|
Avira Trojanerfunde TR/Inject.117248, TR/Sasfis.awel, TR/Trash.Gen Hallo zusammen, habe ein Problem mit Trojanerbefall am PC seit November, der aber keine erkennbaren Auswirkungen zeigt. Kurzer Ablauf der Vorkommnisse: Der PC wird von einem Blinden mittels Screenreader bedient, ich bin nur eine Hilfe, die aber keine Erfahrungen im Bekämpfen von Viren und Trojaner hat. Befall des Rechners im November vermutlich durch eine infizierte Datei, die von einem USBStick aktiv in den Rechner kopiert und geöffnet wurde. Danach Rechnerabsturz, Netzstecker trennen und neu Hochfahren zeigte keinerlei Auswirkungen. Erst ein Avira Systemscan einige Tage später fand dann den Trojaner TR/Inject.117248. Anhang 11906 Von Avira repariert und da kein Erfahrungen das Problem für erledigt gehalten, da auch ein Scan von Outpostfirewall nichts fand ( mein Fehler :headbang:). Eine Woche später bei Systemscan anderen Trojaner TR/Sasfis.awel gefunden und ebenfalls von Avira repariert( w.g. Zeitmangel :headbang:). Anhang 11907 Der gleiche Typ TR/Sasfis.awel wurde dann nochmal am 24. 12. gefunden. Anhang 11908 Danach Durchlauf von Malewarebytes mit folgendem Ergebnis. Anhang 11911 Und am 26.12. mit Avira 10 und euren Avira Einstellungstipps noch Fund von TR/Trash.Gen.Zwei Logs wegen Avira Bedienungsfehler. Anhang 11909 Anhang 11910 Und heute noch bei Scan mit SuperAntispyware Fund von Trojan.WinCommDownloader. Anhang 11905 Aktuelle Scans von Avira und Malwarebytes zeigen keinen Befall mehr an. Hier Die aktuellen OTL-logs Anhang 11903 Anhang 11904 Wäre nett wenn mir jemand helfen könnte, ob PC noch infiziert ist und welche Auswirkungen die gefunden Trojaner haben könnten. gruß finn Hallo, heute sehe ich gerade, dass ich die Logfiles nur als Links hochgeladen habe, sorry aber dies ist mein erster Blog ever. Also nun die Avirafunde: am 20.11. C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP416\A0133992.exe [FUND] Ist das Trojanische Pferd TR/Inject.117248 am 28.11. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Helper\bin\liveu.exe [FUND] Ist das Trojanische Pferd TR/Sasfis.awel am 24.12. C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP426\A0135765.exe [FUND] Ist das Trojanische Pferd TR/Sasfis.awel und schließlich mit anderen Einstellungenen am 26.12. C:\System Volume Information\_restore{4FD0F942-930F-44BD-A242-3828A7460994}\RP1\A0000025.sys [FUND] Ist das Trojanische Pferd TR/Trash.Gen Der Fund von SuperAntispyware am 27.12. ist Trojan.WinCommDownloader C:\&NTW00\WINCOMM.EXE C:\&SAVE\&NTW00\WINCOMM.EXE die logs von Malewarebytes und OTL hänge ich per zipfiles an ich hoffe dass die Darstellung nun stimmt viele Dank im voraus und gruß finn |
Hallo und :hallo: Bitte routinemäßig einen Vollscan mit malwarebytes machen und Log posten. Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten! |
hallo und vielen Dank für dein Hilfsangebot hier kommt nun das aktuelle Malewarebyteslog Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5417 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 29.12.2010 19:11:00 mbam-log-2010-12-29 (19-11-00).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 146126 Laufzeit: 3 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) und dies ist das Logfile mit den Funden vom 25.12. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Datenbank Version: 5392 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 25.12.2010 19:05:56 mbam-log-2010-12-25 (19-05-43).txt Art des Suchlaufs: Quick-Scan Durchsuchte Objekte: 145778 Laufzeit: 3 Minute(n), 48 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 3 Infizierte Dateiobjekte der Registrierung: 6 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SkyNetU2BDA (Rootkit.TDSS) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> No action taken. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: c:\WINDOWS\system32\drivers\skynetu2bda.sys (Rootkit.TDSS) -> No action taken. dazwischen habe ich noch einige Scans mit Malewarebytes und Avira gemacht, die aber alle ohne einen Fund waren. |
