Trojaner fake alert

score2005 · 08.08.2011, 13:49

Hallo M-K-D-B,

anbei die Neuen Log-Files.

OTL-FIX

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Infodelivery\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Low Rights\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2009\Utilities folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2009 folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Master Collection CS4 folder moved successfully.
C:\Dokumente und Einstellungen\User\Startmenü\Programme\System Repair folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~P1kAlMiG2Kb7Fz moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~P1kAlMiG2Kb7Fzr moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\P1kAlMiG2Kb7Fz moved successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TuneUp Utilities 2009.lnk moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartUpReg\AdobeCS4ServiceManager\ not found.
========== FILES ==========
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Program Statistics folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\TuneUp Software\TuneUp Utilities\StartUp Manager folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Dashboard folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Backups folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\TuneUp Software\TuneUp Utilities folder moved successfully.
C:\Dokumente und Einstellungen\User\Anwendungsdaten\TuneUp Software folder moved successfully.
File\Folder C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 41 bytes
 
User: All Users
 
User: NetworkService
->Temp folder emptied: 5692 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 557190 bytes
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 8760180 bytes
->Java cache emptied: 14895398 bytes
->FireFox cache emptied: 97471261 bytes
->Google Chrome cache emptied: 6098411 bytes
->Apple Safari cache emptied: 1078272 bytes
->Opera cache emptied: 75236361 bytes
->Flash cache emptied: 13770 bytes
 
User: User
->Temp folder emptied: 898327 bytes
->Temporary Internet Files folder emptied: 2764477 bytes
->Java cache emptied: 12119679 bytes
->Flash cache emptied: 3354 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 3608161 bytes
%systemroot%\System32 .tmp files removed: 1163143 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 411005 bytes
RecycleBin emptied: 280250 bytes
 
Total Files Cleaned = 215,00 mb
 
 
OTL by OldTimer - Version 3.2.26.1 log created on 08082011_141825

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

SAS LOG

Code:

ATTFilter

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 08/08/2011 at 02:39 PM

Application Version : 5.0.1108

Core Rules Database Version : 7524
Trace Rules Database Version: 5336

Scan type       : Complete Scan
Total Scan Time : 00:15:42

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned      : 538
Memory threats detected   : 0
Registry items scanned    : 39025
Registry threats detected : 0
File items scanned        : 41136
File threats detected     : 19

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\User\Cookies\user@mediaplex[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@ad1.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@ad3.adfarm1.adition[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@doubleclick[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@apmebf[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@serving-sys[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@bs.serving-sys[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@guj.122.2o7[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@zanox[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@atdmt[2].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@ad2.adfarm1.adition[2].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@webmasterplan[2].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@tradedoubler[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@traffictrack[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@ads.monster[1].txt
	C:\Dokumente und Einstellungen\User\Cookies\user@im.banner.t-online[1].txt

Trojan.Agent/Gen-Nullo[Short]
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A915E3CE-D2CC-4023-B5BB-8830B6D42F76}\RP372\A0057433.EXE
	C:\SYSTEM VOLUME INFORMATION\_RESTORE{A915E3CE-D2CC-4023-B5BB-8830B6D42F76}\RP372\A0057435.EXE

Gruß,
Frank

M-K-D-B · 08.08.2011, 14:05

Hallo Frank,

Zitat:

"Mozilla Firefox (3.5.6)" = Mozilla Firefox (3.5.6)

Bitte Firefox updaten.

Schritt # 1: Java deinstallieren/neu installieren
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Akzeptiere die Nutzungsbestimmungen.
Suche dir nun die Windows x86 Offline Installationsdatei und speichere diese auf deinem Desktop.
Schließe alle laufenden Programme. Speziell deinen Browser.
Gehe nun zu Start --> Systemsteuerung --> Software.
Deinstalliere alle vorhandenen Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.
Installiere nun die neue Version welche vorher herunter geladen wurde.

