|
Postbank 20 Tans-Phishing-Overlay Hallo TB-Team! Nach über zwei Jahrzehnten ohne Probleme hat es mich jetzt auch mal erwischt. Nach dem Öffnen einer PDF vor ein paar Tagen ist der Explorer abgeschmiert, nach einem Systemneustart war das System plötzlich langsamer als sonst. Heute kam beim Einloggen auf der Postbank Onlinebankingseite plötzlich ein Overlay mit der 20 Tans-Aufforderung, sowohl im IE als auch im Firefox auf meiner Workstation. Auf meinem Laptop tritt das Problem nicht auf, also schließe ich einen gecrackten Router schonmal weitesgehend aus. Bevor ich die Anleitung mit load.exe befolgt habe, hatte ich schonmal mit Malwarebytes und SuperAntiSpyware gescannt, hier zunächst deren Logs. Malwarebytes Zitat:
Zitat:
Dann habe ich eure Seite gefunden und load.exe ausgeführt und die Anleitung befolgt. Dabei ist tfc.exe beim ersten mal abgestürzt, hat die Arbeit beim zweiten mal starten aber erfolgreich beendet. Die Logs befinden sich aus Platzgründen im Anhang. Ich hoffe ihr könnt mir weiterhelfen. Danke für jegliche Mühe im Voraus! Gruß Heiko |
Zitat:
Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
Hallo und danke. ^^ Ich habe noch zwei Vollscans, einer von heute Mittag, und einer von gerade ebenn ach erneutem Update. Erstaunlicherweise hat der erste Vollscan sehr viel weniger Objekte untersucht ?! Zitat:
Zitat:
|
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
OTL ist durch, mit folgendem Output nach dem Neustart: Zitat:
|
Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Unhide war nicht nötig. Den TDSSKiller hatte ich heute schonmal laufen, hier das Log vom ersten Durchlauf: Zitat:
Zitat:
|
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Guten Abend! Ich habe das Gefühl, ComboFix läuft nicht durch. Ich habs gegen 15:00 Uhr gestartet, bis jetzt sind nur zwei Fertiggestellt-Meldungen aufgetaucht (Stufe 1 und 2) ... wie lange kann sowas dauern? Ist schon der zweite Versuch, das Programm laufen zu lassen, beim ersten Mal dachte ich, es hat sich weggehängt, weil nach über 2 Stunden überhaupt nichts kam, und der Prozessor und sämtliche Ressourcen waren komplett "still", genauso wie jetzt wieder. Was soll ich tun? |
Das Problem saß wie so oft vor dem Bildschirm, hab an alles gedacht, außer das Deaktivieren der Firewall... :daumenrunter: Hier das ComboFix-Log: Zitat:
|
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hier die Logs von GMER und OSAM: GMER Logfile: Code: GMER 1.0.15.15570 - hxxp://www.gmer.netOSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0 |
... und hier das Log von MBRCheck: MBRCheck, version 1.2.3 (c) 2010, AD Command-line: Windows Version: Windows Vista Business Edition Windows Information: Service Pack 2 (build 6002), 32-bit Base Board Manufacturer: ASUSTeK Computer INC. BIOS Manufacturer: American Megatrends Inc. System Manufacturer: System manufacturer System Product Name: P5K SE Logical Drives Mask: 0x000000fc Kernel Drivers (total 157): 0x82650000 \SystemRoot\system32\ntkrnlpa.exe 0x8261D000 \SystemRoot\system32\hal.dll 0x80403000 \SystemRoot\system32\kdcom.dll 0x8040A000 \SystemRoot\system32\mcupdate_GenuineIntel.dll 0x8047A000 \SystemRoot\system32\PSHED.dll 0x8048B000 \SystemRoot\system32\BOOTVID.dll 0x80493000 \SystemRoot\system32\CLFS.SYS 0x804D4000 \SystemRoot\system32\CI.dll 