Trojaner-Board - Achtung Windowssystem blockiert zahle 50 EUR

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Achtung Windowssystem blockiert zahle 50 EUR - Trojaner (https://www.trojaner-board.de/107559-achtung-windowssystem-blockiert-zahle-50-eur-trojaner.html)

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hallo!

Hier ist das neue ASWMBR-Log:

Code:

 aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software

Run date: 2012-01-08 23:26:40

-----------------------------

23:26:40.629    OS Version: Windows 6.0.6002 Service Pack 2

23:26:40.629    Number of processors: 2 586 0xF0B

23:26:40.629    ComputerName: ***-PC  UserName: 

23:26:41.519    Initialize success

23:26:52.361    AVAST engine defs: 12010701

23:27:09.396    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0

23:27:09.411    Disk 0 Vendor: ST916082 3.BH Size: 152627MB BusType: 3

23:27:09.411    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-1

23:27:09.427    Disk 1 Vendor: ST916082 3.BH Size: 152627MB BusType: 3

23:27:09.489    Disk 0 MBR read successfully

23:27:09.489    Disk 0 MBR scan

23:27:09.521    Disk 0 Windows VISTA default MBR code

23:27:09.536    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS       144992 MB offset 63

23:27:09.583    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS         7632 MB offset 296945460

23:27:09.583    Disk 0 scanning sectors +312576705

23:27:09.645    Disk 0 scanning C:\Windows\system32\drivers

23:27:34.184    Service scanning

23:27:36.181    Modules scanning

23:27:56.524    Disk 0 trace - called modules:

23:27:56.571    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 

23:27:56.571    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8653fac8]

23:27:56.587    3 CLASSPNP.SYS[8a7a58b3] -> nt!IofCallDriver -> [0x8553b900]

23:27:56.587    5 acpi.sys[8069f6bc] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8553d030]

23:27:59.317    AVAST engine scan C:\Windows

23:28:10.346    AVAST engine scan C:\Windows\system32

23:34:20.741    AVAST engine scan C:\Windows\system32\drivers

23:34:43.174    AVAST engine scan C:\Users\*** NEU

23:35:22.704    AVAST engine scan C:\ProgramData

23:36:24.714    Scan finished successfully

23:37:03.293    Disk 0 MBR has been saved successfully to "C:\Users\*** NEU\Desktop\MBR.dat"

23:37:03.293    The log file has been saved successfully to "C:\Users\*** NEU\Desktop\aswMBR 2012-01-08.txt"

Viele Grüße
Touri

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

So, hat jetzt etwas länger gedauert. Hier die Ergebnisse:

Malwarebytes Log:

Code:

Malwarebytes Anti-Malware (Test) 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.09.08
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 8.0.6001.19170

*** NEU :: ***-PC [Administrator]
 

Schutz: Aktiviert
 

09.01.2012 23:10:19

mbam-log-2012-01-09 (23-10-19).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 570900

Laufzeit: 6 Stunde(n), 21 Minute(n), 23 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Soweit so gut. Dann das SASW Log mit einigen Ergebnissen. Habe ich alles entfernt:

Code:

 SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 01/10/2012 at 10:34 PM
 

Application Version : 5.0.1142
 

Core Rules Database Version : 8119

Trace Rules Database Version: 5931
 

Scan type       : Complete Scan

Total Scan Time : 02:18:36
 

Operating System Information

Windows Vista Home Premium 32-bit, Service Pack 2 (Build 6.00.6002)

UAC On - Limited User (Administrator User)
 

Memory items scanned      : 820

Memory threats detected   : 0

Registry items scanned    : 37225

Registry threats detected : 0

File items scanned        : 112533

File threats detected     : 18
 

Adware.Tracking Cookie

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        webcount.feratel.at [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .apmebf.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .fastclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .doubleclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .googleads.g.doubleclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .doubleclick.net [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .4stats.de [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .4stats.de [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .4stats.de [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        adserver.webwerk.at [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

        .247realmedia.com [ C:\USERS\*** NEU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\YFT7NDIC.DEFAULT\COOKIES.SQLITE ]

Und dann noch ESET, leider immer noch mit Trojaner-Ergebnis, oder? (Habe ich anweisungsgemäß NICHT entfernen lassen.) Das Problem steckt in den alten Backup-Dateien, die ich nicht mehr brauche.

