Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Startfenster.com Trojaner - Windows 8 (https://www.trojaner-board.de/127122-startfenster-com-trojaner-windows-8-a.html)

feeltb 17.11.2012 02:25
Startfenster.com Trojaner - Windows 8
 
Hallo!

So wie es aussieht habe ich mir den Startfenster-Trojaner eingefangen.

Habe mich schon hier im Forum informiert und lasse gerade Malwarebytes durchlaufen. Wollte nachfragen, ob ich im Anschluss schon direkt einen weiteren Scan durchführen soll (OTL hab ich öfters gelesen?!).

Die Logs folgen :-)

Kleine Randinfo: Benutze Windows 8 und Chrome.

Schon einmal vielen Dank!


Hier die Malwarebytes-Log:
Zitat:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.16.11

Windows 7 x64 NTFS
Internet Explorer 9.10.9200.16420
Tom :: TOM-LENOVO [Administrator]

Schutz: Aktiviert

17.11.2012 01:59:13
mbam-log-2012-11-17 (01-59-13).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 400462
Laufzeit: 36 Minute(n), 44 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Tom\AppData\Local\Temp\msimg32.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
*Weiterer EDIT*
Malwarebytes erforderte einen Neustart, wodurch Chrome wieder erneut gestartet wurde und "Startfenster" erneut zu sehen war.
Problem? Muss ich Malwarebytes erneut durchführen?!

ryder 17.11.2012 11:00
Bitte das hier lesen. LINK

Gib mir bescheid, wenn das nichts hilft.

feeltb 17.11.2012 11:43
Danke für die Antwort :)

Hat leider nicht geholfen. In Chrome steht "www.google.de" als Startseite, wobei trotzdem immer Startfenster beim Start von Chrome geöffnet wird :(

ryder 17.11.2012 11:44
:hallo:

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.
Zitat:
Lesestoff:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:
  • Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort).
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf oder das Logfile ist zu gross. Erschwert mir nämlich das auswerten.
  • Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
  • Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
  • Eine Bitte: Mache bitte solange mit, bis ich oder ein anderer Helfer dir mitteilt, dass du "sauber" bist. Das gebietet alleine schon die Höflichkeit und ein Verschwinden der Symptome bedeutet nicht, dass die Schädlinge auch wirklich alle entfernt wurden.
  • Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Wenn du das alles gelesen und verstanden hast, kannst du loslegen! :kloppen:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
  • Stelle folgendes ein:
    • Haken bei "Alle Benutzer scannen" und "Inklusive 64bit Scans"
    • Ausgabe: Minimal
    • Benutze SafeList in jedem Feld.
    • Haken bei "Benutze Hersteller-Whitelist"
    • Dateien erstellt und verändert innerhalb Datei-Alter
    • Haken bei LOP Prüfung und Purity Prüfung
  • Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Code:
activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.exe
%PROGRAMFILES(X86)%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /10
%appdata%\*.
%appdata%\*.*
%appdata%\*.exe /s
%localappdata%\*.
%localappdata%\*.*
%localappdata%\*.exe /s
%allusersprofile%\*.
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

feeltb 17.11.2012 12:24
Super, danke. Hier die Log-Dateien im Archiv, da die Zeichen zu lang waren :)

ryder 17.11.2012 13:24
Viel ist es nicht ...

Fix mit OTL

Zitat:
Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.
Code:

:OTL
IE - HKU\S-1-5-21-2841636142-1428987068-3686150223-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.startfenster.com


:commands
[Emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
  • Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein! :kaffee:

feeltb 17.11.2012 13:48
Super.. Hier die Log...

Nur zur Info: Beim öffnen des Chrome erscheint immernoch die Startfenster-Seite :(
(Weiss ja nicht, ob Startfenster mit diesem Schritt schon gelöscht werden sollte :))

Code:
All processes killed
========== OTL ==========
HKU\S-1-5-21-2841636142-1428987068-3686150223-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: Tom
->Temp folder emptied: 2320721229 bytes
->Temporary Internet Files folder emptied: 103928519 bytes
->Google Chrome cache emptied: 130420105 bytes
->Flash cache emptied: 5321187 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 77097734 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 93487 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 2.515,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11172012_134227

Files\Folders moved on Reboot...
C:\Users\Tom\AppData\Local\Temp\winstore.log moved successfully.
C:\Users\Tom\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{98571729-1B39-4E53-8201-7AAE60147C40}.tmp moved successfully.
C:\Users\Tom\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

ryder 17.11.2012 13:52
In deinem Logfile steht nichts mehr davon. Ichnehme an du hast dir den infizierten VLCPlayer geladen? Diesen bitte deinstallieren und von der richtigen Quelle laden.
VideoLAN - Official page for VLC media player, the Open Source video framework!

MAche zwischenzeitlich:

AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

feeltb 17.11.2012 14:05
Genau richtig. Anscheinend über den VLC Player eingefangen. Hab den jetzt gelöscht und adwcleaner laufen lassen.

Beim Starten von Chrome kam nun nicht mehr die Startfenster-Seite :-) Sau geil.. schon einmal vielen Dank.

Hier die ADWCLEANER-Logfile:

Code:
# AdwCleaner v2.007 - Datei am 17/11/2012 um 13:56:48 erstellt
# Aktualisiert am 06/11/2012 von Xplode
# Betriebssystem : Windows 8 Pro  (64 bits)
# Benutzer : Tom - TOM-LENOVO
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Tom\Downloads\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\ProgramData\blekko toolbars
Ordner Gelöscht : C:\Users\Tom\AppData\Roaming\pdfforge

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

***** [Internet Browser] *****

-\\ Internet Explorer v9.10.9200.16420

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v23.0.1271.64

Datei : C:\Users\Tom\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [893 octets] - [17/11/2012 13:56:48]

########## EOF - C:\AdwCleaner[S1].txt - [952 octets] ##########

ryder 17.11.2012 14:08
Alles klar, dann bitte ...

Scan mit Combofix
Zitat:
WARNUNG:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!
Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

feeltb 17.11.2012 14:14
Ich bekomme beim Start von ComboFix folgende Fehlermeldung:

Zitat:
The operating system is not supported!
ComboFix only runs on:

* Windows XP (32 bit)
* Windows Vista (32/64 bit)
* Windows 7 (32/64 bit)

Windows 2000 is no longer supported
Ich benutze Windows 8 64 bit :-/
Soll ich es im Kompatibilitätsmodus starten oder gibt es eine Alternative? :)

ryder 17.11.2012 14:21
Windows 8 ist für sich schon ein Problem ... aber sei es drum.

Dann bitte so:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
  • Stelle folgendes ein:
    • Haken bei "Alle Benutzer scannen" und "Inklusive 64bit Scans"
    • Ausgabe: Minimal
    • Benutze SafeList in jedem Feld.
    • Haken bei "Benutze Hersteller-Whitelist"
    • Dateien erstellt und verändert innerhalb Datei-Alter
    • Haken bei LOP Prüfung und Purity Prüfung
  • Kopiere nun den Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
Code:
activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
%SYSTEMDRIVE%\*.
%SYSTEMDRIVE%\*.*
%PROGRAMFILES%\*.exe
%PROGRAMFILES(X86)%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /10
%appdata%\*.
%appdata%\*.*
%appdata%\*.exe /s
%localappdata%\*.
%localappdata%\*.*
%localappdata%\*.exe /s
%allusersprofile%\*.
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread (möglichst in CODE-Tags)

feeltb 17.11.2012 14:34
Startfenster ist "wieder da" bzw "war nie weg" :(

Hier die Logs:

ryder 17.11.2012 14:36
Falsches Logfile.

feeltb 17.11.2012 14:37
sorry ... verklickt ^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:06 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131