Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kann ich ein Backup jetzt noch bedenkenlos machen? (https://www.trojaner-board.de/107954-backup-noch-bedenkenlos.html)

Deathwing 11.01.2012 17:26
Kann ich ein Backup jetzt noch bedenkenlos machen?
 
Liste der Anhänge anzeigen (Anzahl: 1)
Guten Abend :)

Ich wollte gerne mal wieder ein Backup meiner eigenen Dateien machen. Allerdings hat Kaspersky ungewohnt viele Meldungen ausgespuckt. Alles nur Warnungen also im einzelnen nichts was schlimm aussieht. Allerdings steht dort immer "vom Benutzer übersprungen". Ich hatte aber nichts gemacht.
Ich bin mir nicht sicher ob das jedes mal so war wenn ich eine vollständige Untersuchung gestartet habe, daher wollte dann doch noch gerne mal die Profis gucken lassen :)

Und noch eine andere Frage. Ich von jemand einen Link geschickt bekommen den ich weiter geleitet hatte, der jenige (für den der link war) hatte den aufgerufen und ich auch kurz. Ich war wirklich nur kurz gucken, mein Bekannter auch. Er hatte dann aber irgendwie das Pech sich diesen BKA Trojaner sich ein zufangen.
Ich benutze eine Sandbox und hab bisher rein gar nichts von dem Trojaner bemerkt. Diese gewisse Anzeige die einem eingeblendet wird während der Rechner gesperrt ist, habe ich auch noch nicht bekommen. Wenn was passiert wäre hätte die die Sandbox den Zugriff auf meinen Rechner ja eh verhindert, nehm ich an.
Ich brauch mir, was das angeht, also keine Sorgen machen oder?

cosinus 11.01.2012 19:40
Warum postest du das Log als Screenshot? Text ist Text (kein Bildmaterial) und kann hier so kopiert und gepostet werden.

Deathwing 11.01.2012 19:54
Weil die Text Datei ordentlich verschoben besser gesagt schlecht formatiert war nach dem ich die gespeichert hatte. Aber ich kann das auch gerne noch mal als Text posten. Dachte halt nur das Bild wäre übersichtlicher, sry

Code:
11.01.2012 15:45:13        Aufgabe wurde gestartet                               
11.01.2012 15:52:58        Gefunden: HiddenObject.Multi.Generic        C:\Documents and Settings\Martin_2\Lokale Einstellungen\Mozilla\Firefox\Profiles\x19cu6jh.default\urlclassifier3.sqlite-journal        Protokolliert               
11.01.2012 15:52:58        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\Documents and Settings\Martin_2\Lokale Einstellungen\Mozilla\Firefox\Profiles\x19cu6jh.default\urlclassifier3.sqlite-journal        Vom Benutzer übersprungen               
11.01.2012 16:00:18        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\KasFlt\Temp\kasdb.fs.tmp        Protokolliert               
11.01.2012 16:00:18        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\KasFlt\Temp\kasdb.fs.tmp        Vom Benutzer übersprungen               
11.01.2012 16:00:19        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu-0607g.krg        Protokolliert               
11.01.2012 16:00:19        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu-0607g.krg        Vom Benutzer übersprungen               
11.01.2012 16:00:19        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu-0607g.xml        Protokolliert               
11.01.2012 16:00:19        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu-0607g.xml        Vom Benutzer übersprungen               
11.01.2012 16:00:19        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu.stt        Protokolliert               
11.01.2012 16:00:19        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu.stt        Vom Benutzer übersprungen               
11.01.2012 16:00:19        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu0029.dat        Protokolliert               
11.01.2012 16:00:19        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\adbu\apu0029.dat        Vom Benutzer übersprungen               
11.01.2012 16:00:20        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\apu\emu\emu-0607g.krg        Protokolliert               
11.01.2012 16:00:20        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\apu\emu\emu-0607g.krg        Vom Benutzer übersprungen               
11.01.2012 16:00:20        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\apu\emu\emu-0607g.xml        Protokolliert               
11.01.2012 16:00:20        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\rollback\general\bases\apu\emu\emu-0607g.xml        Vom Benutzer übersprungen               
11.01.2012 16:00:35        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\vlns\ForDiff\vlns006.kdc.tjn        Protokolliert               
11.01.2012 16:00:35        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\vlns\ForDiff\vlns006.kdc.tjn        Vom Benutzer übersprungen               
11.01.2012 16:00:36        Gefunden: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\wmuf\ForDiff\wmuf0029.dat.xmo        Protokolliert               
11.01.2012 16:00:36        Nicht desinfizierte Objekte: HiddenObject.Multi.Generic        C:\ProgramData\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\bases\wmuf\ForDiff\wmuf0029.dat.xmo        Vom Benutzer übersprungen               
11.01.2012 17:19:46        Aufgabe wurde abgeschlossen

