Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unerwünschte Software (und Viren?) (https://www.trojaner-board.de/130607-unerwuenschte-software-viren.html)

markusg 11.02.2013 13:21
laden:
HitmanPro - Download - Filepony
doppelklicken, lizenz, testlizenz
scan, nichts löschen, am Ende auf weiter, Log exportieren und posten

Zalgado 11.02.2013 17:34
Hallo Markus,

hier ist das Log-file:

Code:
HitmanPro 3.7.2.188
www.hitmanpro.com

  Computer name . . . . : RUPI-PC
  Windows . . . . . . . : 6.1.1.7601.X64/2
  User name . . . . . . : Rupi-PC\Rupi
  UAC . . . . . . . . . : Enabled
  License . . . . . . . : Free

  Scan date . . . . . . : 2013-02-11 14:27:12
  Scan mode . . . . . . : Normal
  Scan duration . . . . : 4m 34s
  Disk access mode  . . : Direct disk access (SRB)
  Cloud . . . . . . . . : Internet
  Reboot  . . . . . . . : No

  Threats . . . . . . . : 0
  Traces  . . . . . . . : 79

  Objects scanned . . . : 1.716.235
  Files scanned . . . . : 19.692
  Remnants scanned  . . : 590.058 files / 1.106.485 keys

Potential Unwanted Programs _________________________________________________

  C:\Program Files (x86)\Ask.com\ (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\ (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\b.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\bl.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\br.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\l.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\pointer.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\r.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\t.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\tl.png (AskBar)
  C:\Program Files (x86)\Ask.com\assets\oobe\tr.png (AskBar)
  C:\Program Files (x86)\Ask.com\cobrand.ico (AskBar)
  C:\Program Files (x86)\Ask.com\config.xml (AskBar)
  C:\Program Files (x86)\Ask.com\favicon.ico (AskBar)
  C:\Program Files (x86)\Ask.com\mupcfg.xml (AskBar)
  C:\Program Files (x86)\Ask.com\precache.exe (AskBar)
      Size . . . . . . . : 71.368 bytes
      Age  . . . . . . . : 24.8 days (2013-01-17 20:23:40)
      Entropy  . . . . . : 6.3
      SHA-256  . . . . . : D0A50FBE5F2146B52B5E6E841779F918D1667EEBA088451EDB8B197932660018
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -9.0

  C:\Program Files (x86)\Ask.com\SaUpdate.exe (AskBar)
      Size . . . . . . . : 197.832 bytes
      Age  . . . . . . . : 24.8 days (2013-01-17 20:23:40)
      Entropy  . . . . . : 6.6
      SHA-256  . . . . . : 4F902BAF479ADAE902832273C382C1DC1C627D192CBE433B63E21FEAD6126E6B
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -9.0

  C:\Program Files (x86)\Ask.com\Updater\ (AskBar)
  C:\Program Files (x86)\Ask.com\Updater\config.xml (AskBar)
  C:\Program Files (x86)\Ask.com\Updater\Updater.exe (AskBar)
      Size . . . . . . . : 1.573.576 bytes
      Age  . . . . . . . : 24.8 days (2013-01-17 20:23:40)
      Entropy  . . . . . : 6.1
      SHA-256  . . . . . : D6BC1FB2F6C1A763EA100807B07975B2D979E5BB77E0FE6544BDDBE0590604CF
      Product  . . . . . : Updater
      Publisher  . . . . : Ask
      Description  . . . : Ask Updater
      Version  . . . . . : 1.2.3.29495
      Copyright  . . . . : (c) Ask.  All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Running processes  : 2820
      Fuzzy  . . . . . . : -17.0

  C:\Program Files (x86)\Ask.com\UpdateTask.exe (AskBar)
      Size . . . . . . . : 136.392 bytes
      Age  . . . . . . . : 24.8 days (2013-01-17 20:23:40)
      Entropy  . . . . . : 6.5
      SHA-256  . . . . . : 306B82551CDE7937B9ECBC00625D543695BFA3C8BF2CA2946326FE6B75A3BBC0
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -13.0

