Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Problem mit Malwarebytes-Meldung: Zugriff auf potenziell gefährliche Seite 77.79.10.40 (https://www.trojaner-board.de/107900-problem-malwarebytes-meldung-zugriff-potenziell-gefaehrliche-seite-77-79-10-40-a.html)

franzxmaier 10.01.2012 17:57
Problem mit Malwarebytes-Meldung: Zugriff auf potenziell gefährliche Seite 77.79.10.40
 
Habe folgendes Problem: Malwarebytes Anti-Malware Überwachung meldet mir regelmäßig (so ca. alle 10 Minuten), dass der Zugriff (ausgehend) zu einer potenziell gefährlichen Seite (77.79.10.40) unterbunden wurde. Bei einem vollständigen Scan wird aber kein Schädling gefunden! Wo kann sich der verstecken und wie kann ich ihn beseitigen?
MfG
Franz Maier

cosinus 11.01.2012 18:54
Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

franzxmaier 13.01.2012 22:16
Hallo Arne!
Danke für Deine Nachricht. Habe Pause machen müssen, weil ich den Compi in ein neues Gehäuse übersiedelt habe. Situation hat sich ein wenig geändert: die meiste Zeit ist jetzt Ruhe, Malwarebytes meldet sich nur noch zeitweise. Auch ein neuer Scan-Lauf hat nichts gebracht - wieder nichts gefunden. Interessant sind aber die Überwachungslogs: wollte sie mit hochladen - kann ich aus irgendwelchen Gründen aber nicht - Anhänge veralten funktioniert nicht! - füge ein paar Details hier ein (hoffe, dass ich damit nicht allzusehr gegen die Regeln verstosse).
Gruß
Franz

Neustes:

2012/01/13 12:30:46 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/13 12:30:51 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/13 12:40:54 +0100 WINOFF franz IP-BLOCK 77.78.211.3 (Type: outgoing)
2012/01/13 12:40:54 +0100 WINOFF franz IP-BLOCK 77.78.211.3 (Type: outgoing)
2012/01/13 12:40:55 +0100 WINOFF franz IP-BLOCK 174.139.240.130 (Type: outgoing)
2012/01/13 12:40:56 +0100 WINOFF franz IP-BLOCK 77.78.211.3 (Type: outgoing)
2012/01/13 12:40:56 +0100 WINOFF franz IP-BLOCK 77.78.211.3 (Type: outgoing)
2012/01/13 12:40:57 +0100 WINOFF franz IP-BLOCK 174.139.240.130 (Type: outgoing)
2012/01/13 12:41:00 +0100 WINOFF franz IP-BLOCK 77.78.211.3 (Type: outgoing)
2012/01/13 12:41:00 +0100 WINOFF franz IP-BLOCK 77.78.211.3 (Type: outgoing)
2012/01/13 12:41:01 +0100 WINOFF franz IP-BLOCK 174.139.240.130 (Type: outgoing)
2012/01/13 12:54:14 +0100 WINOFF franz MESSAGE Starting protection
2012/01/13 12:54:23 +0100 WINOFF franz MESSAGE Protection started successfully
2012/01/13 12:54:26 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/13 12:54:32 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/13 15:37:57 +0100 WINOFF franz MESSAGE Starting protection
2012/01/13 15:38:08 +0100 WINOFF franz MESSAGE Protection started successfully
2012/01/13 15:38:11 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/13 15:38:15 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/13 15:52:31 +0100 WINOFF franz MESSAGE Starting protection
2012/01/13 15:52:39 +0100 WINOFF franz MESSAGE Protection started successfully
2012/01/13 15:52:42 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/13 15:52:48 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/13 16:31:49 +0100 WINOFF franz MESSAGE Starting protection
2012/01/13 16:31:57 +0100 WINOFF franz MESSAGE Protection started successfully
2012/01/13 16:32:00 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/13 16:32:04 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/13 16:40:07 +0100 WINOFF franz IP-BLOCK 174.139.240.130 (Type: outgoing)
2012/01/13 16:40:10 +0100 WINOFF franz IP-BLOCK 174.139.240.130 (Type: outgoing)
2012/01/13 16:40:14 +0100 WINOFF franz IP-BLOCK 174.139.240.130 (Type: outgoing)

Erstes:

2012/01/10 12:06:18 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/10 12:06:23 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/10 12:06:33 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: incoming)
2012/01/10 12:06:58 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: incoming)
2012/01/10 12:07:46 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: incoming)
2012/01/10 12:22:41 +0100 WINOFF franz MESSAGE Starting protection
2012/01/10 12:22:46 +0100 WINOFF franz MESSAGE Protection started successfully
2012/01/10 12:22:49 +0100 WINOFF franz MESSAGE Starting IP protection
2012/01/10 12:22:54 +0100 WINOFF franz MESSAGE IP Protection started successfully
2012/01/10 12:23:39 +0100 WINOFF franz DETECTION C:\Dokumente und Einstellungen\franz\Anwendungsdaten\AudioTreiber_x64.exe Trojan.Agent.Gen DENY
2012/01/10 12:23:39 +0100 WINOFF franz DETECTION C:\Dokumente und Einstellungen\franz\Anwendungsdaten\AudioTreiber_x64.exe Trojan.Agent.Gen QUARANTINE
2012/01/10 12:23:52 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:23:54 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:24:01 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:27:23 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:27:25 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:27:31 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:30:53 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:30:56 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:31:02 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:34:24 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:34:27 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:34:34 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:37:56 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:37:59 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:38:04 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:41:27 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:41:29 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:41:35 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:44:57 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:45:00 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:45:06 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:48:28 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:48:31 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:48:37 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:51:59 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:52:02 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:52:08 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:55:30 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
2012/01/10 12:55:33 +0100 WINOFF franz IP-BLOCK 77.79.10.40 (Type: outgoing)
Es folgen noch einige gleichartige - schicke nicht alle

cosinus 14.01.2012 00:08
Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
hier steht das Log

franzxmaier 15.01.2012 23:44
Hallo Arne!
Hier die diversen Daten, zunächst MW-Scan:
Code:
Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.14.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
franz :: WINOFF [Administrator]

