Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Rootkit.0Access + Live security Premium gleichzeitig: ist das system jetzt wieder ok ? (https://www.trojaner-board.de/121414-rootkit-0access-live-security-premium-gleichzeitig-system-ok.html)

Yellow_105 06.08.2012 18:49
Rootkit.0Access + Live security Premium gleichzeitig: ist das system jetzt wieder ok ?
 
Hallo,

erstmals vielen Dank an Alle die mir helfen werden.

Symptome:
1)Seit Wochen hat der Router nicht merh so funtioniert wie früher. iPod und iPad konnten sich teilweise nicht mehr automatisch verbinden. Beim Aus und einschalten ging es wieder.
2) Am 02.08. meldet sich Malwarebytes: ein Virus wurde erfolgreich gestoppt . 30 Minuten danach erscheint die Maske von Live Security Premium Virus und verlangt die Eingabe meiner Kreditkarte, etc etc.

Da ich Live Security Premium nicht kannt, habe ich gleich gedacht, dass etw. nicht stimmen würde. Ich habe sofort die Internetverbindung ausgeschaltet und , mit Malwarebites und Avira (die laufen standard bei mir) ein scan gemacht. Zusätzlich habe ich auch ESET durchlaufen lassen.

Anbei die Logdateien (auch aus der Vergangenheit - evtl. bei Bedarf durfte ich noch ältere haben).

Ziel von mir ist, die Sicherheit zu haben dass keine Infektion mehr da ist, damit ich meine Daten auf eine externe platte sichern kann und das system von Vista auf W7 umstellen kann. Alle meine Passwörter (onlienbanking etc) , habe ich bereits geändert.

PS.: Ich danke alle die mir helfen werden :applaus::dankeschoen:. Ich hoffe ich habe mein Problem verständlich beschrieben.(deutsch ist nicht meine Mutersprache) und die 7 goldene Regel richtig befolgt..:-)
Da ich ab morgen 3 WO in Uralub sein werde, werde ich mich zurückmelden sobald ich wieder im Lande bin. Danke nochmals.

cosinus 14.08.2012 12:52
Zitat:
Ziel von mir ist, die Sicherheit zu haben dass keine Infektion mehr da ist, damit ich meine Daten auf eine externe platte sichern kann und das system von Vista auf W7 umstellen kann. Alle meine Passwörter (onlienbanking etc) , habe ich bereits geändert.
Dafür muss man nun echt nicht das System aufwändig bereinigen!
Einfach eine Live-CD verwenden, alle Daten sichern und den Rechner neu aufsetzen mit dem Wunschbetriebssystem!

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

Yellow_105 30.08.2012 21:23
Hallo Cosinus,

erstmal vielen Dank für deine Zeit.
Ich muss von Anfang an schreiben, dass ich nicht so der Spezialist bin, und deshalb einige Begriffe, die Du geschreiben hast, nicht ganz verstanden habe.
insbesondere sind die pukte 5,6, und 7 nicht 100%ig klar.
Im Klammer findest du die Fragen zu deiner Anleitung:


5. Mounte die Partitionen wo Windows installiert ist (was bedeutet Mounte? bzw. ich habe in Internet recherchiert, heist es sowie verbinde die Partitionen?), meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen (ich habe 2 Partitionen. C: hier ist Windows installiert, dort habe ich auch Daten; und D: hier habe ich fast nur Daten, muss ich praktisch alles "mounten" ?) - natürlich auch die der externen Platte (warum auch die ext. platte? Hier stehen daten die ich früher gesichert habe).

6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!! (Wie sicher bin ich dass keine Viren auf meine Daten (xls.txt.mp3 etc) sind und diese nicht übertragen werden?)
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Ich habe keine Windows-DVD. Windows war bereits auf dem rechner istalliert --ACER Aspire M7720, wie gehe ich hier vor ?).


Danke.

cosinus 30.08.2012 22:02
Mounten bedeutet, einen Datenträger ins Dateisystem einzuhängen, sonst kannst du nicht auf die Dateien auf diesem Datenträger zugreifen. Wird im Wiki erklärt => Mounten

Zitat:
(Wie sicher bin ich dass keine Viren auf meine Daten (xls.txt.mp3 etc) sind und diese nicht übertragen werden?)
Sehr sicher!! Wie ich schrub sind solche Dateien nicht ausführbar!
Schädlinge aber müssen ausführbar sein! Lesen => Malte J. Wetz : De - Kompromittierung Unvermeidbar browse

Zitat:
(Ich habe keine Windows-DVD. Windows war bereits auf dem rechner istalliert --ACER Aspire M7720, wie gehe ich hier vor ?).
Handbuch lesen zwecks Recovery
Ansonsten => http://www.trojaner-board.de/100776-...tml#post676887

Yellow_105 18.09.2012 21:41
Hallo Cosinus,

nach deiner letzten Erklärung ist (leider) viel passiert.