Code:

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e2726ca70de5c54fb80bc461d2200c36

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-07 01:40:34

# local_time=2012-01-07 02:40:34 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=1792 16777215 100 0 7027718 7027718 0 0

# compatibility_mode=5892 16776574 100 100 3717 163410107 0 0

# compatibility_mode=8192 67108863 100 0 6639 6639 0 0

# scanned=386143

# found=8

# cleaned=0

# scan_time=23054

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39\2bf7b327-3f9e6f68        multiple threats (unable to clean)        00000000000000000000000000000000        I

D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-01-25 193038\Backup files 1.zip        multiple threats (unable to clean)        00000000000000000000000000000000        I

D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-05-30 230003\Backup files 3.zip        HTML/ScrInject.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

H:\Retrospect Backup\Backup of HP_PAVILION (C)\Documents and Settings\Default User\Start Menu\Programs\Startup\AutoPlay.exe        Win32/Agent.NVP trojan (unable to clean)        00000000000000000000000000000000        I

H:\Retrospect Backup\Backup of HP_PAVILION (C)\Documents and Settings\Owner\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\BlackBox.class-e1df023-7e7f3714.class        Win32/TrojanClicker.Spywad.B trojan (unable to clean)        00000000000000000000000000000000        I

H:\Retrospect Backup\Backup of HP_PAVILION (C)\Documents and Settings\Owner\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\file\SecurityClassLoader.class-42db6c92-7253d5a7.class        Win32/TrojanClicker.Spywad.B trojan (unable to clean)        00000000000000000000000000000000        I

H:\Retrospect Backup\Backup of HP_PAVILION (C)\hp\bin\AUTOPLAY.EXE        Win32/Agent.NVP trojan (unable to clean)        00000000000000000000000000000000        I

H:\Retrospect Backup\Backup of HP_PAVILION (C)\Program Files\HPSelect\FL2002\autorun.exe        probably a variant of Win32/Hupigon.KKVRTQS trojan (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e2726ca70de5c54fb80bc461d2200c36

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-11 03:23:17

# local_time=2012-01-11 04:23:17 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=1792 16777215 100 0 7383368 7383368 0 0

# compatibility_mode=5892 16776638 100 100 224571 163765757 0 0

# compatibility_mode=8192 67108863 100 0 362289 362289 0 0

# scanned=305041

# found=2

# cleaned=0

# scan_time=19167

D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-01-25 193038\Backup files 1.zip        multiple threats (unable to clean)        00000000000000000000000000000000        I

D:\***-PC\Backup Set 2010-01-10 174323\Backup Files 2011-05-30 230003\Backup files 3.zip        HTML/ScrInject.B.Gen virus (unable to clean)        00000000000000000000000000000000        I

Sieht ok aus, da wurden nur Cookies gefunden und zwei Fehlalarme gemeldet.
Noch Probleme oder weitere Funde in der Zwischenzeit?

Hallo,

nein, keine Probleme, läuft alles einwandfrei. Das einzige Problem ist, dass das D:\-Laufwerk jetzt nach der ganzen Scannerei voll ist...

Und was sich auf H:\ verbirgt ist auch unproblematisch? Klingt gefährlich (TrojanClicker.Spywad.B, Agent.NVP trojan etc.)...

Aber ich gebe zu ziemlich planlos zu sein.

Das Zeug ist in alten Backups - einfach löschen

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Phantastisch - ein großes :dankeschoen:!!!

Die Ratschläge werde ich beherzigen. Jetzt trinke ich erst einmal ein Bier, Prost!:party:

Vielen Dank, cosinus.

Gruß
Touri