Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfiles nach Personal Pro Shield Beseitigung (https://www.trojaner-board.de/103016-logfiles-personal-pro-shield-beseitigung.html)

greg79 30.08.2011 22:31
Logfiles nach Personal Pro Shield Beseitigung
 
Da ich hauptsächlich mit OSX beschäftigt bin, bereitet mir die Beseitigung von Personal Pro Shield auf einem XP System doch mehr Probleme als gedacht.
Wie üblich habe ich Rkill drüberlaufen lassen, die Registry bereinigt, alle relevanten Logs erstellt und Combofix drüberlaufen lassen (auch dazu im Anhang die logfile). Nach eingehender Suche kann ich keine relevanten Malware-Prozesse mehr finden, allerdings lässt sich auf dem betroffenen PC nun auch keine Netzwerkverbindung mehr herstellen, da keine IP mehr bezogen wird.

Vielen Dank im Voraus für die Hilfe

Gregor

cosinus 01.09.2011 16:26
Zitat:
erstellt und Combofix drüberlaufen lassen (auch dazu im Anhang die logfile)
http://www.trojaner-board.de/images/icons/icon4.gif Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html http://www.trojaner-board.de/images/icons/icon4.gif
Zitat:

Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.


Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

greg79 01.09.2011 20:50
Erstmal danke für die Antwort, dabei stellt sich jedoch schon ein Problem, Malwarebytes kann ich nicht updaten, da mit dem betroffenen PC seit dem Befall durch Proshield keine I-net-verbindung mehr möglich ist/war. Derzeit kann keine Ip-adresse bezogen werden. Es ist auch keine Einwahl durch einen Proxyserver eingestellt. Insofern eine Frage, kann ich die Aktualisierung von Malwarebytes auch manuell auf den Mac laden und dann auf dem PC installieren oder soll ich die nicht geupdatete Version drüberlaufen lassen?

cosinus 01.09.2011 20:57
Zitat:
Derzeit kann keine Ip-adresse bezogen werden.
DHCP-Clientdienst hinüber? Wie es ist mit manueller Adressvergabe?

greg79 01.09.2011 21:07
Hier beginnt dann wohl der Vorführeffekt, IP adresse hat er nun bezogen, nach dem 10ten Versuch, :headbang: Werd dir das Malwarebytes log posten sobald es bereit ist. Danke nochmal

Gregor

cosinus 01.09.2011 21:29
Zitat:
Hier beginnt dann wohl der Vorführeffekt
Kenn ich :D manchmal ist es einfach so


Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


greg79 03.09.2011 13:42
Hi hat leider etwas länger gedauert ... hier mal die logs von malware und eset.


malware:


Malwarebytes' Anti-Malware 1.51.1.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: 7631

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

01.09.2011 22:33:10
mbam-log-2011-09-01 (22-33-10).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 177396
Laufzeit: 5 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschl¸ssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungsschl¸ssel:
(Keine bˆsartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bˆsartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bˆsartigen Objekte gefunden)

Infizierte Dateien:
(Keine bˆsartigen Objekte gefunden)


eset log:


C:\Dokumente und Einstellungen\Jule\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\12\3cc664c-7f34a0d7 Java/Exploit.CVE-2010-4452.A trojan
C:\Dokumente und Einstellungen\Martina\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\26\4a52949a-2019403f a variant of Java/TrojanDownloader.OpenStream.NCD trojan
C:\Dokumente und Einstellungen\Martina\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\37db3fe2-47e79692 Java/TrojanDownloader.Agent.ME trojan
C:\Software\nero\n6\Nero-6.6.1.15a.exe Win32/Toolbar.AskSBar application
C:\Software\nero\Nero9\BackItUp and Burn\ISSetupPrerequisites\{BF80A1C0-C3FF-4B1C-ABEF-22CD4F97A0AB}\Toolbar.exe Win32/Toolbar.AskSBar application


anmerkung zu eset: habe noch zwei seltsame "programme" viruskiller und spykiller entfernt.

Danke und Gruß Gregor

cosinus 04.09.2011 13:31
Zitat:
Art des Suchlaufs: Quick-Scan
Sry aber ich wollte einen Vollscan sehen...bitte nachholen und Log posten!
Denk dran vorher die Signaturen von Malwarebytes zu aktualisieren, da gibt es sehr häufig neue Updates!

greg79 04.09.2011 22:29
Alles klar, hier der vollscan

cosinus 05.09.2011 09:46
Zitat:
C:\Recycle.Bin
c:\recycle.bin\config.bin
Du hattest SpyEyes auf dem Rechner!
Machst du Onlinebanking oder ähnliche kritische Dinge mit diesem Rechner?

greg79 05.09.2011 11:50
Soweit ich weiß wird damit online-banking, steuer etc. gemacht, das ist der laptop meiner nachbarin, ich hab den nur weil sie an pro shield verzweifelt ist ;).
Sie ist auch erst drauf gekommen, weil ihre Bank ihr Onlinebanking gesperrt hat, weil sich dort wohl irgendwelche Probleme gezeigt haben, genaueres weiß ich dazu allerdings nicht.

Gruß

Gregor

cosinus 05.09.2011 12:31
Bei Onlinebanking solltest du generell sehr vorsichtig sein und überlegen ob du den Kompromiss einer Bereinigung wirklich eingehen willst.
Normalerweise empfiehlt man bei sowas eine Neuinstallation von Windows und anschließende Abänderng sämtlicher Passwörter.

greg79 05.09.2011 12:38
hmm hat ich ihr schon empfohlen, leider (und irgendwie scheint das bei den leuten denen ich mit ihrem system helfe irgendwie üblich zu sein) hat / findet sie ihre win-cd nicht mehr :killpc: . Ich werd mal nachsehen ob ich da ne alternative find. komplett neu aufzusetzen scheint mir jedoch auch am sinnvollsten :heulen:

Gruß Gregor

cosinus 05.09.2011 12:46
Naja, eine passende CD kann man sich auch leihen, wichtig ist ja der Lizenzkey, Aufkleber sollte am Rechner/Notebook eigentlich immer kleben.

Sofern deine nachbarin nicht auf MS-Programme angwiesen ist oder auf solche, die nur unter Windows laufen, kann man auch alternativ ein freies OS in Erwägung ziehen => Ubuntu, LinuxMint, OpenSuse...

greg79 05.09.2011 12:58
Hast du auch wieder recht naja mal sehen irgendwo liegt hier noch ne cd rum :rolleyes: ansonsten ubuntu als alternative.
Auf alle Fälle vielen Dank für deine Hilfe!

:dankeschoen:

Gruß Gregor


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19