Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Faker-J gefunden !? (https://www.trojaner-board.de/56958-faker-j-gefunden.html)

Apollo 13 30.07.2008 00:42
Faker-J gefunden !?
 
Hallo erstmal
weiss nicht ob ich alles richtig gemacht habe....?
und ob da noch was ist oder sich versteckt hat ....?
also Avast hat Alarm geschlagen !
habe also folgende Sachen im Container von Avast
von 19:02 Uhr bis 19:04 Uhr hab ich direkt schon mit dem Live Scanner von Avast containert
danach ein manueller scann gemacht dann kamen noch die Einträge von
19:52 Uhr bis 19:56 ist auch im Container
Pc neu gestartet
manueller Scann von Avast: nix mehr
Scann mit A-Squared: nix
CCleaner gemacht
danach F-Secure Blacklight keine Treffer nehme ich an... hat auch kein Log angezeigt

das ist das Warnungs.log von Avast:

Code:
29.07.2008        19:02:08        1217350928        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:02:38        1217350958        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\e-select-080618[1].gif" file. 
29.07.2008        19:02:45        1217350965        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:02:49        1217350969        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CJ9SFD9\e-select-080618[1].gif" file. 
29.07.2008        19:02:53        1217350973        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\e-select-080618[1].gif" file. 
29.07.2008        19:02:57        1217350977        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CJ9SFD9\e-select-080618[1].gif" file. 
29.07.2008        19:03:01        1217350981        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\e-select-080618[1].gif" file. 
29.07.2008        19:03:05        1217350985        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NF5ZLWMW\e-select-080618[1].gif" file. 
29.07.2008        19:03:10        1217350990        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:04:28        1217351068        SYSTEM        1308        Sign of "Win32:Faker-J [Spy]" has been found in "http://trojaner-board.de/ASE_Setup_Free_de.exe\[ASProtect]" file. 
29.07.2008        19:04:28        1217351068        SYSTEM        1308        Sign of "Win32:Faker-J [Spy]" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\ASE_Setup_Free_de[1].exe\[ASProtect]" file. 
29.07.2008        19:52:28        1217353948        ....        3520        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:56:07        1217354167        ....        3520        Sign of "Win32:Faker-J [Spy]" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\ASE_Setup_Free_de[1].exe\[ASProtect]" file.
und ganz am Schluss noch das HJT gemacht
und gepostet

HJT log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:31:02, on 30.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

--
End of file - 4904 bytes
so jetzt hoffe ich Ihr habt nee gute Nachricht für mich .....?

undoreal 30.07.2008 17:06
Hallo Apollo 13. Es sscheint als habe dich Avast vor Schlimmerem bewahrt.

Ich würde aber trotzdem noch zwei Scans mit SuperAntispyware und Anti-Malware machen.

Apollo 13 30.07.2008 18:56
Okay :aplaus:
Das höhrt sich ja schonmal nicht schlecht an uffff...
also habe den scann mit

SUPERAntiSpyware gemacht:
hier das Log:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/30/2008 at 06:56 PM

Application Version : 4.15.1000

Core Rules Database Version : 3521
Trace Rules Database Version: 1511

Scan type      : Complete Scan
Total Scan Time : 00:26:07

Memory items scanned      : 382
Memory threats detected  : 0
Registry items scanned    : 5037
Registry threats detected : 0
File items scanned        : 64759
File threats detected    : 0
also wie es aussieht hat er nix gefunden
und da ich ja nix gelöscht oder wieder hergestellt habe,
habe ich mir das mit dem abgesicherten Modus ( Safe Boot ) erspart
oder muss ich es trotzdem machen?

und Malwarebytes Anti-Malware hab ich auch gemacht
ups da is ja noch was ? habe alles augewählt und entfernt
hier das log :

Code:
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1008
Windows 5.1.2600 Service Pack 3

19:39:27 30.07.2008
mbam-log-7-30-2008 (19-39-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 86304
Laufzeit: 12 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP11\A0002178.rbf (Trojan.Downloader) -> Quarantined and deleted successfully.
und nun wie gehts weiter ...?

undoreal 30.07.2008 18:59
Das sollte es dann eigentlich gewesen sein...

Wenn du noch Paranoia schiebst dann kannst du DrWeb laufen lassen.. ;)


Cureit Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

Apollo 13 30.07.2008 21:07
Okay ! :Boogie:

Musste natürlich meine Paranoia noch befridigen
aber Dr.Web CureIt! hat kein Log mehr ausgespuckt
alles clean......
Hiermit nehme ich an das alles wieder :daumenhoc ist
:piggi: gehabt ...!
sollte noch was sein bitte posten, ansonsten schliesse ich dieses Thema.

vielen Dank für die schnelle Hilfe
und ein schönes Wochenende

Apollo 13


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131