0x80606000 \SystemRoot\system32\drivers\Wdf01000.sys 0x80682000 \SystemRoot\system32\drivers\WDFLDR.SYS 0x8068F000 \SystemRoot\system32\drivers\acpi.sys 0x806D5000 \SystemRoot\system32\drivers\WMILIB.SYS 0x806DE000 \SystemRoot\system32\drivers\msisadrv.sys 0x806E6000 \SystemRoot\system32\drivers\pci.sys 0x8070D000 \SystemRoot\System32\drivers\partmgr.sys 0x8071C000 \SystemRoot\system32\drivers\volmgr.sys 0x8072B000 \SystemRoot\System32\drivers\volmgrx.sys 0x80775000 \SystemRoot\system32\drivers\pciide.sys 0x8077C000 \SystemRoot\system32\drivers\PCIIDEX.SYS 0x8078A000 \SystemRoot\System32\drivers\mountmgr.sys 0x8079A000 \SystemRoot\System32\drivers\sfsync02.sys 0x807A3000 \SystemRoot\system32\drivers\atapi.sys 0x807AB000 \SystemRoot\system32\drivers\ataport.SYS 0x807C9000 \SystemRoot\system32\DRIVERS\mv61xx.sys 0x805B4000 \SystemRoot\system32\DRIVERS\SCSIPORT.SYS 0x83004000 \SystemRoot\system32\drivers\fltmgr.sys 0x83036000 \SystemRoot\system32\drivers\fileinfo.sys 0x83046000 \SystemRoot\System32\Drivers\ksecdd.sys 0x830B7000 \SystemRoot\system32\drivers\ndis.sys 0x831C2000 \SystemRoot\system32\drivers\msrpc.sys 0x83208000 \SystemRoot\system32\drivers\NETIO.SYS 0x83243000 \SystemRoot\System32\drivers\tcpip.sys 0x83330000 \SystemRoot\System32\drivers\fwpkclnt.sys 0x8334B000 \SystemRoot\system32\DRIVERS\timntr.sys 0x8B40B000 \SystemRoot\System32\Drivers\Ntfs.sys 0x8B51B000 \SystemRoot\system32\drivers\volsnap.sys 0x8B554000 \SystemRoot\System32\Drivers\spldr.sys 0x8B55C000 \SystemRoot\system32\speedfan.sys 0x8B55E000 \SystemRoot\system32\DRIVERS\snapman.sys 0x8B579000 \SystemRoot\System32\drivers\sfhlp02.sys 0x8B581000 \SystemRoot\System32\drivers\sfdrv01.sys 0x8B594000 \SystemRoot\System32\Drivers\mup.sys 0x8B5A3000 \SystemRoot\system32\giveio.sys 0x8B5A4000 \SystemRoot\System32\drivers\ecache.sys 0x8B5CB000 \SystemRoot\system32\drivers\disk.sys 0x8B5DC000 \SystemRoot\system32\drivers\CLASSPNP.SYS 0x8B400000 \SystemRoot\system32\drivers\crcdisk.sys 0x833CB000 \SystemRoot\system32\DRIVERS\tunmp.sys 0x833D4000 \SystemRoot\system32\DRIVERS\intelppm.sys 0x8FE0B000 \SystemRoot\system32\DRIVERS\nvlddmkm.sys 0x907A8000 \SystemRoot\system32\DRIVERS\nvBridge.kmd 0x8FA01000 \SystemRoot\System32\drivers\dxgkrnl.sys 0x8FAA1000 \SystemRoot\System32\drivers\watchdog.sys 0x8FAAD000 \SystemRoot\system32\DRIVERS\usbuhci.sys 0x8FAB8000 \SystemRoot\system32\DRIVERS\USBPORT.SYS 0x8FAF6000 \SystemRoot\system32\DRIVERS\usbehci.sys 0x8FB05000 \SystemRoot\system32\DRIVERS\HDAudBus.sys 0x8FB92000 \SystemRoot\System32\Drivers\cdrbsdrv.SYS 0x8FB9B000 \SystemRoot\system32\DRIVERS\cdrom.sys 0x8FBB3000 \SystemRoot\system32\DRIVERS\l160x86.sys 0x8FBC2000 \SystemRoot\system32\DRIVERS\ASACPI.sys 0x8FBCA000 \SystemRoot\system32\DRIVERS\serial.sys 0x8FBE4000 \SystemRoot\system32\DRIVERS\serenum.sys 0x907AA000 \SystemRoot\system32\DRIVERS\i8042prt.sys 0x8FBEE000 \SystemRoot\system32\DRIVERS\kbdclass.sys 0x907BD000 \SystemRoot\system32\DRIVERS\msiscsi.sys 0x90C07000 \SystemRoot\system32\DRIVERS\storport.sys 0x90C48000 \SystemRoot\system32\DRIVERS\TDI.SYS 0x90C53000 \SystemRoot\system32\DRIVERS\rasl2tp.sys 0x90C6A000 \SystemRoot\system32\DRIVERS\ndistapi.sys 0x90C75000 \SystemRoot\system32\DRIVERS\ndiswan.sys 0x90C98000 \SystemRoot\system32\DRIVERS\raspppoe.sys 