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. |
Hallo Arne, hier ist das gewünschte OTL-log Code: All processes killed |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne, ich habe ComboFix nach deiner Anleitung durchgeführt, also zuerst mit CCleaner das System bereinigt, dann Avira und die Outpostfirewall deaktiviert, sowie alle anderen Programme im PC geschlossen und ComboFix gestartet. Dann alle ComboFixfenster mit JA bestätigt und als der Suchlauf startete habe ich den PC verlassen. ABER als ich nach ca. 20 min zurück kam, war die Outpostfirewall schon wieder aktiv und hat den Combofix angehalten bevor das Logfile da war, also mit dem Bildschirmtext Bereite Logdatei vor. Starte keine anderen Programme, bevor ComboFix fertig ist. dann habe ich ca. 20 Meldungen der Firewall zulassen müssen bis ComboFix zu Ende lief und die folgende Logdatei als Ergebnis präsentierte Code: ComboFix 10-12-29.01 - xxx 29.12.2010 23:04:28.1.2 - x86Unter dem was ich wieder zugelassen habe, könnten u.a. auch einige der Registrierungsschlüssel im obigen Logtext gewesen sein. Ich weiß nicht, ob ich nicht irgendeinen Hintergrundwächter übersehen habe. Ich hoffe du kannst mit diesen Infos etwas anfangen, bis bald |
Zitat:
Sag Bescheid wenn das erledigt ist. |
Hallo Arne, Agnitum Outpostfirewall ist nun deinstalliert und die Windowsfirewall aktiviert. Die Konfiguration mit Avira + Outpostfirewall entspricht dem Auslieferungszustand des PC, der von dem Unternehmen, das die Blindenspezialprogramme vertreibt aufgebaut wurde. Sie wurde nur im Oktober wegen des Auslaufens der Lizenz neu im Rechner von mir installiert. Eine Frage hätte ich aber noch, müssen vor der Benutzung von ComboFix vielleicht auch die per USB angeschlossenen Geräte vor allen Dingen die SAT-TV-Karte und/oder der Scanner vom PC entfernt werden? Und soll ich eventuell die IOMEGA - Medienfestplatte im Scann von ComboFix mitlaufen lassen? Sie war gestern abgeschaltet, da alle Scans die ich bisher mit angeschlossener USB-Platte durchführte kein Fundergebnis hatten. |
Die Geräte können dran sein, müssen aber nicht. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Eine kurze Nachfrage vor der Ausführung von GMER; sollen nun doch alle USB-Verbindungen und der Router getrennt werden oder reicht es aus nur die Programme zu beenden? |
Programme beenden reicht |
hier kommen nun die Ergebnisse von GMER Code: GMER 1.0.15.15530 - hxxp://www.gmer.netvon OSAM Code: Report of OSAM: Autorun Manager v5.0.11926.0Code: MBRCheck, version 1.2.3 |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Also beide Vollscans waren ohne Funde! hier Malewarebytes Code: Malwarebytes' Anti-Malware 1.50.1.1100Code: SUPERAntiSpyware Scann-Protokoll |
Sieht gut aus. Wieder alles paletti? :) |
Super :taenzer:! Um für die Zukunft solche Fälle zu verhindern und den blinden PC-Nutzer zu informieren, habe ich aber noch eine Frage. Kann die Vielzahl der verschiedenen Trojaner eine Folge einer einmaligen Infektion sein ( hier ja vermutlich das Ausführen einer unbekannten Datei, die von einem fremden USB-Stick auf den Rechner kopiert wurde ) und diese dann selbständig weitere Typen in den PC geladen hat oder muss danach zwangsläufig ein weiteres Fehlverhalten vorgelegen haben bei denen sich dann neue Trojaner in den Rechner geschmuggelt haben könnten? Und vielen Dank Arne für deinen professionellen Support :applaus:! |
Zitat:
1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne , nochmal Dankeschön für deine Hilfe und Tipps :daumenhoc ! Alle Updates sind durchgeführt und gesichert, sowie alle Diagnoseprogramme entfernt. komme gut ins nächste Jahr :party: |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:10 Uhr. |
Copyright ©2000-2025, Trojaner-Board