Verdacht auf Schädlinge - OTL-Logfiles Guten Tag! Ich habe aufgrund von Meldungen der Programme "Spybot Search & Destroy" und meines Virenscanners AVG 2013 den begründeten Verdacht, dass sich Schadsoftware auf meinem PC tummelt. Ich habe als OS Win 7 64bit Ultimate mit allen Updates. Konkrete (andere) Störungen treten bisher nicht auf. Ich bin froh um Eure Hilfe. Ich gehe gemäss Eurer Anleitung vor und habe otl.exe ausgeführt. Die beiden verlangten Logfiles sind wie verlangt als .zip-Anhänge anbei hochgeladen. Ich hoffe, dass das Posting formell richtig ist, sonst korrigiert mich bitte. Ich werde dann gemäss Anleitung weiterfahren, solange ich keine anderen Anweisungen bekomme. Herzlichen Dank! Lg Michael72 |
Hallo und :hallo: Zitat:
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner? Hast du noch weitere Logs (mit Funden)? Ist dein Virenscanner jemals fündig geworden? Malwarebytes und/oder andere Virenscanner? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten! Lesestoff: Posten in CODE-Tags Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
|
Lieber cosinus Herzlichen Dank für Deine sehr rasche Reaktion. Da der Scan mit Gmer sehr lange gedauert hat, konnte ich Dir nicht sofort antworten. Bevor ich das Logfile von Gmer poste, beantworte ich gerne Deine Fragen: Zitat:
Zitat:
Zitat:
Zitat:
Zitat:
Im nächsten Posting kommt das Logfile von Gmer, im übernächsten die Logfiles von Spybot und von AVG. Herzlichen Dank! Lg Michael72 Hier nun das Logfile von Gmer: GMER Logfile: Code: GMER 2.1.19163 - hxxp://www.gmer.net Ich hoffe, das sei so erwünscht. Als Nächstes folgen die Logfiles von Spybot und AVG. Lg Michael72 |
Ok, wenn dein Arbeitgeber meint, dass es so i.O. geht mit der Volumenlizenz....er muss ja dafür geradestehen wenn MS eine Plausibilitätsprüfung fordert :pfeiff: Bitte poste alle Logs mit FUnden die du hast, also AVG und so :) |
Hier nun die Logfiles von Spybot und AVG. Der Spybot-Scan war übrigens gestern (spät), nicht heute. 1) Spybot: Code: Search results from Spybot - Search & Destroy Michael72 Hallo cosinus Ich finde das AVG-Logfile leider nicht mehr :( Zwar zeigt mir das Programm durchaus an, dass ein Scan stattgefunden hat, und auch die Ergebnisse, aber ich habe kein en Zugriff aufs Logfile und finde nicht heraus, wo das Ding abgespeichert ist. Ich müsste schlimmstenfalls wohl den Scan wiederholen, aber das dauert dann wieder Stunden. Wie wichtig ist dieses Logfile? Lg Michael72 Hallo cosinus Zitat:
Zitat:
Lg Michael72 |
Wie gesagt wenn dein AG meint das sei i.O. dann kann ich da nichts gegen einwenden :D Weißt du noch in etwa was AVG gefunden hat, wurde es denn überhaupt mal fündig? |
Ja, AVG hatte 7 "Dinge" gefunden. Das Problem ist, dass ich das Logfile nicht mehr finde. Ich habe inzwischen herausgefunden, wo AVG die Logfiles speichert, aber dort ist als einzige aktuelle Datei "history.xml" zu finden. Ich weiss nicht, ob Du daraus was siehst (dass mal 7 Infektionen gefunden wurden. kann man darin aber sehen). Hier dieses File (umkopiert in einen Editor): Code: <?xml version="1.0"?> Ich könnte natürlich den Scan mit AVG wiederholen und dann versuchen das Logfile vernünftiger abzuspeichern. Das würde aber relativ lange dauern. Soll ich das tun? Danke für Deine Unterstützung! Lg Michael72 |
Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
Note: Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread. Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards. Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten MBAR (Malwarebytes Anti-Rootkit) Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers aswMBR Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none). TDSS-Killer Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop
|
Lieber cosinus Herzlichen Dank für Deine Arbeit. Ich werde mich bemühen alles so zu machen wie verlangt. Ich habe Malwarebytes wie verlangt installiert und benutzt. Das Programm hat nichts gefunden ("Scan Finished: No malware found!"). Dadurch war es gar nicht möglich den Knopf "Cleanup" zu betätigen (und laut Ansage im Programm auch nicht "required"). Ist das somit in Ordnung? Falls ja, fahre ich gemäss Anleitung weiter. Zur Sicherheit hier aber auf jeden Fall das Logfile von Malwarevytes: Code: Malwarebytes Anti-Rootkit BETA 1.01.0.1022 Lg Michael 72 |
Ok, mach bitte mit den anderen Tools weiter |
Lieber cosinus Ich teile Dir, ziemlich beunruhigt, mit, dass aswMBR während dem Scan abgestürzt ist. Ich wiederhole jetzt den Scan wie von Dir für diesen Fall empfohlen mit der Einstellung "none". Lg Michael72 Mit der neuen Einstellung hat der Scan mit aswMBR geklappt. Hier das Logfile: Code: aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software Lg Michael72 |
jupp, mach mit tdsskiller weiter :D |
Hier ist das LOgfile von TDSSKiller: Code: 15:07:19.0214 3696 TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42 |
JRT - Junkware Removal Tool Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Im Anschluss: adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen Downloade Dir bitte AdwCleaner auf deinen Desktop.
