Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner Updater.exe (https://www.trojaner-board.de/136498-trojaner-updater-exe.html)

schrauber 16.06.2013 18:43
Mach mir mal bitte nen Screenshot von der Meldung.

Kennst Du das?
Zitat:
() C:\Program Files\Join Air\UIExec.exe

xmorgaine 17.06.2013 18:50
Liste der Anhänge anzeigen (Anzahl: 1)
Ja, das ist nur für einen Internetstick, den ich ab und zu mal unterwegs benutze.

Hier der Screenshot (sry, dass es nur abfotografiert ist :D)
Anhang 56568

schrauber 17.06.2013 19:08
Scan mit SystemLook

Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :filefind
    *SystemUpdater*
    :folderfind
    *SystemUpdater*
    :regfind
    SystemUpdater
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Der Suchlauf kann einige Zeit dauern.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

xmorgaine 17.06.2013 19:38
SystemLook 30.07.11 by jpshortstuff
Log created at 20:26 on 17/06/2013 by viktoria
Administrator - Elevation successful

========== filefind ==========

Searching for "*SystemUpdater*"
No files found.

========== folderfind ==========

Searching for "*SystemUpdater*"
No folders found.

========== regfind ==========

Searching for "SystemUpdater"
No data found.

-= EOF =-

schrauber 17.06.2013 19:58
LOL bin ich doof :D

Scan mit SystemLook

Lade SystemLook von jpshortstuff vom folgenden Spiegel herunter und speichere das Tool auf dem Desktop:
SystemLook (32 bit)
  • Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
  • Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
    Code:
    :filefind
    *SoftwareUpdater*
    :folderfind
    *SoftwareUpdater*
    :regfind
    SoftwareUpdater
  • Klicke nun auf den Button Look, um den Scan zu starten.
  • Der Suchlauf kann einige Zeit dauern.
  • Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
  • Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

xmorgaine 17.06.2013 22:24
Oh.. Ich hab selbst garnicht bemerkt, dass du "System" anstatt von "Software" genommen hast haha. :D

SystemLook 30.07.11 by jpshortstuff
Log created at 23:20 on 17/06/2013 by viktoria
Administrator - Elevation successful

========== filefind ==========

Searching for "*SoftwareUpdater*"
C:\Program Files\SoftwareUpdater\SoftwareUpdater.Bootstrapper.exe --a---- 60928 bytes [14:11 05/02/2013] [18:29 08/06/2013] 4D62C3A7FA7C4FF08D5015D75124C92A
C:\Program Files\SoftwareUpdater\SoftwareUpdater.dll --a---- 168960 bytes [20:25 24/03/2013] [18:32 08/06/2013] 1EF11ADFB5DD20F4F78D5AACC309F633
C:\Program Files\SoftwareUpdater\SoftwareUpdater.Ui.exe --a---- 1281536 bytes [20:25 24/03/2013] [18:33 08/06/2013] 99345050F950EAD86726BB63715FEDE6
C:\Windows\Prefetch\SOFTWAREUPDATER.BOOTSTRAPPER.-C1C0EF1D.pf --a---- 97482 bytes [11:19 02/04/2013] [17:50 17/06/2013] 375424F9196ADF02EC4131DD723B4492

========== folderfind ==========

Searching for "*SoftwareUpdater*"
C:\Program Files\SoftwareUpdater d------ [20:25 24/03/2013]

========== regfind ==========

Searching for "SoftwareUpdater"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\7BA46DD38EBDEA24A8A0A387068C22EF]
"SoftwareUpdater"="ProductFeature"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\Program Files\SoftwareUpdater\"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7BA46DD38EBDEA24A8A0A387068C22EF\Features]
"SoftwareUpdater"="ProductFeature"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SystemStoreService]
"ImagePath"=""C:\Program Files\SoftwareUpdater\SystemStore.exe" -displayname "System Store" -servicename "SystemStoreService""

-= EOF =-

schrauber 18.06.2013 06:22
OTL musste zuerst laden.

