myGully.com - Trojaner in Host-Datei

myGully.com (https://mygully.com/index.php)

- Sicherheit & Anonymität (https://mygully.com/forumdisplay.php?f=65)

- - Trojaner in Host-Datei (https://mygully.com/showthread.php?t=2332411)

Trojaner in Host-Datei

Hallo zusammen,

Kaspersky hat mich heute mit der Meldung überrascht, dass ich offenbar einen Trojaner auf dem Rechner habe (genauer in: C:\Windows\System32\drivers\etc\hosts), den er auch gleich gelöscht hat:

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Statt der Host-Datei war im etc-Ordner jetzt: Imhosts.sam
Zumindest glaube ich, dass Imhosts.sam vorher nicht da war.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Ich schätze das Löschen der Host wird auch der Grund sein, wieso mir Adobe Acrobat Pro heute gesagt hat, dass meine Serial ungültig ist.

Desweiteren habe ich heute noch 2 weitere Fehlermeldungen bekommen, wo ich mir aber nicht sicher bin, ob die im Zusammenhang mit dem Trojaner / Löschen der Host stehen.

Ich habe dann einfach eine Host-Datei, die beim Up von Adobe Acrobat Pro dabei war, in den etc-Ordner eingefügt.
Nach einem Neustart musste ich aber feststellen, dass die neue Host offenbar wieder von einem Trojaner befallen war. Zumindest wurde sie wieder von Kaspersky gelöscht.

Könnt ihr mir sagen, ob es sich wirklich um einen Trojaner handelt? Und, wenn ja, wie ich ihn wieder von meinen PC runterbekomme?
Im Voraus schonmal vielen Dank für eure Hilfe :)

Gruß Turkleton

Zunächst mal solltest du die Bilder kleiner machen. *Achte auf die Regeln*

Dann lädt's du dir [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] und machst n scan und postest den Log.

Mfg

Hallo ckjthedogmaster,

Danke für deine Antwort.

Zitat:

Zunächst mal solltest du die Bilder kleiner machen. *Achte auf die Regeln*

Ich werds für die Zukunft beachten. :)

Hier die Daten der Logilfe. Ich packs mal zwecks Übersichtlichkeit in den Spoiler:

Gruß Turkleton

Ok,

Zunächst deaktivierst du über Start Arbeitsplatz Eigenschaften Systemwiederherstellung die Systemwiederherstellung, Danach startest du im abgesicherten Modus.

Gehe auf Start - Ausführen - regedit

und lösche folgende Einträge:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\winup.exe

und folgenden Schlüssel:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{990B770D-62AE-5421-DA6D-16033B76258C}

Danach suchst du nach folgenden Dateien im Windows/System Ordner:

memsys.dll
winup.exe
xtemp1.exe
xtemp2.exe

Diese ebenfalls löschen.

Danach neustarten und ein neuen Scan mit Hijack und [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] machen.

Mfg

Alles klar ich werds gleichmal probieren.

Edit

Folgenden Eintrag konnte ich löschen:

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\winup.exe

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Folgende Einträge/Dateien habe ich nicht gefunden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{990B770D-62AE-5421-DA6D-16033B76258C}
memsys.dll
winup.exe
xtemp1.exe
xtemp2.exe

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Weißt du woran das liegen kann?

Gruß Turkleton

PS

Hier nochmal eine neue Logfile von HiJackThis:

Starte Hijack noch einmal mit: Do a scan only

und markiere folgende Einträge:

O4 - HKCU\..\Run: [runsys32] C:\Users\Prof\AppData\Local\Temp\Winupd .exe
O4 - Startup: Winupd .exe

Danach fixen..

Im ausführen- Fenster folgendes eingeben:

del /f C:\Users\Prof\AppData\Local\Temp\Winupd .exe

Und dann machst du einen scan motz Malwarebytes

Ich konnte den Befehl:

del /f C:\Users\Prof\AppData\Local\Temp\Winupd .exe

nicht ausführen. Da kam immer folgende [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...].

