Trojaner-Board - Windows System aus Sicherheitsgründen blockiert...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows System aus Sicherheitsgründen blockiert... (https://www.trojaner-board.de/107872-windows-system-sicherheitsgruenden-blockiert.html)

Zu Combofix und PEV.exe ist ein Fehlalarm.

Wir sollten den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Hat etwas länger gedauert, hatte wenig Zeit die letzten Tage. Hier der Bericht
nach dem Fix

Code:

aswMBR version 0.9.9.1297 Copyright(c) 2011 AVAST Software

Run date: 2012-01-15 21:04:21

-----------------------------

21:04:21.611    OS Version: Windows 6.1.7601 Service Pack 1

21:04:21.611    Number of processors: 2 586 0x170A

21:04:21.611    ComputerName: TIM-PC  UserName: tim

21:04:22.282    Initialize success

21:04:29.848    AVAST engine defs: 12011501

21:04:33.545    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

21:04:33.545    Disk 0 Vendor: SAMSUNG_ 2AC1 Size: 305245MB BusType: 3

21:04:33.561    Disk 0 MBR read successfully

21:04:33.561    Disk 0 MBR scan

21:04:33.592    Disk 0 Windows 7 default MBR code

21:04:33.608    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        15360 MB offset 2048

21:04:33.639    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 31459328

21:04:33.639    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       144890 MB offset 31664128

21:04:33.686    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS       144893 MB offset 328398848

21:04:33.701    Disk 0 scanning sectors +625139712

21:04:33.826    Disk 0 scanning C:\windows\system32\drivers

21:04:55.418    Service scanning

21:04:57.118    Modules scanning

21:05:12.827    Disk 0 trace - called modules:

21:05:12.859    ntoskrnl.exe CLASSPNP.SYS disk.sys iaStor.sys halmacpi.dll 

21:05:12.859    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86954030]

21:05:12.874    3 CLASSPNP.SYS[8bced59e] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85b58028]

21:05:13.498    AVAST engine scan C:\windows

21:05:20.393    AVAST engine scan C:\windows\system32

21:08:06.787    AVAST engine scan C:\windows\system32\drivers

21:08:18.611    AVAST engine scan C:\Users\tim

21:13:17.728    AVAST engine scan C:\ProgramData

21:14:26.153    Scan finished successfully

21:17:35.553    Disk 0 MBR has been saved successfully to "C:\Users\tim\Desktop\MBR.dat"

21:17:35.569    The log file has been saved successfully to "C:\Users\tim\Desktop\aswMBR.txt"

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Hier Malwarebytes

Code:

Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.09.08
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

tim :: TIM-PC [Administrator]
 

16.01.2012 21:14:03

mbam-log-2012-01-16 (21-14-03).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 306213

Laufzeit: 56 Minute(n), 15 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

rest folgt

hier nochmal malwarebytes-scan, hatte vergessen upzudaten

Code:

Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org
 

Datenbank Version: v2012.01.16.02
 

Windows 7 Service Pack 1 x86 NTFS

Internet Explorer 9.0.8112.16421

tim :: TIM-PC [Administrator]
 

16.01.2012 22:33:23

mbam-log-2012-01-16 (22-33-23).txt
 

Art des Suchlaufs: Vollständiger Suchlauf

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 307940

Laufzeit: 1 Stunde(n), 2 Minute(n), 37 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 0

(Keine bösartigen Objekte gefunden)
 

(Ende)

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 01/17/2012 at 12:18 PM
 

Application Version : 5.0.1142
 

Core Rules Database Version : 8134

Trace Rules Database Version: 5946
 

Scan type       : Complete Scan

Total Scan Time : 00:37:35
 

Operating System Information

Windows 7 Home Premium 32-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 656

Memory threats detected   : 0

Registry items scanned    : 40754

Registry threats detected : 0

File items scanned        : 47843

File threats detected     : 28
 

Adware.Tracking Cookie

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\80V3EBR5.txt [ /adform.net ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\ODRVO50L.txt [ /ad1.adfarm1.adition.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\NT14Z4J7.txt [ /imrworldwide.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\EMIOG7E3.txt [ /atdmt.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\5M3YUQJ9.txt [ /advertising.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\I0HP18I4.txt [ /revsci.net ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\ZJ2ZO10B.txt [ /serving-sys.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\AQOSB0MQ.txt [ /ad.yieldmanager.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\HLUGF2KX.txt [ /doubleclick.net ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\81812YDB.txt [ /mediaplex.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\9JC3NMXS.txt [ /adx.chip.de ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\N1B6BH78.txt [ /webmasterplan.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\MSV0WEVG.txt [ /specificclick.net ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\0HFMH5BZ.txt [ /adfarm1.adition.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\XD37PAEA.txt [ /apmebf.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\1FBPSVV9.txt [ /track.adform.net ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\ZRBCPQMR.txt [ /ads.creative-serving.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\5JNB9BUM.txt [ /c.atdmt.com ]

        C:\Users\tim\AppData\Roaming\Microsoft\Windows\Cookies\XUV4ZNWW.txt [ /invitemedia.com ]

        C:\USERS\TIM\Cookies\ODRVO50L.txt [ Cookie:tim@ad1.adfarm1.adition.com/ ]

        C:\USERS\TIM\Cookies\EMIOG7E3.txt [ Cookie:tim@atdmt.com/ ]

        C:\USERS\TIM\Cookies\5M3YUQJ9.txt [ Cookie:tim@advertising.com/ ]

        C:\USERS\TIM\Cookies\ZJ2ZO10B.txt [ Cookie:tim@serving-sys.com/ ]

        C:\USERS\TIM\Cookies\HLUGF2KX.txt [ Cookie:tim@doubleclick.net/ ]

        C:\USERS\TIM\Cookies\9JC3NMXS.txt [ Cookie:tim@adx.chip.de/ ]

        C:\USERS\TIM\Cookies\N1B6BH78.txt [ Cookie:tim@webmasterplan.com/ ]

        C:\USERS\TIM\Cookies\0HFMH5BZ.txt [ Cookie:tim@adfarm1.adition.com/ ]

        C:\USERS\TIM\Cookies\XUV4ZNWW.txt [ Cookie:tim@invitemedia.com/ ]

ESET lief gerade noch ;-) Hier der Bericht

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

# version=7

# iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e29a9df85f738442ae913e66394c55a7

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-10 01:38:02

# local_time=2012-01-10 02:38:02 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1797 16775165 100 94 55674 62733532 84112 0

# compatibility_mode=5121 16776573 100 96 56584194 78559059 0 0

# compatibility_mode=5893 16776574 66 85 4497383 77827902 0 0

# compatibility_mode=8192 67108863 100 0 44861 44861 0 0

# scanned=127666

# found=0

# cleaned=0

# scan_time=5971

# version=7

# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=e29a9df85f738442ae913e66394c55a7

# end=finished

# remove_checked=false

# archives_checked=true

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-01-17 12:50:25

# local_time=2012-01-17 01:50:25 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1797 16775165 100 94 147146 63337045 40389 0

# compatibility_mode=5893 16776574 100 94 4572 78431415 0 0

# compatibility_mode=8192 67108863 100 0 648374 648374 0 0

# scanned=116464

# found=0

# cleaned=0

# scan_time=4401

Sieht ok aus, da wurden nur Cookies gefunden.
Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Rechner soweit wieder im Lot?

Jep - sieht so aus, läuft nach meinem Empfinden um einiges besser als zuvor

Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:

Adobe - Andere Version des Adobe Flash Player installieren

Notfalls kann man auch von Chip.de runterladen => http://filepony.de/?q=Flash+Player

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.