Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gefährliche Webseite geblockt.. Trojaner Downloader? (https://www.trojaner-board.de/107990-gefaehrliche-webseite-geblockt-trojaner-downloader.html)

Moneyboy1337 12.01.2012 14:21
Gefährliche Webseite geblockt.. Trojaner Downloader?
 
MBAM ( Gekauft ) blockt immer wieder zugang zu potienziell gefährlichen Websites..
Hört sich nach nem Trojaner Downloader an?
hier mal alle 3 Logs :
1
Code:
2012/01/12 13:30:30 +0100        H4XX0R        Administrator        MESSAGE        Starting protection
2012/01/12 13:30:39 +0100        H4XX0R        Administrator        MESSAGE        Protection started successfully
2012/01/12 13:30:42 +0100        H4XX0R        Administrator        MESSAGE        Starting IP protection
2012/01/12 13:30:44 +0100        H4XX0R        Administrator        MESSAGE        IP Protection started successfully
2012/01/12 13:33:30 +0100        H4XX0R        Administrator        MESSAGE        Executing scheduled update:  Daily
2012/01/12 13:33:38 +0100        H4XX0R        Administrator        MESSAGE        Starting database refresh
2012/01/12 13:33:38 +0100        H4XX0R        Administrator        MESSAGE        Stopping IP protection
2012/01/12 13:33:38 +0100        H4XX0R        Administrator        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.01.11.06 to version v2012.01.12.02
2012/01/12 13:33:38 +0100        H4XX0R        Administrator        MESSAGE        IP Protection stopped
2012/01/12 13:33:43 +0100        H4XX0R        Administrator        MESSAGE        Database refreshed successfully
2012/01/12 13:33:43 +0100        H4XX0R        Administrator        MESSAGE        Starting IP protection
2012/01/12 13:33:45 +0100        H4XX0R        Administrator        MESSAGE        IP Protection started successfully
2012/01/12 14:01:14 +0100        H4XX0R        Administrator        IP-BLOCK        89.28.41.74 (Type: outgoing)
2012/01/12 14:01:16 +0100        H4XX0R        Administrator        IP-BLOCK        89.28.41.74 (Type: outgoing)
2012/01/12 14:01:20 +0100        H4XX0R        Administrator        IP-BLOCK        89.28.41.74 (Type: outgoing)
2012/01/12 14:04:00 +0100        H4XX0R        Administrator        IP-BLOCK        109.235.55.198 (Type: outgoing)
2012/01/12 14:04:02 +0100        H4XX0R        Administrator        IP-BLOCK        109.235.55.198 (Type: outgoing)
2012/01/12 14:04:06 +0100        H4XX0R        Administrator        IP-BLOCK        109.235.55.198 (Type: outgoing)
2:
Code:
2012/01/11 21:09:31 +0100        H4XX0R        Administrator        MESSAGE        Starting protection
2012/01/11 21:09:44 +0100        H4XX0R        Administrator        MESSAGE        Protection started successfully
2012/01/11 21:09:47 +0100        H4XX0R        Administrator        MESSAGE        Starting IP protection
2012/01/11 21:09:57 +0100        H4XX0R        Administrator        MESSAGE        IP Protection started successfully
2012/01/11 21:18:57 +0100        H4XX0R        Administrator        MESSAGE        Executing scheduled update:  Daily
2012/01/11 21:18:58 +0100        H4XX0R        Administrator        MESSAGE        Database already up-to-date
2012/01/11 21:45:50 +0100        H4XX0R        Administrator        DETECTION        C:\Dokumente und Einstellungen\Administrator\Desktop\S4 League Hacks\S4LeagueHack\Dissembler Lib.dll        Trojan.Agent        DENY
2012/01/11 21:48:22 +0100        H4XX0R        Administrator        MESSAGE        Stopping IP protection
2012/01/11 21:48:22 +0100        H4XX0R        Administrator        MESSAGE        IP Protection stopped
3:
Code:
Malwarebytes Anti-Malware (PRO) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.11.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Administrator :: H4XX0R [Administrator]

