Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Polizei Department Control Trojaner (https://www.trojaner-board.de/128869-polizei-department-control-trojaner.html)

ado_87 31.12.2012 00:11
sorry hab das versehentlich 2 mal gepostet

cosinus 31.12.2012 13:46

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
:Files
C:\Users\Admir\Desktop\MBR.dat
C:\ProgramData\dsgsdgdsgdsgw.*
ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[resethosts]
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

ado_87 31.12.2012 14:41
hier die Log-Datei nach dem Neustart

Code:
All processes killed
========== FILES ==========
C:\Users\Admir\Desktop\MBR.dat moved successfully.
C:\ProgramData\dsgsdgdsgdsgw.js moved successfully.
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\Admir\Desktop\cmd.bat deleted successfully.
C:\Users\Admir\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Admir
->Temp folder emptied: 437206 bytes
->Temporary Internet Files folder emptied: 6965561 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 372701143 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 2128 bytes
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1525433 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 4052823 bytes
 
Total Files Cleaned = 368,00 mb
 
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Error: Unble to create default HOSTS file!
 
OTL by OldTimer - Version 3.2.69.0 log created on 12312012_143737

Files\Folders moved on Reboot...
C:\Users\Admir\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

cosinus 31.12.2012 14:42
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


ado_87 31.12.2012 15:04
beim quickscan wurde nichts gefunden. hier die log-datei:

Code:
Malwarebytes Anti-Rootkit 1.01.0.1011
www.malwarebytes.org

Database version: v2012.12.31.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Admir :: ADMIR-TOSHIBA [administrator]

31.12.2012 15:02:34
mbar-log-2012-12-31 (15-02-34).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 30814
Time elapsed: 16 minute(s), 35 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

cosinus 31.12.2012 15:33
Zitat:
Malwarebytes Anti-Rootkit 1.01.0.1011
Du solltest eigentlich mit Malwarebytes Antimalware und nicht mit Anti-Rootkit scannen

ado_87 31.12.2012 16:03
aso sorry, dachte weil du update button geschrieben hast, dass du dieses meinst und nicht das andere...
dieser online-scan läuft gerade, ist es ein problem,wenn ich nachher den quickscan mache?

cosinus 31.12.2012 16:14
Malwarebytes Antimalware war nicht nur zur Deko verlinkt. Und ja, warte erst bis ESET durch ist

ado_87 31.12.2012 18:08
ESET ist gerade fertig geworden:


Code:
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6844
# api_version=3.0.2
# EOSSerial=7a36ee3fffb6554a9d3aa4aa69dd93cd
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-12-31 04:58:05
# local_time=2012-12-31 05:58:05 (+0100, Mitteleuropäische Zeit)
# country="Austria"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1799 16775165 100 96 89198 222392775 23623 0
# compatibility_mode=5893 16776574 100 94 5122944 108602935 0 0
# scanned=203427
# found=3
# cleaned=0
# scan_time=10167
C:\Games\Fifa Manager 11\rld-fm11\rld-fm11.iso        a variant of Win32/Packed.VMProtect.AAD trojan (unable to clean)        0000000000000000000000000000000000000000        I
C:\_OTL\MovedFiles\12312012_143737\C_ProgramData\dsgsdgdsgdsgw.js        JS/Agent.NID trojan (unable to clean)        8AC823530440227F0ACF6AEB05005BBE13F6865B        I
D:\ADMIR-TOSHIBA\Backup Set 2012-12-09 192632\Backup Files 2012-12-09 192632\Backup files 7.zip        multiple threats (unable to clean)        4E2B96F92576BE251B4BF56DFE56142FD1129104        I

cosinus 02.01.2013 10:47
Code:
C:\Games\Fifa Manager 11\rld-fm11\rld-fm11.iso        a variant of Win32/Packed.VMProtect.AAD trojan (unable to clean

Normalerweise gibt hier es hier keine Bereinigung wenn wir sowas sehen! :pfui:

Siehe auch => http://www.trojaner-board.de/95393-cracks-keygens-andere-illegale-software.html#post616774

Hinweis: Alte Cracks oder Keygens
Zitat:
Lesestoff:
Alte Cracks und Keygens
Werkzeuge, die einen Kopierschutz umgehen, sind nach geltendem Recht illegal. Anhand der letzten Logfiles habe ich gesehen, dass du solche Programme vermutlich noch von früher auf deinem Computer hast.
Bitte umgehend alle diese Dateien von deinem Rechner entfernen! Melde dich, wenn das erledigt ist. Sollten solche Dateien in einem der nächsten Logfiles auftauchen müssen wir den Support einstellen. Bitte habe Verständnis dafür, dass wir das illegale Kopieren von Software nicht unterstützen können und dürfen.

ado_87 02.01.2013 11:04
Sorry, wusste ich leider nicht, habe das Spiel sowieso nicht gespielt und sofort gelöscht.
Soll ich jetzt ESET nochmal durchführen?

cosinus 02.01.2013 15:14
Lösch den Kram einfach.
Die anderen Funde kannst du ignorieren.

Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?

ado_87 02.01.2013 15:18
Vielen Dank für die super Unterstützung!

Mein System scheint keinerlei Probleme mehr zu haben, also es funktioniert alles einwandfrei!

cosinus 02.01.2013 15:25
Dann wären wir durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen: Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:08 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130