Schutz: Aktiviert

14.01.2012 12:12:51
mbam-log-2012-01-14 (12-12-51).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 436082
Laufzeit: 4 Stunde(n), 34 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Überwachungs-Log von MW:
Code:

2012/01/15 13:14:50 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 13:14:52 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 13:14:56 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 13:23:43 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 13:23:45 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 13:23:49 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 14:09:39 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 14:09:41 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 14:09:45 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 15:23:44 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 15:23:46 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
2012/01/15 15:23:50 +0100        WINOFF        franz        IP-BLOCK        174.139.240.130 (Type: outgoing)
Und jetzt von ESET:
Code:
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=380e35c7feead041b540cf4e84567562
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-15 10:30:21
# local_time=2012-01-15 11:30:21 (+0100, Westeuropäische Normalzeit)
# country="Austria"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3584 16777191 100 0 0 0 0 0
# compatibility_mode=8192 67108863 100 0 68788 68788 0 0
# scanned=269297
# found=9
# cleaned=0
# scan_time=41112
C:\Downloads\Software\asc-setup.exe        a variant of Win32/Toolbar.Widgi application (unable to clean)        00000000000000000000000000000000        I
C:\Downloads\Software\imf-setup.exe        a variant of Win32/Toolbar.Widgi application (unable to clean)        00000000000000000000000000000000        I
C:\WINDOWS\system32\dllhoster.exe        a variant of Win32/Injector.JPW trojan (unable to clean)        00000000000000000000000000000000        I
G:\winnetz\CoolEditPro\VoIPSoftware\A1_over_IP.exe        a variant of Win32/Kryptik.BXV trojan (unable to clean)        00000000000000000000000000000000        I
G:\winnetz\Laplink\Laplink PCmover Professional v5 00 615\Laplink PCmover Professional v5 00 615.exe        a variant of Win32/Injector.JXF trojan (unable to clean)        00000000000000000000000000000000        I
G:\winnetz\VoIPSoftware\A1_over_IP.exe        a variant of Win32/Kryptik.BXV trojan (unable to clean)        00000000000000000000000000000000        I
J:\bittorrent\SoftonicDownloader_fuer_free-msn-emoticons-pack.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I
J:\off2010\Microsoft Office 2010 Professional Plus GERMAN x86 x64 FRiENDS ONLY - BIE - bieof10g\bieof10g.iso        a variant of Win32/HackKMS.A application (unable to clean)        00000000000000000000000000000000        I
K:\pdfedit\SoftonicDownloader84381.exe        a variant of Win32/SoftonicDownloader.A application (unable to clean)        00000000000000000000000000000000        I
Hoffe, das hilft weiter!
Danke
Franz Maier

cosinus 16.01.2012 14:05
Zitat:
J:\off2010\Microsoft Office 2010 Professional Plus GERMAN x86 x64 FRiENDS ONLY - BIE - bieof10g\bieof10g.iso a variant of Win32/HackKMS.A application (unable
Nette gecrackte Office-Version! :pfui:

Wenn du ein MS-Office nutzen willst musst du es kaufen! Ein Office für lau gibt es auch legal => OpenOffice oder LibreOffice!

Siehe auch => http://www.trojaner-board.de/95393-c...-software.html

Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden.

Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!!

Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein!


In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials

franzxmaier 16.01.2012 16:58
An das Forum!
Ok, alles klar, sehe ich ein. Ich möchte nur darauf hinweisen, dass das Office gar nicht für mich ist - habe ein (offiziell gekauftes!) Office 2007 im Einsatz - Download war für einen Bekannten!
Trotzdem Danke für die Hilfe.
MfG
Franz Maier

cosinus 16.01.2012 20:22
Zitat:
An das Forum!
An wen denn sonst?

Zitat:
dass das Office gar nicht für mich ist - habe ein (offiziell gekauftes!) Office 2007 im Einsatz - Download war für einen Bekannten!
Du selber kaufst ein Office aber unterstützt Raubkopien für einen Bekannten, jaja schon klar :balla:
Ist ja egal wenn der Bekannte dann einen verseuchten Rechner hat. Statt ihm mal einfach ein LibreOffice oder was anderes freies zu empfehlen wird mal wieder die Crackkeule rausgeholt. Warum könnt ihr nicht einfach mal die Finger von diesem Dreck lassen :pfui:

franzxmaier 17.01.2012 11:38
Hallo Arne!
Hast ja Recht - werde ich in Zukunft sein lassen. Ich verstehe, dass Du sauer bist - nichts für ungut und nochmals Danke für Deine bisherige Hilfe!
Gruß
Franz


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:15 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131