|
TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O Hallo, Ich versuche mich so kurz wie möglich, aber dennoch aussagekräftig zu halten. Ich benutze Antivir und sonst keine Firewall oder Sonstiges, ausser die in meiner Vodafone EasyBox TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT später HTML/ExpKit.Gen2 + TR/Kazy.21978 + JAVA/Pesc.O Ablauf der Infektion (Genaueres -> Die relevanten, exportierten Ereignisse von Antivir findet ihr auch in der Logfiles.zip) Vereinzelt wurden in zeitlichem Abstand die Trojaner TR/Dkdr.Karagany.A.388 + TR/Fakealert.NT gefunden. Später HTML/ExpKit.Gen2 und TR/Kazy.21978 Zur Vorsicht Deaktivierung der Internetverbindung Danach wiederholendes Auftreten der Windows-Meldung "[Titel: Offline arbeiten] Es konnte keine Verbindung zum Internet hergestellt werden. Klicken Sie auf "Offline arbeiten", um Internetinhalte anzuzeigen, die auf dem Computer gespeichert wurden. Klicken sie auf "Wiederholen", um eine Verbindung herzustellen." Ob Diese Meldung, durch Updateprogramme wie AdobeUpdater oder ähnliches hervorgerufen werden, weiß ich nicht, aber ich gehe davon aus, dass einer der Viren oder Trojaner aufs Internet zugreifen möchte. Bei weiterem manuellem Suchlauf auch JAVA/Pesc.O. Habe Hijackthis durchlaufen lassen, allerdings ließ sich nicht, alles Löschen, da sie immer wieder auftauchen. In der Registry sind einträge zu finden, diese lassen sich aber nicht löschen, da sie immer wieder auftauchen. Habe selbst schon Dinge, wie Diagnosestart, Löschen der Einträge per Tuneup oder msconfig und weitere Kleinigkeiten bereits probiert. Sowohl bei Hijackthis, als auch in der Registry, handelt es sich um folgenden Eintrag, der mir Auffällig wurde: (in der Registry an 2 Orten zu finden) O4 - HKLM\..\Run: [Jyeqenarohilo] rundll32.exe "C:\WINDOWS\orilalihocim.dll",Startup Danach Malwarebytes Suchlauf (Vor dem Fixen mb.txt - nach dem fixen mbnachaktion.txt) Edit: Wenn ich nach dem "Entfernen" durch Malwarebytes einen neuen Hijackthis laufe mache, ist sowohl Jyeqen... noch vorzufinden, als neuerdings auch O4 - HKCU\..\Run: [4E3E0230AEBB4E96] C:\Recycle.Bin\Recycle.Bin.exe Hijackthis Logfiles, Malwarebytes Logfiles sowie OTL Logfiles werden sich neben den exportierten, relevanten Antivir-Ereignissen im Anhang, Logfiles.zip befinden. Ich hoffe ihr könnt mir helfen! Liebe Grüße, Gude |
hi. 1. spiele nicht selbst in der registry rumm, du kannst dir das system zerschießen. 2. solche programme wie tuneup haben meiner meinung nach nichts auf nem pc zu suchen, sie bringen nichts und können wichtige systemfunktionen zerstören. 3. machst du onlinebanking einkäufe oder sonst was wichtiges mit dem pc? 4. bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix |
1. Ich bin mir der Gefahr bewusst und beweg mich in der Registry nicht ungeübt. 2. Solche Programme wie TuneUp haben meines Erachtens bei gezielter Konfiguration und Anwendung durchaus ihre Vorteile. - Ansichtssache halt. 3. OnlineBanking hin - und wieder. "Ansonsten" mach ich ausser Webdesign und kleineren Serverarbeiten nicht viel. Höchstwahrscheinlich spielst du darauf an, dass ich wichtige Daten und Passwörter ändern sollte?! 4. Kann das Log erst erstellen, wenn ich wieder zuhause bin. Hat jemand genauere Infos zu den Eigenschaften und Vorgehensweisen der Viren?! Danke! lg Gude |
nein, ohne genaue analysen nur vom namen her kann man das nicht sagen. ich spiele darauf an, das du das onlinebanking umgehend sperren musst und das der pc höchst warscheinlich neu aufgesetz gehört. da man bei den malware familien die du bis her so hast, nicht davon ausgehen kann, dass wir das system zu 100 % sauber bekommen. ps alles was tuneup "kann" kann man schon mit system eigenen mitteln tun. |
