Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Google Redirect bei Kumpel (https://www.trojaner-board.de/117106-google-redirect-kumpel.html)

yoda1603 12.06.2012 08:48
Google Redirect bei Kumpel
 
Hallo, mein Kumpel hat wohl einen Redirect Virus auf seinem Rechner und auch noch ein paar andere Probleme. Wir haben einen Suchlauf mit Malwarebytes gestartet. Log s. u. Was können wir nun tun, um die Probleme zu beheben? Danke schonmal für die Hilfe.


Code:
34 Objekte gefunden!
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: 1-2E1EC59605954 [Administrator]

11.06.2012 21:52:10
mbam-log-2012-06-11 (23-19-53).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 421058
Laufzeit: 1 Stunde(n), 21 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CLSID\{F99BD4F5-D402-4c21-A8BC-510830B6BE37} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho.1 (Trojan.Banker) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F99BD4F5-D402-4C21-A8BC-510830B6BE37} (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\chrome.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navigator.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safari.exe (Security.Hijack) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUESTBROWSE_SERVICE (Adware.QuestBrowse) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Bösartig: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Gut: (userinit.exe) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 6
C:\WINDOWS\system32\xmldm (Stolen.Data) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0} (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\chrome (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\defaults (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\defaults\preferences (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\QuestBrwSearch (Adware.QuestBrowse) -> Keine Aktion durchgeführt.

Infizierte Dateien: 15
C:\WINDOWS\system32\AcroIEHelpe.dll (Trojan.Banker) -> Keine Aktion durchgeführt.
C:\uninstall.exe (Heuristics.Shuriken) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (Trojan.Agent) -> Keine Aktion durchgeführt.
C:\Programme\QuestBrwSearch\uninstall.exe (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{B23FAE54-7C9B-4B3F-8796-4244570A0A5D}\RP852\A0149071.exe (Adware.Agent.ZGen) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{B23FAE54-7C9B-4B3F-8796-4244570A0A5D}\RP852\A0149072.exe (Adware.Agent.ZGen) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{B23FAE54-7C9B-4B3F-8796-4244570A0A5D}\RP852\A0149074.dll (RootKit.0Access.H) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\43GDMX5A\v5_apc[1].exe (Heuristics.Shuriken) -> Keine Aktion durchgeführt.
D:\Eigene Dateien\SoftonicDownloader_fuer_bpm-studio.exe (PUP.OfferBundler.ST) -> Keine Aktion durchgeführt.
D:\Eigene Dateien\XvidSetup.exe (Adware.Hotbar) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\chrome.manifest (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\install.rdf (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\chrome\questbrowse.jar (Adware.QuestBrowse) -> Keine Aktion durchgeführt.
C:\Programme\Mozilla Firefox\extensions\{D9ADB0A8-7BFB-498D-9880-EE78A81CCFA0}\defaults\preferences\prefs.js (Adware.QuestBrowse) -> Keine Aktion durchgeführt.

kira 13.06.2012 22:25
Hallo und Herzlich Willkommen! :)

Dein System gerade mit einem Backdoor-Trojaner verseuchthttp://www.world-of-smilies.com/wos_sonstige/crying.gif
Das heißt, es ist wohl leider *kompromittiert*
Bei einer Backdoor Infektion, man kann nie sicher sein, dass er zu 100 % weg ist und wo/wann er als nächstes auftaucht. die Löcher, welche die Backdoor ins System gerissen hat, sind aber nahezu unmöglich aufzuspüren und damit leider auch nicht zu entfernen!
Über diese Löcher kann dann jederzeit Ihr System erneut infiziert werden, die Kontrolle über Ihr System erneut übernommen werden und das System kann so weiterhin für illegale Ativitäten genutzt werden, für die Sie am Ende sogar noch zu Verantwortung gezogen werden können!
Aufgrund der wahrscheinlich vorgenommen Manipulationen steht der Aufwand eines Versuchs der vollständigen Beseitung der ins System gerissenen Löcher in keinem Verhältnis zum Ergebnis, welches noch dazu immer mit der Unsicherheit, doch nicht alle Löcher geschlossen zu haben, behaftet bleiben wird; und es steht auch in keinem Verhältnis zum Aufwand, der beim Neuaufsetzen des Systems entstehen würde. Das Betriebssystem neu aufzusetzen, ist in so einer Situation auf jeden Fall deutlich schneller, eindeutig weniger aufwändig und wesentlich sicherer als ein Versuch der Bereinigung aller ins System gerissenen Löcher.


Tipps & Rat:


Datensicherung:
► NUR Daten sichern, die nicht ausführbaren Dateien enthalten - Dateiendungen - Dies ist eine Liste von Dateiendungen, die Dateien mit ausführbarem Code bezeichnen können.
- Vorsicht mit den schon vorhandenen Dateien auf die extern gespeicherten Daten und auch jetzt mit dem Virus infizierte Dateien eine Datensicherung anzufertigen
- Am besten alles was dir sehr wichtig, separat (extern) sichern - nicht mischen eventuell früher geschicherten Daten, also vor dem Befall!
- Eventuell gecrackte Software nicht sichern und dann auf neu aufgesetztem System wieder drauf installieren!

- Vor zurückspielen - bevor du mit deinem PC direkt ins Netz gehst...:
- die Autoplay-Funktion für alle Laufwerke deaktivieren/ausschalten -> Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten

Die auf eine externe Festplatte gesicherten Daten, gründlich zu scannen von einem suaberen System aus, am besten mit mehreren Scannern-> Kostenlose Online Scanner - Anleitung
Absolut empfehlenswerter Scanner:
Zitat:
Eset Online Scanner (NOD32)
Panda-Aktivscan
Symantec Security Check

-> Anleitung: Neuaufsetzen des Systems + Absicherung
-> Anleitung zum Neuaufsetzen - Windows XP, Vista und Win7


Ich würde Dir vorsichtshalber raten, dein Passwort zu ändern
z.B. Login-, Mail- oder Website-Passwörter
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

gruß
kira

yoda1603 14.06.2012 17:12
Klingt fies.
Werden wohl neu aufsetzen. Danke für die ausführliche Info.
Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131