0x90CA7000 \SystemRoot\system32\DRIVERS\raspptp.sys 0x90CBB000 \SystemRoot\system32\DRIVERS\rassstp.sys 0x90CD0000 \SystemRoot\system32\DRIVERS\rdpdr.sys 0x90D59000 \SystemRoot\system32\DRIVERS\termdd.sys 0x90D69000 \SystemRoot\system32\DRIVERS\mouclass.sys 0x90D74000 \SystemRoot\system32\DRIVERS\swenum.sys 0x90D76000 \SystemRoot\system32\DRIVERS\ks.sys 0x90DA0000 \SystemRoot\system32\DRIVERS\mssmbios.sys 0x90DAA000 \SystemRoot\system32\DRIVERS\umbus.sys 0x90DB7000 \SystemRoot\system32\DRIVERS\usbhub.sys 0x90DEC000 \SystemRoot\System32\Drivers\NDProxy.SYS 0x90E01000 \SystemRoot\system32\drivers\RTKVHDA.sys 0x9100F000 \SystemRoot\system32\drivers\portcls.sys 0x9103C000 \SystemRoot\system32\drivers\drmk.sys 0x91061000 \SystemRoot\system32\DRIVERS\MpFilter.sys 0x91088000 \SystemRoot\System32\Drivers\Fs_Rec.SYS 0x91091000 \SystemRoot\System32\Drivers\Null.SYS 0x91098000 \SystemRoot\System32\Drivers\Beep.SYS 0x910A8000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS 0x910AF000 \SystemRoot\System32\drivers\vga.sys 0x910BB000 \SystemRoot\System32\drivers\VIDEOPRT.SYS 0x910DC000 \SystemRoot\System32\DRIVERS\RDPCDD.sys 0x910E4000 \SystemRoot\system32\drivers\rdpencdd.sys 0x910EC000 \SystemRoot\System32\Drivers\Msfs.SYS 0x910F7000 \SystemRoot\System32\Drivers\Npfs.SYS 0x91105000 \SystemRoot\System32\DRIVERS\rasacd.sys 0x9110E000 \SystemRoot\system32\DRIVERS\tdx.sys 0x91124000 \SystemRoot\system32\DRIVERS\hidusb.sys 0x9112D000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS 0x9113D000 \SystemRoot\system32\DRIVERS\USBD.SYS 0x9113F000 \SystemRoot\system32\DRIVERS\mouhid.sys 0x91147000 \SystemRoot\system32\DRIVERS\smb.sys 0x9115B000 \SystemRoot\system32\drivers\afd.sys 0x911A3000 \SystemRoot\System32\DRIVERS\netbt.sys 0x911D5000 \SystemRoot\system32\DRIVERS\pacer.sys 0x911EB000 \SystemRoot\system32\DRIVERS\netbios.sys 0x907EC000 \SystemRoot\system32\DRIVERS\wanarp.sys 0x805DA000 \??\E:\superantispyware\SASKUTIL.SYS 0x911F9000 \??\E:\superantispyware\SASDIFSV.SYS 0x9180C000 \SystemRoot\system32\DRIVERS\rdbss.sys 0x91848000 \SystemRoot\system32\drivers\nsiproxy.sys 0x91852000 \SystemRoot\system32\drivers\csc.sys 0x918AD000 \SystemRoot\System32\Drivers\dfsc.sys 0x918C4000 \SystemRoot\system32\drivers\AsIO.sys 0x918C6000 \SystemRoot\System32\Drivers\crashdmp.sys 0x918D3000 \SystemRoot\System32\Drivers\dump_dumpata.sys 0x918DE000 \SystemRoot\System32\Drivers\dump_atapi.sys 0x9D0D0000 \SystemRoot\System32\win32k.sys 0x918E6000 \SystemRoot\System32\drivers\Dxapi.sys 0x918F0000 \SystemRoot\system32\DRIVERS\monitor.sys 0x9D2F0000 \SystemRoot\System32\TSDDD.dll 0x9D310000 \SystemRoot\System32\cdd.dll 0x9D320000 \SystemRoot\System32\ATMFD.DLL 0x918FF000 \SystemRoot\system32\drivers\luafv.sys 0x9191A000 \??\C:\Windows\system32\drivers\acedrv01.sys 0x91975000 \??\C:\Windows\system32\drivers\acedrv02.sys 0x80C09000 \??\C:\Windows\system32\drivers\acedrv03.sys 0x80C68000 \??\C:\Windows\system32\drivers\acedrv04.sys 0x80CC7000 \??\C:\Windows\system32\drivers\acedrv05.sys 0x80D26000 \??\C:\Windows\system32\drivers\acedrv06.sys 0x80D86000 \??\C:\Windows\system32\drivers\acedrv07.sys 0x80E0D000 \??