|
Log-Analyse und Auswertung: Trojaner-Fund TR/Click.Yabector.262830 durch AviraWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.01.2010, 00:22 | #1 |
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira Hallo liebes Trojanerboard-Team, mein Avira Antivir Programm hat heute ein und den selben Trojaner zwei Mal auf meinem System gefunden: es handelt sich um den Trojaner TR/Click.Yabector.262830. Ich habe beide Trojaner durch Avira unter Quarantäne gestellt, aber noch nicht gelöscht. Danach habe ich Eure Liste abgearbeitet: 1) CCleaner - dabei konnte ich einen Registry-Schlüssel trotz mehrmaliger Versuche nicht löschen: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Die Registry-Fehlerbehebung habe ich wie immer vorher gesichert - ich hoffe, das war kein Fehler?? Danach habe ich mit Malwarebytes' Anti-malware gescannt, der aber nichs mehr gefunden hat (wahrscheinlich, weil die zwei Trojaner in Quarantäne sind, oder?). Hier das logfile: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3610 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 21.01.2010 23:36:07 mbam-log-2010-01-21 (23-36-07).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 182215 Laufzeit: 43 minute(s), 55 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Dann habe ich mir gemäß Eurer Anleitung RSIT heruntergeladen, die beiden log-Dateien habe ich hier hochgeladen: http://w*w.file-upload.net/download-.../info.txt.html und http://w*w.file-upload.net/download-...0/log.txt.html Ich hoffe, ich habe soweit alles richtig gemacht, und wäre Euch furchtbar dankbar, wenn Ihr mir helfen könntet, meine Festplatte wieder ganz sauber zu bekommen, ohne den Computer neu aufsetzen zu müssen. Ach ja, eines noch: ich bin von Haus aus NIE als Administrator angemeldet. Wenn ich also einen Test unbedingt als Admin ausführen soll, gebt mir bitte einen kurzen Hinweis ;-) Die beiden Scans hier habe ich natürlich als Admin ausgeführt. Vielen Dank schon mal!! PS: bin morgen, bzw. heute erst wieder abends da - wenn also dann erst Antwort von mir kommt, ist das kein Desinteresse ;-) Geändert von illu2 (22.01.2010 um 00:54 Uhr) |
22.01.2010, 01:36 | #2 |
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira sorry, der zweite Link muss heißen:
__________________http://w*w.file-upload.net/download-2183703/log2.txt.html (Datei wurde von mir in log2.txt umbenannt, ist aber die log.txt - Datei, nur dieses Mal ohne private Namen ;-) ). |
22.01.2010, 21:38 | #3 |
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira Hi nochmal!
__________________Inzwischen hat mir Avira - entgegen der ersten Auskunft - gemailt, dass es sich um eine "False Positive"-Datei handle, also eine ungefährliche Datei, die zu Unrecht von Avira als gefährlich erkannt würde. Das neue Virenupdate würde dieses "Falscherkennung" beheben. Mittlerweile ist das neue Update da, und eine nochmalige Überprüfung der Datein in Quarantäne hatte als Ergebnis, dass Avira die Dateien zwar nicht mehr als Trojaner (rote Kennzeichnung), wohl aber noch als "Verdächtige Dateien" (gelbe Kennzeichnung) einstuft. Ich kannte bisher nur, dass Fehlalarme nach nochmaliger Überprüfung mit upgedateter Virendefinition als "grün" und damit sauber gekennzeichnet wurden, was ich nach der Email von Avira auch erwartet hätte. Deshalb nun meine Frage: kann ich mich mit "Verdächtige Datei" zufrieden geben und die Dateien wiederherstellen? Es handelt sich um die Datei updater2.exe vom Phonostar-Player. Die zweite Datei in Quarantäne ist lediglich der Fund in der Systemwiederherstellung - diesen Fund zu löschen, wäre für mich kein Problem. Da ich aber den Phonostar-Player doch ab und zu benötige, würde ich die updater2.exe-Datei ungern löschen (außer, jemand kann mir einen gleichwertigen Player benennen, mit dem ich aus dem Internet-Radio aufnehmen kann ). Und wenn ich löschen sollte - muss ich dann noch etwas tun? Ich bin einfach nur am Zweifeln, weil Avira einerseits mailt, die Datei sei "nicht gefährlich", andrerseits aber nach erneuter Überprüfung die Datei immer noch als "verdächtig" eingestuft wird. Wäre Euch für eine Antwort dankbar. |
24.01.2010, 17:09 | #4 |
