Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   TR/Jorik.IRCbot.crh ?, eingefangen durch Facebook-Link (https://www.trojaner-board.de/104056-tr-jorik-ircbot-crh-eingefangen-facebook-link.html)

pokkaf 11.10.2011 15:05
TR/Jorik.IRCbot.crh ?, eingefangen durch Facebook-Link
 
Hallo,
ein Freund von mir hat sich gestern, wie er meint, einen Virus eingefangen.
Er kennt sich leider nicht ganz so super mit Computern aus, deshalb habe ich mich mal der Sache angenommen.

Es wurde ihm bei Facebook folgender Link (http habe ich verändert) als Nachricht gesendet: hxxp://www.sentosakaryautama.com/images/images.php?s=IMG19553.JPG
Die Seite hat beim Aufrufen wohl eine "IMG863789538.JPG.scr" heruntergeladen, die bei VirusTotal folgendes ergibt: hxxp://www.virustotal.com/file-scan/report.html?id=e0f75be31bcf0e061a683874e90b3a2f6458396e8e815b5d5a064d72d1576b77-1318334164
So viel zum einfach ersichtlichen Geschehen.

Sieht mir recht ähnlich aus zu diesem Thread: http://www.trojaner-board.de/104052-...79501-jpg.html

Der PC gibt seither von Zeit zu Zeit Fehler aus und z.T. fährt er auch einfach herunter aufgrund von "Schwerwiegenden Fehlern", wie Windows meldet. Zwischenzeitlich ist aber normales Arbeiten problemlos möglich.

Ich habe ihn mal Defogger, OTL und GMER durchlaufen lassen. Die Log-Files sind angehängt.

Ein Hijackthis-Logfile habe ich schon mal per hijackthis.de auswerten lassen. Da kam nur heraus, dass er, wohl im Zuge von AntiVir Personal, die Ask-Toolbar installiert hat. Ist ja aber nicht weiter schlimm. Die wird sicher noch entfernt. ;)

Es wäre super nett, wenn ihr einen Blick in die Log-Files werfen und berichten könntet, wie die Sache für euch aussieht.

Vielen Dank und Grüße

markusg 11.10.2011 16:12
hi
malwarebytes:
Downloade Dir bitte Malwarebytes
  • Installiere
    das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche
    nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet
    ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste
    das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

pokkaf 11.10.2011 21:08
Hi,
danke schon mal für die schnelle Antwort. :)

Bei MBAM gab's allerdings keine weiteren Ergebnisse:
Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7924

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

11.10.2011 21:47:39
mbam-log-2011-10-11 (21-47-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 297056
Laufzeit: 45 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Bisher zeigt der PC jetzt wohl keine auffälligen Zeichen mehr.
Antivir hat allerdings ein paar mal noch in temporären Dateien die schon oben beschriebene Datei mit der angeblichen Infektion "TR/Jorik.IRCbot.crh" gefunden. Die wurden, sofern erkannt, alle gelöscht.
CCleaner wurden auch ausgeführt, sodass jetzt erst mal alle temporären Dateien aus dem Weg sein sollten.

markusg 11.10.2011 21:12
was heißt keine weiteren ich sehe bisher ja nicht mal nen mbam log mit funden, poste alle logs.
poste alle avira logs mit funden, bzw die fund meldungen unter avira ereignisse.

pokkaf 11.10.2011 21:28
Die MBAM-Untersuchung hat ja auch keine Funde ergeben (wie aus obiger log zu ersehen ist).

Ansonsten hier die Meldungen, die Avira produziert hat:
Code:
Die Datei 'C:\Users\Michel\AppData\Local\Temp\26180.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Jorik.IRCbot.crg' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a243419.qua' verschoben!

In der Datei 'C:\Users\Michel\AppData\Local\Temp\26180.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Jorik.IRCbot.crg' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Die Datei 'C:\Users\Michel\M-1-52-5782-8752-5245\winsvc.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Jorik.IRCbot.crg' [trojan].
Durchgeführte Aktion(en):
Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26004.
Die Quelldatei konnte nicht gefunden werden.
Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
Die Datei konnte nicht ins Quarantäneverzeichnis verschoben werden!
Die Datei existiert nicht!

markusg 12.10.2011 09:36
dann hab ich das missverstanden, passiert ja häufiger das logs unterschlagen werden :-)
combofix:
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Bitte downloade dir Combofix.exe und speichere es unbedingt auf deinem Desktop.
  • Besuche folgende Seite für Downloadlinks und Anweisungen für dieses
    Tool

    http://www.bleepingcomputer.com/comb...x-benutzt-wird
  • Hinweis:
    Gehe sicher das all deine Anti Virus und Anti Malware Programme abgeschalten sind, damit diese Combofix nicht bei der Arbeit stören.
  • Poste bitte die C:\Combofix.txt in deiner nächsten Antwort.

malwarebytes:

pokkaf 12.10.2011 16:47
Aso, kein Problem...


Zitat:
Zitat von markusg (Beitrag 708721)
malwarebytes:
War noch was mit Malwarebytes zu unternehmen?

Ansonsten angehägt noch der Combofix-Log...

markusg 12.10.2011 17:24
ne sorry.
macht dein bekannter onlinebanking einkäufe oder sonst was wichtiges, egal ob privat oder beruflich, mit dem pc?

pokkaf 12.10.2011 17:31
Er macht zwar schon alles davon, aber hat auch noch 'nen anderen PC, den er genauso nutzen kann.
Ist dein Rat dann, dass man es dabei bewenden lassen sollte und halt für sensible Zwecke auf den anderen Rechner ausweichen sollte?


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:50 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131