Meldung vom Netzwerkschutz

Hallo,

bekomme mehrmals während einer Session folgenden Hinweis:

Infektionsdetails:
URL: hxxp://lucams.net/net/?1250618034
Prozess: C:\Program Files (x86)\Windows NT\monelo…
Infektion: URL:Mal

Hat jemand eine Idee, wie ich das Problem loswerden kann?
Gruß
elisenjens

Hallo und Willkommen im Forum! :slight_smile:

Als erstes, editiere bitte den Link in deinem Post, z. B. hxxp… anstatt http…
Kannst du bitte den Namen des Prozesses ungekürzt posten?

DJBone

Hallo,

danke für die schnelle Antwort; was ich gespostet habe, ist ein Hardcopy aus dem Protokoll von avast.

Gruß
elisenjens

Wann tritt die Meldung auf: Beim normalen Browsen? Beim Öffnen eines Programmes? Oder “von selbst”?
Bitte editiere auch noch deinen Link!

DJBone

Sorry; jetzt hab ich das mit dem Link erst verstanden…DONE

Die Meldung kommt sporadisch ohne für mich erkennbares System…

  1. Kein Problem.
  2. Dann sollten wir eine mögliche Malware-Infektion in Betracht ziehen. Bitte folge der Anleitung in diesem Link und poste die Logs mit deiner nächsten Antwort: http://forum.avast.com/index.php?topic=102616.0

DJBone

  1. ADWCleaner

    AdwCleaner v2.306 - Datei am 09/08/2013 um 11:42:42 erstellt

    Aktualisiert am 19/07/2013 von Xplode

    Betriebssystem : Windows 7 Ultimate Service Pack 1 (64 bits)

    Benutzer : Jens - JENS-PC

    Bootmodus : Normal

    Ausgeführt unter : D:\Temp\adwcleaner.exe

    Option [Suche]

    **** [Dienste] ****
    ***** [Dateien / Ordner] *****
    ***** [Registrierungsdatenbank] *****
    ***** [Internet Browser] *****
    -\ Internet Explorer v10.0.9200.16635
    [OK] Die Registrierungsdatenbank ist sauber.
    -\ Google Chrome v28.0.1500.95
    Datei : C:\Users\Jens\AppData\Local\Google\Chrome\User Data\Default\Preferences
    Gefunden [l.2140] : homepage = “hxxp://websearch.searchboxes.info/?pid=924&r=2013/07/24&hid=489405290&lg=EN&cc=DE&unqvl=28”,


    AdwCleaner[R1].txt - [790 octets] - [09/08/2013 11:42:42]
    ########## EOF - C:\AdwCleaner[R1].txt - [849 octets] ##########

  2. MBAM: 1 Anlage

  3. OTL: 2 Anlagen (ANSI?)

  4. ASWMBR: bricht nach ca. 1 Minute ab / hat aber schon beim Start eine Fehler beim “Initialize” (Anlage)

Übrigens: die Meldung kommt ca. alle 1-2 Minuten/Frequenz scheint davon abhängig zu sein, wie aktiv ich im Internet bin:

Infektionsdetails
URL: hxxp://lucams.net/net/?-2955713825
Prozess: C:\Program Files (x86)\Windows NT\monelogon.exe (Programmname von mir ergänzt)
Infektion: URL:Mal

Dabei wechselt die Adresse (2955713825) und auch manchmal das Programm (monelogon.exe)

Ergänzung: beim 5 . Versuch ist ASWMBR durchgelaufen:

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-08-09 12:44:35

12:44:35.038 OS Version: Windows x64 6.1.7601 Service Pack 1
12:44:35.038 Number of processors: 4 586 0x100
12:44:35.039 ComputerName: JENS-PC UserName: Jens
12:44:35.348 Initialze error C000003A - driver not loaded
12:44:35.413 AVAST engine defs: 13080900
12:44:36.200 Service scanning
12:44:40.328 Modules scanning
12:44:40.331 Disk 0 trace - called modules:
12:44:40.332
12:44:40.642 AVAST engine scan C:\Windows
12:44:41.106 AVAST engine scan C:\Windows\system32
12:45:12.209 AVAST engine scan C:\Windows\system32\drivers
12:45:15.076 AVAST engine scan C:\Users\Jens
12:45:48.363 AVAST engine scan C:\ProgramData
12:46:09.125 Scan finished successfully
12:47:20.295 The log file has been saved successfully to “D:\Jens\Desktop\aswMBR 2.txt”

warum sind die Anlagen denn 0 Bytes?

hier nochmal…

War vielleicht ein Übertragungsfehler?
essexboy (Malware Spezialist) wurde von mir informiert. Es kann allerdings auch ein paar Stunden dauern bis er sich meldet. Bitte etwas Geduld!

DJBone

Sie könnten diese für mich Plase run Scan muss ich sehen, was sonst in diesem Ordner ist

[*]Double click on the icon to run it. Make sure all other windows are closed and to let it run uninterrupted.

https://dl.dropbox.com/u/73555776/OTL_Main_Tutorial.gif

[*]Select All Users
[*]Under the Custom Scan box paste this in

C:\Program files (x 86) \Windows NT*.* /s

[*]Click the Run Scan button. Do not change any settings unless otherwise told to do so. The scan wont take long.
[]When the scan completes, it will open one notepad window.
[
]Attach this log

I don’t mind switching the conversion to English if it’s more convenient for you.

As my German is rudimentary at best yes please. On completion of this can you let me know how the computer is behaving

Warning This fix is only relevant for this system and no other, using on another computer may cause problems

Be advised that when the fix commences it will shut down all running processes and you may lose the desktop and icons, they will return on reboot

Run OTL

[*]Under the Custom Scans/Fixes box at the bottom, paste in the following

https://dl.dropbox.com/u/73555776/OTL_Fix.GIF


:Commands
[CREATERESTOREPOINT]

:Files
C:\Program Files (x86)\Windows NT\monelogon.exe 

:Commands
[resethosts]
[emptytemp]
[Reboot]

[*]Then click the Run Fix button at the top
[*]Let the program run unhindered, reboot the PC when it is done
[*]Open OTL again and click the Quick Scan button. Post the log it produces in your next reply.

Uhps; strange enough; got a BSOD when started the OTL with the code the first time;
tried a second time and got errors but too fast to register.

Then the System rebooted.

Log enclosed (ANSI coded).


Interesting: no network warning up to now (15 minutes already)… …is the issue fixed???


now 30 min clean…

It may be, I have never come across that particular file before

The BSOD was the infection fighting back, could you zip the following folder C:_OTL and put it on a file sharing site like mediafire for me to collect please

I would like to leave it untill tomorrow before I tidy up to ensure that it really has gone

Hi essexboy,

First of all: THANK YOU for your support!

Unfortunately I was under the impression, that you was no longer interested in the issue after my feedback; that’s why I cleansed all tools and directories.
Is there anything I can do to recover the directory?

Sorry for being so quick.

Kind regards
elisenjens

Not a problem I would have liked a copy of the file to give to Avast as they do not detect the file, just the actions … Still as long as you are happy :slight_smile:

Actually: I’m HAPPY!

Thx again and will let you know, if the prob returns (with the option of logging the file).

Cheers
elisenjens