Ich habe deine Instruktionen befolgt.(zumindest habe ich es versucht !).
Pmagik habe ich installiert und damit versucht meine dateien zu retten.

Ich habe (dachte ich ) meine dateien mit PMgaic auf die ext. datenplatte gesichert. Leider stellte ich danach fest, dass nur leere ordner auf die ext. Platte gesichert wurden und nicht alle Daten übertragen wurden.

Deshalb nachdem ich das System neu installiert hatte (vista home premium), musste ich meine (gelöschte) Daten wiederherstellen. Was ich auch gemacht habe. (diese sind potentiell verseucht..).

Danach habe ich versch. software (7-Zip, Pdf Creator etc etc ), die ich mit der neukonfiguration des system verloren hatte, aus diverse Internetseiten (chip.de; softtronic) runtergelden. Davor hatte ich jedoch bereits avirs, malwarebites installiert.
Als ich einen scan zuerts mit malwarebites danch mit avira und eset laufen lies, merkte ich wieder viren zu haben (toolbar und einen wurm, name habe ich mir nicht bemerkt, sorry).
Mittlerweile bin ich so sauer, dass ich den PC am besten verschrotten könnte...

Ich vermute auch dass ein virus/malware auf meine ext. Datenplatte sein könnte.
PS Mittlerweile habe ich avira deinstalliert und AVG installiert.


Wie gehe ich jetzt vor ?

Danke
Antonio

Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=7bc4b5d3b755664e90ab6e5bdc5c01ac
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2012-09-16 06:52:10
# local_time=2012-09-16 08:52:10 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1031
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 1205707 1205707 0 0
# compatibility_mode=4096 16777215 100 0 0 0 0 0
# compatibility_mode=5892 16776573 100 56 183821 185340738 0 0
# compatibility_mode=8192 67108863 100 0 343 343 0 0
# scanned=207867
# found=2
# cleaned=2
# scan_time=4698
C:\ACER\Preload\Autorun\APP\Nero Move it Essentials\Nero Move it Essentials\unit_app_75\Toolbar.exe        Win32/Toolbar.AskSBar Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Program Files (x86)\Acer Arcade Live\Acer HomeMedia Trial Creator\Export\SoftDMA_Trial\Autorun.inf        INF/Autorun.gen Wurm (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
esets_scanner_update returned -1 esets_gle=53251
esets_scanner_update returned -1 esets_gle=53251
Code:
Malwarebytes Anti-Malware (PRO) 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.17.08

Windows Vista Service Pack 2 x64 NTFS
Internet Explorer 9.0.8112.16421
xxxx:: ACER [Administrator]

Schutz: Aktiviert

17.09.2012 22:41:54
mbam-log-2012-09-17 (23-25-23).txt

Art des Suchlaufs: Benutzerdefinierter Suchlauf (J:\|)
Aktivierte Suchlaufeinstellungen: Dateisystem | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Heuristiks/Extra | P2P
Durchsuchte Objekte: 50876
Laufzeit: 13 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
J:\wiederhergestellt 060912\$RECYCLE.BIN\S-1-5-21-61599995-3298780422-953880760-1000\Music\Articolo 31\Domani smetto\Folder.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
J:\wiederhergestellt 060912\Eigener BILDER\xxxx\Brazil\xxxxx´s haus\Brasile 026.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
J:\wiederhergestellt 060912\Eigener BILDER\xxxx\ Chicago 2\Chicago-2003-08-27\Bild 049.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
J:\wiederhergestellt 060912\Eigener BILDER\xxxx\ Chicago 3\Chicago 039.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.
J:\wiederhergestellt 060912\Kopie \xxxx\Eigene Dateien\Eigene Bilder\xxxx\2002_Februar_2\DSCN1949.JPG (Extension.Mismatch) -> Keine Aktion durchgeführt.
J:\wiederhergestellt 060912\samsung\New PC Studio\Photo\GT-S5230\Foto0016.jpg (Extension.Mismatch) -> Keine Aktion durchgeführt.

