BKA-Trojaner: Log Prüfung
 

Hallo trojaner-board Community!

Ich stehe heute seit Ewigkeiten mal wieder vor einem Trojaner(?) Problem. Ich habe vll bisher viel Glück gehabt, aber auch Vorsicht walten lassen und bin bisher glücklich um diese Probleme gekommen. Dafür hat es einen anderen Familienteil umso härter getroffen.

Wie ich bereits gesehen habe, ist dieses BKA Problem bereits öfter aufgetreten und anscheinend in Mode.

Noch vor dem Blick ins Forum habe ich bereits auf eigene Faust zugeschlagen und über den Abgesicherten Modus, Anti-Vir, MBam & Systemwiederherstellung zumindest auf den ersten Blick Erfolg erzielt.

Die Startmaske mit dem BKA Hinweis und die auffälligen Probleme sind behoben. Da der PC jedoch auch für wichtige Dinge genutzt wird, wäre ich sehr dankbar für einen Blick in die Logs. Da ich noch keine Erfahrung in der Richtung habe, hoffe ich dass ich an alle Logs gedacht habe.

Wenn ihr noch weitere Angaben oder Informationen benötigt stelle ich diese natürlich gerne zur Verfügung.

Ich bin für jede Hilfe dankbar!

Gruß!

MBAM (Aktuell (Stand 21.4.11 16:36, nach Systemwiederherstellung))
OTL
OTL Extras
HJTscanlist
CCleaner

Hallo und Herzlich Willkommen! :)

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

► Wann wurde das OTL-Log erstellt? Nachdem Du die Systemwiederherstellung verwendet hast?

1.
** Update Malwarebytes Anti-Malware, lass es nochmal anhand der folgenden Anleitung laufen:

• per Doppelklick starten.
• den Quarantine-Inhalt löschen
• gleich mal die Datenbanken zu aktualisieren - online updaten
• Vollständiger Suchlauf wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde bis auf - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - bei Win7 wähle Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.
** Falls es klappt auf einmal nicht, kannst den Text in mehrere Teile teilen und so posten

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool Ccleaner herunter
→ Download
installieren (Software-Lizenzvereinbarung lesen, falls angeboten wird "Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

gruß
Coverflow

Hallo Coverflow,

erstmal danke für die schnelle Antwort. Ich habe jetzt die Liste um die fehlenden Logs erweitert und auch sonst hoffentlich alles befolgt. Ich habe gerade nochmal MBam ausgeführt (nach einem Updatelauf). Oben findest du jetzt auch noch einmal den aktuellen Log.

Ich hoffe du kannst mit den gegebenen Werten etwas anfangen.

:-)

Punkt 1. bitte aufmerksam lesen! warum " Quick-Scan"?
Protokoll v. jeden Vorgang bitte posten!

Zusätzlich noch:

1.
Deine Javaversion ist nicht aktuell!
Da aufgrund alter Sicherheitslücken ist Java sehr anfällig, deinstalliere zunächst alle vorhandenen Java-Versionen:
→ Systemsteuerung → Software → deinstallieren...
→ Rechner neu aufstarten
→ Downloade nun die Offline-Version von Java Version 6 Update 24 von Oracle herunter
Achte darauf, eventuell angebotene Toolbars abwählen (den Haken bei der Toolbar entfernen)!

2.
Adobe Reader aktualisieren :
- Bei Installation aufpassen/mitlesen!: Wenn irgendeine Software, Toolbar etc angeboten wird, bitte abwählen! - (z.B "McAfee Security Scan Plus")
Adobe Reader
Oder: Adobe starten-> gehe auf "Hilfe"-> "Nach Update suchen..."

P.S Neu erstellte Logs bitte als nächste Antwort da reinkopieren...danke:)

Sorry, rot markiert und doch noch vergessen.
Hier also nochmal der neue MBam Lauf

MBam (Vollständiger Suchlauf)
der älteste MBam Lauf den ich noch habe. (ebenfalls nach der Systemwiederherstellung)



Die Updates habe ich ebenfalls (hoffentlich erfolgreich) gemacht.

