|
'TR/Kazy.2369'! nAbend da mein Firefox ständig abstürzte und ich keine Lösung fand, habe ich mal in den Ereignisanzeigen in der Computerverwaltung nachgesehen und siehe da, mehrere dieser Meldungen gefunden: AntiVir erkannte in der Datei C:\System Volume Information\_restore{2CD0F036-647F-417C-9DF3-63C9CF0A361B}\RP549\A0117201.exe verdächtigen Code mit der Bezeichnung 'TR/Kazy.2369'! Daraufhin "Kaltstart" mit AntiVir CD und im Anschluß noch ein Check mit Malwarebystes mit folgendem Ergebnis: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 5193 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26.11.2010 20:33:00 mbam-log-2010-11-26 (20-33-00).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|F:\|G:\|K:\|) Durchsuchte Objekte: 343210 Laufzeit: 1 Stunde(n), 33 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 10 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 1 Infizierte Dateien: 5 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\linkrdr.aiebho (Trojan.Banker) -> No action taken. HKEY_CLASSES_ROOT\CLSID\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f22c37fd-2bcb-40b6-a12e-77dda1fbdd88} (Trojan.Banker) -> No action taken. HKEY_CLASSES_ROOT\linkrdr.aiebho.1 (Trojan.Banker) -> No action taken. HKEY_CURRENT_USER\Software\MarketPrecision\DuhikiToolbar (Malware.Trace) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\Adparatus (Adware.Adparatus) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> No action taken. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken. Infizierte Verzeichnisse: C:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\AcroIEHelpe022.dll (Trojan.Banker) -> No action taken. C:\System Volume Information\_restore{2CD0F036-647F-417C-9DF3-63C9CF0A361B}\RP552\A0117503.exe (Trojan.Dropper) -> No action taken. C:\System Volume Information\_restore{2CD0F036-647F-417C-9DF3-63C9CF0A361B}\RP553\A0117574.exe (Trojan.Dropper) -> No action taken. C:\System Volume Information\_restore{2CD0F036-647F-417C-9DF3-63C9CF0A361B}\RP555\A0117844.exe (Trojan.Dropper) -> No action taken. C:\WINDOWS\system32\xmldm\iexplore.exe_UAs001.dat (Stolen.Data) -> No action taken. Das hat mich dann doch etwas überrascht :confused: Hat mir vielleicht jemand Tips wie ich weiterverfahren soll ? Irgendwie misstraue ich natürlich jetzt dem System doch gewaltig. LG |
Hallo und Herzlich Willkommen! :) Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]: Zitat:
Zitat:
1. - Lade dir RSIT - Random's System Information Tool (RSIT) von random/random herunter - an einen Ort deiner Wahl und führe die rsit.exe aus - wird "Hijackthis" auch von Rsit installiert und ausgeführt - RSIT erstellt 2 Logfiles (C:\rsit\log.txt und C:\rsit\info.txt) mit erweiterten Infos von deinem System - diese beide bitte komplett hier posten 2. Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken: System-Dateien und -Ordner unter XP und Vista sichtbar machen Am Ende unserer Arbeit, kannst wieder rückgängig machen! 3. → Lade Dir HJTscanlist.zip herunter → entpacke die Datei auf deinem Desktop → Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren → per Doppelklick starten → Wähle dein Betriebsystem aus - bei Win7 wähle Vista → Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen → Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren → Bitte kopiere den Inhalt hier in Deinen Thread. ** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten 4. Ich würde gerne noch all deine installierten Programme sehen: Lade dir das Tool Ccleaner herunter → "Download"→ " Download from FileHippo.com" installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..." wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein 5. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Achtung!: WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!- Es ist NICHT sinnvoll einen zweiten Versuch zu starten! Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :
** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren! 6. läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit) Lade und installiere das Tool RootRepeal herunter
Zitat:
** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw grußCoverflow |
Malwarebytes' Anti-Malware - "No action taken"...Hast Die Funde löschen lassen? Ja, habe ich. |
Ok , erstmal herzlichen Dank ! Hier das Logfile von RSIT: RSIT Logfile: Code: Logfile of random's system information tool 1.08 (written by random/random) |
und hier das zweite [code] info.txtRSIT Logfile: Code: logfile of random's system information tool 1.08 2010-11-27 13:09:34 |
next 1 Code: |
Installierte Programme: Code: |
und noch das gmer Code: GMER Logfile: |
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus - Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! ) 1. Deine Javaversion ist nicht aktuell! Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen: → Systemsteuerung → Software → deinstallieren... → Rechner neu aufstarten → Downloade nun die Offline-Version von Java Version 6 Update 22 von Oracle herunter Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)! 2. Adobe Reader aktualisieren : Adobe Reader Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..." 3. alle Anwendungen schließen → Ordner für temporäre Dateien bitte leeren **Der Temp Ordner,ist für temporäre Dateien,also der Inhalt kann man ohne weiteres löschen.- Dateien, die noch in Benutzung sind, nicht löschbar. **Lösche nur den Inhalt der Ordner, nicht die Ordner selbst!
