Befall mit 'TR/Trash.Gen' [trojan]
 

hallo Experten-Team!
Vielleicht könnt Ihr mir ja helfen...Das wäre toll!
Nachdem Avira den folgenden Virus gemeldet hat 'TR/Trash.Gen' [trojan] hab ich die Datei mit Ant-Malware löschen können (wahrscheinlich) Ich vermute aber, dass da auf meinem REchner aber noch was drauf ist, was kann ich denn da noch tun, um auf Nummer sicher zu gehen?
Hier ist die Hijackthis logfile....
Danke schon mal im Voraus!

Hallo und :hallo:

Malwarebytes? Wenn Du das Tool schon benutzt hast, will man auch das Logfile davon sehen.

Hallo Arne, vielen Dank für deine Antwort. Toll, dass du dich gemeldet hast.
Also dies war das Logfile des ersten Durchlaufs, nach dem Reboot hab ich nochmal einen kompletten Scan gemacht und da gab es dann keine positive Meldung mehr. Aber ich bin mir nicht sicher, ob sich da nicht doch jemand eingenistet hat, weil mein Laptop extrem langsam ist und ständig irgend etwas "rattert"....obwohl ich nix mache!
Danke fürs Reinkucken!
Viele Grüße
Peter

Und der Vollständigkeit halber das Ergebnis des kompletten Scans danach:

Hallo nochmal, ich hab auch eben gerade mit OTL einen Scan gemacht. Hier kommt OTL.text Teil1...

Und jetzt OTL.text TEil 2:

OTL.txt TEil 3

Und last but not least der Extras.txt

Hallo nochmal,
ich bin bestimmt schon total in Panik, glaube ich, aber das nimmt irgendwie zu mit der Zeit, in der ich nicht weiß, ob da jemand in meinem System rumschnüffelt....
Die ursprünglicher Virusmeldung lautete doch, dass die Datei svchost befallen ist, und was sehe ich das zufällig im Windoes Task Manager, ganz viele Prozesse mit svchost, kann das der Virus sein????
Hier ein screenshot...
habe ich jetzt die totale paranoia?????? oder sind meine bedenken berechtigt, denn ursprünglicher virus war ja svchost

Hab gedacht, es macht vielleicht Sinn meine Ports zu scannen, ob da was raus geht, das dumme ist nur, ich kann das nicht richtig interpretieren....
hier ist der scan mit netstat -a
was bedeutet das denn?

Ok. Dann mach nochmal nen Durchgang mit CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Halo Arne, ich hab das gemacht, hier ist es...
VG
Peter

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Echt? dann hab ich mir unbegründet Panik gemacht?
Sind die Portscans von mir nicht erschreckend?
kann ich denn mit irgendeiner SW überprüfen ob da einer aus meinem PC nach haus telefoniert?
Gibt es da etwas wo ich sehen kann, wenn einer was nach draußen verschickt?
Danke Arne!
VG
Peter

Was soll daran erschreckend sein? Das was Du gemacht hast ist kein Portscan in dem Sinne, sondern eine Auflistung mit netstat. Wirkliche Aufschlüsse über Befall gibt netstat nicht, man sieht nur die aktiven Verbindungen.

Nein, das geht nicht zuverlässig genug. Ich würd an Deiner Stelle auch keine Personal Firewall deswegen installieren, die macht mehr potentielle Probleme als das sie welche verhindern oder beheben kann und Sinn macht die nur, wenn man das Regelwerk sinnvoll definiert. Nur hier und da ein paar Programme sperren macht keinen Sinn. Nutz einfach die Windows-Firewall und falls noch nicht vorhanden einen DSL-Router.

Evtl. wäre aber Netlimiter Monitor was für Dich, damit sieht man zumindest (mehr oder weniger :rolleyes:) den Traffic bzw. die Traffic-Auslastung der einzelnen Prozesse.
Richtig viele Infos bekommst Du beim Mitsniffen mit Wireshark.