Meine Vorgehensweise:

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Gruß Templeton

Edit

Lass gerade Malwarebeytes durchlaufen. Bis jetzt 4 infizierte Objekte. Manchmal ploppt in der Taskleiste auch [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] auf. avp.exe ist doch Kaspersky, oder? Wieso krieg ich dafür eine Warnung? Hätte ich Kaspersky vor Ausführen von Malwarebyts deaktivieren sollen?

eventuell kam der Fehler weil am Schluß nicht wirklich ein Leerzeichen zwischen "Winupd" + exe ist.

Könntet es aber auch vereinfachen in dem Du

rmdir /s /q %tmp%

eingibst. Löscht zwar das komplette temporäre Verzeichnis. Was ich persönlich aber in Deinem Fall auch nicht schlecht finden würde.

Hier der Logbericht von Malwarebytes:

Sollte ich wirklich alle Funde löschen? Einiges davon sind ja nur Keygens.

Edit

@ pablo.rodriguez

Zitat:

eventuell kam der Fehler weil am Schluß nicht wirklich ein Leerzeichen zwischen "Winupd" + exe ist.

Das Leerzeichen stimmt, wenn du auf den Link "1. Einträge markieren" bei meinen vorherigen Post gehst, siehst du das.

Die Keygens würde ich nicht löschen.

P.S.: Die Host-Datei für Adobe solltest du eingeben, damit der nicht selbständig zur Zentrale funkt.

Zitat:

Zitat von Ghozz (Beitrag 22370572)

P.S.: Die Host-Datei für Adobe solltest du eingeben, damit der nicht selbständig zur Zentrale funkt.

Das hatte ich auch gemacht. Nur wurde die nach einem Neustart wieder gelöscht (siehe 1. Post)

Zitat:

Ich habe dann einfach eine Host-Datei, die beim Up von Adobe Acrobat Pro dabei war, in den etc-Ordner eingefügt.
Nach einem Neustart musste ich aber feststellen, dass die neue Host offenbar wieder von einem Trojaner befallen war. Zumindest wurde sie wieder von Kaspersky gelöscht.

Seitdem habe ich keine neue Host erstellt, weil ich warten wollte, bis der Trojanerbefall weg ist.
Sollte ich einfach nochmal versuchen, eine Host zu erstellen?

hey, sry für die späte Antwort.

Sag mal, wo hast du die Dateien her, die du in diesem

d:\programme\setup-dateien Ordner hast.

Bei der Anzahl an Keygens wundert mich ehrlich gesagt garnichts....

So, der infizierte Prozess ist Teil eines Cracks(Office 2010). Erstmalnichts beunruhigendes...

Ob alle Keygens sauber sind, wage ich jetzt mal zu bezweifeln.

Hast du die Systemwiederherstellung deaktiviert?

Weil die Datei c:\Users\Prof\AppData\Local\Temp\Winupd .exe ist immer noch da?

Deaktiviere die Systemwiederherstellung, starte einmal danach neu und gehe in dieses Verzeichnis. Dafür musst du in den Ordneroptionen die Ansicht auf "versteckte Dateien anzeigen " setzen.
Dann lösche diese Datei manuell.

Starte dann nochmal neu, und schau, ob die Datei sich wieder neu eingeschrieben hat.

Mfg

Zitat:

Zitat von ckjthedogmaster (Beitrag 22371595)

hey, sry für die späte Antwort.

Kein Problem. Ich bin froh, dass du dir überhaupt die Zeit nimmst. :)

Die Systemwiederherstellung hatte ich deaktiviert. Siehe [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Zitat:

Hast du die Systemwiederherstellung deaktiviert?

Weil die Datei c:\Users\Prof\AppData\Local\Temp\Winupd .exe ist immer noch da?

Ich konnte ja folgenden Befehl nicht ausführen: del /f C:\Users\Prof\AppData\Local\Temp\Winupd .exe (siehe Post #7)
Kann das der Grund dafür sein?

Soll ich die infizierten Datein, die mir Malwarebytes anzeigt, jetzt alle löschen?
Ich hab das entsprechende [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] nämlich immer noch auf.

Zitat:

Bei der Anzahl an Keygens wundert mich ehrlich gesagt garnichts....

So, der infizierte Prozess ist Teil eines Cracks(Office 2010). Erstmalnichts beunruhigendes...