cosinus 11.01.2012 20:13
Ist das Programm ein bisschen doof? :wtf:
Es meldet "hidden" objects in seinem eigene Programmpfad :balla:
Das sind keine Schädlinge sondern nur angeblich versteckte Dateien.

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

Deathwing 11.01.2012 21:21
Das die Pfunde im eigenen Programm Ordner sind hatte mich auch ein bisschen verfundert. Aber Malware Byts hatte ich schon einmal angeschmissen. Allerdings ohne Update .. :balla:
Werd ich morgen nochmal machen, das andere dann natürlich auch alles

Deathwing 12.01.2012 08:10
So hier schon mal der erste Malwarebyts Log von meinem PC. Der ist wie alle alten auch sauber

Code:
Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.12.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
****:: ****-PC [Administrator]

12.01.2012 07:18:41
mbam-log-2012-01-12 (07-18-41).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 352544
Laufzeit: 43 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Aber noch eine Frage: Gehen wir mal davon aus das mein PC mit einem Wurm infiziert wäre (z.B. Kido) und ich soll die Externe USB Festplatte, die in dem moment noch sauber ist, an meinem PC anschließen für den ESET Scan, dann infizier ich die Festplatte doch extra noch oder nicht ?
Oder verhindert ein deaktivierter Autostart für USB auch das der Wurm von meinem PC auf die gerade angeschlossene Ext. Festplatte rüber geht ?

Das soll nur eine Frage rein aus interesse sein, Wurm befall liegt an meinem PC gerade nicht vor (so weit ich weiß)

cosinus 12.01.2012 19:17
Zitat:
Oder verhindert ein deaktivierter Autostart für USB auch das der Wurm von meinem PC auf die gerade angeschlossene Ext. Festplatte rüber geht ?
Nein das nicht, ein aktiver Autorunwurm würde auch alle (externen) Datenträger befallen. Mit befallen wird gemeint: autorun.inf erstellen/überschreiben und entsprechende EXE erstellen, die über die autorun.inf gestartet werden.
Eine deaktivierte automatische Wiedergabe ist trotzdem sinnvoll, denn so kann nichts automatisch starten nur weil man ein USB-Datenträger angesteckt hat.
Vorsicht ist dennoch geboten wenn man einen Datenträger an einen infizierten Windows-Rechner anschließt, denn es gibt Schädlinge, die andere Dateien infizieren => Fileinfectoren!

Deathwing 13.01.2012 19:18
Habs geschafft den ESET Scan mal durchlaufen zu lassen, allerdings ohne Externe Festplatte. Ich hatte kein gutes Gefühl dabei die anzuschließen wenn mein PC vlt irgendwas haben könnte, da meine Festplatte eigentlich sauber ist. Ich wollte erst mal nur den Rechner durchsuchen lassen und wenn ich mir sicher bin der hat wirklich nichts (und das auch der Kram von Kaspersky nur Fehlwarnungen sind), dann könnte ich noch mal die Platte mit scannen.

So, hier ist das (saubere) Ergebnis:

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a5b95a01dfb26d498754ee05e4442719
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-13 04:56:20
# local_time=2012-01-13 05:56:20 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 7605 78103557 0 0
# compatibility_mode=8192 67108863 100 0 3757 3757 0 0
# scanned=1535
# found=0
# cleaned=0
# scan_time=72
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=a5b95a01dfb26d498754ee05e4442719
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-13 06:07:26
# local_time=2012-01-13 07:07:26 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1280 16777215 100 0 0 0 0 0
# compatibility_mode=5893 16776573 100 94 7736 78103688 0 0
# compatibility_mode=8192 67108863 100 0 3888 3888 0 0
# scanned=175970
# found=0
# cleaned=0
# scan_time=4208


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131