|
Avira Trojanerfunde TR/Inject.117248, TR/Sasfis.awel, TR/Trash.Gen Hallo zusammen, habe ein Problem mit Trojanerbefall am PC seit November, der aber keine erkennbaren Auswirkungen zeigt. Kurzer Ablauf der Vorkommnisse: Der PC wird von einem Blinden mittels Screenreader bedient, ich bin nur eine Hilfe, die aber keine Erfahrungen im Bekämpfen von Viren und Trojaner hat. Befall des Rechners im November vermutlich durch eine infizierte Datei, die von einem USBStick aktiv in den Rechner kopiert und geöffnet wurde. Danach Rechnerabsturz, Netzstecker trennen und neu Hochfahren zeigte keinerlei Auswirkungen. Erst ein Avira Systemscan einige Tage später fand dann den Trojaner TR/Inject.117248. Anhang 11906 Von Avira repariert und da kein Erfahrungen das Problem für erledigt gehalten, da auch ein Scan von Outpostfirewall nichts fand ( mein Fehler :headbang:). Eine Woche später bei Systemscan anderen Trojaner TR/Sasfis.awel gefunden und ebenfalls von Avira repariert( w.g. Zeitmangel :headbang:). Anhang 11907 Der gleiche Typ TR/Sasfis.awel wurde dann nochmal am 24. 12. gefunden. Anhang 11908 Danach Durchlauf von Malewarebytes mit folgendem Ergebnis. Anhang 11911 Und am 26.12. mit Avira 10 und euren Avira Einstellungstipps noch Fund von TR/Trash.Gen.Zwei Logs wegen Avira Bedienungsfehler. Anhang 11909 Anhang 11910 Und heute noch bei Scan mit SuperAntispyware Fund von Trojan.WinCommDownloader. Anhang 11905 Aktuelle Scans von Avira und Malwarebytes zeigen keinen Befall mehr an. Hier Die aktuellen OTL-logs Anhang 11903 Anhang 11904 Wäre nett wenn mir jemand helfen könnte, ob PC noch infiziert ist und welche Auswirkungen die gefunden Trojaner haben könnten. gruß finn Hallo, heute sehe ich gerade, dass ich die Logfiles nur als Links hochgeladen habe, sorry aber dies ist mein erster Blog ever. Also nun die Avirafunde: am 20.11. C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP416\A0133992.exe [FUND] Ist das Trojanische Pferd TR/Inject.117248 am 28.11. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe [FUND] Ist das Trojanische Pferd TR/Sasfis.awel am 24.12. C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP426\A0135765.exe [FUND] Ist das Trojanische Pferd TR/Sasfis.awel und schließlich mit anderen Einstellungenen am 26.12. C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP1\A0000025.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen Der Fund von SuperAntispyware am 27.12. ist Trojan.WinCommDownloader C:\&NTW00\WINCOMM.EXE C:\&SAVE\&NTW00\WINCOMM.EXE die logs von Malewarebytes und OTL hänge ich per zipfiles an ich hoffe dass die Darstellung nun stimmt viele Dank im voraus und gruß finn |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
hallo und vielen Dank für dein Hilfsangebot hier kommt nun das aktuelle Malewarebyteslog Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5417 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.12.2010 19:11:00 mbam-log-2010-12-29 (19-11-00).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 146126 Laufzeit: 3 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und dies ist das Logfile mit den Funden vom 25.12. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5392 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 25.12.2010 19:05:56 mbam-log-2010-12-25 (19-05-43).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 145778 Laufzeit: 3 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SkyNetU2BDA (Rootkit.TDSS) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\drivers\skynetu2bda.sys (Rootkit.TDSS) -> No action taken. dazwischen habe ich noch einige Scans mit Malewarebytes und Avira gemacht, die aber alle ohne einen Fund waren. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo Arne, hier ist das gewünschte OTL-log Code: All processes killed |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, ich habe ComboFix nach deiner Anleitung durchgeführt, also zuerst mit CCleaner das System bereinigt, dann Avira und die Outpostfirewall deaktiviert, sowie alle anderen Programme im PC geschlossen und ComboFix gestartet. Dann alle ComboFixfenster mit JA bestätigt und als der Suchlauf startete habe ich den PC verlassen. ABER als ich nach ca. 20 min zurück kam, war die Outpostfirewall schon wieder aktiv und hat den Combofix angehalten bevor das Logfile da war, also mit dem Bildschirmtext Bereite Logdatei vor. Starte keine anderen Programme, bevor ComboFix fertig ist. dann habe ich ca. 20 Meldungen der Firewall zulassen müssen bis ComboFix zu Ende lief und die folgende Logdatei als Ergebnis präsentierte Code: ComboFix 10-12-29.01 - xxx 29.12.2010 23:04:28.1.2 - x86Unter dem was ich wieder zugelassen habe, könnten u.a. auch einige der Registrierungsschlüssel im obigen Logtext gewesen sein. Ich weiß nicht, ob ich nicht irgendeinen Hintergrundwächter übersehen habe. Ich hoffe du kannst mit diesen Infos etwas anfangen, bis bald |
Zitat:
Sag Bescheid wenn das erledigt ist. |
Hallo Arne, Agnitum Outpostfirewall ist nun deinstalliert und die Windowsfirewall aktiviert. Die Konfiguration mit Avira + Outpostfirewall entspricht dem Auslieferungszustand des PC, der von dem Unternehmen, das die Blindenspezialprogramme vertreibt aufgebaut wurde. Sie wurde nur im Oktober wegen des Auslaufens der Lizenz neu im Rechner von mir installiert. Eine Frage hätte ich aber noch, müssen vor der Benutzung von ComboFix vielleicht auch die per USB angeschlossenen Geräte vor allen Dingen die SAT-TV-Karte und/oder der Scanner vom PC entfernt werden? Und soll ich eventuell die IOMEGA - Medienfestplatte im Scann von ComboFix mitlaufen lassen? Sie war gestern abgeschaltet, da alle Scans die ich bisher mit angeschlossener USB-Platte durchführte kein Fundergebnis hatten. |
Die Geräte können dran sein, müssen aber nicht. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Eine kurze Nachfrage vor der Ausführung von GMER; sollen nun doch alle USB-Verbindungen und der Router getrennt werden oder reicht es aus nur die Programme zu beenden? |
Programme beenden reicht |
hier kommen nun die Ergebnisse von GMER Code: GMER 1.0.15.15530 - hxxp://www.gmer.netvon OSAM Code: Report of OSAM: Autorun Manager v5.0.11926.0Code: MBRCheck, version 1.2.3 |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Also beide Vollscans waren ohne Funde! hier Malewarebytes Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: SUPERAntiSpyware Scann-Protokoll |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board