Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Wieder sauber nach "tUaaq+xN.exe.part"? (https://www.trojaner-board.de/88877-sauber-tuaaq-xn-exe-part.html)

Trojanja 29.07.2010 20:02
Wieder sauber nach "tUaaq+xN.exe.part"?
 
Hallo zusammen!

Das ist mein erstes Posting hier, und ich hoffe, dass mein Beitrag in der Form den Regeln entspricht!

Heute ist es also auch mir passiert, obwohl ich immer ziemlich vorsichtig und skeptisch im Netz unterwegs bin:
Aufgrund eines dämlichen PopUps der Marke "Your Computer is beiing a attacked", das sich hinter einem Google-Bildersuche-Link versteckte, fand Malwarebytes auf meinem System die Datei "tUaaq+xN.exe.part".
Eventuell habe ich noch mal Glück gehabt, da ich den Firefox sofort und ohne Downloadeinwilligung geschlossen habe, aber sicher ist sicher.
AntiVir hat übrigens keinen Pieps von sich gegeben.

Das Logfile von MB hänge ich hier mal an:

Code:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4366

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

29.07.2010 19:50:31
mbam-log-2010-07-29 (19-50-31).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|)
Durchsuchte Objekte: 279901
Laufzeit: 42 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Fee\AppData\Local\Temp\tUaaq+xN.exe.part (Rogue.Installer) -> Quarantined and deleted successfully.
Im Anschluss daran habe ich - wie hier im Forum beschrieben - zu HijackThis gegriffen:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:30:05, on 29.07.2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Logitech\SetPointP\SetPoint.exe
C:\Program Files\pdf24\pdf24.exe
C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe
C:\Program Files\Common Files\LogiShrd\KHAL3\KHALMNPR.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\MirandaFusion\miranda32.exe
C:\Program Files\MirandaFusion\mfwd.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\program files\avira\antivir desktop\avcenter.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\explorer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\explorer.exe
C:\Users\Fee\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.+++.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [EvtMgr6] C:\Program Files\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKLM\..\Run: [PDFPrint] C:\Program Files\pdf24\pdf24.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Program Files\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Miranda Fusion] C:\Program Files\MirandaFusion\mfstart.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: firefox.exe.lnk = C:\Program Files\Mozilla Firefox\firefox.exe
O4 - Startup: thunderbird.exe - Verknüpfung.lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O8 - Extra context menu item: &Winamp Search - C:\ProgramData\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O13 - Gopher Prefix:
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - h++p://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: 
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Program Files\Common Files\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Dragon Age: Origins - Inhaltsupdater (DAUpdaterSvc) - BioWare - C:\Program Files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\LogiShrd\Bluetooth\lbtserv.exe

--
End of file - 5751 bytes
Mein System ist übrigens Win7 Professional 32bit. Ich erwähne es nur sicherheitshalber, weil im Log "Platform: Unknown Windows" steht und ich nicht weiß, ob der Zusatz "WinNT 6.01.3504" dahinter etwas darüber aussagt.

Kann ich nun wieder aufatmen?
Ich hoffe, hier kann mir jemand helfen, denn ich kenne mich in dem Bereich absolut nicht aus.

Liebe Grüße,
Trojanja

PS: Kann überhaupt etwas bei exe.part-Dateien passieren? Normalerweise wird "part" doch nur angehängt, wenn eine Datei nicht vollständig heruntergeladen wurde. Bin ich da falsch informiert?

cosinus 30.07.2010 16:38
Zitat:
PS: Kann überhaupt etwas bei exe.part-Dateien passieren? Normalerweise wird "part" doch nur angehängt, wenn eine Datei nicht vollständig heruntergeladen wurde. Bin ich da falsch informiert?
Nein, da kann so nichts passieren. Eine unvollständige EXE Datei kann so nicht ausgeführt werden.
Gabs noch weitere Funde? Weitere Logs mit Malwarebytes?

Trojanja 30.07.2010 17:36
Hallo Arne!

Danke für deine Antwort!
Ich hatte schon die Befürchtung, doch etwas falsch gemacht zu haben, weil niemand was schrieb.

Nein, es gab keine weiteren Funde mehr.
Hatte mir noch den CCleaner runtergeladen und dann erneut AntiVir und Malwarebytes laufen lassen, aber die haben nichts mehr gefunden. Da muss ich allerdings deren Abschlusssätzen glauben, da ich selbst von eigenständigen Logauswertungen nichts verstehe.

Habe jetzt (zusätzlich zum AdBlocker, den ich eh schon hatte) auch NoScript für den Firefox heruntergeladen, damit mir das nicht mehr passiert.
Ist mir immer noch ein Rätsel, warum die Datei (wenn auch nur teilweise) überhaupt heruntergeladen wurde, obwohl ich im Firefox-Download-Dialog defintiv verweigert hatte.
Gut, dass ich den Firefox sofort geschlossen habe, weil mir das seltsam vorkam.

Liebe Grüße,
Trojanja

PS: Muss ich das Präfix "offen" selbst in "gelöst" umändern? Ich finde dazu nämlich keine Einstellung mehr, weiß aber, dass ich das beim Erstellen des Themas auswählen musste.

cosinus 30.07.2010 18:38
Zitat:
Ich hatte schon die Befürchtung, doch etwas falsch gemacht zu haben, weil niemand was schrieb.
Du musst auch etwas Geduld haben, Du bist nicht der einzige der Huilfe haben will! :kloppen:

Zitat:
Gut, dass ich den Firefox sofort geschlossen habe, weil mir das seltsam vorkam
Welche FF_Version hast Du da?

Zitat:
PS: Muss ich das Präfix "offen" selbst in "gelöst" umändern?
Nein, kannst Du m.W. nicht, kannst Du aber auch ignorieren.

Trojanja 30.07.2010 19:25
Zitat:
Zitat von cosinus (Beitrag 548336)
Du musst auch etwas Geduld haben, Du bist nicht der einzige der Huilfe haben will! :kloppen:
*Räusper* Ist mir klar! Deshalb habe ich mich auch brav geduldet und nicht versucht, das Thema zu schubsen. :party:

Zitat:
Zitat von cosinus (Beitrag 548336)
Welche FF_Version hast Du da?
3.6.8. Also die aktuellste Version. Ich update immer sofort, wenn ne neue Version draußen ist.

Zitat:
Nein, kannst Du m.W. nicht, kannst Du aber auch ignorieren.
Ok, wenn das so ist!

Liebe Grüße,
Trojanja


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:14 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129