Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 08.05.2011, 23:55   #1
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Beitrag

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Hallo,
Ich versuche mich so kurz wie möglich, aber dennoch aussagekräftig zu halten.

Ich benutze Antivir und sonst keine Firewall oder Sonstiges, ausser die in meiner Vodafone EasyBox

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O


Ablauf der Infektion
(Genaueres -> Die relevanten, exportierten Ereignisse von Antivir findet ihr auch in der Logfiles.zip)

Vereinzelt wurden in zeitlichem Abstand die Trojaner TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT gefunden.

Später HTML/ExpKit.Gen2 und TR/Kazy.21978

Zur Vorsicht Deaktivierung der Internetverbindung
Danach wiederholendes Auftreten der Windows-Meldung
"[Titel: Offline arbeiten] Es konnte keine Verbindung zum Internet hergestellt werden. Klicken Sie auf "Offline arbeiten", um Internetinhalte anzuzeigen, die auf dem Computer gespeichert wurden.
Klicken sie auf "Wiederholen", um eine Verbindung herzustellen."

Ob Diese Meldung, durch Updateprogramme wie AdobeUpdater oder ähnliches hervorgerufen werden, weiß ich nicht, aber ich gehe davon aus, dass einer der Viren oder Trojaner aufs Internet zugreifen möchte.

Bei
weiterem manuellem Suchlauf auch JAVA/Pesc.O.

Habe Hijackthis durchlaufen lassen, allerdings ließ sich nicht, alles Löschen, da sie immer wieder auftauchen.

In der Registry sind einträge zu finden, diese lassen sich aber nicht löschen, da sie immer wieder auftauchen. Habe selbst schon Dinge, wie Diagnosestart, Löschen der Einträge per Tuneup oder msconfig und weitere Kleinigkeiten bereits probiert.

Sowohl bei Hijackthis, als auch in der Registry, handelt es sich um folgenden Eintrag, der mir Auffällig wurde: (in der Registry an 2 Orten zu finden)

O4 - HKLM\..\Run: [Jyeqenarohilo] rundll32.exe "C:\WINDOWS\orilalihocim.dll",Startup

Danach Malwarebytes Suchlauf (Vor dem Fixen mb.txt - nach dem fixen mbnachaktion.txt)

Edit: Wenn ich nach dem "Entfernen" durch Malwarebytes einen neuen HijackThis laufe mache, ist sowohl Jyeqen... noch vorzufinden, als neuerdings auch
O4 - HKCU\..\Run: [4E3E0230AEBB4E96] C:\Recycle.Bin\Recycle.Bin.exe

Hijackthis Logfiles, Malwarebytes Logfiles sowie OTL Logfiles werden sich neben den exportierten, relevanten Antivir-Ereignissen im Anhang, Logfiles.zip befinden.

Ich hoffe ihr könnt mir helfen!

Liebe Grüße, Gude

Geändert von Gude (09.05.2011 um 00:06 Uhr) Grund: Vervollständigung

Alt 09.05.2011, 10:17   #2
markusg
/// Malware-holic
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



hi.
1. spiele nicht selbst in der registry rumm, du kannst dir das system zerschießen.
2. solche programme wie tuneup haben meiner meinung nach nichts auf nem pc zu suchen, sie bringen nichts und können wichtige systemfunktionen zerstören.
3. machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc?
4.
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________

__________________

Alt 09.05.2011, 14:32   #3
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



1. Ich bin mir der Gefahr bewusst und beweg mich in der Registry nicht ungeübt.
2. Solche Programme wie TuneUp haben meines Erachtens bei gezielter Konfiguration und Anwendung durchaus ihre Vorteile. - Ansichtssache halt.
3. OnlineBanking hin - und wieder.
"Ansonsten" mach ich ausser Webdesign und kleineren Serverarbeiten nicht viel.

Höchstwahrscheinlich spielst du darauf an, dass ich wichtige Daten und Passwörter ändern sollte?!

4. Kann das Log erst erstellen, wenn ich wieder zuhause bin.


Hat jemand genauere Infos zu den Eigenschaften und Vorgehensweisen der Viren?!