(Ende)
Code:
# AdwCleaner v2.002 - Datei am 09/18/2012 um 21:54:57 erstellt
# Aktualisiert am 16/09/2012 von Xplode
# Betriebssystem : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
# Benutzer : xxxxx- ACER
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\xxxx\Desktop\adwcleaner (1).exe
# Option [Suche]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gefunden : C:\Program Files (x86)\Common Files\AVG Secure Search
Ordner Gefunden : C:\ProgramData\AVG Secure Search

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v15.0 (de)

Profilname : default
Datei : C:\Users\xxxx\AppData\Roaming\Mozilla\Firefox\Profiles\709wxelo.default\prefs.js

[OK] Die Datei ist sauber.

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : C:\Users\xxxx\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R1].txt - [1049 octets] - [18/09/2012 21:54:57]

########## EOF - C:\AdwCleaner[R1].txt - [1109 octets] ##########
Wiederholungen entfernt //cosinus

cosinus 19.09.2012 15:31
Ich seh dort keine Infektion. Nur den üblichen Werbemüll und ein paar Bilddateien, wo Malwarebytes der Meinung ist, dass die Endung JPG nicht zu den Dateien passe

Yellow_105 19.09.2012 17:49
Daanke.

Das heist das ist keine Infektion ?
Code:
C:\ACER\Preload\Autorun\APP\Nero Move it Essentials\Nero Move it Essentials\unit_app_75\Toolbar.exe        Win32/Toolbar.AskSBar Anwendung (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
C:\Program Files (x86)\Acer Arcade Live\Acer HomeMedia Trial Creator\Export\SoftDMA_Trial\Autorun.inf        INF/Autorun.gen Wurm (Gesäubert durch Löschen - in Quarantäne kopiert)        00000000000000000000000000000000        C
Und das auch nicht ?
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 09/19/2012 at 02:17 AM

Application Version : 5.5.1016

Core Rules Database Version : 9250
Trace Rules Database Version: 7062

Scan type      : Complete Scan
Total Scan Time : 02:41:54

Operating System Information
Windows Vista Home Premium 64-bit, Service Pack 2 (Build 6.00.6002)
UAC On - Limited User

Memory items scanned      : 543
Memory threats detected  : 0
Registry items scanned    : 65796
Registry threats detected : 0
File items scanned        : 254959
File threats detected    : 4

Adware.Tracking Cookie
        s0.2mdn.net [ C:\USERS\TONI\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\VIRTUALIZED\C\USERS\xxxxx\APPDATA\ROAMING\MACROMEDIA\FLASH PLAYER\#SHAREDOBJECTS\YJ93SBSM ]
        statse.webtrendslive.com [ C:\USERS\xxxxxx\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\709WXELO.DEFAULT\COOKIES.SQLITE ]

Trojan.Agent/Gen-ImageDocFake
        C:\USERS\xxxx\WIEDERHERGESTELLT 060912\EIGENER BILDER\TONI\BRAZIL\Sxx´S HAUS\BRASILE 026.JPG
        C:\USERS\xxxxWIEDERHERGESTELLT 060912\EIGENER BILDER\xxxx\xxxxx CHICAGO 2\CHICAGO-2003-08-27\BILD 049.JPG
Wie soll also der normale Anwender Warnungen bzw. Hinweise auf Infektion solcher Programme von echte viren/malware unterscheiden ? (retorische Frage natührlich).

Kann mann sowas lernen ?

cosinus 20.09.2012 10:04
Zitat:
Das heist das ist keine Infektion ?
Schonmal auf die Pfade geachtet? :pfeiff:
Das ist üblicher Werbemüll, Toolbar im Nero-Installer, autorun.inf von irgendeinem meist überflüssigen Zeugs vom Hersteller Acer :rolleyes:

Zitat:
Und das auch nicht ?
Vllt mal meine Beiträge und auch die Logs lesen? Wenn du immer noch panische Angst vor Gen-ImageDocFake haben solltest, dann werte deine beiden angemeckerten Bilder doch bei Virustotal aus...

Zitat:
Wie soll also der normale Anwender Warnungen bzw. Hinweise auf Infektion solcher Programme von echte viren/malware unterscheiden ? (retorische Frage natührlich).

Kann mann sowas lernen ?
Ja, indem man sich mal etwas intensiver mit dem Rechner auseinandersetzt, was Dateisysteme, Dateiformate etc. pp. angeht - ist natürlich langweiliger als Facebook und Co :applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131