Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfiles von Live Security Platinum Trojaner mit Rootkit.0Access Befall (https://www.trojaner-board.de/119567-logfiles-live-security-platinum-trojaner-rootkit-0access-befall.html)

95oktan 15.07.2012 17:35
Logfiles von Live Security Platinum Trojaner mit Rootkit.0Access Befall
 
Hallo liebe Helfer und Hilfesuchende,

ich habe mir vor über einer Woche den Live Security Platinum Trojaner beim Surfen im WWW auf meinem Netbook eingefangen. Betriebssystem Win XP 32bit Home Edition Servicepack 3. Nach Recherche im Netz auf Eure tolle Seite gestoßen und mit Hilfe von Malwarebytes den Trojaner gefunden. Aber so wie es Aussieht leider nicht von der Festplatte bekommen. Es taucht jetzt nach der Bereinigung via Malwarebytes ein Rootkit.0Access Trojaner(?) auf. Im Anhang (wenn ich das hinbekomme) findet Ihr die Logfiles von Malwarebytes, meinen überforderten AVIRA und OTL. Auf diesem Rechner führe ich auch mein Onlinebanking aus.

Hier ddas Logfile von Malwarebytes:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.04.06

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 6.0.2900.5512
Holger & Katja :: KATJA [Administrator]

04.07.2012 20:23:08
mbam-log-2012-07-04 (20-23-08).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 240485
Laufzeit: 25 Minute(n), 57 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Aqasnoihb (Spyware.Zbot.CF) -> Daten: "C:\Dokumente und Einstellungen\Holger & Katja\Anwendungsdaten\Vegak\kiame.exe" -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|F4D55F026C476C6A000067FBD151FC84 (Trojan.Lameshield) -> Daten: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F4D55F026C476C6A000067FBD151FC84\F4D55F026C476C6A000067FBD151FC84.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Bösartig: (\\.\globalroot\systemroot\Installer\{4056f123-225d-2679-315b-8f351e9eaa2c}\n.) Gut: (wbemess.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 10
C:\Dokumente und Einstellungen\Holger & Katja\Anwendungsdaten\Vegak\kiame.exe (Spyware.Zbot.CF) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\F4D55F026C476C6A000067FBD151FC84\F4D55F026C476C6A000067FBD151FC84.exe (Trojan.Lameshield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Holger & Katja\Lokale Einstellungen\Anwendungsdaten\{4056f123-225d-2679-315b-8f351e9eaa2c}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\Dokumente und Einstellungen\Holger & Katja\Lokale Einstellungen\Temp\tmpd32d59fc.exe (Spyware.Zbot.CF) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Holger & Katja\Lokale Einstellungen\Temp\~!#20.tmp (Spyware.Zbot.CF) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Holger & Katja\Lokale Einstellungen\Temp\tmpfeaee2f4\new.exe (Spyware.Zbot.CF) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\WINDOWS\Installer\{4056f123-225d-2679-315b-8f351e9eaa2c}\n (Trojan.Dropper.PE4) -> Löschen bei Neustart.
C:\WINDOWS\Installer\{4056f123-225d-2679-315b-8f351e9eaa2c}\U\800000cb.@ (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Holger & Katja\Lokale Einstellungen\Temp\wpbt0.dll (Exploit.Drop.GS) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Holger & Katja\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Die restlichen Logs hänge ich als Datei an. Mein Freeware AVIRA hat die Trojaner nur Scheibchenweise gefunden und an dem Abend des Befalls bestimmt 10 oder mehr Logfiles erstellt die ich jetzt nicht alle Hochlade.

Gruß

95oktan

Swisstreasure 15.07.2012 21:50
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem dieser Download-Spiegel herunter:

BleepingComputer - ForoSpyware

* Wichtig !! Speichere ComboFix auf dem Desktop
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppelklicke auf die ComboFix.exe und folge den Anweisungen.
  • ComboFix wird schauen, ob die Microsoft-Windows-Wiederherstellungskonsole installiert ist. Dies ist Teil des Prozesses. Angesichts der Art von Malware Infizierungen, die es heute gibt, wird dringend empfohlen, diese Wiederherstellungskonsole auf dem PC installiert zu haben, bevor jegliche Reinigung von Malware durchgeführt wird.
  • Folge den Anweisungen, um ComboFix das Herunterladen und Installieren der Wiederherstellungskonsole zu ermöglichen und stimme dem Lizenzvertrag (EULA) zu, sobald Du dazu aufgefordert wirst.
**Zur Information: Sollte die Wiederherstellungskonsole schon installiert sein, so wird ComboFix seine Malware-Entfernungsprozedur normal fortfahren.

http://i94.photobucket.com/albums/l8...eWHKonsole.jpg

Sobald die Wiederherstellungskonsole durch ComboFix installiert wurde, solltest Du folgende Nachricht sehen:

http://i94.photobucket.com/albums/l8...nstalliert.jpg

Klicke "Ja", um mit dem Suchlauf nach Malware fortzufahren.

Wenn ComboFix fertig ist, wird es ein Log erstellen. Bitte füge die C:\ComboFix.txt Deiner nächsten Antwort bei.

95oktan 16.07.2012 18:26
Hallo Swiss,

erst einmal herzlichen Dank für die schnelle Hilfe zu meinem Problem.
Ich glaube die einzig richtige Entscheidung in meinem Fall ist der sichere Weg über die Formatierung der Festplatte und dann das System neu aufsetzen.
Eine Frage noch zur Datenrettung. Kann ich Bedenkenlos meine Fotos. Dokumente, Musik und mein Outlook Psd File sichern und später wieder in das neu aufgesetzte Betriebssystem einfügen oder soll ich die Datensicherung mit einem von Euch empfohlenen Tool bearbeiten.

:crazy:Gruss 95oktan

Swisstreasure 16.07.2012 22:58
Du kannst alle nichtausführbaren Dateien sichern und wieder auf das neue System laden.

95oktan 17.07.2012 09:02
Danke für die Antwort. Dann werde ich mal zusehen das ich mein Netbook baldmöglichst formatiere und neu aufsetze. Ist glücklicherweise nur der Couchrechner. Ich habe auf jedenfall gelernt, dank Eurem ehrenamtlichen Einsatz hier im Netz, das ich nicht mit Adminrechten durch die Welt surfen sollte und man die ein oder andere Einstellung im BS & Browser überdenken muss. Hast Du noch ein Tipp für mich bezüglich Firewall & Antivirenprogramm. Bis jetzt habe ich die Freewareversion von Antivir und die COMODO Firewall auf meinem System.
Dann will ich auch nicht länger deine kostbare Zeit in Anspruch nehmen, denn es gibt bestimmt noch mehr User auf Eurem Board die Deine Hilfe dringender benötigen als ich. Ich bedanke mich ganz herzlich bei Dir und nochmal ein großes Lob an das ganze Trojaner Board Team.

:singsing:Gruss 95oktan

Swisstreasure 17.07.2012 12:39
Halte Dich an diese Anleitung:
http://www.trojaner-board.de/51262-a...sicherung.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:39 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131