Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner flacor.dat in Adobe updater, ist er neutralisiert? (https://www.trojaner-board.de/92590-trojaner-flacor-dat-adobe-updater-neutralisiert.html)

boudilinhio 06.11.2010 21:24
Trojaner flacor.dat in Adobe updater, ist er neutralisiert?
 
Hey zusammen,

Mein PC ist mit dem flacor.dat Trojaner infiziert. Ich wurde durch eine Fehlermeldung beim Systemstart darauf aufmerksam. Eingenistet hat sich das mistfiech in C:\Users\***\AppData\Roaming\Adobe\Update\flacor.dat

Ich habe mir das Forum durchgesehen und versucht alle Schritte in korrekter Weise zu befolgen. Ich hoffe ihr könnt mir sagen ob die Gefahr nun gebannt ist.

Ich habe mit Malwarebytes-Anti-Malware einen Scan durchgeführt und den Trojaner löschen lassen. Dannach habe ich mit OTL einen Scan durchgeführt. Ich hänge die beiden OTL Files und die eine Malwarebytes Datei an den Post und hoffe ihr könnt mir sagen ob ich den Trojaner los geworden bin.

Vielen Dank schon im Voraus!

Grüsse
Boudi

cosinus 07.11.2010 00:21
Hallo und :hallo:

Gibt es noch weitere bzw. ältere Logs von malwarebytes oder hast du zum ersten Mal mit diesem Tool gescannt?

boudilinhio 07.11.2010 09:37
Hy Arne,
zunächst mal vielen Dank für die rasche Rückmeldung!!

ich habe das erste Mal mit malwarebytes gescannt. Ansonsten wird der PC von AVIRA (Gratisversion) "geschützt"...

Gruss

cosinus 07.11.2010 22:53
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O33 - MountPoints2\{076ffcba-55d5-11de-9131-001cc0948682}\Shell\AutoRun\command - "" = E:\travel&work.exe -- File not found
O33 - MountPoints2\{076ffcba-55d5-11de-9131-001cc0948682}\Shell\Shell00\Command - "" = E:\travel&work.exe -- File not found
O33 - MountPoints2\{0eb5fa4e-0193-11de-b65a-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{0eb5fa4e-0193-11de-b65a-806e6f6e6963}\Shell\AutoRun\command - "" = D:\EIVCD.exe -- File not found
O33 - MountPoints2\{465ef105-0427-11de-8e5f-001cc0948682}\Shell\AutoRun\command - "" = J:\travel&work.exe -- File not found
O33 - MountPoints2\{465ef105-0427-11de-8e5f-001cc0948682}\Shell\Shell00\Command - "" = J:\travel&work.exe -- File not found
[1996.09.30 00:00:00 | 000,041,472 | ---- | C] () -- C:\Windows\System32\WOSAXRT.DLL
[1996.09.30 00:00:00 | 000,006,656 | ---- | C] () -- C:\Windows\System32\MSNWEBQT.DLL
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

boudilinhio 15.11.2010 08:34
Hy Arne,
Sorry, dass ich nicht sofort antworten kann. Es handelt sich nicht um meinen Computer und habe nur zwischendurch Zugang zu dem Gerät. Ich werde die von dir beschriebenen Schritte sobald wie möglich ausführen.

Vielen Dank schon mal zum Voraus!!

Boud

boudilinhio 21.11.2010 19:11
Hey

habe die Anweisungen endlich umgesetzt und poste das Logfile. Der PC wurde direkt nach dem "run fix" neu gestartet...

nochmals sorry für die Verzögerung.

hoffe das Biest ist nicht mehr aufem Computer!??

Gruss
boud

cosinus 21.11.2010 20:23
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

boudilinhio 27.11.2010 16:21
Hey,

ich bin deinen Anweisungen gefolgt, CClean laufen lassen und Cofi ausgeführt. Ich poste das ComboFix Logfile.

Hoffe das gibt Aufschluss über den Verbleib des Trojaners.
herzlichen Dank und Grüsse

Boud

cosinus 27.11.2010 17:12
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur eine Sekunde.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

boudilinhio 27.11.2010 22:48
Done...
Poste das Log von Osam und den Output von MBRcheck.

Gruss
Boud

cosinus 28.11.2010 13:07
GMER wollte nicht?

boudilinhio 29.11.2010 07:21
Hy Arne,

ich hatte nur kurz Zugriff zum Rechner (der steht ja nicht bei mir) und habe deshalb gmer nicht gemacht. kann das aber nachliefern.

besteht immer noch eine Gefahr?

Gruss

cosinus 29.11.2010 18:02
Ja liefer das GMER Log bitte nach

boudilinhio 19.12.2010 12:15
Liste der Anhänge anzeigen (Anzahl: 1)
Hy Arne,

zunächst möchte ich mich entschuldigen, dass das hier so umständlich und lange dauert. ich konnte gestern gerade meine Abschlussarbeit drucken und war deshalb im lezten Monat total unter Strom und hatte keine Zeit zum Problemrechner zu fahren... sorry

GMER hat beim ersten mal folgendes ausgespuckt:

GMER Logfile:
Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2010-12-05 18:41:12
Windows 6.0.6002 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 SAMSUNG_ rev.1AA0
Running: 8r3irrzl.exe; Driver: C:\Users\ALAINS~1\AppData\Local\Temp\awloapoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text  C:\Windows\system32\DRIVERS\nvlddmkm.sys  section is writeable [0x8E409340, 0x4128C7, 0xE8000020]

---- EOF - GMER 1.0.15 ----
--- --- ---

da mir der output zu knapp vorkam habe ichs heute noch mal versucht. leider hat dann heute nichts mehr funktioniert. ich habe die Datei noch 3 mal runtergeladen, und jedesmal 2 mal probiert. Dabei waren alle Verbindungen gekappt, Virenscanner ausgeschaltet und auch die Sync Programme, dropbox etc., die im Hintergrund laufen soweit möglich ausgeschaltet. Ich habe als administrator gestartet.
NAchdem das Program gestartet hat, habe ich auf scan geklickt. nach ca 1 min kommt jedesmal die selbe meldung, dass das Programm nicht funktioniert. Wenn ich das ganze gleich nochmal wiederhole, krieg ich einen bluescreen und die maschine legt sich auf den Bauch. ich hänge ein bild der fehlermeldung an.

ich hoffe du kannst mir trotzdem auskunft geben ob die maschine jetzt sauber ist, oder was kann ich noch tun?

gruss
boudi

cosinus 19.12.2010 16:11
GMER stürzt rel. häufig ab, hab ich schon erwähnt.
Die anderen Logs sehen aber ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19