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira mittlerweile habe ich mit aktualisiertem MB nochmals gescannt, woraufhin wiederum zwei neue infizierte Objekte gefunden wurden. Eines davon war die RSIT.exe-Datei, die ich gemäß Eurer Anleitung heruntergeladen habe. Das kann ich nun überhaupt nicht verstehen... Hier das logfile: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3626 Windows 5.1.2600 Service Pack 2 Internet Explorer 8.0.6001.18702 24.01.2010 16:59:07 mbam-log-2010-01-24 (16-59-07).txt Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|) Durchsuchte Objekte: 178853 Laufzeit: 33 minute(s), 22 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\l+PbWeh_.exe.part (Trojan.AutoIt) -> Quarantined and deleted successfully. D:\Eigene Dateien\RSIT.exe (Trojan.AutoIt) -> Quarantined and deleted successfully. Aktueller Stand ist also: zwei von Avira als "False positives", aber trotzdem nach erneutem Scan als "Verdächtige Datei" eingestufte Dateien in der Avira-Quarantäne (noch nicht gelöscht), und zwei von MB als infiziert erkannte Dateien. Könntet Ihr Euch meines Problems bitte bitte mal annehmen - ich würde, wenn es irgendwie möglich ist, gerne das Neuaufsetzen des Computers umgehen. Vielen Dank! |
26.01.2010, 09:49 | #5 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner-Fund TR/Click.Yabector.262830 durch Avira Hallo, Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
26.01.2010, 11:29 | #6 |
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira Hallo Cosinus, vielen Dank für Deine Antwort. Aber was ist mit den zwei neuen Trojanern, die MB gefunden hat (einer davon die RSIT.exe - Datei)? Die hatten ja mit den False Positives von Avira nichts zu tun. Könntest Du Dir nochmal das letzte MB-Logfile vom 21. Jan. anschauen? Muss ich hier noch was machen? Möchte nichts zurückbehalten auf dem Rechner. Danke im Voraus! Geändert von illu2 (26.01.2010 um 11:37 Uhr) |
26.01.2010, 11:59 | #7 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner-Fund TR/Click.Yabector.262830 durch Avira Das dürften auch Fehlalarme sein.
__________________ Logfiles bitte immer in CODE-Tags posten |
26.01.2010, 12:33 | #8 |
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira Hm, also irgendwie ist das schon ein bisschen komisch: Ihr weist einen hier an allen Ecken und Enden in riesigen farbigen, fettgedruckten Lettern darauf hin, was man ja alles zu beachten hat, bevor man sich überhaupt trauen darf, einen Thread zu eröffnen, und wenn man das dann alles macht und hier postet, bekommt man als Antwort einen Vermutungs-Konjunktiv - beim Thema "Trojaner" natürlich extrem hilfreich Also vielleicht ist's ein Fehlalarm, vielleicht aber auch nicht... Vielen Dank für diese genaue Aussage. Und damit hier keine Missverständnisse entstehen: ich nehme so ein Forum nicht for granted - ich hätte selbstverständlich für aktive Hilfe was an Euch überwiesen! |
26.01.2010, 12:39 | #9 | ||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner-Fund TR/Click.Yabector.262830 durch AviraZitat:
2.) Soll ich zu jeder Zeile im Log ein Kommentar posten oder was hättest Du gern? 3.) Was willst Du noch hören, wenn Dir selbst der Hersteller den Fehlalarm bestätigt? Zitat:
Wenn Du absolute 100%ige Sicherheit, also garantiert ein sauberes System haben willst, führt garnichts an einer Neuinstallation vorbei! BTW: Prüf mal Deine Updates, Paranoia und Schlampigkeit (bzgl. dem Einspielen von Updates) passen irgendwie nicht zusammen. Nur mal so zur Anregung - nur SP2 statt SP3 für WinXP - Adobe Reader 8 statt 9.x
__________________ Logfiles bitte immer in CODE-Tags posten Geändert von cosinus (26.01.2010 um 12:45 Uhr) |
26.01.2010, 13:03 | #10 | |
| Trojaner-Fund TR/Click.Yabector.262830 durch AviraZitat:
ich rede die ganze Zeit von den Trojaner-Meldungen, die MB gefunden hat; die haben nichts mit den False Positives von Avira zu tun!! Ansonsten: ich habe SP3 bewusst nicht installiert - schau mal im Netz, was für Probleme SP3 verursachen kann! Außerdem habe ich ansonsten alle Updates immer gemacht und somit ca 90% von SP3 ohnehin auf dem Rechner. Beim Adobe Reader hast Du Recht - den werde ich jetzt gleich updaten; das hat nichts mit Schlampigkeit zu tun, sondern liegt daran, dass ich (aus Sicherheitsgründen!!!) fast nie als Admin eingeloggt bin und daher auch nicht immer gleich die neusten Updates mitbekomme. Allgemein: es ist einfach etwas nervig, wenn man hier sofort eins auf die Mütze bekommt, weil man sich nicht exaktamang an Eure Anweisungen hält (so gelesen in vielen, vielen Threads), aber im umgekehrten Fall genau merkt, dass Ihr den Thread überhaupt nicht richtig durchlest. Ich sag's gern nochmal - die False Positives sind für mich erledigt. Aber wenn mir MB, das ich auf Eure Anweisung hin runtergeladen habe, 2 Funde meldet, einen davon bei einer exe-Datei, die ich ebenfalls auf Eure Anweisung hin runtergeladen habe, und einen, der mir völlig neu ist und auch nichts sagt, dann finde ich, könnte die Antwort doch etwas länger ausfallen als "dürften auch Fehlalarme sein". Ich bin weder schlampig, noch paranoid, sondern denke mir bei allem, was ich tue, etwas - sei mal ein bisschen vorsichtiger mit Deinen Worten. Ich schreib' ja auch nicht, dass Du schlampig meinen Thread durchgelesen hast (obwohl es schwer danach aussieht ). In diesem Sinne... |
26.01.2010, 13:20 | #11 | |||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner-Fund TR/Click.Yabector.262830 durch AviraZitat:
Die andere Datei stufe ich auch als Fehlalarm ein...und das hab ich auch geschrieben, bezugnehmend auf Malwarebytes! Zitat:
Zitat:
Wenn ich "dicke" Sachen in den Logs finde äußere ich mich schon dazu.
__________________ Logfiles bitte immer in CODE-Tags posten |
26.01.2010, 20:57 | #12 | ||||
| Trojaner-Fund TR/Click.Yabector.262830 durch Avira sende den "" lieber an RSIT und/oder MB - sind schließlich Programme, die IHR empfehlt, nicht ich... Zitat:
Zitat:
Zitat:
Zitat:
Aber is' okay - lassen wir's gut sein. Kümmer' Dich um die anderen, damit wenigstens die was davon haben |
26.01.2010, 21:17 | #13 | ||||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner-Fund TR/Click.Yabector.262830 durch AviraZitat:
Zitat:
Zitat:
Zitat:
Nein, es ist ein nicht zu bestreitender Fakt, dass regelmäßiges Einspielen von Updates zum Fundament des Sicherheitskonzeptes gehören. Es muss nicht jeder Hotfix auf Teufel komm raus sein, sobald dieser erschienen ist (in Unternehmensumgebungen sowieso auf keinen Fall zu empfehlen!!) aber wichtige Updatepakete, wie das mittlerweile fast 2 Jahre alte SP3, einfach wegzulassen, lässt doch schon auf etwas Fahrlässigkeit mutmaßen. Aber nungut, was hilft das SP3 wenn es Lücken stopft, aber andererseits den Rechner unbedinebar macht, das wäre dann wieder eine andere Baustelle. Zitat:
Zitat:
Wie verhält sich der Rechner allgemein, irgendwie ein Unterschied zwischen angeblichem (False-Postive) Befall und jetzt festzustellen? Kamen in der Zwischenzeit weitere Meldungen?