\C:\Windows\system32\drivers\ACEDRV09.sys 0x80E70000 \SystemRoot\system32\DRIVERS\tifsfilt.sys 0x80E80000 \SystemRoot\system32\drivers\spsys.sys 0x80F30000 \SystemRoot\system32\DRIVERS\lltdio.sys 0x80F40000 \SystemRoot\system32\DRIVERS\rspndr.sys 0x80F53000 \SystemRoot\system32\DRIVERS\asyncmac.sys 0x80F5C000 \SystemRoot\system32\drivers\HTTP.sys 0x80FC9000 \SystemRoot\System32\DRIVERS\srvnet.sys 0x80FE6000 \SystemRoot\system32\DRIVERS\bowser.sys 0x80DE8000 \SystemRoot\System32\drivers\mpsdrv.sys 0x919D4000 \SystemRoot\system32\drivers\mrxdav.sys 0x833AB000 \SystemRoot\system32\DRIVERS\mrxsmb.sys 0xA4A0C000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys 0xA4A45000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys 0xA4A5D000 \SystemRoot\System32\DRIVERS\srv2.sys 0xA4A85000 \SystemRoot\System32\DRIVERS\srv.sys 0xA4AD4000 \SystemRoot\system32\drivers\peauth.sys 0xA4BB2000 \SystemRoot\System32\Drivers\secdrv.SYS 0xA4BBC000 \SystemRoot\System32\drivers\tcpipreg.sys 0xA4BC8000 \SystemRoot\system32\DRIVERS\cdfs.sys 0xA4BDE000 \SystemRoot\system32\DRIVERS\MpNWMon.sys 0xA4BFA000 \??\C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{D466CA8F-55D8-4E08-AAB7-DDF418803F41}\MpKsl1d162cca.sys 0x833E3000 \??\C:\Users\Heiko\AppData\Local\Temp\uxldypow.sys 0x77980000 \Windows\System32\ntdll.dll Processes (total 50): 0 System Idle Process 4 System 568 C:\Windows\System32\smss.exe 700 csrss.exe 748 C:\Windows\System32\wininit.exe 760 csrss.exe 792 C:\Windows\System32\services.exe 808 C:\Windows\System32\lsass.exe 816 C:\Windows\System32\lsm.exe 984 C:\Windows\System32\winlogon.exe 1012 C:\Windows\System32\svchost.exe 1056 C:\Windows\System32\nvvsvc.exe 1084 C:\Windows\System32\svchost.exe 1136 C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe 1276 C:\Windows\System32\svchost.exe 1304 C:\Windows\System32\svchost.exe 1364 C:\Windows\System32\svchost.exe 1468 C:\Windows\System32\audiodg.exe 1496 C:\Windows\System32\svchost.exe 1548 C:\Windows\System32\SLsvc.exe 1604 C:\Windows\System32\svchost.exe 1692 C:\Program Files\NVIDIA Corporation\Display\NvXDSync.exe 1704 C:\Windows\System32\nvvsvc.exe 1836 C:\Windows\System32\svchost.exe 424 C:\Windows\System32\spoolsv.exe 656 C:\Windows\System32\svchost.exe 1584 C:\Windows\System32\taskeng.exe 2052 C:\Windows\System32\dwm.exe 2116 C:\Windows\System32\taskeng.exe 2248 C:\Program Files\ASUS\AASP\1.00.40\aaCenter.exe 2360 C:\Windows\RtHDVCpl.exe 2392 C:\Program Files\Microsoft Security Client\msseces.exe 2600 C:\Windows\explorer.exe 2628 C:\Windows\System32\bgsvcgen.exe 2676 C:\Program Files\Canon\DIAS\CnxDIAS.exe 2888 C:\Windows\System32\svchost.exe 2960 C:\Windows\System32\svchost.exe 2992 C:\Windows\System32\SearchIndexer.exe 3176 E:\Spybot - Search & Destroy\SDWinSec.exe 3448 C:\Windows\System32\taskeng.exe 3800 C:\Windows\System32\wbem\unsecapp.exe 3820 WmiPrvSE.exe 3116 C:\Windows\System32\svchost.exe 2820 C:\Program Files\Common Files\microsoft shared\ink\InputPersonalization.exe 3924 C:\Program Files\Internet Explorer\ieuser.exe 3228 C:\Program Files\Internet Explorer\iexplore.exe 2492 C:\Windows\System32\Macromed\Flash\FlashUtil10i_ActiveX.exe 1940 C:\Windows\System32\SearchProtocolHost.exe 2228 C:\Windows\System32\SearchFilterHost.exe 4028 C:\Users\Heiko\Desktop\MBRCheck.exe \\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000 (NTFS) \\.\E: --> \\.\PhysicalDrive0 at offset 0x00000019`00100000 (NTFS) \\.\F: --> \\.\PhysicalDrive0 at offset 0x00000032`00100000 (NTFS) \\.\G: --> \\.\PhysicalDrive0 at offset 0x0000004b`00200000 (NTFS) \\.\H: --> \\.\PhysicalDrive0 at offset 0x00000069`00300000 (NTFS) PhysicalDrive0 Model Number: SAMSUNGHD501LJ, Rev: CR100-10 Size Device Name MBR Status -------------------------------------------- 465 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected SHA1: 8DF43F2BDE2D9451948FA14B5279969C777A7979 Done! |
