Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Security Shield - System infiziert? (https://www.trojaner-board.de/119559-security-shield-system-infiziert.html)

Nicomedian 08.08.2012 09:40
Hi there!

Zitat:
Zitat von cosinus
Zitat:
Weißt du, wie ich das mit der falschen Codepage in der cmd.exe wieder korrigieren kann?
Google bei dir kaputt?
Bei Google hab ich leider nichts Passendes gefunden. Es gibt dort den Hinweis, den Registry-Wert "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nls\CodePage\OEMCP" zu ändern, aber dort steht schon 850 eingetragen, trotzdem ist in der cmd.exe (oder in anderen Kommandozeilen-basierten Programmen) die Codepage 1252 als Standard eingestellt. Na ja, ist ja nicht wirklich problematisch.

Bitte sag mir noch eins: Wie soll ich jetzt mit den Dateien verfahren, in denen der Trojan.Lameshield gefunden wurde, eine im System Restore und die andere im OTL-MovedFiles-Verzeichnis? Sollte ich die nicht besser löschen, damit dieser Trojan überhaupt nicht mehr auf meinem Rechner vorhanden ist?

Wenn ich die Datei im System Restore lösche, wird wahrscheinlich der Systemwiederherstellungspunkt, zu den sie gehört, ungültig, aber das wäre ja auch sinnvoll, damit der Trojan nicht noch mal durch eine Systemwiederherstellung aktiv werden kann. Könnte es aber sein, dass die Systemwiederherstellung (auch zu anderen Zeitpunkten) überhaupt nicht mehr funktioniert, wenn ich diese Datei lösche?

Vielen Dank,
Nicomedian

cosinus 08.08.2012 20:26
Zitat:
Bei Google hab ich leider nichts Passendes gefunden.
Das Problem istt mir noch nie untergekommen ich müsste da auch erst mal googlen

Zitat:
Bitte sag mir noch eins: Wie soll ich jetzt mit den Dateien verfahren, in denen der Trojan.Lameshield gefunden wurde, eine im System Restore und die andere im OTL-MovedFiles-Verzeichnis? Sollte ich die nicht besser löschen, damit dieser Trojan überhaupt nicht mehr auf meinem Rechner vorhanden ist?
Wurde von mir in Posting #27 alles erklärt

Zitat:
Wenn ich die Datei im System Restore lösche, wird wahrscheinlich der Systemwiederherstellungspunkt, zu den sie gehört, ungültig, aber das wäre ja auch sinnvoll, damit der Trojan nicht noch mal durch eine Systemwiederherstellung aktiv werden kann. Könnte es aber sein, dass die Systemwiederherstellung (auch zu anderen Zeitpunkten) überhaupt nicht mehr funktioniert, wenn ich diese Datei lösche?
In System Volume Information sind die Dateien für Wiederherstellungspunkte gespeichert.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Nicomedian 09.08.2012 09:20
Hi cosinus,

dann lösche ich jetzt die Dateien. Wenn ich die Systemwiederherstellung jetzt ausschalte, kann ich die danach gleich wieder einschalten? Eigentlich möchte ich auf dieses Feature nicht verzichten. (Und man kann es ja auch benutzen, um Malware wieder loszuwerden.)

Ansonsten noch mal danke für die Hilfe bei der Desinfektion. Das hätte ich ganz sicher alleine nicht so hinbekommen. Ist der Rechner jetzt aber wirklich so sicher, dass ich auch 'kritische' Dinge wie Onlinebanking damit machen kann?

Bis dann,
Nicomedian

cosinus 10.08.2012 09:50
Ja, danach wieder einschalten. Das komplette Deaktivieren löscht alle Punkte und genau das ist ja das eigentlich was wir wollen.

