Trojaner-Board
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "BKA/uKash"-Trojaner - Wie komplett beseitigen? (https://www.trojaner-board.de/98857-bka-ukash-trojaner-komplett-beseitigen.html)

Bystander 11.05.2011 20:30
Nein, ist gar nicht mehr langsam. Das hatte sich aber auch gestern abend schon erledigt (also nach Deinstallation von Norton, aber vor Anwendung von Norton Remover, siehe Post #21).
Trotzdem mit dem CCleaner in die Registry?

markusg 11.05.2011 20:39
nein, sorry hatte ich wohl übersehen.
also keine probleme mehr?

Bystander 11.05.2011 20:42
Macht ja nichts.
Soweit ich das einschätzen kann (also nicht sehr weit), läuft alles bestens. Wie kann ich sicher gehen?

Bystander 11.05.2011 21:12
Und wie soll ich dann in Sachen Java verfahren? Wo und wie runterladen? Und reichen Antivir/Malwarebytes/Firewall für die Sicherheit im Internet?

markusg 12.05.2011 16:22
erst mal folgendes:
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.

Bystander 12.05.2011 17:44
Also, keine Funde, hier ist der Log:

Code:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 12. Mai 2011  17:41

Es wird nach 2707717 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer  : Avira AntiVir Personal - FREE Antivirus
Seriennummer  : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus    : Normal gebootet
Benutzername  : *****
Computername  : *****-PC

