Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   HKCR\regfile\shell\open\command| (Broken.OpenCommand) (https://www.trojaner-board.de/126490-hkcr-regfile-shell-open-command-broken-opencommand.html)

pumpelchen 04.11.2012 10:38
HKCR\regfile\shell\open\command| (Broken.OpenCommand)
 
Habe heute einen QuickScan mit Malwarebytes durchgeführt und bin dabei auf einen HKCR\regfile\shell\open\command| (Broken.OpenCommand) - Fund gestoßen.

Hier die Malwarebytes Log:
Code:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.11.04.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Souleater :: BIGMAMA-404 [Administrator]

04.11.2012 09:06:46
mbam-log-2012-11-04 (09-06-46).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 252602
Laufzeit: 4 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Bösartig: ("regedit.exe" "%1") Gut: (regedit.exe "%1") -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Das verdächtige Objekt habe ich mir vermutlich beim Surfen auf minecraftwiki.com eingefangen. Habe die zugehörige Sicherheitswarnung leider ignoriert. Zitat:

Zitat:
On Thursday, 11/1, Curse was notified by Google that there was a script known to be malicious being served though some of our sites. Upon further inspection Curse has determined the script was being served through ad placements from a 3rd party. These ads were being served as they normally would; however, due to a security breach at the 3rd party, a malicious JS was being served that was put in their passback system."
Weiter hieß es:
Zitat:
We have managed to identify the 3rd party, who is well known to be trusted, as the source of the script. They have been contacted about the compromise and have removed the malicious script being served to not only Curse, but possibly everyone with whom they work. They are still investigating the breach.
Habe den Computer seit dem Scan noch nicht neu gestartet.

Ich mache gerade einen zweiten Scan durch mit Avira (mit Administrator Rechten) um zu sehen, ob nicht doch noch andere Viren vorhanden sind. Werde die Logs dazu später auch posten.

Ich bin mir nicht sicher, ob dies tatsächlich um eine Bedrohung handelt. Im Moment habe ich gar keine Symptome zu verzeichnen, das System scheint stabil zu laufen und habe auch keine verdächtigen Dateien im AppData Ordner feststellen können.
Google hat teilweise sehr widersprüchliche Ergebnisse zum Thema geliefert. Meistens war die Diagnose durch ein Programm namens "System Mechanics" verursacht worden, dass anscheinend die Registry verändert aber kein Virus darstellt. Wenn es sich tatsächlich um eine Infektion handelte, war das normalerweise mit anderen Infektionen begleitet (so machte es jedenfalls den Eindruck).

Weitere postings werden folgen sollte ich etwas Verdächtiges finden.


Diesen Post habe ich deswegen erstellt falls jemand ein ähnliches Problem haben sollte und auch als Ergänzung zu vorhandenen Google Suchergebnissen.

EDIT:
Es scheint so, dass es auch andere gibt, die sich die Malware eingefangen haben. Symptome die jene zu verzeichnen haben sind eine enorme CPU Auslastung und die Infizierung mit dem Trojaner "Sirefef" hxxp://www.minecraft.de/showthread.php?99745-Minecraft-Wiki-Virus

Bei meinem Browser (Opera) ist der Autostart von den meisten Flashplugins normalerweise deaktiviert (ich muss draufklicken um es zu aktivieren), womöglich wurde damit eine Verbreitung der Malware auf meinem PC verhindert. Werde die Sache aber wie gehabt im Auge behalten.

So, nachdem der Scan nach 6 Stunden endlich fertig war, hat Avira tatsächlich zwei Trojaner gefunden. Allerdings sind diese auf einer alten Festplatte vorhanden, die noch ein altes XP Betriebssystem installiert hat und somit praktisch nicht mehr benutzt wird.

Da die vollständige Log sehr viele persönliche Informationen erhält habe ich sie stark gekürzt. Auf Anfrage sende ich die vollständige Log gerne per Nachricht oder Email.

Code:
Beginne mit der Desinfektion:
E:\WINDOWS\system32\ts_ExplorerTree.ocx
  [FUND]      Ist das Trojanische Pferd TR/Dropper.VB.Gen5
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5521d777.qua' verschoben!
E:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Fallout.3.FinalFix.Skullptura.rar
  [FUND]      Ist das Trojanische Pferd TR/Drop.Dunik.792
  [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c41f8c6.qua' verschoben!
Autostart ist auf meinem System (w7) deaktiviert, deswegen *sollten* die Trojaner keine Probleme machen (bzw gemacht haben). Habe sie in Quarantäne schieben lassen um sicher zu gehen.
Das heißt jetzt nicht dass ich mich jetzt unbesorgt zurücklehnen kann. Werde den PC morgen noch mal vorsorglich mit einem ausführlichen Malwarebytes Scan überprüfen, um wirklich Gewissheit zu haben (Evtl noch zulegen mit einem SUPERAntiSpyware check)

M-K-D-B 05.11.2012 18:30
:hallo:


Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.


Bitte beachte folgende Hinweise:
  • Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
    Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
  • Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
  • Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
  • Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
  • Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
  • Bitte kein Crossposting (posten in mehreren Foren).
  • Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
  • Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
    Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
    Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.





Sollen wir deinen Rechner nun auf Malware überprüfen oder nicht?

M-K-D-B 08.11.2012 20:19
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomme ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27