Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BKA-Trojaner / Jashla.exe (https://www.trojaner-board.de/103143-bka-trojaner-jashla-exe.html)

Noog 03.09.2011 20:42
BKA-Trojaner / Jashla.exe
 
Hallo zusammen,

mich hat der BKA-Trojaner am letzten Mittwoch auch eiskalt erwischt. Gottseidank gibt es Euer Board. Habe mit Srep.exe den Rechner wieder zum Laufen bekommen. Besten Dank erst einmal für diese geniale Datei!

Zur Sicherheit poste ich noch die üblichen Logs. Die Otl.txt war zu groß. Deshalb diese Datei als Zip. Wie mache ich jetzt am besten weiter?

Lieben Gruß,

Noog

cosinus 04.09.2011 14:22
Zitat:
Art des Suchlaufs: Quick-Scan
Hallo und :hallo:

Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

Noog 06.09.2011 17:09
Hallo Arne,

anbei das Vollscan Log von Malwarebytes. Hat ein bisschen gedauert bis der Scanlauf durch war :-). War mein erster Vollscan, daher keine alten Logs vorhanden.

cosinus 07.09.2011 09:03
Führe auch bitte ESET aus, danach sehen wir weiter.


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

n.

Noog 08.09.2011 06:28
So, Eset ist durchgelaufen:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=45dda56eefaff248999ec0d93983d72a
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-09-07 11:14:47
# local_time=2011-09-08 01:14:47 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=4096 16777215 100 0 75277709 75277709 0 0
# compatibility_mode=8192 67108863 100 0 577 577 0 0
# scanned=127170
# found=0
# cleaned=0
# scan_time=18344

cosinus 08.09.2011 12:39
Zitat:
(G Data Software AG) -- C:\Programme\G DATA\InternetSecurity\
Eine Suite ist in eigentlich jedem Fall kontraproduktiv. Besser wäre ein reiner Virenscanner plus Windows-Firewall. Ich empfehle dir daher, jetzt GDATA zu deinstallieren und später - wenn wir duch sind - auf einen reinen Virenscanner wie MS Security Essentials zu wechseln.

Mach nach der Deinstallation von GDATA bitte ein neue OTL-Log.

Noog 08.09.2011 13:26
Hallo Arne,

ich dachte immer mit dem GData Package wäre man gut abgesichert. Was sind denn die Nachteile? Sind denn die reinen MS-Lösungen (Windows Firewall und MS Security) sicherer? Gibt's da irgendwo etwas zum Nachlesen?

LG
Noog

cosinus 08.09.2011 14:06
Lies einfach mal hier, ich denke dann sollte es etwas klarer werden:

Die Vertrauensbrecher c't Editorial über Internet Security Suites und warum sie idR nichts taugen
Oberthal online: Personal Firewalls: Sinnvoll oder sinnfrei?
personal firewalls ? Wiki ? ubuntuusers.de
NT-Dienste sicher konfigurieren und abschalten (Windows 2000/XP) - www.ntsvcfg.de

Dann wirst Du feststellen, dass es einfach nur unnötig ist, sich das System mit einer weiteren "Schutzkomponente" zu verhunzen... :rolleyes:

Malwarebefall vermeiden kannst Du sowieso nur, wenn Du selbst Dein verhalten in den Griff bekommst => Kompromittierung unvermeidbar?

Noog 12.09.2011 22:39
Hi Arne,

war ne knappe halbe Woche nicht zuhause. Besten Dank für die Literaturhinweise!

Habe jetzt Gdata entfernt (inklusive Nutzung des AVCleaners) und OTL laufen lassen. Habe aber nur OTL.Txt und keine Extras.txt erhalten. Hab's zweimal probiert. Reicht die OTL.txt aus?

Beste Grüße

Noog

cosinus 13.09.2011 11:36
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.www.daemon-search.com/default
O2 - BHO: (no name) - {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.12.05 13:12:40 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{5c9ebc76-89d4-11e0-b79d-00138fde8949}\Shell\AutoRun\command - "" = J:\InstallTomTomHOME.exe
O33 - MountPoints2\{6d4ce92e-9f16-11e0-b7be-00138fde8949}\Shell\AutoRun\command - "" = J:\InstallTomTomHOME.exe
O33 - MountPoints2\{9f6750ee-6c95-11de-a7f6-0009dd1041ce}\Shell\AutoRun\command - "" = H:\.\dae_player.exe
O33 - MountPoints2\{a01deacc-a626-11df-b60e-00138fde8949}\Shell\AutoRun\command - "" = L:\InstallTomTomHOME.exe
O33 - MountPoints2\{c220f341-83a4-11df-b5b4-00138fde8949}\Shell - "" = AutoRun
O33 - MountPoints2\{c220f341-83a4-11df-b5b4-00138fde8949}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{c220f341-83a4-11df-b5b4-00138fde8949}\Shell\AutoRun\command - "" = J:\LGAutoRun.exe
O33 - MountPoints2\{dfc3b87a-8aa9-11df-b5cf-00138fde8949}\Shell - "" = AutoRun
O33 - MountPoints2\{dfc3b87a-8aa9-11df-b5cf-00138fde8949}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{dfc3b87a-8aa9-11df-b5cf-00138fde8949}\Shell\AutoRun\command - "" = J:\LGAutoRun.exe
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Noog 13.09.2011 22:00
Guten Abend Arne,

vielen Dank für Deine Geduld. Anbei die Log-Datei.

Liebe Grüße

Noog

cosinus 14.09.2011 11:30
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.

http://www.trojaner-board.de/attachm...rnen-start.png


Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
http://www.trojaner-board.de/images/icons/icon4.gif Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif

Noog 14.09.2011 20:59
Hi Arne,

hier das TDSS-Killer-Log.

Gruß,
Noog

cosinus 14.09.2011 21:41
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Noog 15.09.2011 18:53
Hey Arne,

so Combofix ist auch durch. Anbei das Log.

Schönen Abend noch,
Noog


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:10 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19