Ich dachte dass sich hinter jedem "Listening" ein Trojaner verbirgt, aber das scheint wohl nicht zu sein, oder?

Wo bekomme ich denn die beiden Apps? Ich meine Netlimiter Monitor und Wireshark und muss man dazu eine Nerdy sein?

Also für mich als Dummy spricht eigentlich nichts dagegen, dass es ein Programm geben muss, das dem Besitzer eines PCs die Verfügungsgewalt und die Kontrolle geben muss zu entscheiden welche Kommuniukation in den PC gelangen und welche raus gehen darf, oder ist das völlig naiv???
Gruß nach Bremen und Glückwunsch zur Championsleague :-)

Das ist an sich schon unlogisch oder meinst Du man kann soeinfach Schädlinge aufspüren?
Listening bedeutet, dass an dieser Stelle ein Dienst an besagte Schnittstelle "lauscht" also "erreichbar" ist. Das sind bei Windows standardmäßig zB die Dienste, die für die Datei- und Druckerfreigabe zuständig sind.

Du weisst wie man Google bedient?
Bei Netlimiter muss man nicht unbedingt große Erfahrungen haben, aber bestimmte Systemprozesse von Windows kennt auch nicht jeder.
Vorsicht st bei Wireshark geraten, das Teil erzeugt sehr viele Logdaten, wer nicht filtert bekommt eindeutig zu viele Infos und man sollte schon etwas tiefergehende Kenntnisse über Protokolle und Aufbau der Frames haben.

Ausgehende Pakete zu kontrollieren ist schwierig und geht nicht zuverlässig genug. Du kannst rein theoretisch jedes Protokoll über ein anderes tunneln oder auch verschlüsseln.
Da Du Windows Vista hast, solltest Du Dir mal die die Windows-Firewall mit erweiterter Sicherheit anschauen.

Ja okay, das mach ich vielen Dank! Aber ich dachte bei Windows Firewall kann ich nur hereinkommenden Traffic blockieren und nicht aus meinem PC hinausgehenden...

Tiefergehende Kenntnisse über Protokolle und Aufbau der FRames????
Was soll ich da jetzt sagen....

Meine Panikattacke kommt daher, dass mir jemand eine Zip Datei zugesendet hat, die anscheinend passwort geschützt war, und dann nochmal eine die angeblich den Schlüssel für den Passwortschutz beinhaltet hat, was aber nicht passiert ist, denn dann kam nur Error, ich hab das mit 7zip aufgemacht
und dann natürlich sofort gelöscht weil ich mir gedacht habe, dass da was faul sein könnte...

Eine letzte Frage: kann denn jetzt immer noch jemand trotz allen Vorsichtsmaßnahmen auf meinem System rumschnüffeln?
Ich stelle mir vor, dass wenn einmal einer drin ist, kann er denn seine Spuren so verwischen, dass man ihn nicht mehr aufspüren kann? ODer hinterlässt er Spuren, die ein Programm lesen kann und Alarm schlägt?
Wenn einer einmal bei mir auf dem PC war, braucht er dann immer noch irgendwelche Trojaner Programme oder kann er auch anders Zugang bekommen, wenn diese Programme gelöscht sind, wie der oben besagte TR/trashGen? Sorry wenn ich dich mit meinen Fragen belästige, Arne!
Wenn ich mal in bremen bin, dann lade ich Dich auf ein Bier ein :-)
So als Angebot für eine Wiedergutmachung!
VG
Peter

Passwortgeschützte Archive sind ungefährlich, Du kommst ohne Das Passwort nicht an die Daten heran, sonst steckt da keine Gefahr hinter.

Was heißt "alle Vorsichtsmaßnahmen" ? :confused:
Du musst Dir klar sein, dass es keine 100% Sicherheit gibt, man kann nur mit einem geeigneten Konzept den Befall so gut wie möglich verhindern und für den Fall der Fälle hat man Backups in der Tasche!

