Trojaner eingefangen

  • Huhu,
    hatte heute einen Trojaner auf meinem Rechner nachdem er sich immer aufgehängt hat und das Desktop deaktiviert war, hab ich mal den Antivir durchlaufen lassen und somit war alles klar.
    Nachdem ich zum 3x einen neuen Durchlauf startete und der Trojaner sich nicht löschen ließ, is er jetzt nach einem Neustart offensichtlich weg.
    Beim Report sind mir 2 Dateien aufgefallen die nicht geöffnet werden konnten.
    Auf C: pagefile.sys
    hiberfil.sys
    Kann ich die löschen , falls ich sie finde oder wie soll ich vorgehn.


    Lieber Gruß Angelika

    Liebe Grüße Angelika :top:

  • Mach bitte folgendes zur Bereinigung wenn was in der pagfile.sys gefunden wurde:


    Die pagfile.sys ist die Auslagerungsdatei von Windows. Schalte diese so ab:


    Systemeigenschaften - Erweitert - Systemleistung - Einstellungen -
    Erweitert - Virtueller Arbeitsspeicher - Ändern.


    Dort: Keine Auslagerungsdatei - Festlegen - OK


    Dann wieder die pagfile.sys aktivieren, wie oben nun aber
    einstellen: "Größe wird vom System
    verwaltet" - Neustart.



    Dann bitte auch mal die bereits genannte Anleitung durchführen.

    Viele Grüße
    WhiteKnight

  • Huhu,
    hab jetzt alles durchgearbeitet und versuche es jetzt hier einzustellen.
    alwarebytes' Anti-Malware 1.30
    Datenbank Version: 1306
    Windows 5.1.2600 Service Pack 2


    23.10.2008 09:58:21
    mbam-log-2008-10-23 (09-58-17).txt


    Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
    Durchsuchte Objekte: 212714
    Laufzeit: 2 hour(s), 3 minute(s), 15 second(s)


    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 1
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0






    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 10:10:37, on 23.10.2008

    Liebe Grüße Angelika :top:

    Einmal editiert, zuletzt von Volkmar ()

  • Hallo


    Dieses


    C:\Programme\Oyla.de - Login\Oyla.exe

    hier abkopieren
    und bei
    VirusTotal - Kostenloser online Viren- und Malwarescanner
    einkopieren (STRG V), evtl. wähle neu analysieren, abwarten, Ergebnis kopieren und hier im Thread vollständig posten.


    öffne nun das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen setzen -- Button "Fix checked" anklicken – PC nun neustarten


    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - The Requested Web Page is Not Available (file missing)
    O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - The Requested Web Page is Not Available (file missing)
    O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll


    Zitat

    No action taken.


    Bei Malwarebytes auch alles Löschen lassen, so gehts:
    Anleitung: Malwarebytes Anti-Malware



    neuen HijackThis log posten.


    Die fehlenden Updates werden wir später nachinstallieren!

    Viele Grüße
    WhiteKnight

  • Will mich in die Auswertung ja nicht einmischen, aber eine Sache stößt etwas Sauer auf...

    Zitat von Taddybär;640383

    Danke werd ich Morgen früh im Büro gleich machen. Hoffe er motzt nicht wieder und es funktioniert alles.



    Auf Firmenrechnern haben nur Admin was zu machen, vor allem fragt man sich wie ein Trojaner auf einen Firmen PC kommt... nicht selten sind da sensible Daten drauf!

    Also wenn es einen Admin gibt... sollte der eingeschaltet werden!

  • Mach Dir keinen Kopf das ist mein Büro und mein eigener Rechner, allso kann mir niemand was sagen, mein Männe ist mein Chef. Außerdem sind auf den Rechner keine Firmendaten drauf.
    Aber haste gut kompiniert und aufgepasst, an sich hast Du natürlich recht.

    Liebe Grüße Angelika :top:

  • Und los gehts



    ntivirus Version letzte aktualisierung Ergebnis
    AhnLab-V3 2008.10.22.0 2008.10.23 -
    AntiVir 7.9.0.5 2008.10.23 -
    Authentium 5.1.0.4 2008.10.23 -
    Avast 4.8.1248.0 2008.10.22 -
    AVG 8.0.0.161 2008.10.23 -
    BitDefender 7.2 2008.10.23 -
    CAT-QuickHeal 9.50 2008.10.23 -
    ClamAV 0.93.1 2008.10.23 -
    DrWeb 4.44.0.09170 2008.10.23 -
    eSafe 7.0.17.0 2008.10.22 -
    eTrust-Vet 31.6.6164 2008.10.22 -
    Ewido 4.0 2008.10.22 -
    F-Prot 4.4.4.56 2008.10.22 -
    F-Secure 8.0.14332.0 2008.10.23 -
    Fortinet 3.113.0.0 2008.10.22 -
    GData 19 2008.10.23 -
    Ikarus T3.1.1.44.0 2008.10.23 -
    K7AntiVirus 7.10.503 2008.10.22 -
    Kaspersky 7.0.0.125 2008.10.23 -
    McAfee 5412 2008.10.23 -
    Microsoft 1.4005 2008.10.23 -
    NOD32 3548 2008.10.23 -
    Norman 5.80.02 2008.10.22 -
    Panda 9.0.0.4 2008.10.23 -
    PCTools 4.4.2.0 2008.10.22 -
    Prevx1 V2 2008.10.23 -
    Rising 21.00.32.00 2008.10.23 -
    SecureWeb-Gateway 6.7.6 2008.10.23 -
    Sophos 4.34.0 2008.10.23 -
    Sunbelt 3.1.1747.1 2008.10.23 -
    Symantec 10 2008.10.23 -
    TheHacker 6.3.1.0.124 2008.10.23 -
    TrendMicro 8.700.0.1004 2008.10.23 -
    VBA32 3.12.8.8 2008.10.22 -
    ViRobot 2008.10.23.1434 2008.10.23 -
    VirusBuster 4.5.11.0 2008.10.22 -
    weitere Informationen
    File size: 1969810 bytes
    MD5...: 1713f5121ece4e9536d994a2cd044d12
    SHA1..: 1269708f76163aa27c0757d77898969afb4192b6
    SHA256: 754172731ee4305b8b5a30fbe3b1abafd45c56eec6a5e2daddb1159b88fda821
    SHA512: 0ede6c180f1bf8256908d223f0cad04d65681dbeb5121fd5816e443468b1579b
    a6c7b4ebd6edacbde9dd8bf8c10ac0e2cd4554df8368eaf775d33f2c2006f858
    PEiD..: -
    TrID..: File type identification
    Inno Setup installer (96.7%)
    Generic Win/DOS Executable (1.6%)
    DOS Executable Generic (1.6%)
    Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information


