|
Plagegeister aller Art und deren Bekämpfung: Eine Art Bundespolizei-Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.04.2012, 21:36 | #31 |
| Eine Art Bundespolizei-Trojaner? Alles klar, hab ich gemacht! |
16.04.2012, 11:24 | #32 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner?Code:
ATTFilter 19:43:43.765 Disk 0 malicious Win32:MBRoot code @ sector 488396248 ! Bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen! Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt: Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können) WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!! Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung: Code:
ATTFilter dd if=/dev/zero of=/dev/sda seek=488396245 bs=512 1234+0 Datensätze ein 1234+0 Datensätze aus Wenn das so rauskaum wurden die letzen Sekoren auf der Festplatte(und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows. Mach dort einen neuen scan mit aswMBR und poste wieder das Log.
__________________ |
16.04.2012, 21:13 | #33 |
| Eine Art Bundespolizei-Trojaner? Hallo,
__________________die Daten sicher ich momentan- aber es gibt neuen Anlass zur Sorge, den ich euch nicht vorenthalten möchte : 1. habe ich eben festgestellt, dass sich mein Antivirenprogramm (AVIRA) trotz gegenteiliger Konfiguration seit mehreren Wochen (: seit kurz nach dem Virenbefall) nicht mehr automatisch upgedatet hat, hab's dann gerade 'per Befehl' upgedatet. 2. (-klingt albern, ist aber so-) druckt mein Drucker keine schwarze Tinte mehr. Könnte natürlich normalerweise 1001 andere Ursachen haben, aber einer der von mir in Beitrag #19 erwähnten Kunden schilderte exakt das gleiche Symptom, und außerdem ging's dem Drucker bis vor kurzem noch super- habe ich mir da womöglich über diese Kundenseite sofort den nächsten Mist ins Haus geholt, da mein Rechner schon angeschlagen war? (Avira meldete am 8.4. einen Fund: 'JS/iFrame.S.2'). Öha- ich mach's nicht absichtlich kompliziert; aber ich denke mir, dass ihr solche Infos braucht, wenn's klappen soll. Wenn du nach den neuen Infos für 'plattmachen' plädieren würdest, würd's mich nicht überraschen: Scheint ja vl. jetzt doch eine schwierigere Sache zu sein?! Tschuldigung!! Gruß, sandero |
17.04.2012, 11:30 | #34 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Das sind jetzt erstmal "andere" Probleme, sehen wir nachher nochmal. Hast du die Daten nun gesichert?
__________________ Logfiles bitte immer in CODE-Tags posten |
18.04.2012, 18:46 | #35 |
| Eine Art Bundespolizei-Trojaner? So, hatte mir erstmal ein neues Speichermedium gekauft. Die Reparatur- Aktion mit PartedMagic ist gutgegangen , aswMBR wirft jetzt dies hier aus: Code:
ATTFilter aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software Run date: 2012-04-18 19:09:14 ----------------------------- 19:09:14.125 OS Version: Windows 5.1.2600 Service Pack 3 19:09:14.125 Number of processors: 2 586 0x4B02 19:09:14.125 ComputerName: *** UserName: 19:09:14.437 Initialize success 19:20:34.437 AVAST engine defs: 12041801 19:28:45.328 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0 19:28:45.328 Disk 0 Vendor: Hitachi_ GM2O Size: 238475MB BusType: 1 19:28:45.343 Disk 0 MBR read successfully 19:28:45.343 Disk 0 MBR scan 19:28:45.406 Disk 0 Windows XP default MBR code 19:28:45.406 Disk 0 Partition 1 00 07 HPFS/NTFS NTFS 89996 MB offset 63 19:28:45.437 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 148477 MB offset 184313856 19:28:45.437 Disk 0 scanning sectors +488396245 19:28:45.500 Disk 0 scanning C:\WINDOWS\system32\drivers 19:28:57.156 Service scanning 19:29:11.250 Modules scanning 19:29:15.578 Disk 0 trace - called modules: 19:29:15.593 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll SCSIPORT.SYS nvgts.sys 19:29:15.593 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b74ab8] 19:29:15.593 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000005f[0x89bff880] 19:29:15.593 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port2Path0Target0Lun0[0x89bfea38] 19:29:15.968 AVAST engine scan C:\WINDOWS 19:29:38.953 AVAST engine scan C:\WINDOWS\system32 19:32:41.625 AVAST engine scan C:\WINDOWS\system32\drivers 19:32:56.343 AVAST engine scan C:\Dokumente und Einstellungen\*** 19:38:34.015 AVAST engine scan C:\Dokumente und Einstellungen\All Users 19:40:47.671 Scan finished successfully 19:41:03.953 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat" 19:41:03.953 The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt" sandero |
18.04.2012, 21:14 | #36 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!!
