![]() |
TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe Hallo, mein COMODO Internet Security Premium hat TrojWare.Win32.Trojan.Agent.Gen@146264662 in systempack107_2121.exe festgestellt - in einem Verzeichnis, das eigentlich leer sein sollte und gewiss keine exe-Dateien hätte beherbergen sollen, kein Systemverzeichnis sondern einfach ein Datei-Ordner auf meiner (externen, aber immer angeschlossenen) Daten-Festplatte, der mal für Bilddateien angelegt worden war. Die Datei wurde am 24.12.2010 auf meinem Rechner erstellt, während eine Freundin von mir nach Rücksprache mit mir in meiner Abwesenheit bei mir im Internet surfte - sie rief mich an kurz bevor ich nach Hause kam, weil sie von Google auf eine offensichtlich nicht vertrauenswürdige Seite geleitet wurde. Ein nach meiner Heimkehr direkt durchgeführter Virenscan fand allerdings damals nichts. Dafür aber heute - warum auch immer erst so spät. Ich habe dem Vorschlag der COMODO Internet Security folgend das Objekt in Quarantäne gestellt. Google-Suche nach dem Virus und der Datei hat mir nicht viel geliefert - nach dem Virus suchen gar nichts, nach der Datei nur eine Reihe von Virenscan-Ergebnissen mit Befallen, aber ich kann mit den Informationen nichts anfangen und kann daher auch keine sinnvolle Vorauswahl treffen, was relevant sein könnte und was nicht, es sind aber nur sehr wenige links. Hier also der Such-Link: h**p://www.google.de/search?hl=en&client=opera&hs=s6a&rls=en&channel=suggest&q=systempack107_2121.exe&aq=f&aqi=&aql=&oq= Einziges dabei mitgefundenes Foren-Thema ist das nachfolgende - aber hat das überhaupt mit meinem Problem zu tun?? Hab nicht das Gefühl, aber Google schlug den Link vor: h**p://forum.avira.de/wbb/index.php?page=Thread&postID=1021447 Nun wollte ich der Anleitung für Load.exe hier vom Board folgen (hxxp://w*w.trojaner-board.de/89918-load-exe-larusso.html), bekam aber bei der Installation die folgende Fehlermeldung: "Line 5253 (File "C:\Users\edDy\Desktop\Load.exe"): Error: Variable used without being declared." Installation nach Klick auf "OK" fortgesetzt und abgeschlossen, Programmaktualisierung und anschließender Programmstart funktionierte, aber es wurde kein Ordner MFTools auf dem Desktop erstellt und die Windows-Suchfunktion nach "MFTools" und anschließend nach "Anleitung" fand weder den Ordner noch die eigentlich darin erwartete Anleitung.html auf meinem Computer. Also wie soll ich nun vorgehen um auswertbare Daten posten zu können? Kenne das Programm und seine Einstellungen nicht... In der Hoffnung auf Hilfe verbleibe ich mit Dank & Gruß. Edd |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
► Beschreibe genau, welche Versuche du unternommen hast, um das Problem zu lösen (also die schon vorhandenen Ergebnisse auch posten) ► Danach versuche folgendes: Seit wann hast du dieses Problem denn? Wenn du glaubst zu kennen die Zeitpunkt wo dein System noch einwandfrei funktioniert hat, die Systemwiederherstellung ist einen Versuch Wert!: Zitat:
► - auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können? (Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis) ► Da die SWH nur ein Notlösung ist und/oder die Systemwiederherstellung ist nicht durchführbar, arbeite die aufgeführten Schritte bitte vollständig ab: Für Vista und Win7: Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen 1. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! Anleitung:-> GMER - Rootkit Scanner 2. Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org