__________________ Logfiles bitte immer in CODE-Tags posten |
28.01.2010, 14:03 | #14 | |||||||
| Trojaner-Fund TR/Click.Yabector.262830 durch AviraZitat:
Zitat:
Zitat:
Zitat:
Zitat:
Gib's also auf, Du wirst mich in diesem (und vermutlich auch im nächsten) Leben nicht mehr zu einem MS-Liebhaber machen. Mir ist dieser ganze Konzern zutiefst zuwider, that's it! Zitat:
Zitat:
Ich kann Logfiles nicht adäquat auswerten, da kenn' ich mich nun wirklich nicht aus, und ich hab' gesehen, was Ihr hier in den meisten Threads für ein Programm auffahren müsst, mit GMER und Combofix und Systemwiederherstellung deaktivieren, usw., um ja alles zu erwischen, deshalb hab' ich mich hier angemeldet. Ich hab' grad nochmal MB scannen lassen, da war alles okay. Wenn Du jetzt also sagst, Du schätzt diese 2. MB-Meldung (also nicht RSIT.exe, sondern die andere, die mir rein gar nichts sagt) als Fehlmeldung ein und brauchst auch kein Hijack This logfile mehr, dann geb' ich mich gern damit zufrieden und lass es damit bewenden. Ansonsten gib bitte Bescheid - dann lade ich den Trojaner (AKA RSIT ) nochmal runter und poste das logfile hier, okay? |
28.01.2010, 18:36 | #15 | ||||||||
/// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner-Fund TR/Click.Yabector.262830 durch AviraZitat:
Zitat:
Zitat:
Zitat:
Zitat:
2. ist die Updateverwaltung unter Linux deutlich komfortabler, eine Software - vorausgesetzt sie wurde ordentlich über die Paketverwaltung installiert - wird auch von der Aktualisierungsverwaltung berücksichtigt. Das ist ein großer Kritikpunkt bei Windows, über die MS-Updateseite bekommt man gerademal Updates für installierte Microsoftprodukte und um jedes andere installierte Programm muss man sich mühsam per Hand kümmern, manuell runterladen und das Setup durchjuckeln 3. hast Du unter Linux auch deswegen so gut wie keine Malwareprobleme, weil es zig verschiedene Distros gibt und diese sich etwa 1-2% der gesamten Desktopinstallationen auch noch teilen. Kaum ein Malwareautor würde sich da wohl die Mühe machen, wenn er Malware entwickeln kann, die auf ca. 90-95% der Desktopinstallationen unter (Win2000-Win7) läuft. Im Serverbereich mag das anders aussehen, da sind mehr unixoide OS zu finden, aber ein Windows zu kompromittieren ist deutlich einfacher. Es reicht schon eine Lücke im IE... Zitat:
Linuxnutzer haben idR deutlich mehr Sicherheitsbewusstsein. Zitat:
Nur stimmt es halt eben nicht, dass man sich mit dem Schädlingsproblem unter Windows zufrieden geben muss, ein vernünftiges Konzept und man hat keine Schädlinge. Dazu bedarf es nichtmal einen Virenscanner oder ne Firewall... Zitat:
__________________ Logfiles bitte immer in CODE-Tags posten |
Themen zu Trojaner-Fund TR/Click.Yabector.262830 durch Avira |
administrator, anleitung, anti-malware, antivir, aufsetzen, avira, avira antivir, ccleaner, computer, dateien, explorer, fehler?, festplatte, gelöscht, hijack, hijack this, logfile, löschen, malwarebytes, malwarebytes' anti-malware, neu, neu aufsetzen, nicht löschen, programm, registrierungsschlüssel, rsit, system, this, unbedingt, zwei trojaner |