Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Data Restore / Trojan.FakeAlert - Schaden behoben? (mit Logfiles) (https://www.trojaner-board.de/109702-data-restore-trojan-fakealert-schaden-behoben-logfiles.html)

JanDeVries 12.02.2012 15:57
Data Restore / Trojan.FakeAlert - Schaden behoben? (mit Logfiles)
 
Hallo zusammen!

Ich habe auf meinem Rechner (Windows 7, Home Premium, 64Bit) folgendes Problem
Es scheint sich laut der Beschreibung auf Euren Seiten um "Data Restore" zu handeln.
Ich habe mich dann an folgende Anweisung gehalten: http://www.trojaner-board.de/103776-...entfernen.html

Also rkill verwendet- jetzt lief der rechner wieder einigermassen, auch wenn die meisten Icons noch verschwunden waren

Malwarebyte Scan durchgeführt - hat 4 Dateien entdeckt und gelöscht
(Logdatei: mbam-log-2012-02-12 (12-51-32))

TDSSKiller ausgeführt- hat nichts entdeckt
(Logdatei TDSSKiller.2.7.11.0_12.02.2012_13.40.06_log)

unhide.exe ausgeführt- Icons wieder auf dem Desktop. Soweit so gut ^^

Zusätzlich habe ich noch einen kompletten Systemscan mit Antivir/Avira laufen lassen.
Dabei wurde "JAVA.Hapal.Gen" entdeckt und in die Quarantäne verschoben.
(Logdatei: AVIRA Scanlog)


erneuter Malwarebytescan
(Logdatei: mbam-log-2012-02-12 (14-46-43))

und anschließend noch ein OTL-Scan
(Logdateien: OTL und Extras)

Sorry, daß ich die Dateien als Anhanhg gepostet habe. Wollte sie mit dem Code-Tag einbinden, aber dann wäre die zulässige Zeichenanzahl überschritten worden.

Ist der Rechner jetzt wieder sauber oder was würdet Ihr mir empfehlen?
Wenn sich jemand mal die Logfiles durchschauen würde wäre das prima.

Vielen Dank für Eure Mühe!

cosinus 13.02.2012 15:05
Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


JanDeVries 13.02.2012 17:48
Hi Arne / Cosinus,
gestern abend habe ich noch drei Suchläufe über die ganze Festplatte mit Avira machen lassen- und es kamen bei jedem Suchlauf mehr Warnungen und Hinweise. Erst vier Warnungen, dann sechsundzwanzig, dann vierzig...
Ohne, daß ich zwischendurch was installiert oder verändert habe!
Desweiteren sind viele exe-Dateien verändert worden und System-Ordner für den Zugriff gesperrt, und es waren neue Benutzerprofile angelegt worden. :eek:

(Das war reichlich strange- ich hab' eh nur aus Zufall in die Benutzerkonten reingeschaut, genauer gesagt in "Erweiterte Benutzerprofileigenschaften konfigurieren"... und entdecke dort vier Profile, die vorher nicht dort waren.
Zehn Minuten später nochmals reingeschaut: Profile wieder weg :wtf:)

Also habe ich das ganze System per recovery "neu aufgesetzt".
Eine "echte" Windows 7 CD habe ich leider nicht- nur eine Rescue-CD mit Recovery-Funktion (Medion-PC vom Aldi- da war das Windows 7 schon vorinstalliert) , sonst hätte ich schön mit format c: den ganzen Schiet runterhauen können. So blieb mir halt nur die Recovery-Option ("Zurücksetzen auf Auslieferungszustand").

Ich hoffe mal, daß das ausgereicht hat... falls nicht, melde ich mich garantiert wieder.

Viele Grüße
--Jan

cosinus 13.02.2012 22:48
Naja ohne die Logs kann niemand nachvollziehen was da nun Sache war, ich vermute du hattest so einen destruktiven Fileinfector wie Virut oder Sality...
Was hast du auf dem neuen System an Daten übernommen, was auch schon auf dem infizierten System war? Ich hoffe nur reine Datendateien und nichts Ausführbares wie Programme/Spiele/Setups

JanDeVries 14.02.2012 14:43
Was hast du auf dem neuen System an Daten übernommen, was auch schon auf dem infizierten System war?

Übernommen habe ich vom alten System eine json-Datei (Firefox-Bookmarks), die habe ich auf einem USB-Stick gespeichert. Aber keine Programme, Setups oder Spiele. (Könnte die json-Datei ein Problem darstellen?)

Leider hatte ich während der Infektion eine externe Festplatte angeschlossen- dort sind OpenOffice-Dokumente drauf abgespeichert (.odt), .pdf, bilder und videos.
Die Dateien sind wichtige Unterlagen, die ich für meinen Beruf brauche, deswegen kann ich die nicht einfach löschen :(

Ich habe jetzt ein anderes Antiviren-Programm installiert- Kaspersky Internet Security... erstmal in der Testversion. Ebenso Malwarebytes Anti-Malware.
Habe beide Programme das System, den USB-Stick mit der json-Datei und die externe Festplatte scannen lassen- kein Fund.

