Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Cloud AV, TR/Trash.Gen und Firefox auf Abwegen (https://www.trojaner-board.de/107065-cloud-av-tr-trash-gen-firefox-abwegen.html)

abdiepost 28.12.2011 11:34
Cloud AV, TR/Trash.Gen und Firefox auf Abwegen
 
Hallo zusammen, ich versuche mal die Ereignisse der letzten Tage zu gliedern.

1) Es hat sich ein Pogramm installiert, welches Cloud AV heißt und einen Virenscanner oä. imitieren sollte und mein komplettes System lahmgelegt hat. Nach Recherche im Netz habe ich das Programm Malwarebytes Anti-Malware installiert und den Virus damit (?) gelöscht.
Das Logfile findet sich im Anhang.

2) Danach war dieses Poblem zunächst behoben. Mein Virenscanner (Antivir) meldete jedoch den Trojaner TR/Trash.Gen welchen ich isoliert habe. Das Logfile ist im Anhang.

3) Nunmehr - und damit das letzte verbliebene Problem, öffnet Firefox wenn ich auf ganz normale Links klicke, andere Seiten. Werbung etc, zum Beispiel monstermarketplace.com und andere webseiten. Dazu erklärt er, dass er nicht mehr der Standartbrowser sei obwohl ich nichts anderes nutze.

4) Zusätzliche Infos: Wenn ich gmer.exe ausführe kommt vorab eine Fehlermeldung. Sie liegt ebenfalls dem Anhang bei. Alle anderen Logs, wie in der Anleitung beschrieben -> im Anhang.

Vielen Dank für Eure Hilfe!

cosinus 29.12.2011 17:34
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

abdiepost 31.12.2011 00:52
Erstmal der letze Malware Log von gerade eben

aMalwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.30.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
wasgucksu :: AUFDIEZWOELF [Administrator]

Schutz: Aktiviert

30.12.2011 23:46:24
mbam-log-2011-12-30 (23-46-24).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 218072
Laufzeit: 53 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\wasgucksu\Eigene Dateien\Downloads\Everest Poker.exe (PUP.Casino) -> Keine Aktion durchgeführt.
C:\Programme\LP\3C42\19C.tmp (Trojan.Dropper.PE4) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

------------

Dazu noch Protection log (wie gesagt firefox macht was er will)

2011/12/31 00:07:52 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.3 (Type: outgoing)
2011/12/31 00:07:55 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.3 (Type: outgoing)
2011/12/31 00:19:01 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.4 (Type: outgoing)
2011/12/31 00:19:04 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.4 (Type: outgoing)
2011/12/31 00:20:56 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.2 (Type: outgoing)
2011/12/31 00:20:59 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.2 (Type: outgoing)
2011/12/31 00:34:11 +0100 AUFDIEZWOELF wasgucksu IP-BLOCK 206.161.121.5 (Type: outgoing)
2011/12/31 00:42:37 +0100 AUFDIEZWOELF MESSAGE Starting protection
2011/12/31 00:42:50 +0100 AUFDIEZWOELF MESSAGE Protection started successfully
2011/12/31 00:42:53 +0100 AUFDIEZWOELF MESSAGE Starting IP protection
2011/12/31 00:43:16 +0100 AUFDIEZWOELF wasgucksu MESSAGE IP Protection started successfully


Und die letzten Funde von Antivir

C:\Programme\LP\3C42\19C.tmp
[FUND] Ist das Trojanische Pferd TR/Graftor.11524.1


C:\System Volume Information\_restore{D37DE8EE-924C-4F63-83A7-5F66EFBE37ED}\RP301\A0021405.exe
[FUND] Ist das Trojanische Pferd TR/Kazy.50365.9

C:\System Volume Information\_restore{D37DE8EE-924C-4F63-83A7-5F66EFBE37ED}\RP301\A0021416.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Cycbot.byma

C:\Dokumente und Einstellungen\wasgucksu\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\59\7225ae7b-68ec6215
[FUND] Ist das Trojanische Pferd TR/Karagany.gymao

Macht das Ganze überhaupt noch Sinn? explorer.exe stürzt inzwischen auch regelmäßig ab....:(

abdiepost 31.12.2011 02:20
Jetzt der geforderte Log

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7407d0bc4a4ddd43bb3d69ed59b14057
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-31 12:01:47
# local_time=2011-12-31 01:01:47 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 5847229 5847229 0 0
# compatibility_mode=8192 67108863 100 0 3746 3746 0 0
# scanned=165
# found=0
# cleaned=0
# scan_time=24
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7407d0bc4a4ddd43bb3d69ed59b14057
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-12-31 01:19:31
# local_time=2011-12-31 02:19:31 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1792 16777175 100 0 5847301 5847301 0 0
# compatibility_mode=8192 67108863 100 0 3818 3818 0 0
# scanned=81999
# found=0
# cleaned=0
# scan_time=4613

abdiepost 31.12.2011 11:32
So, es geht nicht mehr. Mein System ist kaum mehr bedienbar. Mache heute alles neu.
Danke für die Hilfe!

cosinus 31.12.2011 15:56
Ok, dann viel Erfolg bei der Neuinstallation


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129