Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Gefahr vorerst gebannt, aber wie schütze ich mich vor Wiederinfizierung durch ext. HD? (https://www.trojaner-board.de/96004-gefahr-vorerst-gebannt-schuetze-mich-wiederinfizierung-ext-hd.html)

sabertoth 24.02.2011 22:44
Gefahr vorerst gebannt, aber wie schütze ich mich vor Wiederinfizierung durch ext. HD?
 
Hallo allerseits,

ich richte mich nun hier ans Forum, da ich seit gestern zum ersten mal mit hartnäckigem Trojanerbefall zu kämpfen hatte.


Was war passiert?

Gestern Abend wollte ich eine Datei (PesEdit Patch 1.6 für das Spiel Pro Evolution Soccer 2011, etwa 520mb) herunterladen.
Etwa bei der Hälfte schlug Avira AntiVir Alarm, dass es Trojaner gefunden hat. Diese lies ich löschen, sie kamen jedoch immer wieder. Das System wurde sehr langsam, die Google-Suche verlinkte mich auf Werbe-Seiten, IE Pop-Ups und System-Fehlermeldungen blinkten ständig auf.


Wie hab ich reagiert?

Ich habe Spybot aktualisiert, scannen lassen und alle Gefahren ausgeschaltet.
Leider half dies nichts, immer noch liefen dubiose Hintergrundprogramme (Offerbox.exe, etc.).

Dann beging ich einen Fehler: Und zwar habe ich aus Angst um meine Daten meine externe Festplatte angeschlossen und wichtige Dateien, welche ich seit dem letzten "Externen HD Back-Up" noch nicht gesichert hatte, auf die Festplatte kopiert.

Darauf lies ich Anti-Vir mein System prüfen, welches mir einen Rootkit-Trojaner fand. Ich habe ihn mit dem Kaspersky Rootkit Tool gefunden und zerstört.
Danach habe ich mich weiter schlau gemacht und Malwarebytes Anti-Malware runtergeladen, installiert und per Quick-Scan ca. 30 Probleme gefunden, welche ich gelöscht habe.


Die momentane Situation:

Das System scheint flüssig zu laufen, es sind keine seltsamen Prozesse wie "Qj1.exe" im Hintergrund am laufen, Pop Ups tauchen nicht mehr auf und selbst ein kompletter mlab-Suchlauf bleibt ohne Treffer.

Habe das mlab-Log sowie die OTB-Logs angehängt.


Fragen:

1. Kann ich davon ausgehen, dass die größte Bedrohung überstanden ist oder findet von euch noch jemand verdächtige Dateien?
2. Habe ich richtig auf die Bedrohung reagiert? Was könnte man besser machen?
3. Nachdem ich mich über die Rootkit-Trojaner informiert habe, fiel mir auf, dass es nicht gut war die externe Festplatte anzuschließen, da die Trojaner sich auf andere Laufwerke ausbreiten (Soweit richtig?).
Jedenfalls, wie schaffe ich es, meine möglicherweise befallene ext. HD zu säubern ohne mir mein System aufs Neue zu verseuchen?


Vielen Dank für eure Antworten.

cosinus 25.02.2011 09:38
Zitat:
Gestern Abend wollte ich eine Datei (PesEdit Patch 1.6 für das Spiel Pro Evolution Soccer 2011, etwa 520mb) herunterladen.
Was bewirkt der Patch? AUs welcher Quelle stammt der?

sabertoth 28.02.2011 17:44
Das ist ein Patch, der alle Spieler/Mannschaftsdaten korrigiert und aktualisiert. Bisher konnte ich diesen immer problemlos auf der Entwicklerseite herunterladen, dieses mal habe ich jedoch eine Komplettversion (anstatt den sonst üblichen 4-5 Parts) von einer anderen Seite geladen.

sabertoth 28.02.2011 17:57
Vielleicht habe ich mich etwas zu früh gefreut. Geradte mlab laufen lassen, promt wieder einen Treffer.

Hier der Bericht sowie die OTL-Logs:

cosinus 28.02.2011 20:24
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\setup\rsrc\Autorun.exe
O33 - MountPoints2\F\Shell\dinstall\command - "" = F:\Directx\dxsetup.exe
[2011.02.23 21:55:35 | 000,000,000 | ---D | C] -- C:\Users\Max\AppData\Local\{DBCE22C8-A9AE-4E76-9178-D8437BB68AF5}
[2011.02.24 07:49:08 | 000,000,120 | ---- | M] () -- C:\Users\Max\AppData\Local\Kdexuw.dat
[2011.02.24 00:08:55 | 000,000,000 | ---- | M] () -- C:\Users\Max\AppData\Local\Kxidur.bin
[2011.02.23 21:55:36 | 000,000,120 | ---- | C] () -- C:\Users\Max\AppData\Local\Kdexuw.dat
[2011.02.23 21:55:36 | 000,000,000 | ---- | C] () -- C:\Users\Max\AppData\Local\Kxidur.bin
@Alternate Data Stream - 498 bytes -> C:\ProgramData\TEMP:05EE1EEF
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:00 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131