    ( base data )
    entrypointaddress.: 0x409264
    timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
    machinetype.......: 0x14c (I386)


    ( 8 sections )
    name viradd virsiz rawdsiz ntrpy md5
    CODE 0x1000 0x899c 0x8a00 6.58 115b61e1c5465331d9474f97dba7cecc
    DATA 0xa000 0x248 0x400 2.73 bdcce76ec0f282cbbb668e7d373997fd
    BSS 0xb000 0xe50 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0xc000 0x8c2 0xa00 4.24 1620d6ec7f3163d926b520226c9399bd
    .tls 0xd000 0x8 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rdata 0xe000 0x18 0x200 0.20 d293bf8d4ebe9826d58e1d27c25fe4b6
    .reloc 0xf000 0x844 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .rsrc 0x10000 0x2800 0x2800 4.28 af0234c290b0df2650bdf0f430353b9d


    ( 8 imports )
    > kernel32.dll: DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, WideCharToMultiByte, TlsSetValue, TlsGetValue, MultiByteToWideChar, GetModuleHandleA, GetLastError, GetCommandLineA, WriteFile, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetSystemTime, GetFileType, ExitProcess, CreateFileA, CloseHandle
    > user32.dll: MessageBoxA
    > oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysAllocStringLen
    > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey, OpenProcessToken, LookupPrivilegeValueA
    > kernel32.dll: WriteFile, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, Sleep, SetLastError, SetFilePointer, SetErrorMode, RemoveDirectoryA, ReadFile, GetWindowsDirectoryA, GetVersionExA, GetUserDefaultLangID, GetSystemInfo, GetSystemDefaultLCID, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetFullPathNameA, GetFileSize, GetFileAttributesA, GetExitCodeProcess, GetEnvironmentVariableA, GetCurrentProcess, GetCommandLineA, InterlockedExchange, FormatMessageA, DeleteFileA, CreateProcessA, CreateFileA, CreateDirectoryA, CloseHandle
    > user32.dll: TranslateMessage, SetWindowLongA, PeekMessageA, MsgWaitForMultipleObjects, MessageBoxA, LoadStringA, ExitWindowsEx, DispatchMessageA, DestroyWindow, CreateWindowExA, CallWindowProcA, CharPrevA, CharNextA
    > comctl32.dll: InitCommonControls
    > advapi32.dll: AdjustTokenPrivileges


    ( 0 exports )




    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 12:47:46, on 23.10.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)

    Liebe Grüße Angelika :top:

    Einmal editiert, zuletzt von Volkmar ()

  • Logfile of Trend Micro HijackThis v2.0.0 (BETA)
    Scan saved at 12:43:06, on 23.10.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)


    So jetzt hab ich alles durchgemacht, hoffe es ist ok so.
    Bin dann erst Morgen früh wieder hier, kann aber zuhause nachschauen obs passt.


    Lieben Dank für Eure Hilfe und Gedult Angelika

    Liebe Grüße Angelika :top:

    Einmal editiert, zuletzt von Volkmar ()

  • Aus einem früheren Thread war mir klar das es das eigene Büro ist. :)



    C:\Programme\Oyla.de - Login\Oyla.exe


    ist dir bekannt wofür das ist?


    Ansonsten bei uns hochladen (siehe Malware Upload) als Zip Datei
    http://www.paules-pc-forum.de/…ren-thread-erstellen.html
    oder schicke es per Mail an:
    MalwareTEAM@t-online.de


    Wende an:
    Trusted Zonfix
    Paules-PC-Infothek - Thema anzeigen - Trusted_Zonefix




    CCleaner
    erneut ausführen


    Lade dir nun bitte Combofix
    Combofix
    ComboFix.exe Version /auf dem >>Desktop<< speichern und ausführen (vor dem Ausführen aber unbedingt dein Antivirenprogramm ANTIVIR beenden!) , klicke die Warnmeldung 0/100 weg (keine Angst das Prog. ist sicher trotz der Meldung)
    nichts machen, keine Mausbewegung, abwarten und das Log dann posten.

    Viele Grüße
    WhiteKnight

  • Ne im mment läuft mein Rechner wie immer, bin aber jetzt zuhause u. kann erst Morgen wieder ran.
    Hatte ich wohl was vergessen???
    Lieber Gruß Angelika

    Liebe Grüße Angelika :top:

  • Guten Morgen ,
    habe vor einer dreiviertel Stunde Combofix angewendet, es tut sich gar nichts am Rechner. Hab auch falls es nicht geht die anderen Schritte alle durchgeführt mit fixPolicies.exe, es geht trotzdem nicht.
    Kann auch nicht stundenlang den Rechner blockieren, da ich jetzt was arbeiten muß.
    Was kann ich tun?

    Liebe Grüße Angelika :top:

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!