Zitat:
dass ich auch 'kritische' Dinge wie Onlinebanking damit machen kann?
100% Sicherheit gibt es nicht
Ich sagmal auf eigene Gefahr, dein System war aber auch nicht mit einem BankingTrojaner befallen.
Wer OnlineBanking lieber nicht mehr unter Windows machen will, installiert sich parallel ein Linux oder greift zu Sicheres Online-Banking mit Bankix | c't

Nicomedian 16.08.2012 13:12
Hallo,

der "TR/Kryptik.jfx.29" ist von Avira erneut gefunden worden, wieder im Verzeichnis "C:\System Volume Information\_restore\..". Dabei hatte ich die Systemwiederherstellung doch ausgeschaltet.

Hier ist das Log von Avira:
Code:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\System Volume Information\_restore{4FE8F9E4-6F98-4846-A823-7B6A05720E8C}\RP229\A0048013.exe'
C:\System Volume Information\_restore{4FE8F9E4-6F98-4846-A823-7B6A05720E8C}\RP229\A0048013.exe
  [FUND]      Ist das Trojanische Pferd TR/Kryptik.jfx.29

Beginne mit der Desinfektion:
C:\System Volume Information\_restore{4FE8F9E4-6F98-4846-A823-7B6A05720E8C}\RP229\A0048013.exe
  [FUND]      Ist das Trojanische Pferd TR/Kryptik.jfx.29
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '53ff4678.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 16. August 2012  14:07
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    58 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    57 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise


Die Suchergebnisse werden an den Guard übermittelt.
Bis dann,
Nicomedian

Hi cosinus,

ich glaube, das ist deswegen passiert, weil ich die Systemwiederherstellung schon wieder eingeschaltet hatte, bevor ich die Dateien aus dem OTL-MovedFiles-Verzeichnis gelöscht habe. Dann wurde wahrscheinlich ein Systemprüfpunkt erstellt und die infizierte Datei wurde gleich wieder gesichert.

Ciao
Nicomedian

cosinus 16.08.2012 14:10
mach bitte neue Vollscan mit Malwarebytes und ESET
Ich glaube aber nur, dass das irgendwelche Überreste sind

Nicomedian 18.08.2012 09:50
Hi there!

Malwarebytes hat jedenfalls nichts gefunden. Hier ist das Logfile:
Code:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.17.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
M**s :: ATHLON_X4_630 [Administrator]

17.08.2012 20:00:42
mbam-log-2012-08-17 (20-00-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|F:\|G:\|L:\|M:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 562999
Laufzeit: 1 Stunde(n), 56 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Ciao
Nicomedian

Hi there!

Und hier ist das Log von ESET:
Code:
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d61e7d6fbf0d6d4abe5057cd62df928e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-18 02:02:52
# local_time=2012-08-18 04:02:52 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777191 100 0 17412076 17412076 0 0
# compatibility_mode=8192 67108863 100 0 2746999 2746999 0 0
# scanned=373192
# found=1
# cleaned=0
# scan_time=16401
L:\Backup\Downloads\ps_radio2012.exe        a variant of Win32/Adware.ADON application (unable to clean)        00000000000000000000000000000000        I
Bis dann,
Nicomedian

cosinus 04.09.2012 19:21
Das sind keine relevanten Funde gewesen
Was ist jetzt noch an Problemen überhaupt offen?

Nicomedian 07.09.2012 14:58
Hi there!

Zitat:
Zitat von cosinus
Das sind keine relevanten Funde gewesen
Was ist jetzt noch an Problemen überhaupt offen?
Wenn das kein Virus war, überhaupt nix mehr. Vielen Dank für deine Hilfe!

Nicomedian

P.S. Das mit der Codepage habe ich leider immer noch nicht gefixt bekommen.

cosinus 10.09.2012 13:33
Zur codepage weiß ich leider auch nichts, vllt hilft Google weiter

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Mit Hilfe von OTL kannst du auch viele Tools entfernen:

Starte bitte OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.


Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks => Adobe Flash Player Distribution | Adobe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:37 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131