Trojaner-Board - ICQ-Trojaner .jpg.src

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ICQ-Trojaner .jpg.src (https://www.trojaner-board.de/88128-icq-trojaner-jpg-src.html)

Jo ist sie wohl, läuft hier über so das integrierte LenovoCare.

Sonstige Tests noch durchzuführen, oder kann man anhand der Logs davon ausgehen, dass soweit alles clean ist (hätte ich z.B. nach der autochk.exe - Meldung von OSAM jetzt nicht unbedingt gedacht)?

Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Malwarebytes Vollscan

Code:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4326
 

Windows 5.1.2600 Service Pack 2

Internet Explorer 7.0.5730.11
 

19.07.2010 21:19:56

mbam-log-2010-07-19 (21-19-56).txt
 

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|)

Durchsuchte Objekte: 234902

Laufzeit: 1 Stunde(n), 6 Minute(n), 3 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschl¸ssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 2
 

Infizierte Speicherprozesse:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Registrierungsschl¸ssel:

HKEY_CURRENT_USER\SOFTWARE\VRZJ8K91NT (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Dateien:

C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP408\A0097866.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP408\A0097867.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Während des Malwarebytes-Scans öffnete sich wie beim letzten Mal Antivir, die erkannten Dateien wurden gelöscht.
Protokoll Antivir:

Code:

19.07.2010 20:58 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP408\A0097867.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Agent.169472.2' [trojan] 

      gefunden.

      Ausgeführte Aktion: Datei löschen
 

19.07.2010 20:58 [Guard] Malware gefunden

      In der Datei 'C:\System Volume 

      Information\_restore{B991F27A-883F-42A9-A172-EAAB1D37FFFA}\RP408\A0097866.exe'

      wurde ein Virus oder unerwünschtes Programm 'TR/Agent.169472.2' [trojan] 

      gefunden.

      Ausgeführte Aktion: Datei löschen

Zuletzt der Scan mit SASW:

Code:

SUPERAntiSpyware Scann-Protokoll

hxxp://www.superantispyware.com
 

Generiert 07/19/2010 bei 10:49 PM
 

Version der Applikation : 4.40.1002
 

Version der Kern-Datenbank : 5230

Version der Spur-Datenbank : 3042
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 01:18:30
 

Gescannte Speicherelemente  : 598

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 7674

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 101015

Erfasste Datei-Elemente   : 0

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde.

Rechner wieder normal oder gabs noch weitere Funde?

..danke für die Hilfe. Besitzer des PCs ist gerade im Urlaub, so dass ich mich erst in ein paar Tagen mit den weiteren Schritten melden kann!

...so Systemwiederherstellung wurde deaktiviert, infolge dessen dann alle alten Punkte gelöscht, danach die Systemwiederherstellung wieder aktiviert.

Ein kompletter Systemscan mit Antivir hat keine neuen Funde ergeben.

Vollscan mit Malwarebytes:

Code:



Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org
 

Datenbank Version: 4376
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

01.08.2010 16:44:55

mbam-log-2010-08-01 (16-44-55).txt
 

Art des Suchlaufs: Vollst‰ndiger Suchlauf (C:\|)

Durchsuchte Objekte: 238814

Laufzeit: 1 Stunde(n), 1 Minute(n), 44 Sekunde(n)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschl¸ssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Registrierungsschl¸ssel:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bˆsartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bˆsartigen Objekte gefunden)

Dann noch ein Vollscan mit SuperAntiSpyware

Code:



SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 08/01/2010 at 05:59 PM
 

Application Version : 4.40.1002
 

Core Rules Database Version : 5297

Trace Rules Database Version: 3109
 

Scan type       : Complete Scan

Total Scan Time : 01:08:03
 

Memory items scanned      : 616

Memory threats detected   : 0

Registry items scanned    : 7816

Registry threats detected : 0

File items scanned        : 101886

File threats detected     : 4
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\***\Cookies\***@ad.yieldmanager[2].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@fastclick[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@interclick[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\***@atdmt[1].txt

Ich nehme an, dass dann soweit von dem Aspekt her ok ist?
Rechner scheint auch normal zu laufen.

Grüße!

Gut, dann bitte die Updates prüfen, hier mein Leitfaden dazu:

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

...alles erledigt.

Sonst noch irgendwas zu tun?

Falls nicht, nochmals allerbesten Dank!

Nein, wir wären durch, es sei denn Du hast doch noch was :)