Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Facebook-Trojaner aktiv? (https://www.trojaner-board.de/104315-facebook-trojaner-aktiv.html)

never-ever 19.10.2011 23:19

Facebook-Trojaner aktiv?
 
Hallo liebes Team,

auch ich war leider so blöd und habe in einer Facebook-Nachricht auf einen Link geklickt, woraufhin eine jpg.scr Datei heruntergeladen wurde. Anschließend hat die Benutzerkontensteuern mich gefragt, ob ein unbekanntes Programm Änderungen an meinem PC vornehmen darf, welches sich als taskmgr.exe ausgegeben hat... Ich habe das natürlich abgelehnt, die Meldung ist aber immer wieder aufgegangen.

Dann habe ich den PC (Windows Vista 32 bit) runtergefahren und im abgesicherten Modus die Datei gelöscht und McAfee laufen lassen, der aber nichts gefunden hat. Aus Misstrauen habe ich dann einen Quick- und einen vollständigen Scan mit Malwarebytes durchgeführt, Logfiles füge ich unten ein.

Die gefundenen Objekte habe ich löschen lassen und soweit scheint jetzt alles in Ordnung zu sein, nur dass Windows jetzt häufiger meldet "Autostartprogramme wurden geblockt", was vorher nie passiert ist.
Ich bin mir einfach nicht sicher, ob ich mir jetzt noch Sorgen machen muss, und bin sehr dankbar für Hilfe! Hier die Logfiles:



Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7970

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

18.10.2011 09:50:46
mbam-log-2011-10-18 (09-50-35).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 162961
Laufzeit: 7 Minute(n), 14 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
c:\Users\philine\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> 976 -> No action taken.
c:\Users\philine\AppData\Local\Temp\7922393.exe (Backdoor.IRCBot) -> 3936 -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Backdoor.IRCBot) -> Value: Microsoft® Windows Update -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\philine\m-1-52-5782-8752-5245\winsvc.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\philine\AppData\Local\Temp\7922393.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\philine\AppData\Local\Temp\05963.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\philine\AppData\Local\Temp\0606719.exe (Backdoor.IRCBot) -> No action taken.
c:\Users\philine\AppData\Local\Temp\3337321.exe (Backdoor.IRCBot) -> No action taken.




Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7970

Windows 6.0.6000
Internet Explorer 7.0.6000.16982

18.10.2011 11:19:10
mbam-log-2011-10-18 (11-19-07).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 275415
Laufzeit: 1 Stunde(n), 15 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\philine\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\36K3EPX3\ok[1].exe (Backdoor.IRCBot) -> No action taken.
c:\Users\philine\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\COGJG4HG\g[1].exe (Backdoor.IRCBot) -> No action taken.



Tausend Dank schonmal!

markusg 20.10.2011 12:24

hi,
wieso um gottes willen hat dein windows noch niemals updates gesehen????
bitte folgendes:
der absender des links ist ebenfalls mit malware informiert, du musst ihn bitte informieren, er soll sich, wenn er hilfe benötigt, hier melden.
desweiteren soll er alle seine kontakte informieren, und jeder der diesen link geöffnet hat kann sich ebenfalls hier melden, muss aber wiederum seine kontakte informieren.
du musst also auch deine kontakte anschreiben.
desweiteren, prüfe bitte mal ob du den link noch findest, sende ihn mir als private nachicht.

never-ever 20.10.2011 14:40

Ähem. Naja, ich habe mein System gerade erst wieder neu installiert, also ist das hoffentlich nicht so schlimm mit den Updates - aber sollten die nicht eigentlich automatisch gemacht werden? Den Absender habe ich angeschrieben und dir den Link geschickt.
Bin wirklich froh, hier Hilfe zu bekommen...

markusg 20.10.2011 14:44

hi, sieht nicht so aus als wäre das automatisch passiert.
du hast dir ja jetzt einen backdoor runter geladen, dieser kann "hintertüren" im system öffnen für neue angriffe.

wollen wir es gleich so machen, dass du das system noch mal neu aufsetzt, diesmal unter meiner anleitung, damit es gleich vernünftig abgesichert ist? das wäre das sicherste, zumal mit updates etc, sowieso noch viel zu tun währe, da ist ein frischer neu anfang das beste.

never-ever 20.10.2011 14:52

Oh verdammt, ja, das wäre dann wohl das Beste. Wenigstens sind meine Daten vom letzten Mal eh noch fast komplett gesichert.. Ich werde erst morgen dazu kommen, weitere Schritte zu befolgen, eine Anleitung dabei ist aber super!

markusg 20.10.2011 14:53

klar. sagst einfach bescheid wann du so weit bist, und ich geb sie dir dann, nur falls sich zwischendurch noch fragen ergeben.

never-ever 21.10.2011 17:29

So, ich würde jetzt schonmal meine Daten sichern, kann ich denn bedenkenlos meine externe Festplatte anschließen?

markusg 21.10.2011 18:30

ja, kannst du.

never-ever 21.10.2011 19:09

Fein, dann läuft das jetzt. Als nächstes wird wohl das System neu aufgesetzt, ich hab keine CD dafür, wiederherstellen hat letztes Mal aber wunderbar funktioniert. Irgendetwas zu beachten?

markusg 21.10.2011 19:21

ja, die nun folgenden sicherheitstipps, du hast hier sehr viel vernachlässigt.

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere uzunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.

Als nächstes kommen wir zu dem Antimalware Programm.
Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft.
Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl.
Als kostenpflichtiges würde ich Emsisoft empfehlen
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
Weitere Vertreter .
kaspersky:
Kaspersky Lab: Antivirus software
Symantec (Norton)
Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions

Browserwahl:
Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema.
In punkto Sicherheit, geschwindigkeit und Komfort ist der Opera weit vorne,
Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
- Autorun deaktivieren,
- Update checker instalieren.

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
Anleitung: Backup mit Windows 7-Bordmitteln - NETZWELT
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern

never-ever 25.10.2011 21:46

Vielen lieben Dank!


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19