  C:\Users\Default User\AppData\Local\AskToolbar\ (AskBar)
  C:\Users\Default\AppData\Local\AskToolbar\ (AskBar)
  C:\Users\Default\AppData\Local\AskToolbar\Downloaded Program Files\ (AskBar)
  C:\Users\Default\AppData\Local\AskToolbar\Downloaded Program Files\avira.inf (AskBar)
  C:\Users\Default\AppData\Local\AskToolbar\Downloaded Program Files\AviraTrans.dll (AskBar)
      Size . . . . . . . : 895.440 bytes
      Age  . . . . . . . : 427.0 days (2011-12-12 14:29:12)
      Entropy  . . . . . : 6.4
      SHA-256  . . . . . : 85A73467A8E1D7674DB2DC618FFB2C534C0C4AF8C55F20064A9B8C465A9FBCE3
      Product  . . . . . : Avira Addon
      Publisher  . . . . : Ask.com
      Description  . . . : Avira Addon
      Version  . . . . . : 1.0.4.1000
      Copyright  . . . . : Copyright © 2009 Ask.com, All rights reserved.
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : -7.0

  C:\Users\Rupi\AppData\LocalLow\AskToolbar\ (AskBar)
  C:\Users\Rupi\AppData\LocalLow\AskToolbar\accl.xml (AskBar)
  C:\Users\Rupi\AppData\LocalLow\AskToolbar\APNU\ (AskBar)
  C:\Users\Rupi\AppData\LocalLow\AskToolbar\APNU\config.xml (AskBar)
  C:\Users\Rupi\AppData\LocalLow\AskToolbar\cache.dat (AskBar)
  C:\Users\Rupi\AppData\LocalLow\AskToolbar\config.xml (AskBar)
  C:\Users\Rupi\AppData\LocalLow\AskToolbar\osearch.xml (AskBar)
  C:\Users\Usuário Padrão\AppData\Local\AskToolbar\ (AskBar)
  C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ (AskBar)
  C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\2070.MST (AskBar)
  HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1\ (AskBar)
  HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd\ (AskBar)
  HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\F928123A039649549966D4C29D35B1C9\ (AskBar)
  HKLM\SOFTWARE\Classes\Interface\{FD8F79A0-D2E2-4FA2-AEAF-393EAC8064F7}\ (Babylon)
  HKLM\SOFTWARE\Classes\Prod.cap\ (Claro)
  HKLM\SOFTWARE\Classes\s\ (Softonic)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4B2468513CA2D6943A1A233CD3F88CE7\ (Claro)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E\ (AskBar)
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF\ (AskBar)
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\{D4027C7F-154A-4066-A1AD-4243D8127440} (AskBar)
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\ (AskBar)
  HKU\.DEFAULT\Software\Ask.com\ (AskBar)
  HKU\.DEFAULT\Software\AskToolbar\ (AskBar)
  HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
  HKU\S-1-5-18\Software\Ask.com\ (AskBar)
  HKU\S-1-5-18\Software\AskToolbar\ (AskBar)
  HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
  HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Ask.com\ (AskBar)
  HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\DataMngr_Toolbar\ (SearchQU)
  HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Microsoft\Internet Explorer\Approved Extensions\{4D2D3B0F-69BE-477A-90F5-FDDB05357975} (Claro)
  HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}\ (AskBar)
  HKU\S-1-5-21-3340065973-2767842447-854006908-1000\Software\Softonic\ (Softonic)

Cookies _____________________________________________________________________

  C:\Users\Rupi\AppData\Roaming\Microsoft\Windows\Cookies\8TZ7AUU3.txt
  C:\Users\Rupi\AppData\Roaming\Microsoft\Windows\Cookies\YYFF0QUE.txt
Die Symptome (Gelbe Eingabefenster und Pünktchen bei meinem Mailprogramm) sind immer noch die gleichen.

Viele Grüsse

Zalgado

markusg 13.02.2013 11:22
hi
lösche mal alle Funde bitte.

Zalgado 15.02.2013 01:31
Hallo Markus,
ich habe die von tdss Killer gefundenen Daten gelöscht und Combofix nochmal laufen lassen (ich hoffe, das war richtig...) Die beschriebenen Symptome (gelb unterlegte Anmeldefenster und Pünktchen im Mailprogramm) sind leider immer noch da. Natürlich benutze ich mit diesem PC kein Mail- oder sonstiges sicherheitsrelavantes programm.
Viele Grüsse
Zalgado

markusg 15.02.2013 15:02
wieso hast du mit tdss killer irgendwas gelöscht, hatte ich das gesagt? jetzt hast du dir noch software zerschossen, toll.
poste das log vom löschen.

