BassDrive

Hallo

heute bekam ich so ne Fake Kreditkarten-Mail
hab keinen Link darin angeklickt und hab Outlook dann wieder beendet...
war danach hier im Forum und hab Musik gehört, nach ner Stunde ging ich dann wieder in den Dienst...
als ich jetzt nachause kam, sah ich so ne *** Fakeversion von Windows-update am PC, die meinte ich soll was installieren
ohne die Oberfläche vom den Zeugs angeklickt zu haben, hab ichs per TM beendet
wenn ich nun diese Datei Suche (irgendwas mit cafbine oder so) findet der PC nix. Auch im TM ist nichts
und meine Frage ist nun, wäre der Virus aktiv und i.welches Zeugs von mir stehlen/laden/verändern/lahmlegen etc würde der dann im TM aufscheinen? oder sind nur wirklich aktive Programme da drinn, denn solang der Schrott nichts macht stören mich die paar KBs auch nicht, die der am PC verschwendet
vl liegts auch am Bittorrent im Hintergrund, hatte aber nochnie Probs damit, aber seit kurzem verwende ich avast! und nicht mehr AVG (aber vl sollte ich ja doch wieder wechseln...)

LG

Leonixx

Das ist ein kleines Programm, dass dir Schädlinge nachlädt.

Malwarebytes runterladen, installieren, manuell updaten, Logfile posten.

BassDrive

ok, mache ich sofort (wird aber dauern, ich mache gleich nen vollständigen Scan)
Avast hat - genau wie du gesagt hast - Malware gefunden

edit:
malwarebytes hat nach 20 sek auch schon 3 Dateien gefunden, habe aber gerade welche mit avast gelöscht?! sind das 3 andere oder hätte ich den PC neustarten müssen? (avast schrieb beim löschen "aktion erfolgreich")
edit:
ich bin ein depp :P
habe das avast "empfehle-neustart-fenster" übersehen
hab also Malwareb. abgebrochen, die 3 Datein gelöscht (darunter auch 2x "cafbine") und lasse es jetzt nochmal testen




leider hab ich die Logdatei vom 1. Lauf nicht mehr (musste ja neustarten)
dafür aber den 2.:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5742

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11.02.2011 20:55:49
mbam-log-2011-02-11 (20-55-49).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 485791
Laufzeit: 55 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\JCFSE7V7Z1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SMH2B46TDP (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\Ljariseci (Trojan.Agent.U) -> Value: Ljariseci -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Patrick\AppData\Local\microsoft\Windows\t emporary internet files\Content.IE5\2K8N9GAL\svvmidlev700[1].exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{35dc3473-a719-4d14-b7c1-fd326ca84a0c}.job (Trojan.Downloader) -> Quarantined and deleted successfully.


Danke für deine Hilfe
LG

Angehängte Grafiken

v.jpg (62,1 KB, 5x aufgerufen)

DerMichi

so was wie ein backdoor?
Sry leo bin in der Lehrnfase

xandros

Backdoor ist eine Hintertuer, die in das System eingebaut wird, um von aussen Zugang zu erhalten.
Das ist eher ein Trojaner, der etwas vorgibt und etwas anderes tut.

Leonixx

RSIT anwenden wie im Link in meiner Sig. Poste die Logfiles wie beschrieben.

Sigi

@BassDrive
Für die Zukunft:
Unbedingt das sogenannte Vorschaufenster in Outlook (oder Outlook Express) abstellen. Ist das Aktiv, ist es so als wenn Du einen Doppelklick auf die E-Mail machst, um sie dann zu lesen.
Wenn das Vorschaufenster (so praktisch es auch sein mag) nicht aktiv ist, ist man gezwungen den Doppelklick auf eine neu eigegangene E-Mail zu machen. Und das ist immer die Entscheidung des Benutzers und die von Microsoft.
Wenn Du nicht weißt, wie man das Vorschaufenster abstellt, sag Bescheid. Vor allem on es Outlook ist oder OE!

BassDrive

geht klar, Logfiles sind up

kann man das Vorschaufenster auch nur im Junk-Email-Ordner deaktivieren?
hab zwar gerade gesucht, aber diese Option nicht gefunden :S
ich verwende outlook express
LG

Angehängte Dateien

	info.txt (27,6 KB, 3x aufgerufen)
	log.txt (29,7 KB, 2x aufgerufen)

Leonixx

System ist noch lange nicht sauber.

O23 - Service: Memory checker (MemChecker) - Unknown owner - C:\Windows\mc

O4 - HKLM\..\RunOnce: [AvgUninstallURL] cmd.exe /c start AVG - Uninstallation survey AtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAt AFgANgBEAEYAOAAtAEwANgBQAEEATg A"&"inst=NwA3AC0ANAAzADQAOAA5ADIANAAwADQALQBGAEwAK wA5AC0AWABPADMANgArADEA"&"prod =90"&"ver=9.0.872

C:\Windows\DD1865F0AD7340FBB23E1822E02396FF.TMP

Zunächst Online Scan mit Eset durchlaufen lassen. Poste Logfile.

Kostenlose Online Scanner

BassDrive

bitteschön:
(darf ich die gefunden Daten löschen?)

Angehängte Dateien

1.txt (1,7 KB, 3x aufgerufen)