Versionsinformationen:
BUILD.DAT      : 10.0.0.648          Bytes  01.04.2011 18:23:00
AVSCAN.EXE    : 10.0.4.2      442024 Bytes  02.05.2011 07:06:52
AVSCAN.DLL    : 10.0.3.0      56168 Bytes  10.01.2011 13:23:14
LUKE.DLL      : 10.0.3.2      104296 Bytes  10.01.2011 13:23:03
LUKERES.DLL    : 10.0.0.0      13672 Bytes  14.01.2010 10:59:47
VBASE000.VDF  : 7.10.0.0    19875328 Bytes  06.11.2009 00:07:37
VBASE001.VDF  : 7.11.0.0    13342208 Bytes  14.12.2010 22:35:31
VBASE002.VDF  : 7.11.3.0    1950720 Bytes  09.02.2011 19:05:06
VBASE003.VDF  : 7.11.5.225  1980416 Bytes  07.04.2011 07:49:50
VBASE004.VDF  : 7.11.5.226      2048 Bytes  07.04.2011 07:49:50
VBASE005.VDF  : 7.11.5.227      2048 Bytes  07.04.2011 07:49:50
VBASE006.VDF  : 7.11.5.228      2048 Bytes  07.04.2011 07:49:50
VBASE007.VDF  : 7.11.5.229      2048 Bytes  07.04.2011 07:49:50
VBASE008.VDF  : 7.11.5.230      2048 Bytes  07.04.2011 07:49:50
VBASE009.VDF  : 7.11.5.231      2048 Bytes  07.04.2011 07:49:50
VBASE010.VDF  : 7.11.5.232      2048 Bytes  07.04.2011 07:49:50
VBASE011.VDF  : 7.11.5.233      2048 Bytes  07.04.2011 07:49:50
VBASE012.VDF  : 7.11.5.234      2048 Bytes  07.04.2011 07:49:50
VBASE013.VDF  : 7.11.6.28    158208 Bytes  11.04.2011 07:49:51
VBASE014.VDF  : 7.11.6.74    116224 Bytes  13.04.2011 11:16:47
VBASE015.VDF  : 7.11.6.113    137728 Bytes  14.04.2011 11:16:47
VBASE016.VDF  : 7.11.6.150    146944 Bytes  18.04.2011 15:28:25
VBASE017.VDF  : 7.11.6.192    138240 Bytes  20.04.2011 15:28:26
VBASE018.VDF  : 7.11.6.237    156160 Bytes  22.04.2011 15:28:26
VBASE019.VDF  : 7.11.7.45    427520 Bytes  27.04.2011 07:06:52
VBASE020.VDF  : 7.11.7.64    192000 Bytes  28.04.2011 07:06:52
VBASE021.VDF  : 7.11.7.97    182272 Bytes  02.05.2011 18:29:01
VBASE022.VDF  : 7.11.7.127    467968 Bytes  04.05.2011 18:29:02
VBASE023.VDF  : 7.11.7.183    185856 Bytes  09.05.2011 18:29:02
VBASE024.VDF  : 7.11.7.184      2048 Bytes  09.05.2011 18:29:02
VBASE025.VDF  : 7.11.7.185      2048 Bytes  09.05.2011 18:29:02
VBASE026.VDF  : 7.11.7.186      2048 Bytes  09.05.2011 18:29:02
VBASE027.VDF  : 7.11.7.187      2048 Bytes  09.05.2011 18:29:02
VBASE028.VDF  : 7.11.7.188      2048 Bytes  09.05.2011 18:29:02
VBASE029.VDF  : 7.11.7.189      2048 Bytes  09.05.2011 18:29:03
VBASE030.VDF  : 7.11.7.190      2048 Bytes  09.05.2011 18:29:03
VBASE031.VDF  : 7.11.7.214    112128 Bytes  10.05.2011 17:00:31
Engineversion  : 8.2.4.228
AEVDF.DLL      : 8.1.2.1      106868 Bytes  30.07.2010 20:49:44
AESCRIPT.DLL  : 8.1.3.61    1253754 Bytes  09.05.2011 18:29:06
AESCN.DLL      : 8.1.7.2      127349 Bytes  22.11.2010 21:30:08
AESBX.DLL      : 8.1.3.2      254324 Bytes  22.11.2010 21:30:09
AERDL.DLL      : 8.1.9.9      639347 Bytes  28.03.2011 19:05:18
AEPACK.DLL    : 8.2.6.0      549237 Bytes  13.04.2011 07:49:56
AEOFFICE.DLL  : 8.1.1.22      205178 Bytes  09.05.2011 18:29:06
AEHEUR.DLL    : 8.1.2.113    3494263 Bytes  09.05.2011 18:29:05
AEHELP.DLL    : 8.1.16.1      246134 Bytes  28.03.2011 19:05:14
AEGEN.DLL      : 8.1.5.4      397684 Bytes  13.04.2011 07:49:53
AEEMU.DLL      : 8.1.3.0      393589 Bytes  22.11.2010 21:30:05
AECORE.DLL    : 8.1.20.2      196982 Bytes  13.04.2011 07:49:53
AEBB.DLL      : 8.1.1.0        53618 Bytes  23.04.2010 21:32:32
AVWINLL.DLL    : 10.0.0.0      19304 Bytes  10.01.2011 13:22:56
AVPREF.DLL    : 10.0.0.0      44904 Bytes  10.01.2011 13:22:55
AVREP.DLL      : 10.0.0.9      174120 Bytes  02.05.2011 07:06:52
AVREG.DLL      : 10.0.3.2      53096 Bytes  10.01.2011 13:22:55
AVSCPLR.DLL    : 10.0.4.2      84840 Bytes  02.05.2011 07:06:52
AVARKT.DLL    : 10.0.22.6    231784 Bytes  10.01.2011 13:22:51
AVEVTLOG.DLL  : 10.0.0.8      203112 Bytes  10.01.2011 13:22:54
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL    : 10.0.0.17      63848 Bytes  10.01.2011 13:22:56
NETNT.DLL      : 10.0.0.0      11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.26    2550120 Bytes  28.01.2010 12:10:08
RCTEXT.DLL    : 10.0.58.0      98152 Bytes  10.01.2011 13:23:15

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Laufwerke
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldrives.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 10
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: hoch
Abweichende Gefahrenkategorien........: +PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 12. Mai 2011  17:41

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'plugin-container.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnscfg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '1' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
    [INFO]      Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '331' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <System>
Beginne mit der Suche in 'D:\' <Data>
Beginne mit der Suche in 'F:\'
Der zu durchsuchende Pfad F:\ konnte nicht geöffnet werden!
Systemfehler [21]: Das Gerät ist nicht bereit.