Zitat:
|
Der Treiber ist laut OSAM runter vom System, das Overlay kommt noch immer. Hier das Log nach dem Neustart: OSAM Logfile: Code: Report of OSAM: Autorun Manager v5.0.11926.0If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru |
Zitat:
|
Sowohl im IE als auch im soeben frisch installierten FF... EDIT: Habe soeben von Ashampoo.com eine Mail bekommen, zumindest weiß ich jetzt, wie die an meine Mailadresse gekommen sind... :stirn: Zitat:
Exakt diese Email von PurelyGadgets habe ich bekommen... |
Hier die Infos zur pdf selbst: hxxp://www.virustotal.com/file-scan/report.html?id=e6413b226f18f1832cacab266bebeccbe7948a613fc27a3d302283a51e938713-1302905111 System neu aufsetzen? Scheint sich schon tief eingebuddelt zu haben das Mistvieh. |
Und diese LayerAds im Browser haben genau was mit den Mails von Ashampoo zu tun? Hast du über Software vonAshampoo installiert? |
Hallo Arne... Zitat:
Unabhängig davon, gibt es noch etwas, das ich probieren könnte? Mittlerweile werden auf dem befallenen System Downloads aktiv ausgebremst und Avira ist z.B. nicht in der Lage, das Onlineupdate zu ziehen. Seh ich das richtig, das dieses Overlay nur von einem aktiven und versteckten Prozess kommen kann, bzw. ggf. auch ein infizierter systemeigener Prozess, der von den Scannern als vertrauenswürdig eingestuft wird? Neu aufsetzen wäre wohl das vernünftigste, oder? Reicht es dabei die System- und die Programme-Partition zu löschen und neu anzulegen, oder sollte ich besser meine Datenpartitionen ebenfalls neu anlegen? Die Daten würde ich auf eine USB-HDD ziehen, sollte ich dabei unbedingt etwas beachten, an das ich gerade nicht denke? |
Irgendwie hast du meine Frage noch nicht richtig beantwortet. Aber kannst du eh sein lassen, wenn du formatieren willst... |
Du hast Recht, den lezten Schritt habe ich vergessen: Das Overlay ist aufgetreten, nachdem ich die verseuchte PDF aus der gefakten PurelyGadgets-Mail geöffnet habe, die scheinbar an die vom Ashampoo-Server geklauten Emailadressen geschickt worden ist. Oder meintest du eine andere Frage? Du hast dich schon viel mit meinem Problem beschäftigt, dafür möchte ich danke sagen. Siehst du noch eine Möglichkeit, die am Formatieren vorbei führt? Wo könnte das Overlay seinen Ursprung haben? Ich verstehe nicht, wie es auch im frisch installierten FF sofort auftauchen kann. Wie ist das möglich? |
Ist das Overlay denn nur beim Firefox da? Wenn ja, erstell mal ein neues Profil im Firefox. Den FF neu zu installieren bringt nichts. |
Ach die Frage meintest du. Die hab ich bereits im Post nach deiner Frage beantwortet. ;) Zitat:
|
Poste nochmal frische OTL-Logs. |
Sie bestellen, wir liefern prompt... |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