Danke!

lg Gude
__________________

Alt 09.05.2011, 15:09   #4
markusg
/// Malware-holic
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



nein, ohne genaue analysen nur vom namen her kann man das nicht sagen.
ich spiele darauf an, das du das onlinebanking umgehend sperren musst und das der pc höchst warscheinlich neu aufgesetz gehört.
da man bei den malware familien die du bis her so hast, nicht davon ausgehen kann, dass wir das system zu 100 % sauber bekommen.
ps alles was tuneup "kann" kann man schon mit system eigenen mitteln tun.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.05.2011, 17:30   #5
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Ich danke euch schonmal, mit Combofix sah das ganz gut aus.
Nur nachdem er alles fertig hatte und den rechner runterfuhr, blieb er bei "Abmeldung" ziemlich lang hängen und dann für ca. 2 Stunden bei "Netzwerkverbindungen werden getrennt" daraufhin hab ich n per 5sec aufm Knopf drücken ausmgemacht. Dann fuhr er neu hoch und es kam die Meldung rundlll32 hat orahil bla nicht gefunden. Also sah es so aus, als wäre der Virus zumindest auch schonmal runter. Im Ahnang die Logdatei

Danke schonmal


Alt 11.05.2011, 17:51   #6
markusg
/// Malware-holic
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



start programme zubehör editor einkopieren

killall::
rootkit::
c:\windows\system32\null0.04143577671713916.exe
c:\windows\system32\null0.12256869608551868.exe
c:\windows\system32\null0.5986582131441814.exe
c:\windows\Obonoxebuxeyaki.bin
registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Jyeqenarohilo"=-

datei speichern unter, speicherort, dort wo sich combofix befindet, datei typ alle dateien.
name:
cfscript.txt

ziehe cfscript auf combofix, programm startet log posten
__________________
--> TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O

Alt 11.05.2011, 17:56   #7
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Oh, ich glaub das war eben das falsche Log und ich hab auch nicht verstanden was du meintest mit dem Beitrag!

Hier nochmal ein neues nach nem weiteren Durchlauf.

Danke

Alt 11.05.2011, 18:01   #8
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Achso
Jetzt hab ichs verstanden

Easy, war nur etwas in Eile!

Edit:
Datei im Anhang.

Danke, werde das Forum auf jedenfall öfter besuchen und auch weiterempfehlen!

Geändert von Gude (11.05.2011 um 18:44 Uhr) Grund: Vervollständigung

Alt 11.05.2011, 19:14   #9
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Also ich hab das Gefühl, dass jetzt alles gut aussieht?! Wie kann ich mich da dementsprechend nochmal absichern?! Antivir nochmal Scannen lassen?! Oder Sonstiges?!

Danke für deine/eure Hilfe!

Alt 11.05.2011, 19:48   #10
markusg
/// Malware-holic
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



öffne arbeitsplatz c: rechtsklick qoobox, dann mit winrar oder zip packen, hochladen bitte.
http://www.trojaner-board.de/54791-a...ner-board.html
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.05.2011, 20:14   #11
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Fertig. Was genau ist das, was wir da machen?!

Alt 11.05.2011, 20:25   #12
markusg
/// Malware-holic
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



die malware die auf deinem system ist wollte ich mir ansehen.
machst du onlinebanking oder einkäufe? oder sonst was wichtiges?
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.05.2011, 20:33   #13
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Onlinebanking habe ich gemacht, habe dieses aber bereits nach dem Befall komplett gesperrt.
Ansonsten habe ich regelmäßigen Zugang zu Homepages und FTP's die ich mitverwalte.
Ansonsten benutze ich Itunes, soweit ich weiß loggt der sich aber nicht automatisch mit Passwort ein.

Ausser den üblichen Forenbesuchen und Netzwerken wie Facebook, benutze ich den rechner eigentlich nicht zum Kaufen von bes. Dingen. War nur vor kurzem bei Vodafone im Kundenbereich eingeloggt um Vertragsdaten einzusehen. Ansonsten befindet sich in unserem WlanNetz (Ich benutze D-Lan) das Notebook meines Dads, worauf nicht unbedingt jeder Zugriff haben sollte.

Eine Frage noch, die Logs, die ich hochgeladen habe, beinhalten die nicht ideales Informationen für Hacker?!

Alt 11.05.2011, 20:38   #14
markusg
/// Malware-holic
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



nein, welche infos sollten sie denn beinhalten.
dein pc muss neu aufgesetzt werden, da man für eine 100 %ige bereinigung nicht garantieren kann.
deswegen daten sichern und formatieren.
wenn du willst erkläre ich dir dann wie du das system richtig absicherst
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 11.05.2011, 20:46   #15
Gude
 
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Standard

TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O



Bezüglich Formatieren bin ich auf dem laufendem.