Ich danke euch schonmal, mit Combofix sah das ganz gut aus. Nur nachdem er alles fertig hatte und den rechner runterfuhr, blieb er bei "Abmeldung" ziemlich lang hängen und dann für ca. 2 Stunden bei "Netzwerkverbindungen werden getrennt" daraufhin hab ich n per 5sec aufm Knopf drücken ausmgemacht. Dann fuhr er neu hoch und es kam die Meldung rundlll32 hat orahil bla nicht gefunden. Also sah es so aus, als wäre der Virus zumindest auch schonmal runter. Im Ahnang die Logdatei Danke schonmal |
start programme zubehör editor einkopieren killall:: rootkit:: c:\windows\system32\null0.04143577671713916.exe c:\windows\system32\null0.12256869608551868.exe c:\windows\system32\null0.5986582131441814.exe c:\windows\Obonoxebuxeyaki.bin registry:: [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "Jyeqenarohilo"=- datei speichern unter, speicherort, dort wo sich combofix befindet, datei typ alle dateien. name: cfscript.txt ziehe cfscript auf combofix, programm startet log posten |
Oh, ich glaub das war eben das falsche Log und ich hab auch nicht verstanden was du meintest mit dem Beitrag! Hier nochmal ein neues nach nem weiteren Durchlauf. Danke |
Achso Jetzt hab ichs verstanden :D:D Easy, war nur etwas in Eile! :D Edit: Datei im Anhang. Danke, werde das Forum auf jedenfall öfter besuchen und auch weiterempfehlen! |
Also ich hab das Gefühl, dass jetzt alles gut aussieht?! Wie kann ich mich da dementsprechend nochmal absichern?! Antivir nochmal Scannen lassen?! Oder Sonstiges?! Danke für deine/eure Hilfe! |
öffne arbeitsplatz c: rechtsklick qoobox, dann mit winrar oder zip packen, hochladen bitte. http://www.trojaner-board.de/54791-a...ner-board.html |
Fertig. Was genau ist das, was wir da machen?! |
die malware die auf deinem system ist wollte ich mir ansehen. machst du onlinebanking oder einkäufe? oder sonst was wichtiges? |
Onlinebanking habe ich gemacht, habe dieses aber bereits nach dem Befall komplett gesperrt. Ansonsten habe ich regelmäßigen Zugang zu Homepages und FTP's die ich mitverwalte. Ansonsten benutze ich Itunes, soweit ich weiß loggt der sich aber nicht automatisch mit Passwort ein. Ausser den üblichen Forenbesuchen und Netzwerken wie Facebook, benutze ich den rechner eigentlich nicht zum Kaufen von bes. Dingen. War nur vor kurzem bei Vodafone im Kundenbereich eingeloggt um Vertragsdaten einzusehen. Ansonsten befindet sich in unserem WlanNetz (Ich benutze D-Lan) das Notebook meines Dads, worauf nicht unbedingt jeder Zugriff haben sollte. Eine Frage noch, die Logs, die ich hochgeladen habe, beinhalten die nicht ideales Informationen für Hacker?! |
nein, welche infos sollten sie denn beinhalten. dein pc muss neu aufgesetzt werden, da man für eine 100 %ige bereinigung nicht garantieren kann. deswegen daten sichern und formatieren. wenn du willst erkläre ich dir dann wie du das system richtig absicherst |
Bezüglich Formatieren bin ich auf dem laufendem. Habe 2 Partitionen 1. Nur Systemdatein 2. alle anderen Daten lediglich der Desktop müsste gesichert werden. Würde dann C Formatieren und neu aufspielen, hab also nicht so viel Stress mit sichern. Oder würdest du ne komplette Formatierung bevorzugen?! P.S. die Exen, z.B. Games, die sich auf D befinden hab ich ewig nichtmehr in Gebrauch gehabt. Ich freu mich über jeden Tipp, was ein sicheres System anbelangt, solang es nicht a la Norton das System aufs übelste lamed und mehr Anfragen auf Zugriffsrechte stellt als erwünscht, wie z.B. Zonealarm... (Erfahrungen, die schon alt sind...) |
naja norton ist nicht mehr so langsam, aber das nur am rande. ja formatiere die partition mit windows, das reicht. aber nicht die schnelle formatierung. die tipps: http://www.trojaner-board.de/96344-a...