Forum
Tipps
News
Menu-Icon

Win32.autorun.tmp

Hallo, ich habe seit kurzem gemerkt dass mein Laptop etwas mehr RAM verbraucht hat. Deswegen habe ich einen Spyboot scan im abgesicherten Modus gemacht und als Ergebnis kam, der Trojaner: Win32.autorun.tmp welchen ich direkt gefixt habe. Meine Frage ist, wie ich nun herausfinden kann, ob dieser Schädling noch da ist.

Bitte um Hilfe



Antworten zu Win32.autorun.tmp:

Ich würde jetzt noch einen Vollscan mit Malwarebytes (chip.de) machen und Ergebnis dann hier posten.
Achtung: Unbedingt Vollscan (dauert ca. 1 Stunde) und immer neu aktualisieren - s.Bild.

Gruß
Bosco
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

muss der malwarebytes scan auch im abgesicherten modus durchgeführt werden oder reicht im normalen betrieb?


Danke schon mal 

Wenn nichts weiter angegeben sollten die Scans immer im normalen Modus ausgeführt werden.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Alles klar, hab ich auch gemacht, der Schädling scheint weg zu sein. Der RAM-Verbrauch ist auch optimal (wie früher halt)

Danke sehr :) 

Und warum postest du das Log nicht?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Welchen etwa von Malwarebyte´s oder HiJackThis ?

Am besten beide.

Gruß
Bosco 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:24:56, on 21.07.2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Clipdiary\ClipDiary.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\Users\Paul\Portable Software\Foxit Reader\Foxit Reader\Foxit Reader.exe
C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Paul\Portable Software\HijackThis Portable\HijackThis Portable.exe
C:\Users\Paul\Portable Software\HijackThis Portable\net-und-web_App\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&m=easynote_tm86&r=27360810d525l04c4z105f45i2a333
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.packardbell.com/rdr.aspx?b=ACPW&l=0407&m=easynote_tm86&r=27360810d525l04c4z105f45i2a333
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [clipdiary] C:\Program Files (x86)\Clipdiary\clipdiary.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: AutorunsDisabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre6\bin\ssv.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7E1B29E-3A20-4946-B607-EABB2A6C6BB0}: NameServer = 213.191.74.19 62.109.123.197
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: Geschützter Speicher (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Druckwarteschlange (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: Volumeschattenkopie (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

--
End of file - 4157 bytes

und der von Malwarebyte´s:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Datenbank Version: 7213

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

20.07.2011 21:36:37
mbam-log-2011-07-21 (21-36-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 284210
Laufzeit: 28 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
 

Witzig! Jetzt postest du ein Log von Malwarebytes ohne Funde, das macht richtig Sinn!  ;D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hmm wenn du genau liest, wurde der [url=http://www.computerhilfen.de/fachbegriffe-t-Trojaner.html]Trojaner[/url] durch Spyboot entdeckt, dann anschließend entfernt, daraufhin hab ich malwarebytes nach der anweisung (siehe oben) angewendet, dieser hat jedoch nichts mehr entdeckt (da wahrscheinlich spyboot im abges. modus alles erledigt hat). Macht das jetzt Sinn ?

Dein POsting nach der Anleitung von Malwarebytes kann man aber auch so verstehen, dass es was gefunden hat und "nun der Schädling weg sei!"

Naja, ob es wirklich was gefunden hat wirst nur du wissen.  ::) 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hier der Bericht von Spyboot:


--- Report generated: 2011-07-20 18:01 ---

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Settings (Registry change, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Settings (Registry change, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Win32.AutoRun.tmp: [SBI $751B1850] Settings (Registry value, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman


--- Spybot - Search & Destroy version: 1.6.2  (build: 20090126) ---

2009-01-27 blindman.exe (1.0.0.8)
2009-01-27 SDFiles.exe (1.6.1.7)
2009-01-27 SDMain.exe (1.0.0.6)
2009-01-27 SDUpdate.exe (1.6.0.12)
2009-01-27 SpybotSD.exe (1.6.2.46)
2009-01-27 TeaTimer.exe (1.6.4.26)
2009-01-27 Update.exe (1.6.0.7)
2009-01-27 advcheck.dll (1.6.2.15)
2007-04-03 aports.dll (2.1.0.0)
2008-06-14 DelZip179.dll (1.79.11.1)
2009-01-27 SDHelper.dll (1.6.2.14)
2008-06-20 sqlite3.dll
2009-01-27 Tools.dll (2.1.6.10)
2010-06-29 Includes\Adware.sbi (*)
2010-10-12 Includes\AdwareC.sbi (*)
2010-08-13 Includes\Cookies.sbi (*)
2010-09-22 Includes\Dialer.sbi (*)
2010-10-12 Includes\DialerC.sbi (*)
2010-01-26 Includes\HeavyDuty.sbi (*)
2009-05-27 Includes\Hijackers.sbi (*)
2010-10-12 Includes\HijackersC.sbi (*)
2010-09-16 Includes\iPhone.sbi (*)
2010-08-03 Includes\Keyloggers.sbi (*)
2010-10-12 Includes\KeyloggersC.sbi (*)
2010-09-14 Includes\Malware.sbi (*)
2010-10-19 Includes\MalwareC.sbi (*)
2010-05-18 Includes\PUPS.sbi (*)
2010-10-12 Includes\PUPSC.sbi (*)
2010-01-26 Includes\Revision.sbi (*)
2009-01-14 Includes\Security.sbi (*)
2010-10-12 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2010-06-29 Includes\Spyware.sbi (*)
2010-10-12 Includes\SpywareC.sbi (*)
2010-03-08 Includes\Tracks.uti
2010-08-04 Includes\Trojans.sbi (*)
2010-10-12 Includes\TrojansC-02.sbi (*)
2010-10-12 Includes\TrojansC-03.sbi (*)
2010-10-12 Includes\TrojansC-04.sbi (*)
2010-10-20 Includes\TrojansC-05.sbi (*)
2010-10-12 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

 

Spybot und Hijackthis kannst du so runterkloppen, die Tools bringen rein garnichts.

Führe erstmal ESET aus, danach sehen wir weiter.

ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

    Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.[/COLOR]
    • Dein Anti-Virus-Programm während des Scans deaktivieren.


    Button (<< klick) drücken.
    • Firefox-User:
      Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
    • IE-User:
      müssen das Installieren eines ActiveX Elements erlauben.
    • Setze den einen Hacken bei Yes, i accept the Terms of Use.
    • Drücke den Button.
    • Warte bis die Komponenten herunter geladen wurden.
    • Setze einen Haken bei "Scan archives".
    • Gehe sicher das bei Remove Found Threats kein Hacken gesetzt ist.
    • drücken.
    • Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.
    Wenn der Scan beendet wurde
    • Klicke Finish.
    • Browser schließen.
    Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
    "%PROGRAMFILES%\Eset\Eset Online Scanner\log.txt"
    Hinweis: Falls du ein 64-Bit-Windows einsetzt, lautet der Pfad so:

    "%PROGRAMFILES(X86)%\Eset\Eset Online Scanner\log.txt"
    Poste nun den Inhalt der log.txt.n.

    « relevantknowledge habe mir von denen einen virus eingefangenAntiVir: Viren löschen! »
     

    Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

    Fremdwörter? Erklärungen im Lexikon!
    Laptop
    Älterer Begriff für einen mobilen Computer – siehe auch Notebook. Der Begriff Laptop kommt, als Alternative zum Desktop-PC daher, dass er oft nicht auf de...

    D-RAM
    D-RAM steht für "Dynamic Random Access Memory". Es handelt sich dabei um einen Typ von Arbeitsspeicher, der in den meisten Computern und vielen anderen elektronische...

    DVD RAM
    DVD-RAM ist eine der drei wiederbeschreibbaren DVD-Formate, deren Daten sich wieder löschen und neu beschreiben lassen können. Das RAM steht für random-acc...