Trojaner eingefangen über Vodafone MMS Email
 

Hallo, leider war ich so dumm, eine Email mit Vodafone Absender zu öffnen und die angebliche MMS herunterzuladen. Ich habe einen MAC mit OSX Lion und habe über Parallels auch Windows XP in einer virtuellen Maschine am Laufen. Parallels hat sich nach dem Download automatisch hochgefahren und da dachte ich mir dann, dass hier etwas nicht stimmt. Ich habe dann Kaspersky aktualisiert und laufen lassen, der hat einen verbotenen Link gefunden. Eben habe ich Malwarebytes installiert und ein infiziertes Objekt gefunden. Hier ist die Logdatei, die ich der Beschreibung entsprechend kopiert habe:

Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.05.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: CLAUDIA6B1E [Administrator]

Schutz: Deaktiviert

06.11.2012 08:19:18
mbam-log-2012-11-06 (08-19-18).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 200942
Laufzeit: 3 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
c:\dokumente und einstellungen\all users\local settings\temp\msoyyb.com (Trojan.Downloader) -> Löschen bei Neustart.

(Ende)

Ist mein MAC auch in Gefahr oder nur meine XP Installation? Was muss ich tun, um wieder sicher arbeiten zu können? Ich traue mich kaum mehr, meinen Computer zu benutzen :-(

Für Eure Hilfe besten Dank im voraus!

Liebe Grüße
Claudia

Ich bin es noch mal. Nach der Bereinigung und ein einem erneuten Scan kam noch mal ein Trojaner zum Vorschein: Trojan.Agnent.

Ich habe diesen auch entfernen lassen und den Rechner neu gestartet. Alle danach durchgeführten Scans (Quick Scan und vollständiger Scan) ergaben keine infizierten Objekte mehr. Ist damit alles vorbei? Welche Gefahr geht von diesen Trojanern speziell aus? was sollte ich vermeiden zu tun, solange ich nicht sicher weiß, was Sache ist?

Danke, Danke, Danke schon mal.....

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
► Hilfeleistung - geplante Vorgehensweise:

• Problemsuche
• Problembeseitigung/Systembereinigung
• Verwendete Programme deinstallieren/entfernen
• Thema abschließen: Tipps zur Computersicherheit

Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
starte Malwarebytes Anti-Malware
-> Funde aus Quarantäne löschen
-> Update ziehen
-> Vollständiger Suchlauf wählen
-> Funde löschen lassen
-> Scanergebnis hier posten!
2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Mache Häckchen bei LOP- und Purity-Prüfung
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

• Download den CCleaner herunter
  
• Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
• starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
• ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

gruß
kira

Vielen Dank,

ein vollständiger Scan ergab noch folgendes Ergebnis:

Soll ich die dann aus der Quarantäne löschen? Und soll ich anschließend noch OTL downloaden? Natürlich habe ich jedes Mal, wenn ich diesem Forum antworte oder eine Software herunterlade, die Internetverbindung eingeschaltet.

Sind die festgestellten Infektionen nur für Windows gefährlich?

Liebe Grüße
Claudia

So - habe den OTL Scan nun noch gleich hinterher geschoben - hier die OTL.txt:

Leider habe ich keine extras.txt gefunden - komisch.

Jetzt versuche ich mich mal mit dem CCleaner. Muss ich die Dateien, die sich in Malwarebytes in Quarantäne befinden, löschen? - Melde mich gleich mit den CCleaner Ergebnissen....

Sorry - gerade habe ich die extras.txt gefunden :-) hier das Ergebnis:
OTL EXTRAS Logfile:
Error - 05.11.2012 17:49:48 | Computer Name = CLAUDIA6B1E | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
wurde angehalten.


< End of report >[/CODE]
--- --- ---

So - hier nun das Ergebnis des CCleaner Laufs:

Adobe Reader 9.5.1 - Deutsch Adobe Systems Incorporated 15.05.2012 124,00MB 9.5.1
Apple Application Support Apple Inc. 29.07.2010 44,51MB 1.3.1
Apple Software Update Apple Inc. 29.07.2010 2,16MB 2.1.1.116
Bonjour Apple Inc. 29.07.2010 1,06MB 2.0.2.0
CCleaner Piriform 24.10.2012 3.24
Google Chrome Google Inc. 08.11.2012 23.0.1271.64
Google Toolbar for Internet Explorer Google Inc. 20.07.2010 7.4.3230.2052
HP Image Zone Express Hewlett-Packard 29.07.2010 9,17MB 1.5.1.29
HP Imaging Device Functions 5.3 HP 30.07.2010 5.3
HP Solution Center & Imaging Support Tools 5.3 HP 30.07.2010 5.3
iTunes Apple Inc. 16.05.2012 56,65MB 7.3.0.54
Kaspersky Internet Security 2012 Kaspersky Lab 11.06.2012 12.0.0.374
Malwarebytes Anti-Malware Version 1.65.1.1000 Malwarebytes Corporation 06.11.2012 1.65.1.1000
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 01.08.2012 185,00MB 2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 16.05.2012 239,00MB 3.2.30729
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 16.05.2012
Microsoft Office Live Meeting 2007 Microsoft Corporation 19.11.2009 52,06MB 8.0.6362.143
Microsoft Visual C++ 2005 Redistributable Microsoft Corporation 18.11.2009 5,21MB 8.0.56336
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 Microsoft Corporation 20.07.2010 10,19MB 9.0.30729.4148
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 31.07.2010 2,67MB 4.20.9870.0
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 05.08.2010 2,77MB 4.20.9876.0
Parallels Internet Security Powered by Kaspersky Parallels, Inc. 08.11.2009 7.0.1.325
Parallels Keyboard Map - German with DeadKeys IT-Beratung Heike Bohm 19.11.2009 0,12MB 1.0.3.40
Parallels Tools Parallels Software International Inc 08.10.2012 21,26MB 7.0.15107
QuickTime Apple Computer, Inc. 16.05.2012 70,57MB 7.1.6.200
Safari Apple Inc. 29.07.2010 41,23MB 5.33.17.8
Windows Internet Explorer 8 Microsoft Corporation 08.11.2009 20090308.140743
Windows XP Service Pack 3 Microsoft Corporation 08.11.2009 20080414.031514
WiseConvert Toolbar WiseConvert 08.11.2012 6.9.0.16
WISO Mein Geld 2012 Professional Buhl Data Service GmbH 10.06.2012
WISO Steuer-Sparbuch 2011 Buhl Data Service GmbH 02.07.2011 18.00.6928

Wir kommen noch wieder darauf zurück

In den meisten Fällen betrifft Windows

Systembereinigung und Prüfung:

► Wenn Du nun alle Schritte erledigt hast, melde dich mit die gewünschten Ergebnisse zurück!
Nur bei Probleme inzwischen melden!

1.
Hast Du in Hosts - C:\Windows\System32\drivers\etc\hosts - eingetragen (also von dir absichtlich)? Wenn ja, warum?:
-> So können Sie die Hostdatei auf die Standardeinstellung zurücksetzen.

2.
Hast Du zur Zone Vertrauenswürdige Sites absichtlich hinzugefügt? einer Reihe der von dir besuchten Websites vollständig vertrauen?:
wenn nicht: -> Sicherheitszonen: Hinzufügen oder Entfernen von Websites.

3.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript also - nach dem "Code", alles was in der Codebox steht - (also beginnend mit :OTL und am Ende [emptytemp]), alles was in der Codebox steht (ohne "code"!) :

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Deinen Thread.

4.
Deinstalliere :
neue Version installieren:
->Adobe Reader
- Während der Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")

5.
Tipps - Der Internet Explorer von Microsoft gehört zur Grundausstattung unter Windows, somit wie alle andere installierte Software muss gepflegt werden! Auch bei Nicht-Verwendung!:
-> Tipps zu Internet Explorer
-> Standard Suchmaschine des Explorers ändern
-> Ändern oder Auswählen eines Suchanbieters in Internet Explorer 7/8
-> Wie kann ich den Cache im Internet Explorer leeren?

6.
Alle Programme/Fenster schliessen
reinige dein System mit CCleaner:

• "CCleaner"→ "Analysieren"→ Klick auf den Button "Start CCleaner"
• "Registry""Fehler suchen"→ "Fehler beheben"→ "Alle beheben"
• Starte dein System neu auf

7.
Vorbereitung

• Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
• Bitte während der Online-Scans deaktivieren:
  Anti-Virus-Programm und Firewall.
• Internet Explorer starten => im Menü unter Extras => Internetoption => Datenschutz => den Haken bei "Popupblocker einschalten" entfernen und
• unter dem Reiter "Sicherheit" => die Sicherheitsstufe ggfs. auf "Mittelhoch" herabsetzen.
  Nicht vergessen, sie hinterher wieder einzuschalten bzw. die Internetoptionen wie zuvor einzustellen..
• Während der Online-Scans auf andere Online-Aktivitäten verzichten.
• Du musst das Herunterladen und Installieren von ActiveX-Steuerelementen (Controls) zulassen.
• 
  http://image.hijackthis.eu/upload/activex1.jpg
  .

Den PC NUR online scannen und NICHT ein zweites Antivirenprogramm installieren!!!

• Eset Online Scanner (NOD32)
  • Unterstützte Betriebssysteme: Microsoft Windows 7 - Vista - XP - 2000 - NT.
  • Anmerkung für Vista und Windows 7-User: Bitte den Browser unbedingt als Administrator starten.
  • Dein Anti-Virus-Programm während des Scans deaktivieren.
  • Button "ESET Online Scanner" drücken.
  • IE-User müssen das Installieren eines ActiveX Elements erlauben.
  • Einen Haken bei "YES, I accept the Terms of Use." machen und auf den Button "Start" drücken.
  • Einen Haken bei "Remove found threads" und "Scan archives" machen.
  • Start drücken.
  • Signaturen werden heruntergeladen.
  • Der Scan beginnt automatisch.
  • Wenn fertig, das Protokoll speichern und mir posten.
    -> List of found threats
    -> Export to text file
    -> Back
    -> Delete quarantäne files
  • Finish drücken.
  • Browser schließen.
  • Deinstallation nachdem das Protokoll mir gepostet hast: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

ansonsten sieht gut aus...
► berichte erneut über den Zustand des Computers. Ob noch Probleme auftreten, wenn ja, welche?

Edit:
die Schritte 1. und 2. kannst Du überspringen

Hallo Kira,

vielen Dank schon mal - hier meine Antowrten und Ergebnisse:

zu 1. natürlich habe ich nichts selbst in der hosts Datei geändert - habe das "Fix it" ausgeführt.

zu 2. Zu den Vertrauenswürdigen Sites kann ich leider auch nichts sagen - mir ist nichts bewusst. Ich habe allerdings bei Internetoptionen unter Sicherheit keine Sites gefunden, die ich aus einer Zone wieder hätte entfernen können. Die Felder waren alle leer. Hier habe ich also nichts tun können. Habe lediglich alle Zonen auf Standardeinstellungen zurückgesetzt.

zu 3. Fix mit OTL habe ich nach Anleitung erledigt - nun hängt OTL aber schon lange im Stadium "Creating log file" - also kein OK Button und kein Neustart bisher. was nun?

Liebe Grüße
:confused:

Ich habe allerdings meinen Beitrag (Posting #4) dahin gehend editiert, zwar die Schritte 1. und 2. solltest überspringen, nämlich für dein VM werden gebraucht
aber merkwürdiger-, seltsamerweise mein Beitrag ist verschwunden...:confused:

entweder wieder 0.0.0.0 psf sowie 0.0.0.0 .psf der Hostsfile hinzufügen und auch psf/.psf den Trusted Zones hinzufügen, aber am besten:
die VM einfach auf einen früheren Snapshot zurück zu laden.

danach bitte erneut einen Scan mit OTL machen:

• Doppelklick auf die OTL.exe
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Oben findest Du ein Kästchen mit Ausgabe.
  Wähle bitte Standard-Ausgabe
• Unter Extra-Registrierung wähle bitte Benutze SafeList.
• Mache Häckchen bei LOP- und Purity-Prüfung.
• Klicke nun auf Scan links oben.
• Wenn der Scan beendet wurde werden zwei Logfiles erstellt.
  Du findest die Logfiles auf Deinem Desktop => OTL.txt und Extras.txt
• Poste die Logfiles in Code-Tags hier in den Thread.

Hallo Kira,

leider habe ich keine Ahnung, wie man die Hostsfile ändert und ich habe auch keinen Snapshot erstellt. Wusste nicht mal, dass es so etwas gibt. Wie bekomme ich die Änderungen idiotensicher wieder rein?

Liebe Grüße

Wenn du dich nicht traust, einfach einen früheren -> Snapshot laden.

Hallo Kira,
Ich habe leider keinen Snapshot erstellt:-(

das System auf einen Zeitpunkt zurücksetzen:
zwischen 08.11.2012 03:59 und 03:03 08.11.2012, 06:37
- Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt,oder mal bestimmte Probleme (Problem mit Update, Treiber) bekommt man auch gelöst, was man sogleich ausprobieren sollte:
► Ein Versuch ist es Wert:
Gibt es einen "relativ einfachen Weg",wenn eine frische Infektion vorliegt, oder mal bestimmte Probleme bekommt man auch gelöst, was man sogleich ausprobieren sollte. Dies bietet Dir die Möglichkeit, Systemänderungen am Computer ohne Auswirkung auf persönliche Dateien, wie z. B. E-Mails, Dokumente oder Fotos, rückgängig zu machen.
-> Systemwiederherstellung
► Bitte wähle das älteste verfügbare Datum für die Wiederherstellung von Windows aus, wo dein Rechner noch einwandfrei funktioniert hat!

• Du musst dich als Administrator oder als Benutzer mit Administratorrechten anmelden.
• Die Systemwiederherstellung lässt sich unter Windows Vista/XP/7 wie folgt aufrufen:
• ► Start → Alle Programme → Zubehör → Systemprogramme → Systemwiederherstellung

->Eine Schritt-für-Schritt-Anleitung zum Einsatz der Systemwiederherstellung unter Windows XP
(Kannst noch immer bis zum heutigen Zeitpunkt rückgängig machen, falls liefert nicht das gewünschte Ergebnis)
► berichte mir auch, ob die SWH funktioniert hat, bzw ob Du das System auf einen früheren Wiederherstellungspunkt zurückstellen können?

Hallo Kira,

kann ich das nicht gleich auf den Zeitpunkt machen, zu dem ich mir den Trojaner eingefangen habe? Wäre damit das Problem behoben?

Liebe Grüße

Hallo Kira,

ich fasse es nicht - es gibt keine Wiederherstellungspunkte. Keine Ahnung, warum. Ich benutze das Windows System nur sporadisch, da ich es für nur ein Programm brauche. Ich habe die Systemwiederherstellung NICHT deaktiviert, es gibt auch fett gedruckte Tage, die ja angeblich besagen, dass einen Wiederherstellungspunkt dafür gibt. Dennoch kann ich keinen Tag auswählen, das System sagt mit immer, dass es zur Zeit keine Wiederherstellungspunkte gibt. :killpc:

versuche mal bitte noch im abgesicherten Modus:
PC neu starten
♦ Drücke bevor das Windows-Logo erscheint, mehrmals die F8-Taste.
♦ Wähle in der Liste, die nun erscheint, den abgesicherten Modus aus.

Hallo Kira,

das hat leider auch nicht geklappt - aber dank Erics Hilfe habe ich es (hoffentlich) geschafft und noch einen OTL Scan gefahren. Hier die Ergebnisse:

OTL.txt:
OTL Logfile:
--- --- ---
[/code]


Extras.txt:
OTL Logfile:
--- --- ---
[/code]

Stimmt jetzt wieder alles - wie geht es weiter .-)?

Liebe Grüße

berichte mir bitte welche Schritte bereits erledigt sind?:-> http://www.trojaner-board.de/126569-...tml#post952476

Hallo Kira,

Schritt 1 (Hosts Datei): ist hoffentlich wieder in den Ausgangsstand zurückgerudert

Schritt2 (Trusted Zones): Dazu hatte ich nichts zu ändern gefunden - ich hatte daran auch nichts gemacht - zumindest nicht wissentlich.

Schritt 3 (OTL Fix): erledigt, siehe meine Files, die ich vor einigen Stunden gepostet habe

Danach habe ich noch nichts unternommen, weil ich nicht sicher war, ob alles passt bis hierhin, nachdem wir an der Hosts Datei rumgedoktort haben. Im Extras.txt File waren auch so viele Fehlermeldungen, so dass ich Sorge hatte, einfach das volle Programm durchzuziehen....

Soll ich? :-):kaffee:

Liebe Grüße