Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte Log-file überprüfen / Trojaner-Befall (https://www.trojaner-board.de/58824-bitte-log-file-ueberpruefen-trojaner-befall.html)

Gargamel 30.08.2008 13:16

Bitte Log-file überprüfen / Trojaner-Befall
 
Hallo,

ich habe mir letzte Woche auf meinem Laptop einen Trojaner eingefangen (ZLOB). Der hat dann auch gleich angefangen mit div. Meldungen über Spyware die man sich runterladen soll usw. Auch der Internet-Explorer hatte einen Security Balken mehr. Dieses Problem haben wohl viele wie ich hier nachlesen konnte. Habe mir dann mit den vielen Tips hier selbstgeholfen
(Hoffentlich war das kein Fehler :lach:)

Vorab noch was anderes:
Beim CCleaner (den ich auf anraten vieler user hier gedownloadet habe)
bringt er in der Registry nach der Fehlerbehebung immer wieder gleich einen
neuen Fehler. Ist das was schlimmes hier?

-Fehlender TypeLib Verweis IWinPwdSvc - {BD726167-A7B6-48d7-BC7F-165855EDF956} HKCR\Interface\{C0282E26-E060-44c9-B0FF-1AC71180D653}

Fehler wird immer behoben kommt dann aber gleich wieder.



Jetzt aber zum Trojaner

Smitfraudfix wurde hier als mittel angegeben. welches ich dann auch versucht habe und für meine ansicht auch erfolgreich war (habe darüber leider kein protokoll o.ä.).

malwarebytes hat folgendes gefunden und in die Quarantäne gesteckt:
Anbieter: Search.Hijack
Kategorie: Registry Key
Objekte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302}

mein scanner (norton security online (ja ja ich weiss, der soll nicht so besonders sein, war aber schon drauf)) meldet überhaupt nichts.

Eigentlich funktioniert die Kiste auch wieder. Ich wollte hier nur mal mein Log-File zur kontrolle posten. Bin mir immer unsicherer geworden nachdem was man da so alles im netz liest. nicht dass sich da noch irgendwas irgendwo versteckt hat.


Vielen Dank schon mal im voraus für die Auswertung

Ich hoffe ich hab alles richtig gemacht


Gruß

myrtille 31.08.2008 00:50

Hi,

das Smitfraudfixlog findest du unter C:\rapport.txt und wenn es da noch liegt, würde mich der Inhalt durchaus interessieren. :D

Zu der Meldung von Ccleaner:
Zitat:

-Fehlender TypeLib Verweis IWinPwdSvc - {BD726167-A7B6-48d7-BC7F-165855EDF956} HKCR\Interface\{C0282E26-E060-44c9-B0FF-1AC71180D653}
habe ich folgendes gefunden:

Der Eintrag wird offenbar von Norton erstellt, damit der Eintrag nicht so leicht von Malware gefunden werden kann, wird er nicht "richtig" verarbeitet.
Das heißt allerdings auch, dass der Eintrag für CCleaner defekt wirkt, weswegen dieser ihn löschen will.

Dein Hijackthislog sieht sauber aus.

lg myrtille

Gargamel 31.08.2008 10:23

Hallo,

:dankeschoen: für die Auswertung. Da fühl ich mich schon viel besser.

Natürlich hast du recht und das Log ist am entsprechendem Platz noch da.
(ist anbei)

Ihr leistet hier wirklich gute Arbeit. Hab hier in den letzten drei Tagen viel
dazugelernt in dem ich mich durchs Forum las.


Eine Frage hätt ich da aber noch:
Ein Problem das wohl auch andere haben, wozu ich aber noch keine Lösung gefunden habe ist, daß im Task-Manager Prozesse laufen die ständig die CPU-Auslastung in die Höhe treiben. Hängt glaub ich auch mit LiveUpdate zusammen. Wie z.B.:
StCenter.exe
AppSvc32.exe
aber auch Lucallback und Lucoms~.exe

Die aktivieren sich wie sie gerade wollen. Mal nach 4-5 std. dann mal wieder nur schon nach 30min. wieder.

Ist es richtig, daß das alles irgendwie mit dem Norton Online Security (Symantec) zu tun hat?
Bzw. kann man das LiveUpdate irgendwie einstellen?

Falls ja hat sich das erledigt, da ich mir was anderes suchen werde (Vorschläge werden gerne angenommen). Ist aber noch bis Ende vom Jahr in meinem Vertrag. Die Kaspersky Software soll ja ganz gut sein?