Danach eine Kontrolle mit OTL bitte:
|
JRT hat folgendes Logfile erzeugt: JRT Logfile: Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Das Tool scheint recht viel gefunden zu haben! Ich fahre nun mit dem adwCleaner fort. Lg Michael72 Das Logfile von adwCleaner lautet: AdwCleaner Logfile: Code: # AdwCleaner v2.200 - Datei am 11/04/2013 um 17:13:02 erstellt Ich fahre nun fort mit OTL. Lg Michael72 |
Anbei als zip angehängt das neue Logfile von OTL. Die Datei ist zu gross, um als Code gepostet zu werden. Die zweite Logdatei (extras.txt) kann ich dagegen so posten: OTL EXTRAS Logfile: Code: OTL Extras logfile created on: 11.04.2013 17:21:11 - Run 2 Lg Michael72 |
Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt: ESET Online Scanner
|
Lieber cosinus Herzlichen Dank für Deine Antwort und Arbeit! Zitat:
Code: Malwarebytes Anti-Malware (Test) 1.75.0.1300 Danach fahre ich gemäss deiner Antwort weiter. Lg Michael72 Hier ist das Logfile von Eset: Code: ESETSmartInstaller@High as downloader log: Lg Michael72 |
Lesestoff: Goldene Sicherheitsregeln Halte Dich am besten grob an diese Regeln:
Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Sieht soweit ok aus Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat. Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie ) Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird. Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme? |
Lieber cosinus Zunächst herzlichen Dank für Deine Tipps und Ratschläge. Einige davon beherzige ich seit Langem, z. B. lasse ich in meinem Standardbrowser (Firefox) alle Cookies bei Sitzungsende löschen - der Mehraufwand fürs Neueinloggen pro Sitzung halte ich für gering, obwohl ich auf zahlreichen Seiten aktiv bin. Andere (Hilfs-)Mittel sind mir neu, danke für diese Hinweise. Nun zur Frage, ob alles in Ordnung sei: Eigentlich ja. Es gibt noch ein einzige Störmeldung, und zwar von Microsoft Security Essential. Dieses Programm behauptet, auf meinem PC tummle sich eine Adware namens PriceGong. Meine Recherche hat dann zutage gefördert, dass sich dieses Ding (irgendein IE-spezifischer Schädling vom Typ Popup-Nervensäge) gar nicht auf der Partition C tummelt, sondern auf D (dort habe ich Backups, Datensicherungen und so verstaut). Ist es sinnvoll, dort die fragliche Datei löschen zu gehen? Ich hätte gesagt, dass es einem solchen Schädling kaum möglich sein dürfte, von einber Partition auf die andere zu hüpfen. Es ist schön, wenn Du mir dazu noch kurz Deine Meinung mitteilst. Danach kann dann der Fred archiviert werden, denke ich. Ich bin froh, wenn ich auf ihn noch passiv zugreifen kann, um die Tipps zu beherzigen. Lg Michael72 |
Hm, pricegong ist mir so nicht aufgefallen, wo wurd es denn angeblich gefunden? |
Zitat:
1) D/windows.old/programme (x86)/pricegong 2) D/windows.old/users/XXX/appdata/roaming/mozilla/firefox/profiles/blabla.blabla/extensions/{blabla}/components/pricegongff.dll Soll ich die beiden Files manuell löschen? Dann gibt auch MSE nicht mehr an, denk' ich mal. Lg Michael72 |
Das sind alte Ordner, sieht man ja am Namen. Und ja, kanste löschen. Dann wären wir durch! :daumenhoc Falls du noch Lob oder Kritik loswerden möchtest => http://www.trojaner-board.de/lob-kritik-wuensche/ Die Programme, die hier zum Einsatz kamen, können alle wieder runter. Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung. Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen. Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken. Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Start, Systemsteuerung, Windows-Update PDF-Reader aktualisieren Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast) Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers: Prüfen => Adobe - Flash Player Downloadlinks findest du hier => Browsers and Plugins - FilePony.de Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind. Java-Update Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Zitat:
Zitat:
Zitat:
Ich wüsste nicht, was ich da kritisieren sollte. Zitat:
Lg Michael72 |
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:38 Uhr. |
Copyright ©2000-2024, Trojaner-Board