Trojaner-Board
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/Spy.Bebloh.A.59 TR und */Drop.Bebloh.7344 */Injector.AOC.3 und Abstürze (https://www.trojaner-board.de/85995-tr-spy-bebloh-a-59-tr-drop-bebloh-7344-injector-aoc-3-abstuerze.html)

cosinus 13.05.2010 21:11
Auch das sieht ok aus. Noch Meldungen, Probleme?
Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hierankl 13.05.2010 22:38
Hallo - ja, ich hatte mich auch schon gefreut. FF ist seit gut einem Tag nicht mehr abgestürzt.
Leider hat Malwarebytes jetzt weitere Trojaner gefunden. SuperAntispyware muss ich noch ausführen...

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 4097

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

13.05.2010 23:33:38
mbam-log-2010-05-13 (23-33-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 204620
Laufzeit: 1 Stunde(n), 15 Minute(n), 32 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\ComboFix\Catchme.tmp (Trojan.Agent) -> No action taken.
C:\ComboFix\catchme.cfxxe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\catchme.dll (Trojan.Banker) -> No action taken.
C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP98\A0014758.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mbnxivne.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KA5SCDLN\leau[1].exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KA5SCDLN\leaw[1].exe (Trojan.Agent) -> No action taken.

hierankl 13.05.2010 23:56
Hallo - und hier die Funde der SuperASpyware:


SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 05/14/2010 at 00:42 AM

Application Version : 4.37.1000

Core Rules Database Version : 4931
Trace Rules Database Version: 2743

Scan type : Complete Scan
Total Scan Time : 00:49:30

Memory items scanned : 614
Memory threats detected : 0
Registry items scanned : 6559
Registry threats detected : 0
File items scanned : 72242
File threats detected : 11

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\*\Cookies\*@webmasterplan[2].txt
C:\Dokumente und Einstellungen\*\Cookies\*@azjmp[2].txt
C:\Dokumente und Einstellungen\*\Cookies\*@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\*\Cookies\*@adtech[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@ads.dirks-computerecke[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@zanox[2].txt
C:\Dokumente und Einstellungen\*\Cookies\*@doubleclick[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@tribalfusion[1].txt

Trojan.Agent/Gen-Falprod
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEMPROFILE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\KA5SCDLN\LEAU[1].EXE

cosinus 14.05.2010 10:00
Bitte mal den Avenger anwenden:

1.) Lade Dir von hier Avenger:
Swandog46's Public Anti-Malware Tools (Download, linksseitig)

2.) Entpack das zip-Archiv, führe die Datei "avenger.exe" aus (unter Vista per Rechtsklick => als Administrator ausführen). Die Haken unten wie abgebildet setzen:

http://mitglied.lycos.de/efunction/tb123/avenger.png

3.) Kopiere Dir exakt die Zeilen aus dem folgenden Code-Feld:
Code:
folders to delete:
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5

files to delete:
C:\WINDOWS\system32\mbnxivne.exe
4.) Geh in "The Avenger" nun oben auf "Load Script", dort auf "Paste from Clipboard".

5.) Der Code-Text hier aus meinem Beitrag müsste nun unter "Input Script here" in "The Avenger" zu sehen sein.

6.) Falls dem so ist, klick unten rechts auf "Execute". Bestätige die nächste Abfrage mit "Ja", die Frage zu "Reboot now" (Neustart des Systems) ebenso.

7.) Nach dem Neustart erhältst Du ein LogFile von Avenger eingeblendet. Kopiere dessen Inhalt und poste ihn hier.

8.) Die Datei c:\avenger\backup.zip bei File-Upload.net hochladen und hier verlinken

hierankl 14.05.2010 12:14
Hallo Arne,
mach ich. Was passiert eigentlich, wenn ich Punkt 8. ausführe?


"8.) Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken"

hierankl 14.05.2010 12:22
Logfile Avenger:
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Folder "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5" deleted successfully.
File "C:\WINDOWS\system32\mbnxivne.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

cosinus 14.05.2010 12:23
Damit lädst Du quasi die von Avenger gelöschten Dateien hoch und stellst sie mir für weitere Analysen zur Verfügung :heilig: (zur Erklärung: der Avenger löscht die Dateien nicht, sondern verschiebt sie in ein ZIP-Datei)

hierankl 14.05.2010 12:35
"Die Datei c:\avenger\backup.zip bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken"


hxxp://www.file-upload.net/download-2516051/backup.zip.html


So? :dummguck: Coole Plattform

cosinus 14.05.2010 13:25
Rel. neue Malware :balla:
Mach bitte erneut zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

hierankl 14.05.2010 18:48
Yep. Das war der erste Streich mit Malwarebytes AM.
Übrigens tauchte zwei mal mein AntiVir mit Warnungen auf, ich habe "Zugriff verweigern" gedrückt, hoffe das war ok!?


Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4101

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.11

14.05.2010 19:28:36
mbam-log-2010-05-14 (19-28-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 205648
Laufzeit: 36 Minute(n), 52 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hierankl 14.05.2010 20:38
Protokoll SuperAntiSpyware

SUPERAntiSpyware Scan Log
SUPERAntiSpyware.com | Remove Malware | Remove Spyware - AntiMalware, AntiSpyware, AntiAdware!

Generated 05/14/2010 at 09:20 PM

Application Version : 4.37.1000

Core Rules Database Version : 4935
Trace Rules Database Version: 2747

Scan type : Complete Scan
Total Scan Time : 00:57:50

Memory items scanned : 562
Memory threats detected : 0
Registry items scanned : 6561
Registry threats detected : 0
File items scanned : 72869
File threats detected : 5

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\*\Cookies\*@ad.adition[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@adtech[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@serving-sys[1].txt
C:\Dokumente und Einstellungen\*\Cookies\*@doubleclick[3].txt
C:\Dokumente und Einstellungen\*\Cookies\*@bs.serving-sys[1].txt


Übrigens sprang auch hier zweimal mein AntiVir an.

cosinus 14.05.2010 21:25
Sieht ok aus., Es wurden nur Cookies gefunden.

Zitat:
Übrigens sprang auch hier zweimal mein AntiVir an.
Wo genau? Wenns nur Warnungen waren, kannst das idR ignorieren oder waren es echte Funde?

hierankl 15.05.2010 19:04
Hallo - was mich vor allem irritiert sind die letzten Meldungen aus meinem AntiVir: in der Quarantäne sind noch die Trojaner Drop.Bebloh, Spy.Zbot, Drop.Bebloh enthalten. Kann ich die nun einfach löschen und mit dem Spuk ist Schluss? Freu mich auf Antwort - Danke!

cosinus 16.05.2010 18:57
Die können aus der Quarantäne raus. Aber da sind sie ungefährlich (deswegen heißt es ja auch Quarantäne)

hierankl 17.05.2010 08:08
:dankeschoen: für die schnelle und kompetente Unterstützung. Mein Lap läuft wieder einwandfrei. Dank dem Trojaner-Board und vor allem Arne. Werde euch auf jeden Fall weiter empfehlen!
:applaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:34 Uhr.
Seite 2 von 3 1 2 3
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132