|
Infektion mit XP Total Security und Trojanern Hallo zusammen, und erst mal großes Lob an Euch. Es war für mich schon öfter sehr aufschlußreich sich hier zu informieren, wie man das eine oder andere Problem (nicht nur von mir) wieder in den Griff bekommt. Jetzt hat es bei mir zugeschlagen. Was bisher geschah: Habe mir beim Besuch von Seiten mit sagen wir mal eher spärlich bekleideten Menschen mit eindeutigen Beschäftigungen diesen Wiederling eingfangen: XP Total Security Ja, Strafe muß sein! Avira hatte diverse Funde gemeldet und diese in Quarantäne verschoben. Exdoer.BE.2, TR/Drop.Softomat.AN, JAVA/MundGura.D usw.. Neben bei hat sich XP Total Security eingenistet. Nannte sich im taskmanager hne.exe , konnte da auch kurzfristig gestoppt werden, bis man eine Aktion wie ein Programm starten gemacht hat und schwupps - da war er wieder. Über die Suchfunktion konnte die hne.exe schnell im temp-Verzeichnis des zum Infektionszeitpunkt aktiven (eingeschränkten) Benutzers lokalisiert werden. Andere Benutzerkonten waren offensichtlich nicht betroffen. Keinerlei Aktivität und augenscheinlich alles normal. Also flugs gelöscht und Ende mit dem Spuk. Von wegen! Kein Programmstart mehr über Desktopikons, START/PROGRAMME ect. . Einige gingen trotzdem, Outlook z.B.. Denke mal weil die Verknüpfung auf C:\Dokumente und Einstellungen\All Users\Startmenü\Programme zeigt. Somit dann mal fleißig Informationen gesammelt über Entfernung von XP Total Security / XP Total Security 2011 und Freunden. z.B. bei Euch (http://www.trojaner-board.de/95835-x...entfernen.html) Also rkill + malwarebytes (aktualisiert) angewendet und Funde dann auch beseitigen lassen. Logs: rkill 03.06.2011.log mbam-log-2011-06-06 (07-58-01).txt mbam-log-2011-06-03 (16-00-07).txt mbam-log-2011-06-03 (17-12-42).txt Weiterhin keine Programmstarts. Nächste Idee: Versuch mit Adminrechten (anderes,bestehendes Konto / abgesicherter Modus) Systemwiederherstellung auf 2 Tage vor Befall. Ja, hab dann später auch gelesen, daß das eher nicht der Bringer ist. Muß sagen: stimmt! Folgende Meldung: Ordner wurden umbenannt C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\p0nmvvq1.default\Cache(2) C:\Dokumente und Einstellungen\user2\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\p0nmvvq1.default\Cache(2) (beides eingeschränkte Benutzer, Daten sind noch vorhanden falls benötigt) wieder fleißig gegoogelt Anschließend das Problem der nicht startenden exe Dateien Schritt für Schritt manuell beseitigt. Soll heißen erst mal registry gesichert und dann anhand von z.B. rkill.reg (C:\Dokumente und Einstellungen\user1\Lokale Einstellungen\Temp\RarSFX0\rkill.reg) und anderen Beispielen aus dem Netz alle Schlüssel und Werte entfernt / korregiert, die eindeutig mit XP Total Security (z.B. regedit - STRG+F - hno.exe) in Zusammenhang stehen, bzw. das Ausführen von exe Dateien ermöglichen. Weiter aus den temp Ordnern + Papierkorb offensichtlich dazugehörigen Schrott gelöscht. So weit - so gut. User1 läuft wieder. Dann umgehend das XP SP3 Update Pack 3.32 (Voll) von WinFuture (ich hoffe das ist so korrekt genannt, sonst bitte entfernen) laufen lassen. Lief sauber durch. trotzdem solche Meldungen Ereignisanzeige: Ereignistyp: Fehler Ereignisquelle: HotFixInstaller Ereigniskategorie: Keine Ereigniskennung: 5000 Datum: 05.06.2011 Zeit: 19:07:06 Benutzer: Nicht zutreffend Computer: PC1 Beschreibung: EventType visualstudio8setup, P1 microsoft .net framework 3.5-kb2418240, P2 1031, P3 1605, P4 msi, P5 f, P6 9.0.40302.0, P7 install, P8 x86, P9 xp, P10 0. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. mehrere Male mit wechselnder 3.5-kb24**** bzw. 2.0-kb24**** und Ereignistyp: Fehler Ereignisquelle: NativeWrapper Ereigniskategorie: Keine Ereigniskennung: 5000 Datum: 05.06.2011 Zeit: 19:06:53 Benutzer: Nicht zutreffend Computer: PC1 Beschreibung: Die Beschreibung der Ereigniskennung ( 5000 ) in ( NativeWrapper ) wurde nicht gefunden. Der lokale Computer verfügt nicht über die zum Anzeigen der Meldungen von einem Remotecomputer erforderlichen Registrierungsinformationen oder DLL-Meldungsdateien. Möglicherweise müssen Sie das Flag /AUXSOURCE= zum Ermitteln der Beschreibung verwenden. Weitere Informationen stehen in Hilfe und Support. Ereignisinformationen: visualstudio7x80update; msiexec.exe; 1.0.1686.5002; kb2416447; 1031; 66a; f; install; x86; 5.1.2600.2.3.0.768; 0. und so was: Ereignistyp: Informationen Ereignisquelle: MSDTC Ereigniskategorie: TM Ereigniskennung: 2444 Datum: 07.06.2011 Zeit: 22:56:27 Benutzer: Nicht zutreffend Computer: PC1 Beschreibung: MS DTC wurde mit den folgenden Einstellungen gestartet: Sicherheitskonfiguration (AUS = 0 und EIN = 1): Netzwerkverwaltung von Transaktionen = 0, Netzwerkclients = 0, Eingehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0, Ausgehende verteilte Transaktionen mithilfe des systemeigenen MSDTC-Protokolls = 0, Transaction Internet Protocol (TIP) = 0, XA-Transaktionen = 0 Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter hxxp://go.microsoft.com/fwlink/events.asp. Habe da aber noch nicht weiter nach geschaut, was das so zu sagen hat. Weiter mit Update auf Firefox 4.0.1 (vorher 3.*** , akteller Stand) Avira AntiVir Personal - FREE Antivirus aktueller Stand: Produktversion 10.0.0.648 01.04.2011 Suchengine 8.02.05.12 01.06.2011 Virendefinitionsdatei 7.11.09.91 07.06.2011 Control Center 10.00.12.29 02.08.2010 Config Center 10.00.13.16 02.08.2010 Luke Filewalker 10.00.04.02 30.04.2011 AntiVir Guard 10.00.01.58 16.03.2011 Filter 10.00.08.07 23.11.2010 Planer 10.00.00.21 30.04.2011 Updater 10.00.00.37 30.04.2011 automatische Updates laufen auch wieder problemlos nach Benutzeranmeldung selbstständig Habe nach weiterer Infosuche zwecks Trojaner ect. 2 Suchläufe nach Angaben aus dem avira forum durchgeführt. Logs: AVSCAN-20110607-225612-85AB8FD8.LOG AVSCAN-20110607-021113-6429F904.LOG zusätzlich noch die letzten Ereignisse von Avira Log: avira free Ereignisse seit 03.06.2011.txt Wie Ihr schon richtig sagt unter Punkt 6 der 7 goldenen Regeln: Das Verschwinden der Symptome bedeutet nicht, dass der PC auch wirklich sauber ist. Somit möchte ich nun ganz nett um Hilfe bitten bei der weiteren Überprüfung/Reinigung, sofern machbar. Habe mich dann nach dieser Anleitung von Euch: "Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?"- Punk 2, weiter vorbereitet und auch diese Logs beigefügt. Schritt 1- defogger: meldet Fehler + kein Neustart. Ausgeführt als eingeschränkter Benutzer (user1) oder "auführen als" aktueller Benutzer (user1) + Haken weg bei: .... nicht autorisierter Programmaktivität..... , bei "auführen als" -mein administratives Konto- (user0) läuft er zwar durch, verlangt aber auch keinen Neustart. Schritt 2 - OTL: keine Probleme Schritt 3 - gmer: läuft nur unter administrativem Konto, also auch nicht mit "ausführen als". Log ist recht kurz. Begebe mich jetzt vertrauensvoll in Eure Hände und hoffe auf Hilfe. Sollten mir unbeabsichtigte Fehler unterlaufen bei meinen Angaben wäre ich für einen freundlichen Hinweis dankbar. Dann kann ich es beim nächsten mal bestimmt besser machen. Was dann noch interressant wäre: Handy (Win mobile 6.1pro) wird per per activesync (4.5.0) mit outlook synchronisiert und manchmal auch als mobiler Datenträger verwendet. Bitte entsprechende Infos zum Infektrisiko in diesem Fall geben. |
Zitat:
|
Hallo Arne Vielen Dank erst mal, daß Du dich meinem Problem angenommen hast. Der Eintrag war von einem Versuch 2007 eine selbergebastelte Wiederherstellungs CD zu erstellen. Habe das iso wegen der Avirameldung dann gelöscht. Die Meldung kam auch erst, als ich die Rekursionstiefe bei Archiven gem. Anleitung im Avira Forum nicht mehr eingeschränkt habe. Vorher war Standard 20 eingestellt. Die * enthielten meinen Namen + einen Firmennamen. Grüße |
Zitat:
|
Hallo Arne Nee, war mir so nicht klar. Es wird in der Anleitung immer nur bei Vista und Win7 User mit Rechtsklick "als Administrator starten" geschrieben. Werde also noch mal ein Log machen mit administrativem Konto. Grüße |
Hallo Arne So, hier noch mal OTL log + defogger log Grüße |
Zitat:
Das OTL-Log sieht unauffällig aus. Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten. http://www.trojaner-board.de/attachm...rnen-start.png Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, bitte unhide ausführen: Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop. Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern ) http://www.trojaner-board.de/images/icons/icon4.gif Vista und 7 User müssen das Tool per Rechtsklick als Administrator ausführen! http://www.trojaner-board.de/images/icons/icon4.gif |
