Trojaner-Board - Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan-Downloader.Win32.Geral.zvj; System Kompromittiert! (https://www.trojaner-board.de/95141-trojan-downloader-win32-geral-zvj-system-kompromittiert.html)

Dann wären wir durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.

Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update

PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink => http://filepony.de/?q=Flash+Player

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Moin,

wollt nur abschließen bescheid geben, dass ich die Updates alle gemacht habe.
Nur habe ich die Installversion des "Foxit PDF Readers" verwendet. Na ja die Foxit-TB lässt sich ja leicht deinstallieren. :lach:

JavaRa, kannte ich noch nicht, klein und fein! :daumenhoc

Zu guter letzt habe ich noch ein Image erstellt und Ihm eine Sicherung eingerichtet.

Auch nach intensivem rumspielen ist das System sauber.

Da du Logs so liebst, hier nochmals MBAM und SUPER AntiSpyware beide ohne Befund.

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5670
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

03.02.2011 20:18:57

mbam-log-2011-02-03 (20-18-57).txt
 

Scan type: Full scan (C:\|D:\|)

Objects scanned: 221246

Time elapsed: 1 hour(s), 21 minute(s), 56 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Code:

SUPERAntiSpyware Scann-Protokoll

hxxp://www.superantispyware.com
 

Generiert 02/03/2011 bei 09:20 PM
 

Version der Applikation : 4.48.1000
 

Version der Kern-Datenbank : 6335

Version der Spur-Datenbank : 4147
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 00:55:36
 

Gescannte Speicherelemente  : 405

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 5931

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 48187

Erfasste Datei-Elemente   : 0

Nochmals :dankeschoen:

Grus

Moin,

Kaspersky hat noch etwas gefunden! :heulen:

Code:

Inaktiv (1)        

25.01.2011 11:09:10        Inaktiv        legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.RootShell        C:\COMBOFIX\CF5842.CFXXE        Hoch        

Beendet (1)        

28.01.2011 10:08:04        Beendet        legales Programm, das von einem Angreifer benutzt werden kann, um den Computer oder die Benutzerdaten zu beschädigen PDM.Suspicious driver installation        D:\DOKUMENTE UND EINSTELLUNGEN\SPEEDY\DESKTOP\G2M3E4R.EXE        Niedrig        

Gefunden (1)        

04.02.2011 11:29:10        Gefunden        Virus Email-Worm.Win32.Agent.gnd        D:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\Outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip//document.exe        Hoch        

Desinfiziert (1)        

04.02.2011 16:33:28        Desinfiziert        Virus Email-Worm.Win32.Agent.gnd        d:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Message is infected : Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip        Hoch        

Gelöscht (1)        

04.02.2011 16:33:28        Gelöscht        Virus Email-Worm.Win32.Agent.gnd        d:\dokumente und einstellungen\admin\lokale einstellungen\anwendungsdaten\microsoft\outlook\outlook.pst//Persönliche Ordner\Oberste Ebene des Persönlichen Ordners\Gelöschte Objekte\[From:resume-thanks@google.com][Subject:Message is infected : Thank you from Google!][Time:2010/11/19 10:12:54]//CV-20100120-112.zip//document.exe        Hoch

Der Zeitunterschied zwischen den beiden Funden, kommt daher, dass ich, entsetzt über den Fund, während des scans auf den Bericht geklickt habe. Der Scan wurde danach nicht weiter geführt und ich habe Kaspersky zunächst beendet. MBAM und AntiSpyware laufen lassen. Beide ohne Befund! :eek:

Code:

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org
 

Database version: 5673
 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702
 

04.02.2011 13:14:56

mbam-log-2011-02-04 (13-14-56).txt
 

Scan type: Full scan (C:\|D:\|G:\|)

Objects scanned: 226826

Time elapsed: 1 hour(s), 1 minute(s), 43 second(s)
 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0
 

Memory Processes Infected:

(No malicious items detected)
 

Memory Modules Infected:

(No malicious items detected)
 

Registry Keys Infected:

(No malicious items detected)
 

Registry Values Infected:

(No malicious items detected)
 

Registry Data Items Infected:

(No malicious items detected)
 

Folders Infected:

(No malicious items detected)
 

Files Infected:

(No malicious items detected)

Code:

SUPERAntiSpyware Scann-Protokoll

hxxp://www.superantispyware.com
 

Generiert 02/04/2011 bei 02:42 PM
 

Version der Applikation : 4.48.1000
 

Version der Kern-Datenbank : 6339

Version der Spur-Datenbank : 4151
 

Scan Art       : kompletter Scann

Totale Scann-Zeit : 01:18:36
 

Gescannte Speicherelemente  : 434

Erfasste Speicher-Bedrohungen  : 0

Gescannte Register-Elemente  : 5931

Erfasste Register-Bedrohungen  : 0

Gescannte Datei-Elemente     : 53699

Erfasste Datei-Elemente   : 0

Combofix sollte ohnehin, zumindest an dieser Stelle, nicht mehr drauf sein. Die Tools habe ich lediglich auf meinem Desktop belassen. Das ist mein Account, Passwort gesichert und mit seinem Administrator wird er sich dorthin nie verirren. Ich weise ihn aber auf die Gefahr, bei Nutzung dieser Programme noch hin.

Sollte GEMER tatsächlich von Angreiffern genutzt werden können, lösche ich es sofort, bzw. wenn wir fertig sind.

Die Scanns dauerten übrigens so lange, da ich die externe USB-Platte mit durchsuchen ließ. Image und Backup drauf!

Ich bereinige das jetzt und lass KAV nochmals laufen aber ich bin doch etwas verunsichert. Bitte nochmal helfen!

P.S.
Wollte den Rechner heute zurück geben. Er hat den Termin glücklicherweise, selbst auf Sonntag verschoben. Schnelle Antwort wäre super, damit ich Ihm morgen, wenigstens sagen kann ob es sich doch noch verzögert.

Gruß

Moin,

das soll kein pushen sein! Ganz im Gegenteil, ich stelle gerade fest, dass ich mit meinen eigenen Terminen in Konflikt gerate. Ich werde mich erst morgen Abend wieder damit beschäftigen können.
Nach Bereinigung, Neustart kein Fund mit KAV. Habe jetzt auch ein detailliertes Log. Das zeigt allerdings den gesamten Inhalt der Outlook.pst, mit E-Mailadressen. Daher möchte ich dieses hier nicht veröffentlichen.

Gruß

Hysterische Funde von Kaspersky. Combofix ist ok. KAV ist da tw. sehr empfindlich.
Die anderen Funde sind E-Mails innerhalb deiner PST-Datei von Outlook. Löschen der betroffenen Mails kann helfen. Und zur Info: E-Mails mit virulentem Anhang sind potentiell gefährlich, es besteht nur Gewfahr wenn du manuell so einen Anhang speicherst (ggf. dann entpackst) und die entpackte EXE ausführst.