Hat sich im Laufe der Zeit angesammelt. Manche sind schon Jahre alt.
Und die Ursache für den Trojanerbefall ist ein Keygen?! Wieso kommt das dann erst jetzt?
Office 2010 z.B. hatte ich mir irgendwann letztes Jahr geladen.

Gruß Turkleton

hmmm,

das kann ich dir nicht sagen. Meine Vermutung, du hast mit irgendeiner Installation kurz vorher die Infektion eingefangen.

Eins kannst du noch machen, schaue bitte unter Ausführen und "msconfig" und Autostart nach auffälligen Dateien.
Die Datei Winupd .exe hast du vorhin zuerst mit Hijack gefixt. Möglich das sie danach nicht mehr da war, jedoch nach nem Neustart erneut auftaucht.
Der Reg. Eintrag ist jetzt z..b auch wieder da. Und das ist immo nicht gut.

Ich hatte dir noch ne PN geschrieben.

Mfg

Ich weiß zwar nicht, ob wir die selbe Definition von "auffällig" haben. Aber meiner Meinung nach scheint im Autostart alles sauber zu sein.

Autostart, etc waren jetzt gut. Mach dann nochmal n Scan und dann sehen wir weiter.

Auf jeden Fall solltest du mal [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] drüber laufen lassen, damit die temporären Dateien mal gelöscht werden.

Mfg

Hab die beiden Dateien entfernt, eine Host, die beim Up von Adobe Acrobat Pro dabei war, in den etc-Ordner kopiert, den PC neugestartet und einen Quick-Scan durchgeführt.
Hier die Log von Malwarebytes:

Und die Log von HiJackThis:

Die Host war nach dem Neustart immer noch im etc-Ordner und es kam auch keine Meldung von Kaspersky.
Weiß nicht ob es wichtig ist, aber nach dem Neustart hat mir Malwarebytes gesagt, dass die Testzeit abgelaufen ist.
Soll ich die Funde von Malwarebytes löschen?

Gruß Turkleton

wie gesagt, dann ruhig mal ccleaner laufen lassen und den Datenmüll entsorgen. Auf jeden Fall die temporären Dateien löschen damit.

Dann erstell eine neue Host Datei. Wenn nochmal Kaspersky anschlägt, dann lösche die Host nicht, damit man sich den Inhalt mal anschauen kann.

kmservice.exe ist wie gesagt ein teil eines Cracks, kann somit unbeachtet bleiben.

aber sonst sieht es ja gut aus.

Mfg

Edit: Und geh oben auf deinen ersten Beitrag und editiere ihn. (Lösche die Bilder) Die sind zu groß. ;)

Ok, dann lass ich CCleaner durchlaufen, die Host-Datei ist ja schon erstellt und die Funde von Malwarebytes muss ich nicht löschen, soweit richtig?

Gruß Turkleton

Zitat:

Edit: Und geh oben auf deinen ersten Beitrag und editiere ihn. (Lösche die Bilder) Die sind zu groß.

Schon erledigt :)

PS:

Kann ich Malwarebytes eigentlich auf meinen PC drauflassen? Oder sollte ich es wegen Kaspersky wieder deinstallieren? (um mögliche Komplikationen zu vermeiden)

Bevor ich noch das Wichtigste vergesse :)

Vielen, vielen Dank für deine Unterstützung ckjthedogmaster!! Du hast mir wirklich sehr geholfen.
Ich finde es immer wieder toll, wenn sich Leute wie du die (nicht unerhebliche) Zeit nehmen, um anderen zu helfen.
Also nochmals vielen Dank.

Dafür nicht, die Temp- dateien löschste mit CCleaner .

Malwarebytes kannste drauflassen, und hin und wieder auch mal n Scan machen.

MFg

Hab da was für dich, was du gebrauchen könntest.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Edit

Der Link scheint nicht mehr aktuell zu sein. Gebe oben rechts (bei Suche) Malwarebytes ein, dann kommt eine große Auswahl, dann suchst du dir die Datei selber Raus.

Hier ein Link für Serials, kannst es auch an der installierten Software auch eingeben.

[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Du kannst wohl Gedanken lesen :D

Genau das hatte ich heute noch vor...

Vielen Dank dafür :)

Gruß Turkleton