Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Eine Art Bundespolizei-Trojaner?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 15.04.2012, 21:36   #31
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Alles klar, hab ich gemacht!
Angehängte Grafiken
Dateityp: jpg Screenshot2.jpg (91,8 KB, 175x aufgerufen)

Alt 16.04.2012, 11:24   #32
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Eine Art Bundespolizei-Trojaner? - Ausrufezeichen

Eine Art Bundespolizei-Trojaner?



Code:
ATTFilter
19:43:43.765 Disk 0 malicious Win32:MBRoot code @ sector 488396248 ! 
         

Bitte jetzt sorgfältig lesen und zuerst eine Sicherung aller Daten machen! Wenn die Sicherung erfolgte alle Sicherungsmedien vom Computer physikalisch trennen!

Wie gesagt was jetzt folgt und du hast Datenverluste seist du jetzt nochmal ausdrücklich gewarnt, alles richtig umzusetzen und vorher alles wichtige auf externe Platten zu sichern. Wenn du sicher bist, dass alle wichtige Daten in Sicherheit sind und die externen Datenträger auch nicht mehr am Rechner angeschlossen sind, dann fahre fort wir folgt:

Öffne das Terminal in PartedMagic. Ist unten in der Quicklaunch der schwarze Monitor. Eine schwarze Konsole öffnet sich. Tipp dort ein (du solltest root@partedmagic in der Zeile lesen können)

WARNUNG: Folgender Befehl auf eigene Gefahr! Für Datenverluste nicht rumheulen und wer das mitliest soll den Befehl ebenfalls nicht so ausführen!!

Bitte lieber eher 3x als 2x prüfen ob du alles so richtig eingetippt hast NACH der Datensicherung:


Code:
ATTFilter
dd if=/dev/zero of=/dev/sda seek=488396245 bs=512
         
Wenn du dir sicher bist das genau so eingetippt zu haben wie es da bei mir steht, dann drücke die Eingabetaste. Es dauert nicht lange, dann hast du wieder die Zeile und sinngemäß so etwas wie

1234+0 Datensätze ein
1234+0 Datensätze aus


Wenn das so rauskaum wurden die letzen Sekoren auf der Festplatte(und damit auch der bösartige Code in diesem unzugeordneten Bereich) auf der Platte mit Nullen überschrieben; starte den Rechner neu und boote Windows.
Mach dort einen neuen scan mit aswMBR und poste wieder das Log.
__________________

__________________

Alt 16.04.2012, 21:13   #33
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Hallo,
die Daten sicher ich momentan- aber es gibt neuen Anlass zur Sorge, den ich euch nicht vorenthalten möchte :

1. habe ich eben festgestellt, dass sich mein Antivirenprogramm (AVIRA) trotz gegenteiliger Konfiguration seit mehreren Wochen (: seit kurz nach dem Virenbefall) nicht mehr automatisch upgedatet hat, hab's dann gerade 'per Befehl' upgedatet.
2. (-klingt albern, ist aber so-) druckt mein Drucker keine schwarze Tinte mehr. Könnte natürlich normalerweise 1001 andere Ursachen haben, aber einer der von mir in Beitrag #19 erwähnten Kunden schilderte exakt das gleiche Symptom, und außerdem ging's dem Drucker bis vor kurzem noch super- habe ich mir da womöglich über diese Kundenseite sofort den nächsten Mist ins Haus geholt, da mein Rechner schon angeschlagen war? (Avira meldete am 8.4. einen Fund: 'JS/iFrame.S.2').

Öha- ich mach's nicht absichtlich kompliziert; aber ich denke mir, dass ihr solche Infos braucht, wenn's klappen soll. Wenn du nach den neuen Infos für 'plattmachen' plädieren würdest, würd's mich nicht überraschen: Scheint ja vl. jetzt doch eine schwierigere Sache zu sein?! Tschuldigung!!

Gruß,
sandero
__________________

Alt 17.04.2012, 11:30   #34
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Das sind jetzt erstmal "andere" Probleme, sehen wir nachher nochmal.
Hast du die Daten nun gesichert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 18.04.2012, 18:46   #35
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



So, hatte mir erstmal ein neues Speichermedium gekauft. Die Reparatur- Aktion mit PartedMagic ist gutgegangen , aswMBR wirft jetzt dies hier aus:
Code:
ATTFilter
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-04-18 19:09:14
-----------------------------
19:09:14.125    OS Version: Windows 5.1.2600 Service Pack 3
19:09:14.125    Number of processors: 2 586 0x4B02
19:09:14.125    ComputerName: ***  UserName: 
19:09:14.437    Initialize success
19:20:34.437    AVAST engine defs: 12041801
19:28:45.328    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Scsi\nvgts1Port2Path0Target0Lun0
19:28:45.328    Disk 0 Vendor: Hitachi_ GM2O Size: 238475MB BusType: 1
19:28:45.343    Disk 0 MBR read successfully
19:28:45.343    Disk 0 MBR scan
19:28:45.406    Disk 0 Windows XP default MBR code
19:28:45.406    Disk 0 Partition 1 00     07    HPFS/NTFS NTFS        89996 MB offset 63
19:28:45.437    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       148477 MB offset 184313856
19:28:45.437    Disk 0 scanning sectors +488396245
19:28:45.500    Disk 0 scanning C:\WINDOWS\system32\drivers
19:28:57.156    Service scanning
19:29:11.250    Modules scanning
19:29:15.578    Disk 0 trace - called modules:
19:29:15.593    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll SCSIPORT.SYS nvgts.sys 
19:29:15.593    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89b74ab8]
19:29:15.593    3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> \Device\0000005f[0x89bff880]
19:29:15.593    5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Scsi\nvgts1Port2Path0Target0Lun0[0x89bfea38]
19:29:15.968    AVAST engine scan C:\WINDOWS
19:29:38.953    AVAST engine scan C:\WINDOWS\system32
19:32:41.625    AVAST engine scan C:\WINDOWS\system32\drivers
19:32:56.343    AVAST engine scan C:\Dokumente und Einstellungen\***
19:38:34.015    AVAST engine scan C:\Dokumente und Einstellungen\All Users
19:40:47.671    Scan finished successfully
19:41:03.953    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\MBR.dat"
19:41:03.953    The log file has been saved successfully to "C:\Dokumente und Einstellungen\***\Desktop\aswMBR.txt"
         
Gruß,
sandero


Alt 18.04.2012, 21:14   #36
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!
__________________
--> Eine Art Bundespolizei-Trojaner?

Alt 19.04.2012, 16:15   #37
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Hallo,
Malwarebytes hat nichts gefunden. SASW- Log folgt
Code:
ATTFilter
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 04/19/2012 at 05:00 PM

Application Version : 5.0.1146

Core Rules Database Version : 8479
Trace Rules Database Version: 6291

Scan type       : Complete Scan
Total Scan Time : 01:07:36

Operating System Information
Windows XP Home Edition 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 565
Memory threats detected   : 0
Registry items scanned    : 33844
Registry threats detected : 0
File items scanned        : 175582
File threats detected     : 9

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\8302ZRB0.txt [ /adtech.de ]
	C:\Dokumente und Einstellungen\***\Cookies\XH68D0VW.txt [ /mediaplex.com ]
	C:\Dokumente und Einstellungen\***\Cookies\NLZRCJPQ.txt [ /smartadserver.com ]
	C:\Dokumente und Einstellungen\***\Cookies\0MN1WJPG.txt [ /apmebf.com ]
	C:\Dokumente und Einstellungen\***\Cookies\PMXXE2OQ.txt [ /adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\***\Cookies\Q94AH9YG.txt [ /fastclick.net ]
	C:\Dokumente und Einstellungen\***\Cookies\O6MPP9Z3.txt [ /ad2.adfarm1.adition.com ]
	C:\Dokumente und Einstellungen\***\Cookies\F185WY3Y.txt [ /ad.yieldmanager.com ]
	C:\Dokumente und Einstellungen\***\Cookies\9ED7V5HF.txt [ /ads.ventivmedia.com ]
         
(Während des SASW- Durchlaufs meldete sich Antivir zweimal
a) D:\System Volume Information\_restore{948B4474-1004-4138-8F3F-1AA1E2621247}\RP68\A0011488.exe
Fund:TR/Small.18944.E
b)C:\System Volume Information\_restore{948B4474-1004-4138-8F3F-1AA1E2621247}\RP43\A0005722.exe
Fund:TR/Ransom.EB.50)

Gruß,
sandero

Alt 19.04.2012, 18:41   #38
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 19.04.2012, 21:57   #39
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Hallo, Systemwiederherstellung ist deaktiviert. Soll ich jetzt als nächstes die Funde mit SUPERAntiSpyware entfernen lassen?
Gruß,
sandero

Alt 20.04.2012, 11:26   #40
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Sieht ok aus, da wurden nur Cookies gefunden. Kannst du mit SUPERAntiSpyware löschen.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )


Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller http://filepony.de/download-cookie_culler/
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ich halte es so, dass ich zum "wilden Surfen" den Opera-Browser oder Chromium unter meinem Linux verwende. Mein Hauptbrowser (Firefox) speichert nur die Cookies von den Sites die ich auch will, alles andere lehne ich manuell ab (der FF fragt mich immer) - die anderen Browser nehmen alles an Cookies zwar an, aber spätestens beim nächsten Start von Opera oder Chromium sind keine Cookies mehr da.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 20.04.2012, 15:52   #41
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Hm- naja, das etwas bizarre Druckerproblem besteht noch. Wie gesagt:
Der Drucker druckte ('von heute auf morgen') seit ca. dem 9.4. keine schwarze Tinte mehr aus, auch auf dem Testausdruck erscheint keinerlei schwarze Tinte. Die schwarze Patrone ist eine neue Original-Epson-Patrone. Schrägerweise schilderte mir jemand anders (der, ebenfalls, kurz zuvor eine Virenattacke hatte) das gleiche bzw. ein sehr ähnliches Problem. Denkbar ist vermutlich Einiges, vielleicht ist das Gerät ja doch kaputt, aber das wäre zumindest noch ein schräger Zufall.
Gibt's hierzu womöglich von euch noch einen Ratschlag bzw. ein Hilfe-Tool?
Gruß,
sandero

Alt 20.04.2012, 19:18   #42
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Hör mir auf mit Tintendruckern, ich kauf so einen Schrott nicht mehr
Drucker sind eine eigene Welt für sich
Ich als absoluter Wenigdrucker druck meine 2 Seiten im Jahr bei mir im Büro aus und wenn ich das Büro nicht hätte würde ich wohl in einen Copy-Shop fahren, ...

Ok, das hilft dir so nicht weiter, ich dneke das ist ein Problem am Drucker selbst. Du könntest den vllt mal an einem anderen Rechner anschließen oder wenn du diese Möglichkeit nicht hast: ein Ubuntu besorgen, Ausprobiermodus starten und testweise was unter Ubuntu drucken. Der Drucker richtet sich unter Ubuntu (Linux) fast von selbst ein...
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 06.07.2012, 09:15   #43
sandero
 
Eine Art Bundespolizei-Trojaner? - Standard

Eine Art Bundespolizei-Trojaner?



Hallihallo,
ich hab' diesmal nie so etwas geschrieben wie 'Vielen Dank für eure Mühe & Ich überweis' euch was'. (Das lag zumindest teilweise daran, dass ich mich 'damals' in den Urlaub verabschiedet hatte.)
Tschuldigung- besser spät als nie: 'Vielen Dank für eure Mühe & Ich überweis' euch was'.
Die angesprochenen, mutmaßlich geknackten FTP- Accounts (-war's womöglich in Wirklichkeit 'ne PHP- Sicherheitslücke?-) mach ich dann vielleicht gleich mal im Diskussionsforum zum Thema.
Gruß,
sandero

Antwort

Themen zu Eine Art Bundespolizei-Trojaner?
bundespolizei trojaner, bundespolizei-trojaner, datei, durchlauf, funde, gemeldet, minute, minuten, neustart, sporadisch, update, verlangt




Ähnliche Themen: Eine Art Bundespolizei-Trojaner?


  1. Bundespolizei Virus - Ist Formatierung eine sichere Lösung?
    Plagegeister aller Art und deren Bekämpfung - 28.01.2013 (5)
  2. BundesPolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (13)
  3. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.08.2012 (13)
  4. BundesPolizei Trojaner auf dem PC
    Log-Analyse und Auswertung - 21.08.2012 (2)
  5. Bundespolizei-Trojaner
    Log-Analyse und Auswertung - 02.08.2012 (14)
  6. Bundespolizei Virus eine neue Art? Wie bekomme ich ihn platt gemacht ?
    Plagegeister aller Art und deren Bekämpfung - 13.06.2012 (1)
  7. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 23.04.2012 (14)
  8. Bundespolizei Trojaner 1.09
    Plagegeister aller Art und deren Bekämpfung - 20.04.2012 (17)
  9. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (37)
  10. Bundespolizei-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 12.03.2012 (25)
  11. Bundespolizei Trojaner
    Plagegeister aller Art und deren Bekämpfung - 31.01.2012 (13)
  12. Bundespolizei Trojaner XP
    Plagegeister aller Art und deren Bekämpfung - 10.08.2011 (3)
  13. Bundespolizei 100 EUR Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (5)
  14. Bundespolizei Trojaner
    Log-Analyse und Auswertung - 09.08.2011 (24)
  15. Bundespolizei-Trojaner
    Log-Analyse und Auswertung - 08.08.2011 (1)
  16. Bundespolizei-Trojaner
    Log-Analyse und Auswertung - 07.08.2011 (1)
  17. Trojaner in .exe-Dateien eine Gefahr für den Mac oder eine Ubuntu Live CD?
    Mülltonne - 03.04.2011 (1)

Zum Thema Eine Art Bundespolizei-Trojaner? - Alles klar, hab ich gemacht! - Eine Art Bundespolizei-Trojaner?...
Archiv
Du betrachtest: Eine Art Bundespolizei-Trojaner? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.