Virus/Malware eingefangen

Hallo zusammen

Leider, so vermute ich, habe ich mir einen Virus eingefangen.

So tritt er auf:
Von Zeit zu Zeit (5min) öffnet es mir Websites mit dem IE. Bisher waren die Sites wenigstens nicht allzu anstössig.

Leider kann ich ihn mit dem Antivir nicht finden. Ich denke, es ist kein Virus oder Trojaner, sondern Malware. Bestätigen kann ich das nicht. Nach der Installation entfernte sich die exe-Datei (hmmm.... komisch... )


Dieser Bug tritt auf, seit ich eine unbekannte .exe-Datei ausführte (... ich weiss). 83kB.

Könnte man die .exe-Datei extrahieren und den Speicherort ausfindig machen?


Firewall und Antivir waren auf dem neusten Stand und korrekt ausgeführt. Der Check mit dem Antivir vor dem Ausführen zeigte mir leider keine Meldung an. Auch jetzt mit dem Luke Filewalker nicht.

 

Zuerst solltest du das hier mal machen:

http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html

 

Malware ist der Oberbegriff für Schadprogramm.
Du meinst wohl Adware für Software, die Werbung einblendet.
Wenn man allerdings auf die Angebote eingeht - dazu reicht es meist schon aus, den Link anzuklicken, um auf eine verseuchte Seite zu gelangen oder ein ausführbares Programm runter zu laden - kann dein PC über eine Sicherheitslücke weit mehr verseucht werden.

 

Danke für den Tipp.

Ich selber kann noch nicht so viel anfangen mit dem File...

P.S. der PC wurde vor 2-3 Tagen neu aufgesetzt.

 

Systemwiederherstellung deaktivieren.
PC im abgesicherten Modus starten.
http://hoax-info.tubit.tu-berlin.de/virus/savemode.shtml
Im Taskmanager beenden, falls gestartet:

Code:

C:\WINDOWS\Kgyfib.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Kmd.exe

Temporäre Dateien löschen, mit:
CCleaner (Portable- kein Installer) http://www.wintotal.de/Software/index.php?id=2185
Anleitung:http://virus-protect.org/ccleaner.html
Mit HijackThis fixen:

Code:

O4 - HKCU\..\Run: [YVIBBBHA8C] C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Kmd.exe

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Code:

C:\WINDOWS\Kgyfib.exe und
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Kmd.exe

zur Sicherheit auch mal www.virustotal.com untersuchen lassen

 

Wie hast du das in dieser Zeit herausgefunden?

Wie erkennt man solche Adware anhand des log-files?


Nun muss ich wohl vor Ort gehen und die teamviewer-sitzung beenden .

Danke

 

Ich habe schon so viele Logdateien gesehen, dass ich meist sofort unbekannte Prozesse sehe. Welche, die in einem temporären Ordner laufen sind höchst verdächtig, Malware zu sein.

 

Deo ist selbst ein Virus und erkennt seine Kumpels.....


Nein, das ist bei Deo erfahrungssache. Er hat warscheinlich schon mehr Viren entdeckt als ich Menschen gesehen habe.

 

ich bin mehr als skeptisch, daß hjt das ganze ausmaß des befalls anzeigt und daß es sich um harmlose adware handelt, man vgl. z.b. hier:
http://www.threatexpert.com/report.aspx?md5=94e233edba0c417e770c218db82cc205
http://www.threatexpert.com/report.aspx?md5=6158361d62ced62815336d32dbb68525

die geschichte könnte man näher untersuchen, von interesse wäre diesbezüglich natürlich auch die ursprungsdatei.

oder ganz einfach das imo unvermeidliche angehen:
neumachen und dazulernen.

 

eine andere Add-ware ....

Leider bin ich mir nicht sicher welcher Prozess verantwortlich ist.

DANKE

 

Vor über einem halben Jahr hattest du XP und jetzt Windows 7. Was ist sonst noch anders?

 

Neu: Laptop HP DV7-4065ez und Standort. 12h verschoben.

Wollte dir, Deoroller, PM schicken. Leider konnte ich das .log-file nicht anhängen hihi.


Edit:

Lösche mal folgendes:

O4 - HKCU\..\Run: [HJRUDZ5DT2] C:\Users\eschlAir\AppData\Local\Temp\Mg2.exe

Keine Hnhung was das ist.

Fehlerbeschreibung ist gleich wie schon bisher. Öffnen von Websiten (IE welchen ich nie benutze) nach gewisser Zeit. Inhalt: Werbung verschiender Art (Dating Websites, Money, Travelling etc).

 

Was passiert denn genau? Öffnen sich wieder Seiten im IE selbstständig? Ist das nur bei deinem Internetzugang zu Hause so?

 

Websiten tauchen noch nicht so lange auf.

Nach dem Löschen von folgendem Prozess scheint keine Website mehr daran zu denken, zu erscheinen...

O4 - HKCU\..\Run: [HJRUDZ5DT2] C:\Users\eschlAir\AppData\Local\Temp\Mg2.exe

OK
mal mit CCleaner dahinter.

 

Hast du die Mg2.exe mal bei virustotal untersuchen lassen?
Scanne mal mit Malwarebytes. Das findet bestimmt noch mehr zu [HJRUDZ5DT2]
Möglicherweise installierst du eine "Freeware", die mit mit Malware bestückt ist.

 

Also die originale Datei habe ich logischerweise nicht mehr.

Dennoch war ich überrascht, mit dem Malwarebytes 12 Warnungen vorzufinden...

 

Das kannst du alles beseitigen lassen. Damit das nicht mehr kommt, kannst du mal den IE sicher einstellen oder gleich Firefox benutzen.