Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Säuberungsaktion der searchresults-toolbar (https://www.trojaner-board.de/137271-saeuberungsaktion-searchresults-toolbar.html)

KHN 27.06.2013 11:00
Säuberungsaktion der searchresults-toolbar
 
Ich habe heute ein Problem mit einem PC behandelt, bei dem der IE9 und Outlook mit folgenden Fehlermeldungen abstürzten:

IE9:

Zitat:
Name der fehlerhaften Anwendung: iexplore.exe, Version: 8.0.7600.17267, Zeitstempel: 0x51317269
Name des fehlerhaften Moduls: ntdll.dll, Version: 6.1.7600.16915, Zeitstempel: 0x4ec49d10
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00022262
ID des fehlerhaften Prozesses: 0x3d4
Startzeit der fehlerhaften Anwendung: 0x01ce72ff10ee72eb
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Internet Explorer\iexplore.exe
Pfad des fehlerhaften Moduls: C:\WINDOWS\SysWOW64\ntdll.dll
Berichtskennung: ba6fbcd6-def3-11e2-a516-889ffae9d355
Outlook:

Zitat:
Name der fehlerhaften Anwendung: OUTLOOK.EXE, Version: 14.0.6131.5000, Zeitstempel: 0x509b1020
Name des fehlerhaften Moduls: searchresultstb.dll_unloaded, Version: 0.0.0.0, Zeitstempel: 0x50b69ae6
Ausnahmecode: 0xc0000005
Fehleroffset: 0x58ac32c3
ID des fehlerhaften Prozesses: 0x1974
Startzeit der fehlerhaften Anwendung: 0x01ce723e76591a50
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Microsoft Office\Office14\OUTLOOK.EXE
Pfad des fehlerhaften Moduls: searchresultstb.dll
Berichtskennung: 1d100354-dee7-11e2-a516-889ffae9d355
Der Kunde erzählte mir, dass diese Probleme auftraten, seit er versucht hatte, einen Treiber/Programm für seinen Drucker herunterzuladen und sich eine Toolbar dabei eingefangen hatte. Das machte mich stutzig, insbesondere die .dll, die beim Outlook den Crash verursachte --> Die Toolbar heißt Search Results Toolbar.

Ich ließ also HJT über den PC laufen und konnte nur einen Eintrag in Bezug auf diese Toolbar finden, den ich löschte. Anhang: hijackthis.log
(Ich habe übrigens einige Einträge zensiert, da sie kundenrelevante Informationen beinhalten. Nehmts mir nicht übel ;) )

Ich deinstallierte die Toolbar anschließend über die Programmverwaltung und bereinigte den Internet Explorer manuell von den Rückständen.

Symantec Endpoint Protection fand nichts beim Quick Scan.

Dann ließ ich Malwarebytes durchlaufen, welches einen infektiösen Eintrag fand.
Anhang: mbam.log

Zuguterletzt, da Startseiten und URL-Leisten-Standardsuche immer noch durch o.g. Toolbar verändert waren, ließ ich den adwcleaner durchlaufen und fand eine Menge übrig gebliebener Registry-Einträge etc., die ich entfernte. Anschließend stellte ich bei den Browsern die Google-Standards wieder her und überprüfte, ob keine Addon-Reste übriggeblieben waren.

Ich vermute, dass das Problem damit gelöst ist, allerdings würde ich mich freuen, wenn ihr nochmals über meine Logs schaut, um eine Infektion des Systems auszuschließen, da ich nicht in Erfahrung bringen konnte, was der Kunde sich von wo genau heruntergeladen hatte.
Vielleicht hat jemand schon Erfahrung mit dieser "Toolbar" gesammelt, über Erfahrungsaustausch würde ich mich auch freuen.

Vielen Dank im Voraus

schrauber 27.06.2013 11:24
Hi,

Systemscan mit FRST
Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit
(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)
  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Poste mir die FRST.txt und nach dem ersten Scan auch die Addition.txt in deinem Thread (#-Symbol im Eingabefenster der Webseite anklicken)


So funktioniert es:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
http://www.trojaner-board.de/picture...&pictureid=307


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19