-rechners.html hier alle!! tipps für xp/abarbeiten. zusätzlich file hippo, secunia, den abschnitt autorun und panda vaccine .abarbeiten. anmerkungen meiner seits: avira genauestens nach anleitung instalieren: http://www.trojaner-board.de/54192-a...tellungen.html achte darauf, das der auftrag im planer wirklich über lokale laufwerke läuft, sonst werden scan einstellungen nicht gültig. unter avira, konfiguration, Guard, Suche, weitere Aktionen die autostart überwachung deaktivieren. als browser solltest du den opera nutzen, er ist sicherer und schneller. wenn er dir nicht gefällt passe ich meine anleitung für den ff an. um das surfen sicherer zu machen, würde ich sandboxie empfehlen. Download: http://filepony.de/download-sandboxie/ anleitung: Sandbox*Einstellungen | (als pdf) hier noch ein paar zusatzeinstellungen, nicht verunsichern lassen, wenn du das programm instaliert hast, werden sie klar. den direkten datei zugriff bitte auf opera beschrenken, bei Internetzugriff: opera.exe öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung. dort auf anwendung, webbrowser, andere dort auf direkten zugriff auf opera bookmarks erlauben. dann auf hinzufügen und ok. somit kannst du deine lesezeichen auch in der sandbox dauerhaft abspeichern. wenn du mit dem programm gut auskommst, ist ne lizenz zu empfehlen. 1. es gibt dann noch ein paar mehr funktionen. 2. kommt nach nem monat die anzeige, dass das programm freeware ist, die verschwindet erst nach ner zeit, find ich n bissel nerfig. 3. ist die lizenz lebenslang gültig, kostenpunkt rund 30 €, und du kannst sie auf allen pcs in deinem haushalt einsetzen. bitte ab sofort anstelle des browser symbols nur noch das sandboxed web browser symbol anklicken. eine sandbox ist eine vom system isoliert arbeitene umgebung, wenn hier ein schadprogramm reingelangt, läuft es im besten falle nicht, da wir die sandbox eingeschrenkt haben, oder es läuft, kommt aber nicht raus. kenne keine malware, die das im moment kann. dieses konzept muss, um die maximale wirkung zu erreichen, komplett umgesetzt werden. hier greifen nämlich mehrere maßnamen. - updates von windows. durch das automatische updaten von windows werden jeden monat sicherheitslücken geschlossen durch die man schadcode einschläusen kann. - updates mit secunia und file hippo. diese programme helfen dir, die gesammte restliche software aktuell zu halten, auch hier werden lücken geschlossen, durch die angreifer schadcode einschläusen wir nutzen 2 programme zum prüfen auf updates, um definitiv alle abzudecken. die updates sollten immer sofort instaliert werden. hiermit wird einem potentiellen angreifer die möglichkeit genommen schadcode einzuschläusen. natürlich gibts immer unbekannte, bzw bekannte aber noch nicht geschlossene lücken. deswegen: eingeschrenktes nutzerkonto: dieses konto ist für die tägliche arbeit, das admin konto nur für instalationen. hier werden programme mit eingeschrenkten rechten ausgestattet, somit wird malware die möglichkeit erschwert, sich im system festzusetzen. uac: die uac gibt dir kontrolle über prozesse die gestartet werden sollen, bitte meldungen genau lesen und im zweifelsfalle auf nein klicken. dep und sehop tun dies ebenfalls. - sandboxie ist ein wichtiger bestandteil, auf den ich schon eingegangen bin. - avira: auf ein antimalwareprogramm sollte man, zu mindest als einzellösung sich nicht verlassen. es gibt jeden tag rund 50000 neue malware variannten, da kommt kein hersteller hinterher. es ist aber, mit den anderen getroffenen maßnamen durchaus nützlich, wenn es, nach der geposteten anleitung konfiguriert, und damit auch immer aktuell ist. das backup: dieses kannst du nutzen, wenn: - malware auf dem system ist - es andere probleme mit dem pc gibt. mit dem backup wird das system auf einen sauberen zustand wiederhergestellt, also führe es regelmäßig aus, dann hast du keine daten verlusste. alle benötigten verknüpfungen fürs eingeschrenkte konto nach c:\benutzer\Default\desktop bzw \startmenü kopieren. so sind sie für alle sichtbar wenn du fragen hast, probleme, oder erfolgreich warst, melde dich bitte. lies auch den abschnitt zum onlinebanking!! |
Neuer Befall: Genaueres im neuen Thema: hxxp://www.trojaner-board.de/99076-tr-jorik-spyeyes.html#post658130 |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:23 Uhr. |
Copyright ©2000-2024, Trojaner-Board