Cross Scripting Verdacht und Trojanerfunde Hallo Zusammen, habe heute bei einem Login in ein e-mail Postfach einen großen Schreck bekommen. NoScript zeigte mir an, dass es einen Verdacht auf Cross Site Scripting blockiert habe(verdächtigt wurde navigator.gmx.net). Da es nur ein Spamaccount war (den ich tatsächlich ohnehin löschen wollte und entsprechend auch gelöscht habe) ist das natürlich erstmal nicht so wild. Allerdings bin ich nun nachträglich doch etwas besorgt, dass sich etwas in mein System eingeschlichen haben könnte bzw. mein System bereits infiziert war o.Ä.. Habe Firefox mal neuinstalliert und zuvor mein System mit Malewarebytes gescannt, ohne Ergebnis und auch ein Scan mit dem Avast Browser Cleanup ergab keine Treffer. Verwende NoScript, Addblock Plus sowie Ghostery. Malewarebytes/Avast hatten zudem vor einiger Zeit schon ein paar Funde, die ich damals aber als Fehlalarm abgetan habe, weil es sich dabei um Dateien gehandelt hat, die schon ausgesprochen alt waren und auch nicht kürzlich geändert wurden (ich vermute sie waren bei der Erstinstallation von Windows dabei). Vor einiger Zeit hatte ich auch einige Funde zu Pup.optional.conduit.A. Allerdings waren dies auch schon sehr alte Dateien und ich hatte mit meinem Browser nie Probleme. Anbei die betreffende Logfile von Malwarebytes und die Details die ich bei Avast zur Datei noch rauslesen kann (leider gibt es dazu keine Logfile mehr) Malwarebytes Logfile: Code: Malwarebytes Anti-Malware 1.75.0.1300 Code: Ursprünglicher Dateiname: TCrdMain.exe Viele Grüße |
hi, Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit (Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Vielen lieben Dank für die schnelle Antwort. Anbei die Logfiles. Der Text für Addition war leider zu groß für den Post und ist deswegen angehängt. FRST Logfile: FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:25-07-2014 --- --- --- |
Da ich grad gelesen hab, dass die Logs zur Not in mehreren Posts stehen sollen, hier nochmal das Addition Logfile (musste es nochmals teilen): Addition Part 1: Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version:25-07-2014 |
Addition Part 2: Code: CustomCLSID: HKU\S-1-5-21-3147029616-3348592130-1442432417-1000_Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}\InprocServer32 -> C:\Program Files\Java\jre7\bin\jp2iexp.dll () |
Addition Part 3 Code: CustomCLSID: HKU\S-1-5-21-3147029616-3348592130-1442432417-1000_Classes\CLSID\{CAFEEFAC-0017-0000-0037-ABCDEFFEDCBA}\InprocServer32 -> C:\Program Files\Java\jre7\bin\jp2iexp.dll () |
hi, Scan mit Combofix
|
erledigt, hier das log: Code: ComboFix 14-07-29.01 - *** 29.07.2014 17:06:28.1.2 - x86 |
Downloade Dir bitte Malwarebytes Anti-Malware
Downloade Dir bitte AdwCleaner auf deinen Desktop.
Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
und ein frisches FRST log bitte. |
Hi, Malewarebytes habe ich bereits installiert. Sollte ich das neu installieren oder reicht es mit der bereits installieren Version zu scannen? |
Reicht, mach nur ein Update :) |
okay :) hier sind die Logs: Malwarebytes: Code: Malwarebytes Anti-Malware Code: # AdwCleaner v3.301 - Bericht erstellt am 31/07/2014 um 19:56:48 Code: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ FRST Logfile: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:31-07-2014 01 --- --- --- |
ESET Online Scanner
Downloade Dir bitte SecurityCheck und:
und ein frisches FRST log bitte. Noch Probleme? :) |
Hier die Ergebnisse: Eset: Code: ESETSmartInstaller@High as downloader log: Code: Results of screen317's Security Check version 0.99.85 FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:31-07-2014 01 Probleme kann ich jetzt direkt keine erkennen, vom Eset-Fund mal abgesehen. Ist allerdings schwer zu sagen, weil sich der PC auch vorher nicht besonders auffällig verhalten hat, wenn man von der Cross Scripting Sache mal absieht. Da hatte ich jedenfalls keine Meldung mehr. Ein paar Fragen hätte ich aber noch die ich frecherweise einfach mal stelle ;) : Ich habe gestern festgestellt, dass unter Sicherheit bei beinahe allen Verknüpfungen (abgesehen von dreien die relativ alt sind) auf meinem Desktop ein unbekanntes Benutzerkonto aufgeführt wird (mit der Endung -500 also wohl ein Admin Konto). Wollte fragen ob das mit der Bereinigung zusammenhängen kann oder ob da irgendwas im argen ist/war? Dass das über eine Systemwiederherstellung von meiner Seite oder einen gelöschten Benutzer kam, kann ich auschließen. Einige von den Veknüpfungen sind nämlich noch relativ neu und in letzter Zeit hab ich nichts dergleichen gemacht. Seit wann das Benutzerkonto da drin ist kann ich leider nicht sagen, hab das eh mehr durch Zufall gesehen :(. Was genau war/ist auf meinem PC denn nun eigentlich los? Hatte sich da schon länger irgendwas eingenistet ohne, dass ichs bemerkt habe bzw. wie dramatisch war das nun eigentlich? Dann noch eine grundsätzliche Frage für die zukünftige Sicherheit: Ist es auch möglich, dass sich irgendwelche Sachen über einen gemeinsamen Internetanschluss einschleichen ?(wenn der Router auf einem anderen PC eingerichtet ist). So das wars erstmal mit dummen Fragen :) Danke soweit für die Hilfe und Geduld und Schöne Grüße |
Java, Flash und Adobe updaten. Zeig mir mal bitte einen Screenshot von dem Konto. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 15:01 Uhr. |
Copyright ©2000-2024, Trojaner-Board