Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/FraudPa.PSI.2063 & Exploit EXP/Pdfka.bmq gelöscht! System wieder sauber? (https://www.trojaner-board.de/86325-tr-fraudpa-psi-2063-exploit-exp-pdfka-bmq-geloescht-system-sauber.html)

loepen 21.05.2010 18:48
TR/FraudPa.PSI.2063 & Exploit EXP/Pdfka.bmq gelöscht! System wieder sauber?
 
Hallo.

Ersteinmal vorweg: Ich war sehr froh und begeistert, dass es ein Forum mit so engagierten und hilfsbereiten Leuten gibt, danke schonmal dafür!

Das ist mein erster Post und ich hoffe, dass ich alle Hinweise und Regeln beachtet hab.

Vor ein paar Tagen hat Antivir folgende zwei Probleme erkannt:


Zitat:
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\loepen\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\26GTHHWE\Setup_379s3[1].exe
[FUND] Ist das Trojanische Pferd TR/FraudPa.PSI.2063
C:\Users\loepen\AppData\Local\Temp\plugtmp-9\plugin-newplayer.pdf
[0] Archivtyp: PDF Stream
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq
--> Object
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq

Beginne mit der Desinfektion:
C:\Users\loepen\AppData\Local\Temp\plugtmp-9\plugin-newplayer.pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pdfka.bmq
[HINWEIS] Die Datei wurde gelöscht.
C:\Users\loepen\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\26GTHHWE\Setup_379s3[1].exe
[FUND] Ist das Trojanische Pferd TR/FraudPa.PSI.2063
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Monday, May 17, 2010 19:06
Benötigte Zeit: 55:18 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

15828 Verzeichnisse wurden überprüft
305226 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
305224 Dateien ohne Befall
2477 Archive wurden durchsucht
0 Warnungen
2 Hinweise
512530 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Habe dann Informationen über den Trojaner "TR/FraudPa.PSI.2063" gefunden, dass er als "csrss.exe" auftaucht. Ist auch als laufender Prozess vorhanden. Weiter hab ich gelesen, dass "csrss.exe" in "Windows\System32\" ordnungsgemäß vorhanden sein darf.

Allerdings taucht es bei mir auch in "Windows\winsxs\" auf.
Ich vermute, dass das bei Windows 7 in Ordnung ist?


Zitat:
C:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_6.1.7600.16385_en-us_da67613a42c43476.manifest

C:\Windows\winsxs\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd\csrss.exe

C:\Windows\winsxs\x86_microsoft-windows-csrss.resources_31bf3856ad364e35_6.1.7600.16385_en-us_da67613a42c43476\csrss.exe.mui

C:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd.manifest

C:\Windows\winsxs\Backup\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd_csrss.exe_06529458

C:\Windows\winsxs\Manifests\x86_microsoft-windows-csrss_31bf3856ad364e35_6.1.7600.16385_none_58ba39fb456943bd.manifest

C:\Windows\System32\csrss.exe

C:\Windows\System32\en-US\csrss.exe.mui


Jetzt möchte ich wissen, ob es gereicht hat, die zwei Probleme mit Antivir zu löschen. Nachdem ich mit Hilfe der Einsteigeranleitung den CCleaner benutzt habe, hier im Anhang die Logs von

Antivir (nachdem die Problleme behoben waren)

mbam (ebenfalls ohne Fund)

OTL

und Hijackthis.


Möchte jetzt nur wissen, ob wieder alles in Ordnung ist,
danke schonmal für die Hilfe.

cosinus 23.05.2010 22:53
Hallo,

aktualisiere Malwarebytes und mach danach mal einen Vollscan. Dann sehen wir weiter.

loepen 26.05.2010 14:20
Erledigt. Ohne Befund:


Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4143

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

5/25/2010 10:02:19 PM
mbam-log-2010-05-25 (22-02-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 227912
Laufzeit: 1 Stunde(n), 41 Minute(n), 26 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Joa..sieht gut aus?

cosinus 26.05.2010 15:43
Sieht unauffällig aus. Hast Du zufällig eine veraltete AdobeReader Version aufm Rechner? Reich mal die Extras.txt von OTL nach, da kann ich das sehen.

Gabs in der Zwischenzeit eigentlich weitere Funde?

loepen 26.05.2010 22:40
Adobe Reader 9.3.2 - Deutsch ist installiert.

Extras.txt als Anhang, vllt siehst du da ja noch irgendetwas.


Bisher gabs keine weiteren Funde, die Datum und Zeiteinstellung hing auf 2050 fest, aber ein Tag später kam das passende Windows7 Update. Hatte wohl nix mit schädlischer Software zu tun.

cosinus 27.05.2010 18:33
Ok, sollte aktuell sein. Adobe ist aber in den letzten Monaten ziemlich negativ aufgefallen, was deren Updatepolitik betrifft, da wurde rel. lange kein Update für eine schwere Lücke herausgebracht! Auch weil der AdobeReader viel zu fett und träge ist, rate ich eher zur Nutzung von sowas wie FoxitReader oder SumatraPDF. Wer auf Adobe nicht verzichten kann, man kann auch alle drei PDF Reader gleichzeitig installiert haben :D

Wenn ich Dich richtig verstanden habe läuft der Rechner soweit auch wieder normal, deswegen lassen wir das weitere Erstellen von Logfiles mal sein ;)

loepen 28.05.2010 12:35
Alles klar ich werd mal die Alternativen testen.

Danke dir!


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131