Nachdem die neue Version installiert wurde

Öffne erneut die Systemsteuerung --> Zur klassischen Ansicht wechseln und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Schritt # 2: Wichtige Updates

Deinstalliere bitte deine aktuelle Version von Adobe Reader:
Start --> Systemsteuerung --> Software --> Adobe Reader
und lade dir die neue Version von Hier herunter.
Entferne den Hacken für den McAfee SecurityScan bzw. Google Chrome.

Schritt # 3: ESET Online Scanner
Bitte während der Online-Scans evtl. vorhandene externe Festplatten einschalten! Bitte während der Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliches) abstellen und nicht vergessen, alles hinterher wieder einzuschalten.

Anmerkung für Vista und Win7 User: Bitte den Browser unbedingt als Administrator starten.
Dein Anti-Virus-Programm während des Scans deaktivieren.

Button (<< klick) drücken.
- Firefox-User:
  Bitte esetsmartinstaller_enu.exe downloaden.Das Firefox-Addon auf dem Desktop speichern und dann installieren.
- IE-User:
  müssen das Installieren eines ActiveX Elements erlauben.
Setze den einen Hacken bei Yes, i accept the Terms of Use.
Drücke den Button.
Warte bis die Komponenten herunter geladen wurden.
Setze einen Haken bei "Scan archives".
Gehe sicher das bei Remove Found Threads kein Hacken gesetzt ist.
drücken.
Die Signaturen werden herunter geladen.Der Scan beginnt automatisch.

Wenn der Scan beendet wurde

Klicke Finish.
Browser schließen.

Drücke bitte die

+ R Taste und kopiere folgenden Text in das Ausführen Fenster.

Code:

ATTFilter

"%ProgramFiles%\Eset\Eset Online Scanner\log.txt"

Poste nun den Inhalt der log.txt.

Schritt # 4: Durchführung einer Sicherheitskontrolle
Downloade Dir bitte SecurityCheck

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS- Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde sollte sich ein Textdokument ( checkup.txt ) öffnen.
Poste den Inhalt bitte hier.

Schritt # 5: Deine Rückmeldung
Zur weiteren Analyse benötige ich zusammen mit deiner nächsten Antwort

das Logfile des ESET Online Scanners und
das Logfile von SecurityCheck.

score2005 · 08.08.2011, 15:28

Hallo M-K-D-B,

habe de Java Version aktualisiert.
ADOBE Reader ist jetzt auch die neuste Version installiert.

Hier das ESET Online Logfile

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a8d911645d3f2e48808bad6f8ec55072
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-08-08 02:11:34
# local_time=2011-08-08 04:11:34 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=6143 16777215 0 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 83 83 0 0
# scanned=81411
# found=0
# cleaned=0
# scan_time=2035

SecurityCheck Logfile

Code:

ATTFilter

Results of screen317's Security Check version 0.99.18  
 Windows XP Service Pack 3  
 Internet Explorer 8  
`````````````````````````````` 
Antivirus/Firewall Check: 
 ESET Online Scanner v3   
 McAfee Security Scan    
 Microsoft Security Essentials    
 Antivirus up to date! (On Access scanning disabled!) 
``````````````````````````````` 
Anti-malware/Other Utilities Check: 
 Malwarebytes' Anti-Malware    
 Java(TM) 7    
Flash Player Out of Date! 
 Adobe Flash Player 	10.0.42.34  
 Adobe Reader X (10.1.0) 
 Mozilla Firefox (3.5.6) Firefox Out of Date!  
```````````````````````````````` 
Process Check:  
objlist.exe by Laurent 
 Windows Defender MSMpEng.exe 
 Malwarebytes' Anti-Malware mbamservice.exe  
 Microsoft Security Essentials msseces.exe 
 Microsoft Security Client Antimalware MsMpEng.exe  
``````````End of Log````````````

Gruß,
Frank

M-K-D-B · 08.08.2011, 15:59

Hallo Frank,

Und was ist mit Firefox?

Zitat:

Mozilla Firefox (3.5.6) Firefox Out of Date!

Sei so nett und update bitte Firefox.