Habe 2 Partitionen
1. Nur Systemdatein
2. alle anderen Daten

lediglich der Desktop müsste gesichert werden.
Würde dann C Formatieren und neu aufspielen, hab also nicht so viel Stress mit sichern.

Oder würdest du ne komplette Formatierung bevorzugen?!
P.S. die Exen, z.B. Games, die sich auf D befinden hab ich ewig nichtmehr in Gebrauch gehabt.

Ich freu mich über jeden Tipp, was ein sicheres System anbelangt, solang es nicht a la Norton das System aufs übelste lamed und mehr Anfragen auf Zugriffsrechte stellt als erwünscht, wie z.B. Zonealarm...
(Erfahrungen, die schon alt sind...)

Antwort

Themen zu TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O
ablauf, anhang, antivir, c:\windows, computer, dll, easybox, einträge, firewall, folge, hijack, hijackthis, html/expkit.gen2, infektion, internetverbindung, keine firewall, keine verbindung, klicke, logfiles, löschen, malwarebytes, nicht löschen, offline, recycle.bin, registry, rundll, rundll32.exe, trojaner, verbindung, viren, vodafone



Ähnliche Themen: TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O


  1. HTML/ExpKit.Gen3 aber Avira zeigt mir das immer nur Abends an
    Plagegeister aller Art und deren Bekämpfung - 23.11.2014 (11)
  2. Win 7: Problem mit HTML/ExpKit.Gen3
    Log-Analyse und Auswertung - 19.02.2014 (9)
  3. HTML/ExpKit.Gen3 wird beim Aufrufen einiger Webseiten von Avira gefunden
    Log-Analyse und Auswertung - 27.01.2014 (15)
  4. Antivir findet immer wieder TR/atraps.gen, TR/atraps.gen2 , HTML/expKit.Gen3
    Log-Analyse und Auswertung - 17.11.2013 (12)
  5. Win 7, Avira Fund: HTML/ExpKit.Gen3 [Virus], in: Temporary Internet Files
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (9)
  6. HTML/ExpKit.Gen3 Virus ?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  7. Trojaner Yontoo html/expkit.gen3
    Log-Analyse und Auswertung - 22.03.2013 (7)
  8. Befall mit Exploits Java.Expkit.B, C und E und Virus JAVA/Blacole.GD , vermutlich durch searchnu Toolbar
    Log-Analyse und Auswertung - 22.12.2012 (26)
  9. ATRAPS.GEN & GEN2, Dldr.Phdet.E.38, Kazy.79779, JAVA.Ternub.Gen, Dldr.Lamar.BD in C:\Users\.\AppData
    Plagegeister aller Art und deren Bekämpfung - 05.07.2012 (3)
  10. Exploit:Java/Blacole.FY; Win32/Karagany.I; Verschlüsselung
    Log-Analyse und Auswertung - 29.06.2012 (7)
  11. TR/PSW.Karagany, TR/Dldr.Karagany, TR/Crypt.XPACK, TR/Fakesysdef unter W7
    Log-Analyse und Auswertung - 24.02.2012 (31)
  12. NICHTS geht mehr - TR/crypt.xpack.gen2 und TR/PSW.karagany.a.73 gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.01.2012 (1)
  13. Mehrere Viren eingefangen: TR/Trash.Gen, HTML/ExpKit.Gen2, EXP/Java.aqe etc.
    Log-Analyse und Auswertung - 23.05.2011 (37)
  14. TAN-Abfrage beim Online-Banking: Java/Edoer.af + Openstream.L + TR/Kazy.17993.1 + HTML/Expkit.Gen2
    Plagegeister aller Art und deren Bekämpfung - 10.04.2011 (29)
  15. Von Webseite eingefangen TR/ATRAPS.Gen2, später Bluescreen->Scan: Fund: JAVA/Agent.FK
    Log-Analyse und Auswertung - 23.03.2011 (6)
  16. TR/Kazy.12044.psa und HTML Scriptvirus HTML/Infected.WebPage.Gen
    Plagegeister aller Art und deren Bekämpfung - 14.02.2011 (1)
  17. JAVA/Pesc.F mit Antivir gefunden (Browser schließt plötzlich)
    Plagegeister aller Art und deren Bekämpfung - 02.12.2010 (2)

Zum Thema TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O - Hallo, Ich versuche mich so kurz wie möglich, aber dennoch aussagekräftig zu halten. Ich benutze Antivir und sonst keine Firewall oder Sonstiges, ausser die in meiner Vodafone EasyBox TR/Dkdr.Karagany.A.388 + - TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O...
Archiv
Du betrachtest: TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.