Zalgado 16.02.2013 12:21
Hallo Markus,

ich weiss, dass Du in diesem Forum ehrenamtlich arbeitest, und für diese Hilfe bin ich auch sehr dankbar!! Dir ist sicher klar, dass Du es mit einem ziehmlichen PC-Laien zu tun hast - könntst Du deshalb vielleicht Deine Anweisungen ein bisschen klarer und eindeutiger formulieren, so dass es auch ein Laie versteht? Für mich schliesst "alle Funde löschen" auch tdss Killer mit ein, von dem ich noch nicht mal weiss, wie er arbeitet und wie er funktioniert. Ausserdem wusste ich bei so viel Scans schon gar nicht mehr, mit was ich alles gescannt habe...
Hier ist der Report von tdss:

09:11:15.0031 4088 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
09:11:22.0706 4088 ============================================================
09:11:22.0706 4088 Current date / time: 2013/02/16 09:11:22.0706
09:11:22.0706 4088 SystemInfo:
09:11:22.0706 4088
09:11:22.0706 4088 OS Version: 6.1.7601 ServicePack: 1.0
09:11:22.0706 4088 Product type: Workstation
09:11:22.0706 4088 ComputerName: RUPI-PC
09:11:22.0706 4088 UserName: Rupi
09:11:22.0706 4088 Windows directory: C:\windows
09:11:22.0706 4088 System windows directory: C:\windows
09:11:22.0706 4088 Running under WOW64
09:11:22.0706 4088 Processor architecture: Intel x64
09:11:22.0706 4088 Number of processors: 2
09:11:22.0706 4088 Page size: 0x1000
09:11:22.0706 4088 Boot type: Normal boot
09:11:22.0706 4088 ============================================================
09:11:26.0450 4088 Drive \Device\Harddisk0\DR0 - Size: 0x4A85D56000 (298.09 Gb), SectorSize: 0x200, Cylinders: 0x9801, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000040
09:11:26.0450 4088 Drive \Device\Harddisk1\DR1 - Size: 0x1DD180000 (7.45 Gb), SectorSize: 0x200, Cylinders: 0x3CD, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
09:11:26.0450 4088 Drive \Device\Harddisk2\DR2 - Size: 0x1DDBF8000 (7.46 Gb), SectorSize: 0x200, Cylinders: 0x3CE, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'W'
09:11:26.0450 4088 ============================================================
09:11:26.0450 4088 \Device\Harddisk0\DR0:
09:11:26.0450 4088 MBR partitions:
09:11:26.0450 4088 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x800, BlocksNum 0x214800
09:11:26.0450 4088 \Device\Harddisk0\DR0\Partition2: MBR, Type 0x7, StartLBA 0x215000, BlocksNum 0xF9F800
09:11:26.0450 4088 \Device\Harddisk0\DR0\Partition3: MBR, Type 0x7, StartLBA 0x11B4800, BlocksNum 0x24279800
09:11:26.0450 4088 \Device\Harddisk1\DR1:
09:11:26.0450 4088 MBR partitions:
09:11:26.0450 4088 \Device\Harddisk1\DR1\Partition1: MBR, Type 0xB, StartLBA 0x20, BlocksNum 0xEE8BE0
09:11:26.0450 4088 \Device\Harddisk2\DR2:
09:11:26.0450 4088 MBR partitions:
09:11:26.0450 4088 \Device\Harddisk2\DR2\Partition1: MBR, Type 0xB, StartLBA 0x3F, BlocksNum 0xEEDD21
09:11:26.0450 4088 ============================================================
09:11:26.0621 4088 C: <-> \Device\Harddisk0\DR0\Partition3
09:11:26.0715 4088 D: <-> \Device\Harddisk0\DR0\Partition2
09:11:26.0715 4088 ============================================================
09:11:26.0715 4088 Initialize success
09:11:26.0715 4088 ============================================================

Viele Grüsse

Zaldago

markusg 18.02.2013 17:32
noch probleme festzustelen?

Zalgado 19.02.2013 18:35
Leider immer noch die selben Symptone, es hat sich nicht geaendert....

markusg 19.02.2013 18:39
dann setzen wir einmal neu auf.
1. Datenrettung:2. Formatieren, Windows neu instalieren:3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:42 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19