|
Plagegeister aller Art und deren Bekämpfung: Bundespolizei TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.12.2011, 14:45 | #16 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
__________________ Logfiles bitte immer in CODE-Tags posten |
02.12.2011, 15:32 | #17 |
| Bundespolizei Trojaner aswMBR.txt
__________________Code:
ATTFilter aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software Run date: 2011-12-02 15:25:08 ----------------------------- 15:25:08.856 OS Version: Windows x64 6.1.7601 Service Pack 1 15:25:08.856 Number of processors: 4 586 0x403 15:25:08.856 ComputerName: USER-PC UserName: User 15:25:10.467 Initialize success 15:26:28.142 AVAST engine defs: 11120200 15:26:42.223 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3 15:26:42.223 Disk 0 Vendor: WDC_WD5000AAKS-00UU3A0 01.03B01 Size: 476940MB BusType: 3 15:26:42.239 Disk 0 MBR read successfully 15:26:42.239 Disk 0 MBR scan 15:26:42.254 Disk 0 Windows 7 default MBR code 15:26:42.254 Service scanning 15:26:42.692 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32 15:26:43.271 Modules scanning 15:26:43.271 Disk 0 trace - called modules: 15:26:43.287 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys ataport.SYS pciide.sys PCIIDEX.SYS hal.dll atapi.sys 15:26:43.287 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8004a4f060] 15:26:43.287 3 CLASSPNP.SYS[fffff8800160143f] -> nt!IofCallDriver -> [0xfffffa8003ae5580] 15:26:43.287 5 ACPI.sys[fffff88000eef7a1] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0xfffffa8003ae9060] 15:26:44.678 AVAST engine scan C:\Windows 15:26:46.758 AVAST engine scan C:\Windows\system32 15:27:49.867 AVAST engine scan C:\Windows\system32\drivers 15:27:57.336 AVAST engine scan C:\Users\User 15:29:17.793 AVAST engine scan C:\ProgramData 15:30:03.489 Scan finished successfully 15:31:18.782 Disk 0 MBR has been saved successfully to "D:\Eigene Dateien\Desktop\MBR.dat" 15:31:18.797 The log file has been saved successfully to "D:\Eigene Dateien\Desktop\aswMBR.txt" |
02.12.2011, 19:42 | #18 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
__________________Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
__________________ |
02.12.2011, 22:09 | #19 |
| Bundespolizei Trojaner ESET wurde leider erneut fündig. mbam-log-2011-12-02 (20-21-45).txt Code:
ATTFilter Malwarebytes' Anti-Malware 1.51.2.1300 www.malwarebytes.org Datenbank Version: 8292 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 02.12.2011 20:21:45 mbam-log-2011-12-02 (20-21-45).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|G:\|) Durchsuchte Objekte: 330579 Laufzeit: 25 Minute(n), 44 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Code:
ATTFilter SUPERAntiSpyware Scann-Protokoll hxxp://www.superantispyware.com Generiert 12/02/2011 bei 09:26 PM Version der Applikation : 5.0.1136 Version der Kern-Datenbank : 8010 Version der Spur-Datenbank : 5822 Scan Art : kompletter Scann Totale Scann-Zeit : 00:59:01 Operating System Information Windows 7 Professional 64-bit, Service Pack 1 (Build 6.01.7601) UAC Off - Administrator Gescannte Speicherelemente : 553 Erfasste Speicher-Bedrohungen : 0 Gescannte Register-Elemente : 74734 Erfasste Register-Bedrohungen : 0 Gescannte Datei-Elemente : 152464 Erfasste Datei-Elemente : 0 Code:
ATTFilter ESETSmartInstaller@High as CAB hook log: OnlineScanner64.ocx - registred OK OnlineScanner.ocx - registred OK # version=7 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=0261070d7f1a1f448ebe118e4630c8ff # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-12-01 11:15:12 # local_time=2011-12-01 12:15:12 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=5893 16776574 100 94 6229206 74364802 0 0 # compatibility_mode=8192 67108863 100 0 3726 3726 0 0 # scanned=141888 # found=2 # cleaned=0 # scan_time=3160 C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\2bbf930a-66d164fe a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I C:\Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\287bfa07-5fcae78d a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I # version=7 # iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330) # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=0261070d7f1a1f448ebe118e4630c8ff # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2011-12-02 09:06:47 # local_time=2011-12-02 10:06:47 (+0100, Mitteleuropäische Zeit) # country="Germany" # lang=1033 # osver=6.1.7601 NT Service Pack 1 # compatibility_mode=5893 16776574 100 94 6351934 74487530 0 0 # compatibility_mode=8192 67108863 100 0 126454 126454 0 0 # scanned=141238 # found=2 # cleaned=0 # scan_time=2327 D:\_OTL\MovedFiles\12022011_113002\C_Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\2bbf930a-66d164fe a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I D:\_OTL\MovedFiles\12022011_113002\C_Users\User\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7\287bfa07-5fcae78d a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I |
02.12.2011, 22:22 | #20 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner Nur Überreste! Rechner wieder im Lot?
__________________ Logfiles bitte immer in CODE-Tags posten |
02.12.2011, 22:54 | #21 |
| Bundespolizei Trojaner Hatte trotz der Trojaner keinerlei Beschwerden abgesehen vom Hack auf einem meiner Accounts, kann dir daher leider keinen Status melden. Hoffe sehr das alles im Lot ist und ich demnächst wieder getrost Passwörter eingeben kann. |
02.12.2011, 23:02 | #22 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner Dann wären wir durch! Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________ Logfiles bitte immer in CODE-Tags posten |
02.12.2011, 23:17 | #23 |
| Bundespolizei Trojaner Habe alle Punkte abgearbeitet, Passwörter wurden bereits vorher alle über einen sicheren Computer geändert. Allerdings stimmen die direkten Downloadlinks nicht mehr. Danke für deine schnelle und kompetente Hilfe. |
02.12.2011, 23:19 | #24 | |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei TrojanerZitat:
Edit, achso, die vom Flashplayer oder meinst du noch andere?
__________________ Logfiles bitte immer in CODE-Tags posten |
02.12.2011, 23:25 | #25 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Bundespolizei Trojaner So, ich glaube die Direktlinks werden auch nicht mehr benötigt. Damals hat Adobe diesen Flashplayer mit anderen Müll noch gebundelt den keiner brauchte bzw man fragte sich was das soll warum man da irgendwas untergeschoben bekommt wenn man nur den Flashplayer will Adobe - Andere Version des Adobe Flash Player installieren Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player
__________________ Logfiles bitte immer in CODE-Tags posten |
02.12.2011, 23:31 | #26 |
| Bundespolizei Trojaner Danke schön, genau die meinte ich. |
Themen zu Bundespolizei Trojaner |
adobe, alternate, autorun, bho, bonjour, browser, c:\windows\system32\rundll32.exe, converter, download, error, explorer, firefox, format, helper, langs, logfile, microsoft security, mp3, nvidia, plug-in, programme, registry, required, rundll, scan, security, software, starten, studio, trojane, trojaner, trojaner eingefangen, vdeck.exe, version=1.0, webcheck, windows, winlogon.exe |