Trojaner-Board - Malware gefunden mit Avast und Spybot SD. Ist mein Rechner jetzt sauber? inkl. logfiles

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Malware gefunden mit Avast und Spybot SD. Ist mein Rechner jetzt sauber? inkl. logfiles (https://www.trojaner-board.de/101010-malware-gefunden-avast-spybot-sd-rechner-sauber-inkl-logfiles.html)

Zitat:

Zitat von cosinus (Beitrag 685376)

Ja das sind nur Überreste.
Rechner wieder im Lot?

Heißt das, dass der Rechner jetzt sauber ist und nichts wegen der zwei Funde unternommen werden muss?

Vielen Dank für deine investierte Arbeit!

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

SmitfraudFix bzw. Win32/PrcView application

Nochmals vielen Dank.

Eine Bitte habe ich noch. Da ich ungern Überreste auf meinem PC habe, habe ich noch einen ESET Scan durchgeführt, dabei sind überraschenderweise dann drei potentielle Schädlinge gefunden worden (Log unten). Wie kann es denn dazu kommen, wenn der Rechner nun eigentlich frei von Plagegeistern sein sollte?

Ich hatte beim ersten Scan zwei USB-Sticks angeschlossen. Ziel war es der Aufforderung nach dem Anschluss externer Festplatten nachzukommen. Ich hatte angenommen, dass diese auch durchsucht werden und daher als Infektionsquelle nicht in Frage kommen.

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=6f490a3ec3d9ca4282127f465780d748

# end=stopped

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-07-21 09:43:03

# local_time=2011-07-21 10:43:03 (+0000, GMT Daylight Time)

# country="United Kingdom"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=768 16777215 100 0 25103177 25103177 0 0

# compatibility_mode=5893 16776573 100 94 144555 63707759 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=382

# found=0

# cleaned=0

# scan_time=15

ESETSmartInstaller@High as downloader log:

all ok

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=6f490a3ec3d9ca4282127f465780d748

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2011-07-21 12:32:28

# local_time=2011-07-21 01:32:28 (+0000, GMT Daylight Time)

# country="United Kingdom"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=768 16777215 100 0 25103484 25103484 0 0

# compatibility_mode=5893 16776573 100 94 144862 63708066 0 0

# compatibility_mode=8192 67108863 100 0 0 0 0 0

# scanned=188527

# found=2

# cleaned=0

# scan_time=9873

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\6c4bbadf-65319182        Java/TrojanDownloader.Agent.NBE trojan (unable to clean)        00000000000000000000000000000000        I

C:\Users\***\Desktop\backups\backup-20100603-234206-205.dll        probably a variant of Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

ESETSmartInstaller@High as downloader log:

all ok

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6528

# api_version=3.0.2

# EOSSerial=6f490a3ec3d9ca4282127f465780d748

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=true

# antistealth_checked=true

# utc_time=2011-07-21 08:50:18

# local_time=2011-07-21 09:50:18 (+0000, GMT Daylight Time)

# country="United Kingdom"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=768 16777215 100 0 25133979 25133979 0 0

# compatibility_mode=5893 16776573 100 94 175357 63738561 0 0

# compatibility_mode=8192 67108863 100 0 27379 27379 0 0

# scanned=188610

# found=3

# cleaned=3

# scan_time=9248

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\6c4bbadf-65319182        Java/TrojanDownloader.Agent.NBE trojan (deleted - quarantined)        00000000000000000000000000000000        C

C:\Users\***\Desktop\backups\backup-20100603-234206-205.dll        probably a variant of Win32/Adware.Toolbar.Dealio application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

C:\Users\***\Documents\SmitfraudFix\SmitfraudFix\Process.exe        Win32/PrcView application (cleaned by deleting - quarantined)        00000000000000000000000000000000        C

Zitat:

C:\Users\***\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\6c4bbadf-65319182
C:\Users\***\Desktop\backups\backup-20100603-234206-205.dll probably
C:\Users\***\Documents\SmitfraudFix\SmitfraudFix\Process.exe

Man sollte vllt auch mal die Funde betrachten, dann fällt einem was auf. Nur weil ein Scanner was meldet muss man nicht gleich hyterisch schreieb :D

1.) Hast du offensichtlich zurvor den Javacache nicht geleert.
2.) Was du mit dieser Backupdatei auf dem Desktop willst kann ein anderer außer dir nicht nachvollziehen
3.) Was zum Geier willst di mit Smitfraudfix? Ist unnötig, aber KEIN Schädling!

Hallo cosinus,

ich habe noch eine Frage.

Secunia zeigt mir an, dass ich FF5 installiert habe, obwohl es FF6 ist. Der Installationspfad unter Secunia für die FF5 Version ist folgende:
C:\Windows\ERDNT\cache\firefox.exe, version 5.0.0.4183

Ich habe jetzt im Secunia Forum gelesen, dass das eine Folge von ComboFix sein könnte, aber habe keine adäquate Lösung für das Problem gefunden.

Was schlägst Du vor?

Was ERDNT ist kannst du selbst leicht rausfinden => http://www.larshederer.homepage.t-on.../erunt-ger.txt
Vllt wirst du dann verstehen, was es mit diesem Ordner auf sich hat :)

Ach Arne,

Du machst es wieder schwer fuer mich.

Ich sehe, dass ERUNT und ERDNT sinnvoll sind. Wie und wann der ERDNT Ordner allerdings angelegt wurde, weiß ich immer noch nicht. Ich habe bei Secunia jetzt angegeben, dass die FF5 Datei im ERDNT-Ordner ignoriert werden soll. Da ERUNT ja ein sehr nützliches Backupprogramm zu seien scheint, wäre es natürlich gut, wenn regelmäßig eine Datensicherung durchgeführt werden würde. Dies scheint leider jedoch nicht der Fall.

Hat die Datensicherung mit ERUNT etwas mit ComboFix oder einer der anderen PC-Check Programmen zu tun?

Lies doch mal was man mit ERUNT macht :)
Emergency Backup and Recovery - "Notfall"sicherung und ja CF macht sowas. Ich bin mir nicht ganz sicher ob CF das noch macht, aber normalerweise werden alle Spuren von CF mit combofix /uninstall verwischt