nutzer der kostenlosen Version. Ist aber mal wieder das typische Werbegesülz, denn einfach nur nen Virenscanner installieren oder ne Suite und man kann fortan völlig bequem/hirnlos sich im Netz bewegen ist natürlich Unsinn.



Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
SRV - (Norton Internet Security) -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe File not found
DRV - (VMnetAdapter) -- C:\Windows\System32\DRIVERS\vmnetadapter.sys File not found
DRV - (SRTSPX) -- C:\Windows\System32\drivers\NIS\1000000.07D\SRTSPX.SYS File not found
DRV - (SRTSP) -- C:\Windows\System32\drivers\NIS\1000000.07D\SRTSP.SYS File not found
DRV - (NwlnkFwd) -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys File not found
DRV - (NwlnkFlt) -- C:\Windows\System32\DRIVERS\nwlnkflt.sys File not found
DRV - (NAVEX15) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20081126.003\NAVEX15.SYS File not found
DRV - (NAVENG) -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20081126.003\NAVENG.SYS File not found
[2010.10.23 23:15:58 | 000,000,000 | ---D | C] -- C:\Users\Charles\AppData\Roaming\6FF317E7395FAC1689ECFD2829E69CA7
[2010.10.11 21:15:12 | 000,000,000 | ---D | C] -- C:\Users\Charles\AppData\Local\{DD692787-A10B-4796-8B45-40285CA7694F}
[2010.10.24 12:39:12 | 000,000,006 | ---- | M] () -- C:\Users\Charles\AppData\Roaming\completescan
[2010.10.24 02:51:33 | 000,223,744 | ---- | M] () -- C:\Users\Charles\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.10.23 23:56:16 | 000,000,006 | ---- | M] () -- C:\Users\Charles\AppData\Roaming\start
[2010.10.23 23:30:38 | 000,000,010 | ---- | M] () -- C:\Users\Charles\AppData\Roaming\install
[2010.10.23 23:17:16 | 000,000,016 | ---- | M] () -- C:\Users\Charles\AppData\Roaming\dxqkew.dat
[2010.10.13 13:10:15 | 000,000,120 | ---- | M] () -- C:\Users\Charles\AppData\Local\Hhuka.dat
[2010.10.13 01:12:51 | 000,000,000 | ---- | M] () -- C:\Users\Charles\AppData\Local\Wbovuyo.bin
[2010.10.27 15:11:10 | 000,201,184 | ---- | C] () -- C:\Windows\System32\winrm.vbs
[2010.10.27 15:11:10 | 000,004,675 | ---- | C] () -- C:\Windows\System32\wsmanconfig_schema.xml
[2010.10.27 15:11:10 | 000,002,426 | ---- | C] () -- C:\Windows\System32\WsmTxt.xsl
@Alternate Data Stream - 118 bytes -> C:\ProgramData\Temp:14750D76
@Alternate Data Stream - 110 bytes -> C:\ProgramData\Temp:888AFB86
@Alternate Data Stream - 107 bytes -> C:\ProgramData\Temp:123EB6EA
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Klangfarben 29.10.2010 13:04
So werde jetzt den Fix mit dem kopierten Text machen. Sitze übrigens im Internetcafe, weil als ich den Computer starten wollte ließ er sich nicht mehr hochfahren. Auch Starthilfe ging nicht mehr (unerkannte Systemstartkonfigurationsänderung oder so). Ich hoffe mal ich schaff das irgendwie im Sicherheitsmodus zu beheben, aber ich glaube das is jetzt ne ganz miese Sache.

Klangfarben 29.10.2010 18:15
So, werde mal CHKDSK ausprobieren und hab mir noch ne Notfall CD von Computer BILD gedownloadet, mal schaun ob ichs repariert bekomme.


Das Log häng ich wieder ran.

Klangfarben 29.10.2010 20:47
Habe sichtlich wieder Internetz. Ich hatte wie vorhin angekündigt chkdsk /f im Sicherheitsmodus mit Eingabeaufforderung durchgeführt und war derzeit bei meinen Eltern zu Besuch. Grad eben sehe ich: PC normal hochgefahren.

Aber, alle Autostartprogramme sind deaktiviert und ich kann sie nicht anschalten, jedenfalls nicht mit CCleaner. Ich habe keine Ahnung was passiert war. Die einzige Erklärung läge darin, dass ich vor 2 Tagen gesehen hatte das(s) 3 Updates für Windows Vista zur Installation/Download bereit waren. 1 Vista Update sowie 2 optionale (NVidia Update und irgendwas von Microsoft). Und erst seitdem ich die Updates installiert hatte tauchte das Problem mit dem Hochfahren auf.



Ich werde jetzt keinen Neustart wagen und lasse den PC über Nacht an. Ich denke es ist besser auf eine Reputation hier zu warten.

cosinus 30.10.2010 20:51
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19