Mir ist noch was aufgefallen: taskeng.exe ist zweimal gestartet, ist das im Rahmen des Möglichen bei einem nicht infizierten System? Hier das OTL-Log: All processes killed ========== OTL ========== C:\ProgramData\REPORTS folder moved successfully. C:\ProgramData\LOGFILES folder moved successfully. C:\ProgramData\INFECTED folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults\preferences folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\defaults folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\chrome folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} folder moved successfully. C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions folder moved successfully. Folder C:\Users\Heiko\AppData\Roaming\Mozilla\Firefox\Profiles\iqzg3l1y.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Advlib deleted successfully. C:\Users\Heiko\AppData\Roaming\Dvdpack\modfree.exe moved successfully. C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780}\en-us folder moved successfully. C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780}\de-de folder moved successfully. C:\Users\Heiko\AppData\Local\temp\{B0A56E8F-7013-456A-9623-3118C6DE9780} folder moved successfully. C:\Users\Heiko\AppData\Local\temp\WPDNSE folder moved successfully. C:\Users\Heiko\AppData\Local\temp\Low folder moved successfully. C:\Users\Heiko\AppData\Local\temp folder moved successfully. ========== COMMANDS ========== C:\Windows\System32\drivers\etc\Hosts moved successfully. HOSTS file reset successfully [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Heiko ->Temporary Internet Files folder emptied: 4907195 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 12988501 bytes ->Flash cache emptied: 456 bytes User: Public ->Temp folder emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 2115372 bytes RecycleBin emptied: 270479 bytes Total Files Cleaned = 19,00 mb OTL by OldTimer - Version 3.2.22.3 log created on 04222011_124915 Files\Folders moved on Reboot... File\Folder C:\Users\Heiko\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\VEU39YWB\ads[1].htm not found! Registry entries deleted on Reboot... |
taskeng sollte ok sein => taskeng.exe Windows Prozess - Was ist das? Sind die Overlays im Browser noch da? Windows hastdu neu gestartet? |
Windows habe ich durchgestartet, ja. Das Overlay ist weg, in beiden Browsern. OSAM hat allerdings schon wieder uxldypow.sys gefunden: uxldypow C:\Users\Heiko\AppData\Local\Temp\uxldypow.sys Was mich auch etwas wundert: In der Dienstliste wird der getPlusHelper angezeigt, das Modul kann aber nicht gefunden werden und der übliche Adobe-Pfad (C:/Programme/NOS) ist auch nicht vorhanden. Eine Datenleiche? |
Zitat:
Zitat:
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Ok, heißt das, das System ist -theoretisch- sauber? Wie würdest du als nächstes vorgehen? EDIT: Vergiss den Post, hatte noch keinen Kaffee heute... Logs kommen... |
Hier endlich die Logs. |
Sieht ok aus, da wurden nur Cookies gefunden. Noch Probleme oder weitere Funde in der Zwischenzeit? |
Nein, das System läuft wieder gewohnt schnell, sämtliche Scanner finden nichts (außer der einen OSAM-Meldung zu uxldypow.sys) und auch das Overlay ist nicht mehr aufgetaucht. Das mulmige Gefühl bleibt allerdings. Ich möchte mich vielmals für deine Unterstützung bedanken! |
Zitat:
Ansonsten wären wir dann durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board