Trojaner-Board - Kein Internetzugang mehr - Packed.Win32.InstallCore.a

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Kein Internetzugang mehr - Packed.Win32.InstallCore.a (https://www.trojaner-board.de/116413-kein-internetzugang-mehr-packed-win32-installcore-a.html)

Kein Internetzugang mehr - Packed.Win32.InstallCore.a

Hallo zusammen,

habe seit gestern (3.6. gegen 15:00) von einem Moment auf den anderen keinen Zugang zum Internet mehr.

Nach Neustart weiterhin keine Internetverbindung. Auffällig war jedoch, dass im Status Netzwerkverbindungen beim LAN-Adapter größere Mengen Daten empfangen wurden. Da kappte ich die Internet-Verbindung.

Full-Scan mit Kaspersky (Update war gerade 55 Min. alt) fand und beseitigte Packed.Win32.InstallCore.a. Kaspersky Roolkit-Detektion war ohne Befund.

MalwareBytes fand und beseitigte PUP.BundleOffer.Downloader.S (Neu heruntergeladene Version konnte wegen fehlenden INets nicht online aktualisiert werden).

Defogger, OTL und Gmer nach Anleitung durchgeführt.

Gmer (aktuelle Version) bei der Einstellung (kein IAT/EAT) stürzt ab. Kaspersky war deaktiviert.

Wichtig: bin erst ab Mittwoch 06.06. abends wieder online (über anderen Rechner mit anderer INet-Verbindung).

Wäre schön, wenn ihr mir wieder zum Internet verhelfen könntet.

Freundliche Grüße FS

Zitat:

Datenbank Version: v2012.04.04.08

Wenn Malwarebytes nicht aktuell ist kann es auch keine neuen Schädlinge finden!

Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Vielen Dank für die ersten Reaktionen und dass sich meines Problems angenommen wird.

Mein Hauptthema ist ja, dass ich keinerlei Internetzugang vom betroffenen Rechner habe. Daher klappte auch das Online-Update von Malwarebytes nicht. Ich habe aber mittlerweile auf eurer Site den Hinweis auf die "mbam-rules.exe" gefunden und werde das Update heute Abend nachholen.

Wenn ich es richtig verstehe, wird die Nutzung von ESET am fehlenden Internet-Zugang scheitern. Gibt es Umgehungslösungen oder Alternativen, oder denke ich falsch?

Danke für die Zeit,
(und den Hinweis auf das CODE-Tag),
FS

Zitat:

Mein Hauptthema ist ja, dass ich keinerlei Internetzugang vom betroffenen Rechner habe.

Ohne genauere Infos ist auch keine Lösung in Sicht!
Du solltest mal genauer das Problem und die Symptome, Fehlermeldungen etc. beschreiben!
Und wie genau du ins Netz gehst!

... war eine lange Nacht.

Netzwerkkabel zum Internet ist nicht angeschlossen. Rechner neu gestartet.

1. Scan mit Malwarebytes:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.04.04
 

Windows Vista Service Pack 2 x86 FAT32

Internet Explorer 9.0.8112.16421

Walter :: NASS [Administrator]
 

06.06.2012 19:08:50

mbam-log-2012-06-06 (19-08-50).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 693382

Laufzeit: 3 Stunde(n), 20 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 2

C:\Program Files\Steganos Safe OEM\dllregister.exe (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

C:\Users\***\Downloads\SoftonicDownloader_fuer_auslogics-disk-defrag.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
 

(Ende)

2. Funde entfernt, neu gestartet (durch Malwarebytes).

3. Malwarebytes erneut aufgerufen:

Code:

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org
 

Datenbank Version: v2012.06.04.04
 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

Walter :: NASS [Administrator]
 

06.06.2012 22:58:36

mbam-log-2012-06-06 (22-58-36).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 693458

Laufzeit: 3 Stunde(n), 27 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

4. Netzwerkkabel angeschlossen. Verbindung ins Internet geht *(hurra)

Sofort 60MB Download über die Netzwerkverbindung, vermutl. Kaspersky-Update).

5. ESET Online Scan im IE gestartet.

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=42516258d0e1824e9701a301c062e346

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-06-07 06:52:57

# local_time=2012-06-07 08:52:57 (+0100, Mitteleuropäische Sommerzeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=512 16777215 100 0 123950558 123950558 0 0

# compatibility_mode=1282 16774525 100 100 1786947 98025195 0 0

# compatibility_mode=5892 16776638 100 91 66275745 176563351 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=486858

# found=1

# cleaned=0

# scan_time=21355

D:\MABS-C\T-Online\EMAIL4\mui.exe        probably a variant of Win32/Agent.IUKDZWI trojan (unable to clean)        00000000000000000000000000000000        I

Vorgeschichte:

Die Internetverbindung war anfangs (Auslöser für diesen Thread) auch nach mehrmaligem Neustart nicht zustande gekommen
(Zugriff über IE und FF, Outlook, Updates für Malwarebytes etc., jeweils keine Fehlermeldung, sondern mehr als 10 Min. Hänger, Kaspersky Update: kein Zugang zu Update-Ressourcen).
Parallel dazu konnte ein anderer Rechner am selben DSL-Zugang (gekapselt in einem VPN) ins Internet kommen. Daraus schloss ich, dass DSL und Router funktionsfähig sind.
Gleichzeitig wurde aber im Status zum LAN-Adaper ein hoher Download-Traffic angezeigt (innerhalb der 1. Minute schon 40MB).
Daraufhin trennte ich die Netzwerkverbindung zum Rechner.
FullScan mit Kaspersky Pure und alter Version von Malwarebytes (Ergebnisse im ZIP des Eröffnungsthreads).
OTH Scan (Ergebnisse im ZIP des Eröffnungsthreads).
Diesen Thread eröffnet.

Also Problem gelöst? :rolleyes:

Zitat:

C:\Users\***\Downloads\SoftonicDownloader_fuer_auslogics-disk-defrag.exe

:pfui:

Finger weg von Softonic!!

Softonic ist eine Toolbar- und Adwareschleuder! Finger weg! Software lädt man sich mit oberster Priorität direkt vom Hersteller und nicht von solchen Toolbarklitschen wie Softonic! Im Notfall würde natürlich chip.de gehen

Zitat:

Also Problem gelöst?

Ich denke ja. INet klappt wieder, werde den Traffic aber noch einige Zeit sehr genau beobachten.

Gibt es eine Erklärung, warum GMER sich kommentarlos verabschiedet? Beunruhigt mich noch etwas.

Aber:

Den Fund von ESET (inkl. Verzeichnisse) werde ich ersatzlos killen.
Werde den Kaspersiky nochmal full scannen lassen.

dann denke ich ist die Kuh vom Eis.

Euch danke ich für eure Zeit,
ihr habt es echt drauf,
Anerkennung ist unterwegs

:taenzer:

FS