4. reinige dein System mit Ccleaner:
5. - Lade das Combofix von einem der folgenden Download Spiegel herunter: BleepingComputer - ForoSpyware - Wichtig!:[/u] muss auf dem Desktop installiert werden! - Antiviren, - und andere Schutz/Spyprogramme bitte deaktivieren - Schließe jeder externe Datenträger (USB Stick und USB Festplatte etc) an dein Computer an - dabei die Shift-Taste bitte unbedingt gedrückt halten! - Per Doppelklick die ComboFix.exe starten und den Anweisungen folgen - Falls die Microsoft-Windows-Wiederherstellungskonsole auf dein Rechner nicht installiert ist, und wenn du direkt gefragt wirst, es zu ermöglichen stimme dem Lizenzvertrag zu. Danach erscheint ein Fenster zur Bestätigung, ansonsten wird ComboFix mit der Arbeit fortfahren - bestätige mit "ja", damit den Suchlauf automatisch beginnen kann Zitat:
Zitat:
|
thx A lot ! ?? Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus Welchen konkreten Hinweis liefern denn die geposteten Logs ? Ist daraus denn ersichtlich, ob Malware an meinem Rechner Schaden angerichtet hat ? Wäre es nicht besser, das System komplett neu aufzusetzen, dann gleich mit Windows 7 ?? Hier noch das Combofix log: Code: |
Zitat:
Zitat:
ansonsten zum Schluss: >>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<< Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen. Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum Führe dann einen Komplett-Systemcheck mit Nod32 durch - folgendes bitte anhaken > "Remove found threads" und "Scan archives" - die Scanergebnis als *.txt Dateien speichern) - meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt" - "Link:-> ESET Online Scanner Vor dem Scan Einstellungen im Internet Explorer: - "Extras→ Internetoptionen→ Sicherheit": - alles auf Standardstufe stellen - Active X erlauben |
In der Ereignisanzeige der Computerverwaltung bekomme ich noch folgende Meldung: AntiVir erkannte in der Datei C:\WINDOWS\system32\5008\components\AcroFF008.dll verdächtigen Code mit der Bezeichnung 'TR/Spy.Agent.blzn'! Alles nochmal ?? |
macht das bitte zunäscht hier fertig:-> http://www.trojaner-board.de/93243-t...tml#post594037 |
?? das ist doch dieser Threat. Da habe ich alles gemacht und gepostet. Fehlt was ? Habe ich was übersehen :wtf: |
was ist damit?: Zitat:
|
Achso, ja ..folgendes Der Online check funktioniert bei mir nicht. Der Scanner bricht immer da ab, wo er sich die neuen Signaturen laden will . Er behauptet, die Proxyverbindung geht nicht (obwohl ich nicht über einen Proxy gehe). Daraufhin habe ich die Testversion vom Nod geladen, installiert, gescannt, keine Meldung/Fund erhalten. Daraufhin Nod deinstalliert (war gar nicht so einfach) und Avira wieder aktiviert. Daraufhin die Ereignisanzeige der Computerverwaltung gecheckt und o.a. Meldung gefunden. Gestern noch mit mal mit Malware gescannt, 1 Fund --> vernichtet Das log poste ich heute abend wenn ich wieder am Rechner bin. |
Hier noch der letzte Log von Malware Code: |
Lass bitte mal den Avira, nach die nachfolgende Prioritäten scannen: [Scanner] Konfigurationshinweise für AntiVir, Anleitung 'Vollständiger Systemscan' und empfohlene Reaktionen bei Schädlingsmeldungen - Tipps und Tricks - Avira Support Forum - Punkt 1.: Einstellung - Punkt 2 und 3.: Erster Scan (Lokale Laufwerke) + Zweiter Scan (Suche nach Rootkits) - Logs speichern/posten ** Bemerkung: "Klick auf das Bild, um es zu vergrößern!" - grau hinterlegt, also nicht mehr anklickbar danach die Standardeinstellungen wiederherstellen ► Läuft dein System stabil? Hast du sonst noch Probleme? |
ok, danke. Mach ich heute abend. System läuft stabil, ohne besondere Vorkommnisse. Bereite gerade Neuinstallation vor d.h. beginne mit Datensicherung, Treiberbeschaffung etc. :daumenhoc |
ohje ...das sieht gar nicht mal gut aus :-( erster Suchlauf ... Code: Zweiter Lauf folgt ... |
ok, zweiter Lauf ist durch .... Code: Von mir bereits gesicherte Daten liegen auf dem ebenfalls gescannten LW K: (externe USB HD). Im wesentlichen pix, mp3s und "eigene dateien" sowie "dokumente und einstellungen". Ich will aber auf alle Fälle, bevor ich das System platt mache, noch ein Image mit Norton Ghost ziehen (falls ich was vergessen habe). Allerdings würde ich gerne ausschliessen, dass ich irgendwelche schadhaften Code mit ins Backup zerre ;-) Ich hoffe, die logs sind aussagefähig genug. lg |
sollte man ab und zu mal machen, jetzt ist also sehr aktuell: Tipps & Rat:-> Mailwürmer - Fragen und Antworten Sollte man von Zeit zu Zeit die Inbox komprimieren: Starte dein Mailprogramm, lösche den Inhalt aus der Inbox und leere dann den Papierkorb deines Mail-Programms: 1. Mail aus Inbox löschen 2. Mülleimer leeren 3. Inbox komprimieren - (im Menü Datei, Alle Ordner des Kontos komprimieren) Thunderbird - Ordner komprimieren |
1. Mail aus Inbox löschen Dann sind ja meine Mails weg !! Die Funde beziehen sich doch nur auf ein Backup Archiv mit MozBackup. Ich habe jetzt zur Sicherheit alle alten MozBackups gelöscht und "alle Ordner des Kontos komprimiert". Frage: Geben die geposteten Logs noch einen Hinweis auf schadhaften Code auf meinem Rechner ?? thx in advance |
Zitat:
dein Log sieht soweit eigentlich in Ordnung aus und der Scanner nicht (mehr) gefunden... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board