Grüße

myrtille 31.08.2008 11:21

Hi,

folgende Dateien gehören zu Symantec:
Zitat:

AppSvc32.exe
aber auch Lucallback und Lucoms~.exe
Letztere gehören zum Update, die erste scheint mit dem Scanvorgang selbst zusammenzuhängen.
Schau mal ob es hilft wenn du unter den Einstellungen folgende Optionen findest und deaktivierst(genaue Anleitung kann ich nicht geben, da ich das Programm nie gesehen hab):
  • Scanne laufende Programme und Autostarteinträge (sollte unter Einstellungen->Erweitert->Allgemeine Einstellungen->manuelle Scans zu finden sein)
  • Quickscan nach Update durchführen (sollte unter Erweitert-> LiveUpdate-> Allgemeine Einstellungen zu finden sein)

Die Datei
Zitat:

StCenter.exe
gehört zu Fritz!DSL StartCenter.
Das ist auch ein Programm, das man nicht wirklich braucht. Du kannst es einfach deinstallieren, wenn du nicht regelmäßig nutzt.
Vorraussetzung ist, du weißt wie du mit einem Browser auf deinen Router zugreifen kannst.

Wenn du Norton deinstallieren willst, benutzt bitte das Removalprogramm von Norton: Link
Kaspersky ist sicherlich eine sehr gute Alternative, aber auch kostenlose Programme, etwa Antivir, leisten gute Arbeit.
Die Entscheidung liegt da bei dir. :)

lg myrtille

Gargamel 31.08.2008 17:24

Na dann ist ja alles bestens. Nachdem du zum Smitfraud-Log keine Aussgae machst, geh ich davon aus, daß alles i. O. ist.


Manchmal sieht man vor lauter Wald die Bäume nicht. Hab nach deiner Antwort die Einstellungen für Live-Update usw. gefunden und n bissle
was geändert. Werd das die Tage mal beobachten wie es sich verhält.


Besten Dank nochmal für deine Hilfe. Werde die Seite jedem weiterempfehlen. :daumenhoc

(Bei weiteren Problemen bin ich einfach so frei und meld mich wieder)

Grüsse
Stefan

myrtille 31.08.2008 17:29

Heya,

ja, das Smitfraudfix war "in Ordnung", bzw für mich war interessant welche Art von Befall es gewesen ist, da je nach Typ, ein wenig Nachbearbeitung notwendig ist. ;)
Das Log sieht aber gut aus, so wie es ist und die anderen Logs haben ja auch nichts Bedenkliches ergeben.

lg myrtille

Gargamel 31.08.2008 18:01

Alles klar.

Anscheinend soll es ja keine dummen Fragen geben, aber, hehe,
es tauchen grad immer wieder zweifel auf.

1. hier steht immer wieder man soll gewisse dinge im abgesicherten Modus tun. Wie kommt man denn da bei nem laptop rein? Habs mit F8 versucht, hat aber ned geklappt. Und kann es sein, daß da sich dann doch noch was vertseckt hat deswegen? d.h. alle Vorgänge wurden im Normal Modus getätigt.
2. Spyhunter von Enigma - gut oder böse? Hatte ich mal aufm System.

Grüssle

Gargamel 01.09.2008 18:02

??????????

myrtille 01.09.2008 20:29

Hi,

sorry ich bin keine Maschine. Komm grad von der Arbeit und bin fix und fertig.

1a. Im abgesicherten Modus starten nur die nötigsten Programme, das heißt Dateien sind in der Regel leichter zu löschen, weil sie nicht benutzt werden. Das ist allerdings längst nicht bei allen Trojaner/Viren/Wasacuhimmer der Fall, einige können sich auch im abgesicherten Modus starten.
Den abgesicherten Modus findest du in der Regel mit F8, gelegentlich auch F2 oder anderen Tasten. Zum einen sollte die Taste kurz nach dem Bios erwähnt werden, etwa "Hit F2 to enter setup" oder so ähnlich, zum andern dürfte eine Googlesuche mit dem Namen deines Laptops und "abgesicherter Modus" sicherlich zum Ziel führen.

1b. Das ist in der Tat möglich, allerdings meldet Smitfraudfix, dass die Datei gelöscht wurde und sie war auch in den anderen Logs nicht mehr vorhanden, von daher, dneke ich, sollte das kein Problem sein.

2. Spyhunter ist für seine dubiosen Werbemethoden bekannt. Je nach Vorgeschichte und Scanner wird das Programm als bösartig oder nicht erkannt.
Soweit ich weiß installiert es jedoch keine Malware und in deinem Log sind auch keine Überreste zu erkennen. Daher denk ich sollte das in Orndung sein.
lg myrtille


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131