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
:Files
C:\Program Files\SoftwareUpdater
:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\7BA46DD38EBDEA24A8A0A387068C22EF]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders]
"C:\Program Files\SoftwareUpdater\"=-
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

xmorgaine 18.06.2013 17:25
========== FILES ==========
C:\Program Files\SoftwareUpdater folder moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\7BA46DD38EBDEA24A8A0A387068C22EF\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\\C:\Program Files\SoftwareUpdater\ deleted successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 06182013_182330

schrauber 18.06.2013 18:34
Noch Probleme? :)

xmorgaine 19.06.2013 14:41
Nö, jetzt ist wirklich wieder alles in Ordnung.
Also nochmal vielen vielen Dank für die Hilfe. ^-^

schrauber 19.06.2013 15:35
Gern Geschehen :)

Die Reihenfolge ist hier entscheidend.
  1. Falls Defogger benutzt wurde: Defogger nochmal starten und auf re-enable klicken.
  2. Falls Combofix benutzt wurde: (Alternativ in uninstall.exe umbenennen und starten)
    • Windowstaste + R > Combofix /Uninstall (eingeben) > OK
    • Alternative: Combofix.exe in uninstall.exe umbenennen und starten
    • Combofix wird jetzt starten, sich evtl updaten und dann alle Reste von sich selbst entfernen.
  3. Downloade Dir bitte auf jeden Fall DelFix Download DelFix auf deinen Desktop:
    • Schließe alle offenen Programme.
    • Starte die delfix.exe mit einem Doppelklick.
    • Setze vor jede Funktion ein Häkchen.
    • Klicke auf Start.
    • Hinweis: DelFix entfernt u. a. alle verwendeten Programme, die Quarantäne unserer Scanner, den Java-Cache und löscht sich abschließend selbst.
    • Starte deinen Rechner abschließend neu.
  4. Sollten jetzt noch Programme aus unserer Bereinigung übrig sein kannst du sie bedenkenlos löschen.


Hier noch ein paar Tipps zur Absicherung deines Systems.


Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.
  • Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
  • Windows Updates
    • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
    • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
  • Gehe sicher das die automatischen Updates aktiviert sind.
  • Software Updates
    Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
    Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.


Anti- Viren Software
  • Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.


Zusätzlicher Schutz
  • MalwareBytes Anti Malware
    Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
    Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
    Ein Tutorial zur Verwendung findest Du hier.
  • WinPatrol
    Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.


Sicheres Browsen
  • SpywareBlaster
    Eine kurze Einführung findest du Hier
  • MVPs hosts file
    Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
  • WOT (Web of trust)
    Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.


Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.
  • Opera
  • Mozilla Firefox.
    • Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
    • NoScript
      Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
    • AdblockPlus
      Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
      Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )



Don'ts
  • Klicke nicht auf alles nur weil es Dich dazu auffordert und schön bunt ist.
  • verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
  • Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
  • Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe
Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so das ich diesen Thread aus meinen Abos löschen kann.

xmorgaine 19.06.2013 21:55
Ich habe gleich mal so einen Quick-Scan von Malewarebytes Anti-Maleware durchgeführt und dann kam ich dazu..

Malwarebytes Anti-Malware (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.06.19.09

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
viktoria :: VIKTORIA-LAPTOP [Administrator]

Schutz: Aktiviert

19.06.2013 22:28:23
mbam-log-2013-06-19 (22-28-23).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 210990
Laufzeit: 12 Minute(n), 30 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Windows\Installer\6c438a.msi (Adware.Agent.ZGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Außerdem habe ich noch eine Frage.. bin ich zu blöd oder ist das wirklich so? Ich will die ganze Zeit Combofix deinstallieren, bekomme es aber nicht hin.. Habe es auch nach Anweisung gemacht. Wenn ich es in "uninstall.exe" umbennene und starte macht es diesen Scan, den es normalerweise immer macht. Soll das so sein? Ich dachte nicht...

schrauber 20.06.2013 08:38
Wo liegt Combofix? Das muss auf dem Desktop liegen. Zurück umbenennen in Combofix.exe, aufpassen, nicht Combofix.exe.exe

Dann Windows-Taste+R, schreibe

%userprofile%\desktop\combofix.exe" /Uninstall

und drück enter.

xmorgaine 21.06.2013 20:39
Danke, hat geklappt.


..Aber das kann doch nicht sein! Es war alles ok... und jetzt fahr ich meinen Laptop hoch und das mit dem Updater.Ui.exe ist schon wieder da.. die updates die jetzt vor jedem(!) start gemacht werden, dauern jetzt auch immer länger.. voll seltsam. Ich warte ewig bis der schwarze Bildschirn verschwindet und dann " Updates Schritt 3/3 0 %" oderso.. und nach gefühlten ewigkeiten springt es dann plötzliche auf 100 % ...

schrauber 22.06.2013 12:45
Mach mal nochmal ne neue Systemlook-Suche wie oben schonmal :)


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:36 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131