Wenn du keine Probleme mehr hast, dann sind wir hier fertig. Dein Rechner ist sauber.

Zum Schluss müssen wir noch ein paar abschließende Schritte unternehmen, um deinen Pc aufzuräumen und abzusichern.

Schritt # 1: ComboFix deinstallieren
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücken. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

ATTFilter

Combofix /Uninstall

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt # 2: Systembereinigung mit OTL
Als Nächstes müssen wir alle Programme, die zur Malwarebeseitigung notwendig waren, entfernen:

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Button Bereinigung.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.

Schritt # 3: Programme deinstallieren/löschen

Deinstalliere/Lösche gegebenenfalls weitere Dateien und Programme, die wir verwendet haben, manuell, falls sie noch nicht von deinem Rechner entfernt wurden.

Schritt # 4: ESET Online Scanner

Ich würde dir empfehlen, 1 mal pro Woche auch mit diesem Scanner dein System zu prüfen.
Möchtest Du ESET denoch deinstallieren:
Drücke bitte die + R Taste und kopiere folgenden Text in das Ausführen Fenster.
Code:
ATTFilter
```
"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
         
```
Drücke OK.

Schritt # 5: Adobe Flash Player aktualisieren

Lade dir die neuste Version des Flash Players von Adobe herunter.
Deaktiviere gegebenenfalls den Haken vor Google Chrome bzw. McAfee Security Scan.
Installiere die neuste Version auf deinem Computer.

Schritt # 6: Windows Update aktivieren
Sehen wir nach ob die Updates für Windows sich automatisch downloaden. Das ist der beste Weg um all die Sicherheits- Patches und Fixes zu erhalten.

Windows + R Taste drücken.
Kopiere nun folgenden Text in die Kommandozeile:
Code:
ATTFilter
```
RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
         
```
Klicke auf Ok.
Stelle sicher, dass die automatischen Updates aktiviert sind.
Downloade und installiere gegebenenfalls alle verfügbaren Updates.

Schritt # 7: Schutz vor weiteren Infektionen
Damit du in Zukunft vor ähnlichen Infektionen geschützt bist, empfehle ich dir noch ein paar nützliche Programme inklusive ein paar Tipps.

Vergewissere dich, dass dein Virenscanner stets aktuell ist und regelmäßig Updates erhält.
Daneben empfehle ich dir die Verwendung eines der folgenden Anti-Malware tools:
- Malwarebytes' Anti-Malware
- SuperAntiSpyware
- Emsisoft AntiMalware
SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Eine Einführung findest du hier
Öffne keine E-Mails oder deren Anhänge, wenn du den Absender nicht kennst!
Verwende keine Filesharing Programme, da damit sehr oft Malware übertragen wird!
Verwende keine Keygens, Cracks oder andere illegale Software!
Wähle bei der Installation eines Programms immer die benutzerdefinierte Variante. Somit kannst du unnötige Toolbars, etc. abwählen!
Halte ALLE deine Programme aktuell, z. B. mit dem Online Secunia Inspector!

Schritt # 8: Deine Rückmeldung
Bitte gib mir kurz Bescheid, wenn alles erledigt ist und du keine Fragen mehr hast, damit ich das Thema aus meinen Abos löschen kann.

score2005 · 09.08.2011, 09:22

Hallo M-K-D-B,

so, jetzt ist Firefox aktualisiert

Die Schritte 1-6 habe ich alle ausgeführt. Werde deine Tips zum Schutz vor weiteren Infektionen umsetzten und wöchentlich die Tools laufen lassen.

Vielen Dank für die SUPER Unterstützung bei der beseitigung der Viren.

Schöne Grüße
Frank

M-K-D-B · 09.08.2011, 10:22

Zitat:

Zitat von score2005

Vielen Dank für die SUPER Unterstützung bei der beseitigung der Viren.

Ich bin froh, dass wir helfen konnten

Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Solltest Du das Thema erneut brauchen, schicke mir bitte eine PM.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen.

Trojaner fake alert

Log-Analyse und Auswertung: Trojaner fake alert