TR-Infektion - malwarebytes-log mit > 1000 Posten

#0
14.01.2011, 12:17
...neu hier

Beiträge: 6
#1 Ahnungsloser PC-User.

Habe wegen Trojaner-Meldung von Antivir (TR/Spy.Agent.bnal) meinen Rechner nach Anleitung hier im Forum zunächst mit Malwarebytes gescannt (vollständig, alle Laufwerke).

Das log will ich hier ungern komplett posten, da es endlos lang ist. Da würde ich gerne erst einmal "löschen" bin aber unsicher wegen dieser Warnung:
"* Bei Funden in C:\System Volume Information den Haken entfernen.
Ansonsten wird dieser Systemwiederherstellungspunkt nicht mehr funktionieren.
Er könnte jedoch trotz Malware noch gebraucht werden." (http://board.protecus.de/t40538.htm)

Der größte Teil der infizierten Dateien ("files") beginnt mit:
"C:\WINDOWS\system32\xmldm\ ..."
(es folgen Nummern, wie z.B.
"... 1212_ff_0000001192.key"
oder z.B.:
"... 33_dbg.log"

Dahinter steht jeweils "(Stolen.-Data)"

Zu den infizierten "files" gibt es auch einen "folder":
"c.\WINDOWS\system32\xmldm

Meine erste Frage: Kann ich diese system32-Dateien und den "Folder" löschen, ohne, dass der Rechner hinterher nicht mehr läuft?

Es gibt darüber hinaus 4 infizierte Registrierungsschlüssel un ein Dateiobjekt der Registrierung:

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F22C37FD-2BCB-40B6-A12E-77DDA1FBDD88} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogoff (PUM.Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Zweite Frage: Soll ich diese 5 Posten löschen, oder sind da Dinge dabei, die ich mir gerade zwecks REinigung des Rechners runtergeladen habe (OTL, GMER)?

Ich benutze den betreffenden Rechner solange nicht. Wäre froh um eine baldige Antwort.

Danke im Voraus!!
Seitenanfang Seitenende
14.01.2011, 15:27
Moderator

Beiträge: 7805
#2 Poste bitte den gesamten Report von Mbam, du kannst ihn packen und dann unten via "Datei Anhang" anhaengen
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.01.2011, 15:47
...neu hier

Themenstarter

Beiträge: 6
#3 Okay - habe dann doch auf "Löschen" geklickt, weil mir der ganze Ordner und sein Inhalt suspekt vorkam.
In der Anlage der Report von Mbam und gleich noch der Report von OTL.

Ich werde auch gleich noch GMER laufen lassen. Den betroffenen Rechner habe ich vor OTL erst einmal vom Netz genommen.

Seitenanfang Seitenende
14.01.2011, 15:47
...neu hier

Themenstarter

Beiträge: 6
#4 Hat mit dem einfügen von zwei Anlagen nicht geklappt - hier OTL

Nachtrag: - hmh jetzt wollte ich GMER starten, aber das Programm gilt als nicht vertrauenswürdig. Der Dateiname sieht auch eher ungewöhnlich aus: "3qukh6gu.exe" (GMER-Symbol ist aber dabei). Beim Googlen des Dateinamens kam auch nichts raus. Habe GMER an einem anderen Rechner noch einmal gedownloaded und siehe da: Dort heißt es "gmer:exe".

Sollte es mein befallener Rechner geschafft haben mich auf eine gefakte GMER-Seite zu lenken?
Jedenfalls lösche ich diesen ersten Download.
Nachtrag 2: da war ich wohl übervorsichtig ... es gab bei protecus einen Hinweis, dass die exe einen willkürlichen Programm-Namen hat ... hatte ich überlesen.

Dieser Beitrag wurde am 14.01.2011 um 16:40 Uhr von Anthimos editiert.
Seitenanfang Seitenende
14.01.2011, 18:24
...neu hier

Themenstarter

Beiträge: 6
#5 Hier noch die OTL-extras

Seitenanfang Seitenende
14.01.2011, 18:24
...neu hier

Themenstarter

Beiträge: 6
#6 Und hier GMER

Seitenanfang Seitenende
14.01.2011, 18:26
Moderator

Beiträge: 7805
#7 Fuer diesen Rechner wuerde ich komplett neu aufsetzen und absichern empfehlen, da dich ein Backdoor voll erwischt hat und dir entsprechend viel an Informationen/Passworte/Emails usw geklaut hat und das 'XP auf dem Rechner nicht einmal das SP3 installiert hatte.

Wichtiger ist aber, das du alle Passworte von einem sauberen REchner aus aendern musst. Warte damit nicht so lange!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.01.2011, 18:07
...neu hier

Themenstarter

Beiträge: 6
#8 Mist! Das habe ich mir schon gedacht: Problem ist nur, dass ich die Originalsoftware bisher nicht finde. Sobald ich die habe, setze ich in jedem Fall neu auf.
(Oder gibt es eine Möglichkeit, seine "MS-Berechtigung" auf die Programme irgendwie noch der aktuellen Installation zu "entnehmen"?)

Eine Frage zur Passwortänderung. Da ich mir ungern zu oft neue merke, will ich das gleich richtig machen.
Wenn ich jetzt von einem anderen Rechner aus die Passworte ändere - besteht dann überhaupt eine Chance, dass die neuen Passworte nicht eh gleich wieder durch die derzeit geöffnete Hintertür (backdoor) spazieren gehen?

(das SP3 wird nun gerade installiert ... das habe ich wohl seit Ewigkeiten immer weggedrückt.)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: