Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Online-Banking Trojaner - Aufforderung zur TAN-Eingabe (https://www.trojaner-board.de/137014-online-banking-trojaner-aufforderung-tan-eingabe.html)

cosinus 28.06.2013 00:00
Nu Reste :)

Sieht soweit ok aus :daumenhoc

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

Tini85 29.06.2013 16:02
Hi,

soweit war alles gut. Kaum waren wir heut wieder im Netz kam wieder Alarm - Spy-Ware:

Code:



Avira Free Antivirus
Erstellungsdatum der Reportdatei: Samstag, 29. Juni 2013  11:59

Es wird nach 4939736 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira Free Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Home Premium
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus    : Normal gebootet
Benutzername  : SYSTEM
Computername  : TINI-PC

Versionsinformationen:
BUILD.DAT      : 12.1.9.1236    40872 Bytes  11.10.2012 15:29:00
AVSCAN.EXE    : 12.3.0.48    468256 Bytes  14.11.2012 17:40:36
AVSCAN.DLL    : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL      : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.17    232200 Bytes  25.06.2012 15:41:25
VBASE000.VDF  : 7.11.70.0  66736640 Bytes  04.04.2013 13:06:14
VBASE001.VDF  : 7.11.74.226  2201600 Bytes  30.04.2013 11:51:39
VBASE002.VDF  : 7.11.80.60  2751488 Bytes  28.05.2013 19:07:44
VBASE003.VDF  : 7.11.85.214  2162688 Bytes  21.06.2013 11:54:47
VBASE004.VDF  : 7.11.85.215    2048 Bytes  21.06.2013 11:54:47
VBASE005.VDF  : 7.11.85.216    2048 Bytes  21.06.2013 11:54:47
VBASE006.VDF  : 7.11.85.217    2048 Bytes  21.06.2013 11:54:47
VBASE007.VDF  : 7.11.85.218    2048 Bytes  21.06.2013 11:54:48
VBASE008.VDF  : 7.11.85.219    2048 Bytes  21.06.2013 11:54:48
VBASE009.VDF  : 7.11.85.220    2048 Bytes  21.06.2013 11:54:48
VBASE010.VDF  : 7.11.85.221    2048 Bytes  21.06.2013 11:54:48
VBASE011.VDF  : 7.11.85.222    2048 Bytes  21.06.2013 11:54:48
VBASE012.VDF  : 7.11.85.223    2048 Bytes  21.06.2013 11:54:48
VBASE013.VDF  : 7.11.85.224    2048 Bytes  21.06.2013 11:54:48
VBASE014.VDF  : 7.11.86.93    870400 Bytes  24.06.2013 15:50:12
VBASE015.VDF  : 7.11.86.223  331776 Bytes  25.06.2013 15:50:13
VBASE016.VDF  : 7.11.87.67    204800 Bytes  27.06.2013 15:50:13
VBASE017.VDF  : 7.11.87.68      2048 Bytes  27.06.2013 15:50:13
VBASE018.VDF  : 7.11.87.69      2048 Bytes  27.06.2013 15:50:13
VBASE019.VDF  : 7.11.87.70      2048 Bytes  27.06.2013 15:50:13
VBASE020.VDF  : 7.11.87.71      2048 Bytes  27.06.2013 15:50:13
VBASE021.VDF  : 7.11.87.72      2048 Bytes  27.06.2013 15:50:13
VBASE022.VDF  : 7.11.87.73      2048 Bytes  27.06.2013 15:50:13
VBASE023.VDF  : 7.11.87.74      2048 Bytes  27.06.2013 15:50:13
VBASE024.VDF  : 7.11.87.75      2048 Bytes  27.06.2013 15:50:13
VBASE025.VDF  : 7.11.87.76      2048 Bytes  27.06.2013 15:50:13
VBASE026.VDF  : 7.11.87.77      2048 Bytes  27.06.2013 15:50:13
VBASE027.VDF  : 7.11.87.78      2048 Bytes  27.06.2013 15:50:14
VBASE028.VDF  : 7.11.87.79      2048 Bytes  27.06.2013 15:50:14
VBASE029.VDF  : 7.11.87.80      2048 Bytes  27.06.2013 15:50:14
VBASE030.VDF  : 7.11.87.81      2048 Bytes  27.06.2013 15:50:14
VBASE031.VDF  : 7.11.87.146  144384 Bytes  28.06.2013 15:50:15
Engineversion  : 8.2.12.68
AEVDF.DLL      : 8.1.3.4      102774 Bytes  13.06.2013 18:38:13
AESCRIPT.DLL  : 8.1.4.126    483710 Bytes  27.06.2013 15:50:48
AESCN.DLL      : 8.1.10.4      131446 Bytes  27.03.2013 07:58:40
AESBX.DLL      : 8.2.5.12      606578 Bytes  25.06.2012 15:41:24
AERDL.DLL      : 8.2.0.128    688504 Bytes  13.06.2013 18:38:13
AEPACK.DLL    : 8.3.2.24      749945 Bytes  21.06.2013 11:54:59
AEOFFICE.DLL  : 8.1.2.60      205181 Bytes  21.06.2013 11:54:58
AEHEUR.DLL    : 8.1.4.436    5964154 Bytes  27.06.2013 15:50:44
AEHELP.DLL    : 8.1.27.4      266617 Bytes  27.06.2013 15:50:19
AEGEN.DLL      : 8.1.7.6      442742 Bytes  27.06.2013 15:50:17
AEEXP.DLL      : 8.4.0.34      201079 Bytes  04.06.2013 19:28:20
AEEMU.DLL      : 8.1.3.2      393587 Bytes  11.07.2012 17:08:10
AECORE.DLL    : 8.1.31.6      201081 Bytes  27.06.2013 15:50:16
AEBB.DLL      : 8.1.1.4        53619 Bytes  07.11.2012 18:27:42
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL    : 12.3.0.32      50720 Bytes  14.11.2012 17:40:35
AVREP.DLL      : 12.3.0.15    179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL    : 12.3.0.33    209696 Bytes  14.11.2012 17:40:33
AVEVTLOG.DLL  : 12.3.0.15    169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1      398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL    : 12.3.0.32      63480 Bytes  08.08.2012 09:59:15
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.31    4444408 Bytes  08.08.2012 09:59:01
RCTEXT.DLL    : 12.3.0.32      98848 Bytes  14.11.2012 17:40:19

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: AVGuardAsyncScan
Konfigurationsdatei...................: C:\ProgramData\Avira\AntiVir Desktop\TEMP\AVGUARD_51ceacd0\guard_slideup.avp
Protokollierung.......................: vollständig
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen..........: 0x08000000
Erweiterte Sucheinstellungen..........: 0x00300002

Beginn des Suchlaufs: Samstag, 29. Juni 2013  11:59

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Internet Explorer\iexplore.exe>
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Internet Explorer\iexplore.exe>
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <c:\program files (x86)\Avira\antivir desktop\avscan.exe>
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe>
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqbam08.exe>
Durchsuche Prozess 'hpqSTE08.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqste08.exe>
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Winamp\winampa.exe>
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe>
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe>
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\HP Software Update\hpwuSchd2.exe>
Durchsuche Prozess 'EgisUpdate.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\EgisTec Egis Software Update\EgisUpdate.exe>
Durchsuche Prozess 'HotkeyUtility.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Acer\Hotkey Utility\HotkeyUtility.exe>
Durchsuche Prozess 'BackupManagerTray.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe>
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\HP\Digital Imaging\bin\hpqtra08.exe>
Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe>
Durchsuche Prozess 'mwlDaemon.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe>
Durchsuche Prozess 'UpdaterService.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files\Acer\Acer Updater\UpdaterService.exe>
Durchsuche Prozess 'PnkBstrB.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\PnkBstrB.exe>
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\PnkBstrA.exe>
Durchsuche Prozess 'IScheduleSvc.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe>
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Windows\SysWOW64\svchost.exe>
Durchsuche Prozess 'GregHSRW.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Acer\Registration\GregHSRW.exe>
Durchsuche Prozess 'ColorZillaStatsUpdater.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Users\Tini\AppData\LocalLow\ColorZillaStats\IE\ColorZillaStatsUpdater.exe>
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe>
Durchsuche Prozess 'armsvc.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe>
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
  Modul ist OK -> <C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe>

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\Uzetcy\lupi.exe'
C:\Users\Tini\AppData\Roaming\Uzetcy\
  lupi.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.ZBot.dns
    [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Apgefazoak> wurde erfolgreich repariert.
    [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Apgefazoak> wurde erfolgreich repariert.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '57871002.qua' verschoben!
Beginne mit der Suche in 'C:\Users\Tini\AppData\Roaming\ie_util.exe'
C:\Users\Tini\AppData\Roaming\
  ie_util.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Dofoil.B
    [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
    [HINWEIS]  Der Registrierungseintrag <HKEY_USERS\S-1-5-21-2530952963-1679920213-838338584-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IExplorer Util> wurde erfolgreich repariert.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4f033fb5.qua' verschoben!


Ende des Suchlaufs: Samstag, 29. Juni 2013  11:59
Benötigte Zeit: 00:29 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
    28 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
    26 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      2 Hinweise


Ansonsten haben wir im Explorer jetzt so gut wie alles geblockt. Mal schauen, obs wirkt :-)

Wie kommen denn ständig neue Spy-Trojaner auf unseren Rechner? Wir bewegen uns nun echt nur auf "normalen" Internetseiten.... :-(

Gruß,

Tini

cosinus 30.06.2013 01:01

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
:Files
C:\Users\Tini\AppData\Roaming\Uzetcy
C:\Users\Tini\AppData\Roaming\ie_util.exe
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Tini85 01.07.2013 20:02
Hallo Cosinus,

anbei das aktuelle Protokoll von OTL:


Code:

All processes killed
========== FILES ==========
C:\Users\Tini\AppData\Roaming\Uzetcy folder moved successfully.
File\Folder C:\Users\Tini\AppData\Roaming\ie_util.exe not found.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Tini\Desktop\cmd.bat deleted successfully.
C:\Users\Tini\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 165838 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36099829 bytes
RecycleBin emptied: 9435 bytes
 
Total Files Cleaned = 35,00 mb
 
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!
 
OTL by OldTimer - Version 3.2.69.0 log created on 07012013_204303

Files\Folders moved on Reboot...
C:\Windows\System32\drivers\etc\Hosts moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Ich hatte zusätzlich noch solche Tracking-Schutz-Listen aktiviert - aber irgendwie geht kaum noch was - viele Sachen kann ich nicht öffnen, bei verschiedenen Anbietern kann ich mich nicht mehr einloggen. User und Passwort gebe ich jeweils an, aber es kommt immer wieder die Anmeldeseite, als ob ich nichts eingegeben hätte. Ist das normal?
Gleiches passiert, wenn ich die Listen wieder rauslösche und kein Tr.-Schutz aktiviert ist.

Und könntest du dir vielleicht mal eine unserer Homepages anschauen? Z. B. www.ferienwohnung-am-inselsee.de - da warnt neuerdings google vor der Öffnung der Seite und lässt mich nicht mehr rauf... :-(
Ich habe für alle Fälle alles vom Server geschmissen und neu raufgeladen, aber ohne Erfolg...

Ich weiß auch nicht, was hier los ist...alles fängt an zu spinnen, das müsste doch mal ein Ende haben oder?!? :killpc:
Langsam verzweifeln wir :-(


Gruß Tini

cosinus 01.07.2013 22:39
Mach bitte neue Kontrollscans mit MBAM und ESET


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:42 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131