1.
läuft unter XP, Vista mit (32Bit) und Windows 7 (32Bit)
Achtung!:
WENN GMER NICHT AUSGEFÜHRT WERDEN KANN ODER PROBMLEME VERURSACHT, fahre mit dem nächsten Punkt fort!
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird Gmer beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.
Anleitung:-> GMER - Rootkit Scanner

2.
Fixen mit OTL

• Starte die OTL.exe.
• Vista und Windows 7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen.
• Kopiere folgendes Skript:

• und füge es hier ein: http://image.hijackthis.eu/upload/hjt1-021.jpg
• Schließe alle Programme.
• Klicke auf den Fix Button.
• Klick auf http://billy-oneal.com/Canned%20Spee.../OTL/btnOK.png.
• OTL verlangt einen Neustart. Bitte zulassen.
• Nach dem Neustart findest Du ein Textdokument.
  Kopiere den Inhalt hier in Code-Tags in Deinen Thread.

Hier die neuen Logs!

1.

• lade Dir SUPERAntiSpyware FREE Edition herunter.
• installiere das Programm und update online.
• starte SUPERAntiSpyware und klicke auf "Ihren Computer durchsuchen"
• setze ein Häkchen bei "Kompletter Scan" und klicke auf "Weiter"
• anschließend alle gefundenen Schadprogramme werden aufgelistet, bei alle Funde Häkchen setzen und mit "OK" bestätigen
• auf "Weiter" klicken dann "OK" und auf "Fertig stellen"
• um die Ergebnisse anzuzeigen: auf "Präferenzen" dann auf den "Statistiken und Protokolle" klicken
• drücke auf "Protokoll anzeigen" - anschließend diesen Bericht bitte speichern und hier posten

2.
- "Link:-> ESET Online Scanner
>>Du sollst nicht die Antivirus-Sicherheitssoftware installieren, sondern dein System nur online scannen<<
Auch auf USB-Sticks, selbstgebrannten Datenträgern, externen Festplatten und anderen Datenträgern können Viren transportiert werden. Man muss daher durch regelmäßige Prüfungen auf Schäden, die durch Malware ("Worm.Win32.Autorun") verursacht worden sein können, überwacht werden. Hierfür sind ser gut geegnet und empfohlen, die auf dem Speichermedium gesicherten Daten, mit Hilfe des kostenlosen Online Scanners zu prüfen.
Schließe jetzt alle externe Datenträgeran (USB Sticks etc) Deinen Rechner an, dabei die Hochstell-Taste [Shift-Taste] gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird. (So verhindest Du die Ausführung der AUTORUN-Funktion) - Man kann die AUTORUN-Funktion aber auch generell abschalten.► [Sicherheit] Autorun Funktion für mehr Sicherheit auf allen Laufwerken deaktivieren /Avira Support Forum

-> Führe dann einen Komplett-Systemcheck mit Eset/Nod32 durch

- folgendes bitte anhaken > "Remove found threads" und "Scan archives"
- die Scanergebnis als *.txt Dateien speichern)
- meistens "C:\Programme\Eset\EsetOnlineScanner\log.txt"

Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben
- um den Scan zu starten: wenn du danach gefragt wirst (den Text in der Informationsleiste ) - ActiveX-Steuerelement installieren lassen

► Wie ist den aktuellen Zustand des Rechners? Auffälligkeiten, Probleme?

Hallo. Über Ostern war die Zeit dann doch etwas knapp. Deswegen die späte Antwort.
Der PC wirkt höchstens etwas langsam, auch beim hochfahren. Da ich persönlich jedoch nicht sehr häufig an diesem PC arbeite, kann es auch nur so wirken. Andere Anzeichen bleiben komplett aus. Hier noch die zusätzlichen Logs:

lade Dir HijackThis 2.0.4 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

Wie ist denn der aktuelle Stand. Lässt sich schon etwas sagen?