Hallo Arne 2x durchlaufen lassen. 1.x avira guard aktiv, 2.x deaktiviert. Beide male nichts. Start dauerte recht lange. (>30sec) bis zur Frage ausführen oder nicht. Das hier: Avira - automatische Updates laufen auch wieder problemlos nach Benutzeranmeldung selbstständig aus meinem Eröffnungsbeitrag muß ich revidieren! War 2x, jetzt nicht mehr. Manuelle Updates werden ausgeführt. Irgend was beschäftigt den Rechner auch gerade. Lüfter läuft permanent. Mitlerweile gute 20Min. War unter administrativem Konto für TDSSkiller Durchlauf nicht. Das kommt sonst nur beim anschauen von Clips ect. manchmal vor. Werden doch nicht dei 25 Smilies sein hier rechts neben dem Eingabefeld. Taskmanager tat sich beim öffnen grade ebenfalls schwer. Ging erst im Hintergrund auf, nachdem ich über die Taskleiste ein Explorerfenster angezeigt habe. Aktuell 1x Firefox Eure Antworten Seite, 1x Explorer und taskmanager. Leerlauf bei 99 - 30% FF 3 - 70% hin und wieder system.exe mit 2- 5 % jqs.exe mit 6% Systemleistung dauerhaft bei ca. 75% ±10% Grüße |
Hallo Arne So, Antwort abgeschickt - und Ruhe ist nach 5 sec. Waren wohl doch die Smilies. Grüße |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Hallo Arne Hier das combofix log Viele Grüße |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Hallo Arne So, alles erledigt. Gmer lief sauber durch, log ist abr auch nicht länger als das aus dem Eröffnungsppost. OSAM + MBRCheck auch keine Probleme. Alle Logs beigefügt. Viele Grüße Nebenbei: Respekt, an die 60 posts / Tag, da kommst ja kaum weg vom Rechner. Vor allem auch noch alles auswerten. |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Hallo Arne Hier die weiteren logs wie angegeben. Mir fällt auf, das einige Funde von offensichtlich seriösen Programmen stammen. Tourenplaner, CAD ect.. Wie kommt so was? Viele Grüße |
Das sind Fehlalarme. Kann bei jedem Virenscanner prinzipiell vorkommen. Rechner anonsten wieder im Lot? |
Hallo Arne Ja, läuft alles prima. Keine ungewöhnlichen Aktivitäten soweit ich feststellen kann. AVIRA ist auch wieder ok. Hier mußte nur der IE einmal online die Werbung öffnen. Jetzt funktioniert alles wieder wie es soll. Grüße |
Dann wären wir durch! :abklatsch: Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /u entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt. Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Hallo Arne Prima. Dann kann ich auch die zu Unrecht in Quarantäne verschobenen Dateien wieder herstellen lassen + Defogger die abgeschalteten Sachen wieder einschalten, wenn ich das richtig verstehe. Wie vertrauenswürdig und Sicher ist eigentlich die Sache mit ESET? Der Scan war ja zeitlich recht lang und guard + firewall aus. Zudem unter admin. Konto. Grüße |
Zitat:
|
Hallo Arne Erst mal ein großes :dankeschoen: So, habe jetzt die Aktualisierungen bis auf die aktuellste MS-XP über IE soweit durch. Besonders der Tip mit JavaRa war top. Trotz fast ganz aktuellem Java fand sich noch einiges an altem Zeug. eigentlich sollten wir jetzt :party: und dann :taenzer: Bevor ich aber die tools alle lösche werde ich die Sache noch eine Weile beobachten ob evtl. irgend ein Programm was vermisst. Gibt es hier im board evtl. noch einen Leitfaden zur Entfernung der angewendeten Programme ähnlich den Anleitungen zur Anwendung? Habe da auf Anhieb nichts gefunden. Viele Grüße |
Alles idR über die Systemsteuerung/Software bzw. Programm und Funktionen deinstalieren. Combofix üder den genannten Befehl, OTL ist eigentlich nur die OTL.exe und den Ordner C:\_OTL löschen |
Hallo Arne Den Ordner C:\_OTL gibt es nicht. Möglicherweise wurde er aber auch nicht angelegt bzw. autom. schon entfernt. Den Rest habe ich auch lokalisiert. Das wird schon klappen. Was mir gerade noch einfällt: Combofix hat doch die Wiederherstellungskonsole gem. Log erfolgreich installiert. Die Ordner sind auch vorhanden. Beim booten kommt allerdings keine Auswahl (timeout wäre ja 2sec). Rechner startet genau wie vorher auch. Ist das normal oder habe ich da was falsch verstanden bzw. gibt es da was zum nachlesen? Grüße |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 12:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board