Kurz gesagt wenn Dein System kompromittiert ist - da hilft strenggenommen nur ein format c: denn nur dann kann man mit Sicherheits sagen, dass der Schädling entfernt und das Betriebssystem wieder vertrauenswürdig ist.

Hört sich gut an. Schön im Sommer an der Schlachte?! :D :party:

Was ich meinte war, ich glaub das war ne Finte er hat mir eine zweite Zip Datei geschickt mit angeblich dem Passwort zur ersten ZipDatei, aber da war nix drin, sondern das hat irgendwelchen Error produziert als ich die zweite Zip Datei versucht habe zu öffnen

OK, wann ist eigentlich die Breminale?
Ich erinner mich dass das immerr ganz nett war während meiner Studizeit an der Werderstraße HS Nautik

Wie heisst nochmal die Kneipe an der Weserfähre, da wars auch sehr nett :-))

Sommer ist ja noch weit...erstmal müssen wir verdauen, dass ihr es wieder in die Championsleague geschafft habt und wir abgeluhst haben...

Schönen Abend noch!

P.S. SUPERAntiSpyware rattert noch...

LG
Peter

Hier die Logfile von SASW

scheint ja eher harmlos zu sein!
Oh mann arne du arbeitest ja wie am fließband! Alle Achtung!
machst du auch mal feierabend?
Viele Grüße
PEter

Ja, ich bin schlimmer als der Trojaner-Board Admin-Bot :blabla:

Infiziert: Cerberus RAT 1.03.4 Beta


Ich habe bei Google auf einem Hacker-Board ein Removal Tool gefunden:
hxxp://www.opensc.ws/attachments/trojan-malware-samples/3093d1250777026-cerberus-rat-persistent-killer-cerberus-persistent-killer.rar

(Ausführen auf eigener Gefahr! Sollte aber Clean sein . . .)



---------------- Sorry -.- Habe nicht gesehen, dass es noch weiter geht ----------------

Das scheint mir aber sehr gefährlich zu sein auf dieser Seite etwas runter zu laden und zu installieren. Ich dachte der Cerberus wäre schon bereits vernichtet...
Was meinst Du Arne?
Viele Grüße
Peter

Lass die Finger von diesem Tool, sieht sehr dubios aus!

Danke Arne, das bestärkt mich darin, nicht auf diese dubiose Seite zu gehen, sieht mir eher danach aus, einen weiteren Virus einzufangen als zu löschen. Hast du mit Cerberus schon anderweitig zu tun gehabt? Komisch wie Safeline auf diesen Virus gekommen ist, da muss er schon meine Logs durch gekuckt haben, alle Achtung!
Gruß
Peter

Sag mal Arne, kann ich dich mal was per PM fragen?

Mach doch :confused:

Ich habe mir leider nur die erste Seite gestern duchgelesen (Hab leider nicht gesehen, dass es noch weiter geht :D)
Aus den neueren Logs geht hervor, dass du nicht mehr infiziert bist :)

Ich war selber einmal mit einer Variante des Cerberus RAT infiziert und da hat mir dieses Tool geholfen .D

Sorry :headbang:

Guten Morgen, Arne!
Ich bin ja dir noch das neue Logfile von Antimalware schuldig, hier ist es...

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4091

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18904

12.05.2010 03:55:42
mbam-log-2010-05-12 (03-55-42).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 268690
Laufzeit: 3 Stunde(n), 26 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Ist doch ein erfreuliches Ergebnis! :)

Ja, danke für deine Hilfe, Arne!
Kann ich sonst noch einen Testlauf machen und kuccken, ob sich nicht doch noch so ein Spion in meinem Rechner verbirgt?
Viele GRüße
Peter

Kümmer DIch jetzt besser um Updates. Dir fehlen: SP2 und IE8 für Vista!


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.