3. lade Dir HijackThis 2.0.4 von *von hier* herunter HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen" 4. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 5. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 6. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → "Download"→ " Download from FileHippo.com" installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Hallo und erstmal danke für die angebotene Hilfe. :) Zitat:
Zitat:
Code: COMODO Internet Security Premium - Protokollanzeige Einträge Zitat:
Das Programm "Load.exe" hier aus dem Forum (h**p://w*w.trojaner-board.de/89918-load-exe-larusso.html) hab ich installiert, aber noch nicht benutzt wegen der in meinem ersten Posting geschriebenen Gründe (Fehlen der erwarteten Anleitung, die bei Installation hätte erstellt werden müssen). Das war's. Mehr ist noch nicht passiert. Zitat:
Fragen dazu: 1.) Heißt das wenn ich eine System wiederherstellung von dem 23.12. oder davor durchführe verliere ich zwar die Daten zwischen diesem Tag und dem jetzigen Zeitpunkt, brauche aber keinerlei Bereinigung mehr durchführen? 2.) Kann ich Sicherheitskopien meiner bis heute vorhandenen eMail-Korrespondenz erstellen und nach der SWH wiederherstellen? Die Infektion fand im Browser statt (Firefox oder Opera), nicht im eMail-Programm (Ich nutze Thunderbird). Zitat:
Dank & Gruß, Edd |
GMER-Log Zitat:
Ok, Widme mich nun dem nächsten Schritt... Danke für die Hilfe. :) Gruß, Edd |
Zitat:
Code: Malwarebytes' Anti-Malware 1.50.1.1100 Derweil gehe ich weiter in der Liste und führe den nächsten Schritt durch... Danke für die Hilfe. :) Dank & Gruß, Edd |
Zitat:
Hier die Log-Datei vom zweiten Scan: Code: Logfile of Trend Micro HijackThis v2.0.4 Edd |
System-Dateien und -Ordner sichtbar Zitat:
|
HJTscanlist Zitat:
Code: Edd |
Liste installierter Programme Zitat:
Code: 7-Zip 9.20 13.01.2011 Edd |
Liste komplett abgearbeitet. Wie geht's weiter? Ok, die Liste hab ich komplett abgearbeitet. Jetzt hoffe ich mal, ihr könnt mir an Hand der ganzen geposteten Logs und Listen sagen, wie ich nun weiter vorzugehen habe, oder ob jetzt alles in Ordnung ist so weit... :) Vielen Dank schonmal im Voraus! :) Gruß, Edd |
Zitat:
Systemreinigung und Prüfung: 1. Funde aus der Quarantäne von Comodo bitte löschen! 2. Schliesse alle Programme einschliesslich Internet Explorer und fixe mit Hijackthis die Einträge aus der nachfolgenden Codebox (HijackThis starten→ "Do a system scan only"→ Einträge auswählen→ Häckhen setzen→ "Fix checked" klicken→ PC neu aufstarten): HijackThis erstellt ein Backup, Falls bei "Fixen" etwas schief geht, kann man unter "View the list of backups"- die Objekte wiederherstellen Code: O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') Windows und die installierten Programme auf den neuesten Stand zu halten,sind Garanten für eine erhöhte Sicherheit! Java aktualisieren `Start→ Systemsteuereung→ Java→ Aktualisierung...(Update 23 schon fällig!) 4. den Java-Cache leeren - wie unter Punkt 7. u. 8. beschrieben *klick über Systemsteuerung -> Java... 5. Adobe Reader aktualisieren : Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 6. Zitat:
C:\Users\xxxxx\AppData\Local\Temp--> lösche nur den Inhalt der Ordner, nicht die Ordner selbst oder klicke auf Start-> Suche-> %temp% reinschreiben... 7. Öffne CCleaner
8.
9. Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. → Also alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. Außerdem kann man die Autostarteigenschaft auch ausschalten: → Windows-Sicherheit: Datenträger-Autorun deaktivieren- bebilderte Anleitung v.Leonidas/3dcenter.org → Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten/wintotal.de → Diese Silly -Beschreibung stützt die Annahme, dass er über einen USB-Stick kam. Die Ursache ist durch formatieren des Sticks aus der Welt geschafft, Du solltest darauf achten, dass dort keine Datei autorun.inf wieder auftaucht und etwas wählerisch sein, wo Du deinen Stick reinsteckst. Achtung!: >>Du sollst das Programm nicht installieren, sondern dein System nur online scannen<< → Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner/klicke hier → um mit dem Vorgang fortzufahren klicke auf "Accept" → dann wähle "My computer" aus - Es dauert einige Zeit, bis ein Komplett-Scan durch gelaufen ist, also bitte um Geduld! Es kann einige Zeit dauern, bis der Scan abgeschlossen ist - je nach Größe der Festplatte eine oder mehrere Stunden - also Geduld... → Report angezeigt, klicke auf "Save as" - den bitte kopieren und in deinem Thread hier einfügen Vor dem Scan Einstellungen im Internet Explorer: → "Extras→ Internetoptionen→ Sicherheit": → alles auf Standardstufe stellen → Active X erlauben - damit die neue Virendefinitionen installiert werden können 10. poste erneut - nach der vorgenommenen Reinigungsaktion: TrendMicro™ HijackThis™ -Logfile - Keine offenen Fenster, solang bis HijackThis läuft!! ** Wie ist den aktuellen Zustand des Rechners? probleme, Auffälligkeiten, Meldung v. AV-Scanner oder Firewall? |
Comodo Quarantäne in Comodo geleert (Dateien gelöscht) Zitat:
Zitat:
Code: Infizierte Dateien: Werde jetzt die Liste Schritt für Schritt durcharbeiten. Danke für deine Hilfe, Coverflow! :daumenhoc Ich benötige den Rechner am morgigen Dienstagabend ab 17:30 Uhr für einen gewerblichen Termin (bin nebenberuflich Kleinunternehmer) - meinst du bis dahin ist mein Computer wieder voll einsatzfähig? Werde meine Kreditkarte online in Anspruch nehmen müssen morgen Abend. So oder so, ich find's toll, dass du mir so hilfst! :daumenhoc Weiß ich zu schätzen! Danke dir! :daumenhoc Gruß, Edd |
2: Gefixt mit TrendMicro HijackThis Zitat:
Gruß, Edd |
3: Java aktualisiert (bzw. scheinbar dabei neu installiert...?) & 4: Cache gelehrt Zitat:
Eine Frage hätte ich aber: Ich hab dann "Automatisch nach Aktualisierungen suchen" vom Programmstandard 1x pro Monat auf jeden Tag ändern wollen, aber jedes Mal wenn ich in das entsprechende Menü des Java Control Panels gehe zeigt er mir wieder den Programm-Standard 1x pro Monat am Monatszweiten an. Warum kann ich das nicht ändern? Manuell nach Updates suchen vergesse ich zu leicht... Hast du da nen Tipp für mich? Mache ich irgendwas falsch? Zitat:
Wie dem auch sei: Java: Cache gelehrt. Firefox und Internet Explorer: Cache gelehrt. Opera: mache ich nach diesem Posting - nicht vorher, weil mir sonst das Tab geschlossen wird. ;) Andere Browser sind nicht installiert. Gruß, Edd |
5: Adobe Reader aktualisiert & 6: Temp Ordner geleert Zitat:
Zitat:
Bis auf eine Datei, die vom Explorer verwendet wurde (FXSAPIDebugLogFile.txt), sind mit Ausnahme der System-Dateien (desktop.ini und index.dat) in allen Unterordnern des Ordners "Temp" sowie im Ordner "Temp" selbst alle Dateien gelöscht. Die Unterordner in "Temp" hab ich gemäß deiner Anweisung alle bestehen gelassen. Gruß, Edd |
Alle Zeitangaben in WEZ +1. Es ist jetzt 06:58 Uhr. |
Copyright ©2000-2025, Trojaner-Board