Wenn ein Rechner langsam wird, kann das viele Ursachen haben:
-Wie alt ist das Gerät denn? - Wann hast du dein System das letzte mal neu Aufgesetzt?
- Hardware auf dem neuesten Stand?
- Vista und Windows 7 legen beispielsweise regelmäßig Schattenkopien an (mindestens einmal täglich), die im Notfall zur Wiederherstellung des Systems und zum Zugriff auf ältere Dateiversionen dienen. Diese Funktion belegt sehr viel Speicherplatz, Standardmäßig beträgt der für Schattenkopien reservierte Speicherplatz 15 % der Volumegröße, so dass die Systemleistung auch beeinträchtigt wird (unter Punkt 2 erledigen wir jetzt)
- Will sich die Festplatte da bald verabschieden?
Überprüfe mit HD Tune deine Festplatte Hdtune
- System zugemühlt - Mit der Zeit sammelt sich viel Datenmüll der den PC ausbremst.
- Mit der Zeit sammelt sich im Grafikkarten-Lüfter eine Menge Staub.http://blogand1.wordpress.com/2007/0...nen PC sauber?
- Temperatur mit SpeedFan Final]SpeedFan Final[/url] prüfen

1.
Programme deinstallieren/entfernen, die wir verwendet haben und nicht brauchst, bis auf:
Die sind nützliche Programme, die bei Probleme/Notfall können sehr hilfreich sein!

2.
3.
Ändere deine Passworte und Zugangsdaten! - von einem sauberen System aus
- Alle Passwörter, die auf dem kompromittierten System verwendet wurden (also z.B. Login-, Mail- oder Website-Passwörter, aber auch die PIN für das Online-Banking) sofort ändern (► am besten von einem anderen, nicht-infizierten Rechner aus! )
Tipps:
Die sichere Passwort-Wahl - (sollte man eigentlich regelmäßigen Abständen ca. alle 3-5 Monate ändern)
auch noch hier unter: Sicheres Kennwort (Password)

Ok, die Leistung optimierenden Maßnahmen werde ich wohl erst am Wochenende ergreifen können. Weil ich momentan unterwegs bin. Der PC wird jedoch wieder für Online Banking benötigt und das möglichst schon morgen.
Der PC wurde seit dem Befall nur noch für Gegenmaßnahmen verwendet.

Würdest du den PC denn als soweit frei von Viren & Trojanern bezeichnen? Dann würde ich jetzt wieder das OK für die Nutzung (Online Banking) geben. Keylogger(?) könnten wie gesagt eigentlich nichts abgegriffen haben, da der PC nicht genutzt wurde seit dem Befall.

Ich würde sagen, dass wir die bestehenden technischen Möglichkeiten voll ausgenutzt haben und das Ziel erreicht. Das ist tatsächlich ein Punkt, wo man sagen kann: der Rechner ist insoweit `Stand der Technik` virenfrei ist und die Untersuchung kann beendet werden - Trotz allem, lass dein System noch in der nächsten Zeit unter Beobachtung!!

Hi,

wollte mich noch einmal bei dir für die Hilfe bedanken.

P.S.: Könnte mein Thread evtl gelöscht werden? Leider sind doch noch persönliche Daten in den Logs, die ich übersehen habe.

Schönes Wochenende!

Wir löschen hier keine Threads. Maximal editieren wir persönliche INformationen wie Real Namen usw heraus. Seh ich auch nichts dergleichen.

Hi,

leider doch. Könntet ihr vll die HJTscanlist aus meinem ersten Post raus editieren?

Ich habe da jetzt genau 2 Einträge gefunden. Nochmals, wir löschen keine Logfiles.

Wenn Du Angst hast, dass irgendjemand mit dem Inhalt dieser Logfiles was anfangen kann, dann musst Du dich das nächste mal an nen kommerziellen Support wenden.

Nee, so ist es schon in Ordnung. Ging nur um die beiden Einträge.

Nochmal Danke für die Hilfe und die nachträgliche Korrektur.