Könnte es sein, daß das System oder die externe Festplatte dennoch infiziert ist?
Wie könnte ich das feststellen? Oder wie sollte ich Deiner Meinung nach weiter vorgehen?

cosinus 14.02.2012 16:43
Die Dateien sollten ungefährlich sein. Musst natürlich allgemeine Sicherheitsregeln immer umsetzen.
Sowas wie KIS hätte ich NICHT genommen, wegen der darin enthaltenen Firewall. Ein reiner Virenscanner plus Windows-Firewall ist sinnvoller.

Mach doch mal zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


JanDeVries 14.02.2012 22:06
Hallo.
Hier schon mal die Scans von Malwarebyte Anti Malware und von Super Anti Spyware.

Code:
Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.14.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
*** :: *** [Administrator]

Schutz: Deaktiviert

14.02.2012 18:19:41
mbam-log-2012-02-14 (18-19-41).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 417854
Laufzeit: 1 Stunde(n), 51 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 02/14/2012 at 09:45 PM

Application Version : 5.0.1144

Core Rules Database Version : 8238
Trace Rules Database Version: 6050

Scan type      : Complete Scan
Total Scan Time : 01:25:53

Operating System Information
Windows 7 Home Premium 64-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 588
Memory threats detected  : 0
Registry items scanned    : 64760
Registry threats detected : 0
File items scanned        : 189447
File threats detected    : 19

Adware.Tracking Cookie
        C:\Users\***\AppData\Roaming\Microsoft\Windows\Cookies\HX3MBIAV.txt [ /2o7.net ]
        C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\BV35FV9A.txt [ Cookie:***@atdmt.com/ ]
        C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\D95ERAPA.txt [ Cookie:***@2o7.net/ ]
        C:\USERS\***\AppData\Roaming\Microsoft\Windows\Cookies\Low\GEAVBHYD.txt [ Cookie:***@adfarm1.adition.com/ ]
        C:\USERS\***\Cookies\HX3MBIAV.txt [ Cookie:***@2o7.net/ ]
        .tradedoubler.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .fastclick.net [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .fastclick.net [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .specificclick.net [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .apmebf.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .doubleclick.net [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .mediaplex.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        ad.yieldmanager.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        ad.yieldmanager.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .kaspersky.122.2o7.net [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .atdmt.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        .atdmt.com [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        adx.chip.de [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
        dtp.missioncontrol.global-media.de [ C:\USERS\***\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\COOKIES ]
Die neunzehn Cookies habe ich gelöscht.
Den ESET-Scan werde ich heute nicht mehr schaffen- liefere ich dann morgen nach.
Schönen Abend noch
-- Jan

JanDeVries 15.02.2012 17:47
Hallo...
Hier noch das ESET-Log

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=6725557f6aac3c45aa8694c21c023f4d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-15 04:38:25
# local_time=2012-02-15 05:38:25 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 193069 193069 0 0
# compatibility_mode=5893 16776574 100 94 86501 80950344 0 0
# compatibility_mode=8192 67108863 100 0 4060 4060 0 0
# scanned=137458
# found=0
# cleaned=0
# scan_time=3410

Scheint ja alles in Ordnung zu sein?!

cosinus 15.02.2012 19:06
Ja nur Cookies. Falls noch Probleme sind dies bitte beschreiben

JanDeVries 15.02.2012 21:28
Hallo.
Im Moment keine Probleme, ich hoffe das bleibt auch erstmal so ;)

Aber eine Frage habe ich noch: ich benutze diesen Rechner zwar alleine, aber es wäre wohl besser, wenn ich für den "Normalgebrauch" (also im Internet surfen, Mails checken, OpenOffice-Dokumente erstellen und bearbeiten) ein extra Benutrzerkonto anlege.
Habt Ihr hier im Forum irgendwo ein How2 / eine Anleitung, wie ich da am geschicktesten vorgehe?
Ich weiß zB nicht, welche Rechte ich dann diesem "Arbeits- und Surfkonto" einräumen muss und sollte. Evtl hast Du ja einen Link für mich?
Auf alle Fälle möchte ich mich bei Dir bedanken, daß Du dir die letzten Tage Zeit genommen hast, um mir zu helfen :daumenhoc

Viele Grüße
::Jan

cosinus 15.02.2012 21:35
Geht alles über Systemsteuerung/Benutzerkonten.
Du kannst deinem jetzigen Konto die Rechte entziehen aber VORSICHT. AFAIR ist bei Windows7 der vordefinierte Administrator deaktiviert und wenn du jetzt nur dein Konto hast und diesem die Adminrechte wegnimmst, hast du gar kein Adminkonto mehr.

Erstell dir daher mal erst ein neues Konto mit Adminrechten. Abmelden und ins neue rein. Damit kannst du deinem anderen User die Adminrechte nehmen, einfach auf Benutzer stellen.

Gib beiden Konten ein Passwort und bewahre v.a. das fürs Adminkonto gut auf.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:42 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131