Schutz: Aktiviert

11.01.2012 21:09:37
mbam-log-2012-01-11 (21-09-37).txt

Art des Suchlaufs: Flash-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Registrierung | Dateisystem | P2P
Durchsuchte Objekte: 122874
Laufzeit: 1 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

kira 12.01.2012 15:04
Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Zitat:
  • "Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
    - da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
    - also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
  • Charakteristische Merkmale/Profilinformationen:
    - aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du herauslöschen oder durch [X] ersetzen
  • Die Systemprüfung und Bereinigung:
    - kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
  • Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
  • Innerhalb der Betreuungszeit:
    - ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
  • Die Reihenfolge:
    - genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
  • GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
  • Ansonsten unsere Forumsregeln:
    - Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?
  • Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen:)
► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
  • Poste die Logfiles in Code-Tags hier in den Thread.

2.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ Sprache → Deutsch auswählen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

3.
Lade dir von hier -> TrendMicro™ HijackThis™/Version 2.0.4 herunter
Zitat:
Keine offenen Fenster, solang bis HijackThis läuft!!-> HijackThis starten-> "Do a system scan and save a logfile" klicken (kurz warten) -> das erhaltene Logfile "markieren" -> "kopieren"-> hier in deinem Thread (rechte Maustaste) "einfügen" (musst du im Forum eingeloggt sein!)
Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
gruß
kira

Moneyboy1337 12.01.2012 15:50
hier mal die otls

Moneyboy1337 12.01.2012 15:51
hijackthis
HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 15:50:34, on 12.01.2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Steam\steam.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\Programme\CCleaner\CCleaner.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.driver-soft.com/order.html
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Programme\Gemeinsame Dateien\Steam\SteamService.exe

--
End of file - 6079 bytes
--- --- ---

Moneyboy1337 12.01.2012 15:54
Code:
proggis

ATI - Software Uninstall Utility                03.01.2012                6.14.10.1022
ATI Catalyst Control Center                                2.009.0225.1545
ATI Display Driver                12.01.2012                8.591-090225a-076831C-ATI
AVM FRITZ!WLAN        AVM Berlin        12.01.2012               
CCleaner        Piriform        12.01.2012                3.14
Counter-Strike: Source        Valve        03.01.2012               
Driver Genius Professional Edition        Driver-Soft Inc.        03.01.2012                10.0
Fraps                03.01.2012               
Google Chrome        Google Inc.        03.01.2012                16.0.912.63
Java(TM) 6 Update 30        Oracle        03.01.2012        91,3MB        6.0.300
Malwarebytes Anti-Malware Version 1.60.0.1800        Malwarebytes Corporation        11.01.2012                1.60.0.1800
Microsoft .NET Framework 4 Client Profile        Microsoft Corporation        11.01.2012                4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack        Microsoft Corporation        11.01.2012                4.0.30319
Microsoft .NET Framework 4 Extended        Microsoft Corporation        11.01.2012                4.0.30319
Microsoft .NET Framework 4 Extended DEU Language Pack        Microsoft Corporation        11.01.2012                4.0.30319
Patrician IV: Steam Special Edition                               
Realtek High Definition Audio Driver        Realtek Semiconductor Corp.        03.01.2012                5.10.0.6526
S4 League_EU                12.01.2012                1.00.0000
Skype™ 5.5        Skype Technologies S.A.        05.01.2012        17,0MB        5.5.124
Steam        Valve Corporation        03.01.2012        35,5MB        1.0.0.0
WinRAR 4.01 (32-Bit)        win.rar GmbH        11.01.2012                4.01.0

kira 13.01.2012 08:30
OTL.zip kann ich nicht öffnen

Zitat:
Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]
oder
Kannst auch, die einzelnen Ergebnisse in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

Moneyboy1337 13.01.2012 14:41
ich bin nicht blöd.. txt war zu groß, deshalb die zip datei..

und nun?

kira 14.01.2012 06:52
wie gesagt etwas schief gelaufen, *.zip kann nicht öffnen..
aber kannst auch, die einzelnen Ergebnisse in Textdatei speichern und hier anhängen (auf "Erweitert" klicken)

Du kannst aber auch den Text in mehrere Teile teilen und so posten


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19