Ende des Suchlaufs: Donnerstag, 12. Mai 2011  18:26
Benötigte Zeit: 44:22 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

  23569 Verzeichnisse wurden überprüft
 769444 Dateien wurden geprüft
      0 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 769444 Dateien ohne Befall
  8411 Archive wurden durchsucht
      0 Warnungen
      0 Hinweise
 101392 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

markusg 12.05.2011 17:45
ok wenn du willst können wir das system noch absichern.

Bystander 12.05.2011 17:47
Sehr gern, wenn Du dafür noch die Geduld hast. Was ist zu tun?

Bystander 12.05.2011 17:51
Oh sorry, ich hatte nach der Avira-Konfiguration vergessen, ein Update zu fahren. Soll ich lieber nochmal das System prüfen lassen?

markusg 12.05.2011 18:03
nein, avira ist aktuell.

http://www.trojaner-board.de/96344-a...-rechners.html
hier alle!! tipps für vista/ windows 7abarbeiten.
das sp2 für vista benötigst du natürlich nicht.
zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten.

anmerkungen meiner seits:
anstelle des ie8 nutze ie9:
Internet Explorer - Microsoft Windows
start suchen
windows update
enter
alle wichtigen und optionalen updates einspielen.
unter windows update so konfigurieren das updates automatisch geladen und instaliert werden.
avira genauestens nach anleitung instalieren:
http://www.trojaner-board.de/54192-a...tellungen.html
achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig.
unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren.


als browser solltest du den opera nutzen, er ist sicherer und schneller.
wenn er dir nicht gefällt passe ich meine anleitung für den ff an.
lesezeichen importieren.
Lesezeichen ? OperaWiki
um das surfen sicherer zu machen, würde ich sandboxie empfehlen.
Download:
http://filepony.de/download-sandboxie/
anleitung:
Sandbox*Einstellungen |

(als pdf)
hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar.
den direkten datei zugriff bitte auf opera beschrenken,
bei
Internetzugriff:
opera.exe
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok.
somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern.

wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen.
1. es gibt dann noch ein paar mehr funktionen.
2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig.
3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen.

bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken.
eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus.
kenne keine malware, die das im moment kann.
dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden.
hier greifen nämlich mehrere maßnamen.
- updates von windows.
durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann.
- updates mit secunia und file hippo.
diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen
wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken.
die updates sollten immer sofort instaliert werden.
hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen.
natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken.
deswegen:
eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen.
hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen.
uac:
die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken.
dep und sehop tun dies ebenfalls.
- sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin.
- avira:
auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen.
es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher.
es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist.
das backup:
dieses kannst du nutzen, wenn:
- malware auf dem system ist
- es andere probleme mit dem pc gibt.
mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste.
alle benötigten verknüpfungen fürs eingeschrenkte konto nach
c:\benutzer\Default\desktop bzw \startmenü
kopieren. so sind sie für alle sichtbar
wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte.
wenn du online banking betreibst, lese den passenden abschnitt

Bystander 12.05.2011 18:16
Wow, danke. Da ist viel zu tun.
Heißt das, im Moment ist mein Rechner sauber und (halbwegs) sicher?
Werde die Details Deiner Anleitung in den nächsten Tagen mal genau durcharbeiten und mich dann nochmal melden.


Und auch an dieser Stelle schonmal vielen Dank! Freue mich sehr über die sachkundige, geduldige und freundliche Hilfe, die einem hier zuteil wird. Großartig.

markusg 12.05.2011 19:02
ja dein pc ist wieder io.
aber da das ja auch so bleiben soll, habe ich diese tipps ausgearbeitet, die auf jedem pc einsetzbar sind.
und thx :-)

Bystander 12.05.2011 19:03
Fantastisch! Vielen herzlichen Dank.

Also, wie gesagt, wegen der Komplettabsicherung melde ich mich hier nochmal.

markusg 12.05.2011 19:05
jo mach das.


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:19 Uhr.
Seite 3 von 3 12 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131