__________________ --> Eine Art Bundespolizei-Trojaner? |
19.04.2012, 16:15 | #37 |
| Eine Art Bundespolizei-Trojaner? Hallo, Malwarebytes hat nichts gefunden. SASW- Log folgt Code:
ATTFilter SUPERAntiSpyware Scan Log hxxp://www.superantispyware.com Generated 04/19/2012 at 05:00 PM Application Version : 5.0.1146 Core Rules Database Version : 8479 Trace Rules Database Version: 6291 Scan type : Complete Scan Total Scan Time : 01:07:36 Operating System Information Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600) Administrator Memory items scanned : 565 Memory threats detected : 0 Registry items scanned : 33844 Registry threats detected : 0 File items scanned : 175582 File threats detected : 9 Adware.Tracking Cookie C:\Dokumente und Einstellungen\***\Cookies\8302ZRB0.txt [ /adtech.de ] C:\Dokumente und Einstellungen\***\Cookies\XH68D0VW.txt [ /mediaplex.com ] C:\Dokumente und Einstellungen\***\Cookies\NLZRCJPQ.txt [ /smartadserver.com ] C:\Dokumente und Einstellungen\***\Cookies\0MN1WJPG.txt [ /apmebf.com ] C:\Dokumente und Einstellungen\***\Cookies\PMXXE2OQ.txt [ /adfarm1.adition.com ] C:\Dokumente und Einstellungen\***\Cookies\Q94AH9YG.txt [ /fastclick.net ] C:\Dokumente und Einstellungen\***\Cookies\O6MPP9Z3.txt [ /ad2.adfarm1.adition.com ] C:\Dokumente und Einstellungen\***\Cookies\F185WY3Y.txt [ /ad.yieldmanager.com ] C:\Dokumente und Einstellungen\***\Cookies\9ED7V5HF.txt [ /ads.ventivmedia.com ] a) D:\System Volume Information\_restore{948B4474-1004-4138-8F3F-1AA1E2621247}\RP68\A0011488.exe Fund:TR/Small.18944.E b)C:\System Volume Information\_restore{948B4474-1004-4138-8F3F-1AA1E2621247}\RP43\A0005722.exe Fund:TR/Ransom.EB.50) Gruß, sandero |
19.04.2012, 18:41 | #38 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert. Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________ Logfiles bitte immer in CODE-Tags posten |
19.04.2012, 21:57 | #39 |
| Eine Art Bundespolizei-Trojaner? Hallo, Systemwiederherstellung ist deaktiviert. Soll ich jetzt als nächstes die Funde mit SUPERAntiSpyware entfernen lassen? Gruß, sandero |
20.04.2012, 11:26 | #40 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Sieht ok aus, da wurden nur Cookies gefunden. Kannst du mit SUPERAntiSpyware löschen. Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/ Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________ Logfiles bitte immer in CODE-Tags posten |
20.04.2012, 15:52 | #41 |
| Eine Art Bundespolizei-Trojaner? Hm- naja, das etwas bizarre Druckerproblem besteht noch. Wie gesagt: Der Drucker druckte ('von heute auf morgen') seit ca. dem 9.4. keine schwarze Tinte mehr aus, auch auf dem Testausdruck erscheint keinerlei schwarze Tinte. Die schwarze Patrone ist eine neue Original-Epson-Patrone. Schrägerweise schilderte mir jemand anders (der, ebenfalls, kurz zuvor eine Virenattacke hatte) das gleiche bzw. ein sehr ähnliches Problem. Denkbar ist vermutlich Einiges, vielleicht ist das Gerät ja doch kaputt, aber das wäre zumindest noch ein schräger Zufall. Gibt's hierzu womöglich von euch noch einen Ratschlag bzw. ein Hilfe-Tool? Gruß, sandero |
20.04.2012, 19:18 | #42 |
/// Winkelfunktion /// TB-Süch-Tiger™ | Eine Art Bundespolizei-Trojaner? Hör mir auf mit Tintendruckern, ich kauf so einen Schrott nicht mehr Drucker sind eine eigene Welt für sich Ich als absoluter Wenigdrucker druck meine 2 Seiten im Jahr bei mir im Büro aus und wenn ich das Büro nicht hätte würde ich wohl in einen Copy-Shop fahren, ... Ok, das hilft dir so nicht weiter, ich dneke das ist ein Problem am Drucker selbst. Du könntest den vllt mal an einem anderen Rechner anschließen oder wenn du diese Möglichkeit nicht hast: ein Ubuntu besorgen, Ausprobiermodus starten und testweise was unter Ubuntu drucken. Der Drucker richtet sich unter Ubuntu (Linux) fast von selbst ein...
__________________ Logfiles bitte immer in CODE-Tags posten |
06.07.2012, 09:15 | #43 |
| Eine Art Bundespolizei-Trojaner? Hallihallo, ich hab' diesmal nie so etwas geschrieben wie 'Vielen Dank für eure Mühe & Ich überweis' euch was'. (Das lag zumindest teilweise daran, dass ich mich 'damals' in den Urlaub verabschiedet hatte.) Tschuldigung- besser spät als nie: 'Vielen Dank für eure Mühe & Ich überweis' euch was'. Die angesprochenen, mutmaßlich geknackten FTP- Accounts (-war's womöglich in Wirklichkeit 'ne PHP- Sicherheitslücke?-) mach ich dann vielleicht gleich mal im Diskussionsforum zum Thema. Gruß, sandero |
Themen zu Eine Art Bundespolizei-Trojaner? |
bundespolizei trojaner, bundespolizei-trojaner, datei, durchlauf, funde, gemeldet, minute, minuten, neustart, sporadisch, update, verlangt |