Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Faker-J gefunden !? (https://www.trojaner-board.de/56958-faker-j-gefunden.html)

Apollo 13 30.07.2008 00:42
Faker-J gefunden !?
 
Hallo erstmal
weiss nicht ob ich alles richtig gemacht habe....?
und ob da noch was ist oder sich versteckt hat ....?
also Avast hat Alarm geschlagen !
habe also folgende Sachen im Container von Avast
von 19:02 Uhr bis 19:04 Uhr hab ich direkt schon mit dem Live Scanner von Avast containert
danach ein manueller scann gemacht dann kamen noch die Einträge von
19:52 Uhr bis 19:56 ist auch im Container
Pc neu gestartet
manueller Scann von Avast: nix mehr
Scann mit A-Squared: nix
CCleaner gemacht
danach F-Secure Blacklight keine Treffer nehme ich an... hat auch kein Log angezeigt

das ist das Warnungs.log von Avast:

Code:
29.07.2008        19:02:08        1217350928        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:02:38        1217350958        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\e-select-080618[1].gif" file. 
29.07.2008        19:02:45        1217350965        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:02:49        1217350969        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CJ9SFD9\e-select-080618[1].gif" file. 
29.07.2008        19:02:53        1217350973        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\e-select-080618[1].gif" file. 
29.07.2008        19:02:57        1217350977        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7CJ9SFD9\e-select-080618[1].gif" file. 
29.07.2008        19:03:01        1217350981        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\e-select-080618[1].gif" file. 
29.07.2008        19:03:05        1217350985        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NF5ZLWMW\e-select-080618[1].gif" file. 
29.07.2008        19:03:10        1217350990        SYSTEM        1308        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:04:28        1217351068        SYSTEM        1308        Sign of "Win32:Faker-J [Spy]" has been found in "http://trojaner-board.de/ASE_Setup_Free_de.exe\[ASProtect]" file. 
29.07.2008        19:04:28        1217351068        SYSTEM        1308        Sign of "Win32:Faker-J [Spy]" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\ASE_Setup_Free_de[1].exe\[ASProtect]" file. 
29.07.2008        19:52:28        1217353948        ....        3520        Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FAC5GHEJ\e-select-080618[1].gif" file. 
29.07.2008        19:56:07        1217354167        ....        3520        Sign of "Win32:Faker-J [Spy]" has been found in "C:\Dokumente und Einstellungen\....\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PNQRTLK2\ASE_Setup_Free_de[1].exe\[ASProtect]" file.
und ganz am Schluss noch das HJT gemacht
und gepostet

HJT log:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:31:02, on 30.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\a-squared Free\a2service.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

--
End of file - 4904 bytes
so jetzt hoffe ich Ihr habt nee gute Nachricht für mich .....?

undoreal 30.07.2008 17:06
Hallo Apollo 13. Es sscheint als habe dich Avast vor Schlimmerem bewahrt.

Ich würde aber trotzdem noch zwei Scans mit SuperAntispyware und Anti-Malware machen.

Apollo 13 30.07.2008 18:56
Okay :aplaus:
Das höhrt sich ja schonmal nicht schlecht an uffff...
also habe den scann mit

SUPERAntiSpyware gemacht:
hier das Log:

Code:
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/30/2008 at 06:56 PM

Application Version : 4.15.1000

Core Rules Database Version : 3521
Trace Rules Database Version: 1511

Scan type      : Complete Scan
Total Scan Time : 00:26:07

Memory items scanned      : 382
Memory threats detected  : 0
Registry items scanned    : 5037
Registry threats detected : 0
File items scanned        : 64759
File threats detected    : 0
also wie es aussieht hat er nix gefunden
und da ich ja nix gelöscht oder wieder hergestellt habe,
habe ich mir das mit dem abgesicherten Modus ( Safe Boot ) erspart
oder muss ich es trotzdem machen?

und Malwarebytes Anti-Malware hab ich auch gemacht
ups da is ja noch was ? habe alles augewählt und entfernt
hier das log :

Code:
Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1008
Windows 5.1.2600 Service Pack 3

19:39:27 30.07.2008
mbam-log-7-30-2008 (19-39-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 86304
Laufzeit: 12 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP11\A0002178.rbf (Trojan.Downloader) -> Quarantined and deleted successfully.
und nun wie gehts weiter ...?

undoreal 30.07.2008 18:59
Das sollte es dann eigentlich gewesen sein...

Wenn du noch Paranoia schiebst dann kannst du DrWeb laufen lassen.. ;)


Cureit Dr.Web
  • Downloade Dr.Web CureIt!
  • Speichere es auf deinem Desktop.
  • Entpacke es in einen eigenen Ordner.
  • Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.
  • Lass alle Malware in den Quarantaene Ordner verschieben.
  • Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
  • Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.
  • Speichere das Logfile - siehe Anleitung - und poste es.

Apollo 13 30.07.2008 21:07
Okay ! :Boogie:

Musste natürlich meine Paranoia noch befridigen
aber Dr.Web CureIt! hat kein Log mehr ausgespuckt
alles clean......
Hiermit nehme ich an das alles wieder :daumenhoc ist
:piggi: gehabt ...!
sollte noch was sein bitte posten, ansonsten schliesse ich dieses Thema.

vielen Dank für die schnelle Hilfe
und ein schönes Wochenende

Apollo 13


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:51 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19