|
Google-Ergebnisse werden umgeleitet Vor einigen Tagen entdeckte AntiVir einige Viren/Trojaner, die ich löschen ließ. Zwei Tage später war mein Internet (WLan, Firefox) extrem langsam bzw. quasi nicht mehr nutzbar. Aus-/Einschalten des Routers half mal, mal nicht. Technische Probleme seitens T-Com wurden ausgeschlossen. Schließlich setzte ich mein System per msconfig auf ein Datum vor der Entdeckung der Viren/Trojaner zurück. CCCleaner habe ich durchlaufen lassen. Ebenso 1-2-3-Spyware. Letzteres ohne Ergebnis. Ergebnis: Internet läuft wieder tadellos. Aber: Fast alle links, die sich nach einer Google-Suche ergeben, werden auf Werbeseiten umgelenkt. Nachdem ich hier im Board schon Informationen eingeholt habe, habe ich hijackthis laufen lassen. Nachfolgend das editierte log: Code: Logfile of Trend Micro HijackThis v2.0.2Danke. |
|
Test wegen Serverproblem |
Servus Arne, nachdem ich hier im Forum bei der Eröffnung meines Themas offensichtlich falsch vorgegangen war, habe ich mich nun an Deine Anleitung Schritt für Schritt gehalten. Am 28.03. erhielt ich von meinem Antivirenprogramm während des Surfens die Meldungen, daß es insgesamt 7 Viren bzw. unerwünschte Programme gefunden hätte. Diese verschob ich in Quarantäne. Einen Tag später bemerkte ich beim Einloggen ins Internet eine drastisch reduzierte Geschwindigkeit (Google-Seite benötigte eine Minute!). E-Mails ließen sich praktisch nicht mehr abrufen. Ich vermutete einen Router-Fehler. Also Router vom Strom genommen und wieder angeschlossen. Siehe da, das Problem war weg. Einen Tag später wieder das gleiche Problem. Diesmal half die Trennung des Routers nicht. Die Telekom bestätigte, daß das Problem nicht an der Leitung oder sonstwo auf Seiten der Telekom läge. Ein Komplett-Scan mit AntiVir ergab nichts. Trotzdem setzte ich das System per msconfig zurück auf den 27.03. Ich konnte wieder normal surfen, mit der Ausnahme, daß die Suchergebnisse bei Google fast alle auf Werbeseiten umgelenkt wurden. Am 31.03. erhielt ich eine Mail von der Telekom wegen Mißbrauchs meines Zugangs. Zitat: Sehr geehrte Kundin, sehr geehrter Kunde, über Ihren Anschluss wurde - trotz ablehnender Fehlermeldung - mehrfach E-Mail an fremde Mailserver versandt, die grundsätzlich keine Mails von Dialup-IPs annehmen. Dies ist gewöhnlich ein Indiz dafür, dass Angreifer von außen auf Ihren Computer zugreifen können und womöglich auch versuchen, Passwörter, Kreditkarten-, Bank- und sonstige persönliche Daten abzufangen. Wir geben Ihnen gern Hilfestellungen um weiteren Missbrauch zu vermeiden und legen Ihnen daher den Inhalt dieser E-Mail ganz besonders ans Herz. Wie geht es nun weiter? Derzeit gehen wir Hinweisen nach, die belegen, dass über eine auf Ihrem Computer genutzten Einwahlkennung (Kundenkonto) Spam versandt wurde. Wir bitten Sie daher dringend, Ihren Computer auf eine Infektion durch Schadsoftware zu prüfen und diese zu beheben. Wir hoffen, folgende Informationen helfen Ihnen weiter: Wie werten wir die gesendeten Hinweise aus? Der Hinweisgeber sendet uns typischerweise eine Information, die einen E-Mail-Header (Kopfzeilen mit dem Laufweg der E-Mail) oder vergleichbare Daten beinhaltet. In diesen Daten ist eine IP-Adresse mit Zeitangaben inklusive Zeitzone enthalten. Die übermittelten Daten sind in diesem Fall: IP-Adresse: 79.225.107.102 Zeitangaben: 29.03.2011, 16:21:26 (MESZ) Bei jeder Einwahl wird Ihrem Rechner oder Router eine andere IP-Adresse zugewiesen. Wir haben ermittelt, dass die genannte IP-Adresse zu dem Zeitpunkt Ihrer Zugangsnummer zugeordnet war. Informationen, welcher Rechner in einem privaten Netzwerk verantwortlich ist, können wir jedoch nicht liefern, da im Internet nur die IP-Adresse des Routers genutzt wird. Welche Ursachen kann die Versendung von Spam haben? - die E-Mails wurden ohne Ihr Wissen von Dritten über Ihr Kundenkonto gesendet (offenes W-LAN, gehackter Rechner und so weiter) - Sie haben diese E-Mails selbst über Ihren Zugang gesendet - es befindet sich Schadsoftware, wie beispielsweise Viren oder Trojaner auf Ihrem Computer - Ihr E-Mail Server ist falsch konfiguriert Ferner können sich auch Rootkits oder Malware auf Ihrem Computer befinden, die die Versendung von Schadcode über die von Ihrem Computer genutzte Kennung (Kundenkonto) steuern. Diese wurden unbemerkt auf Ihren Computer installiert, um damit einen Fernzugriff durch einen Angreifer zu ermöglichen. Zitatende Spätestens da geriet ich doch etwas in Panik und bin nun verzweifelt auf der Suche nach Hilfe. Deine Anleitung habe ich Schritt für Schritt befolgt. Allerdings kann ich keinen Gmer.txt liefern, da Gmer.exe mitten im Scan-Vorgang stoppt und ich eine Fehlermeldung erhalte, wonach ein Problem aufgetreten wäre und ob ich einen Problembericht senden möchte. OTL.txt und Extras.txt sind angehängt, zudem noch einen AntiVir-Scan-txt. Jetzt lege ich mein Schicksal in Deine Hände und hoffe, daß Du mir helfen kannst. Gruß Hagee PS: Die Logs als Anhänge |
Was ist mit Malwarebytes? |
Okay, dann versuche ich es damit mal.... Melde mich so schnell es geht wieder Gruß Kai |
Und noch eine Zwischenfrage. Zum Zeitpunkt der Infizierung waren meine Windows-Firewall und Avira AntiVir (Standardversion) aktiv. Trotzdem kam es zur Infizierung. Bin ich damit zu schlecht geschützt? Was kann ich besser machen? Gruß Kai |
Hier nun der Malwarebytes-Bericht Code: Malwarebytes' Anti-Malware 1.50.1.1100 |
Ein über Nacht durchgeführter Full-Scan ergab keinen Fund. Gruß Kai |
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!) Code: :OTLDas Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet. Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt. |
OTL-Fix durchgeführt. Hier der Log Code: All processes killedDanach wollte ein "Command Line Interface" eine Verbindung zum Internet herzustellen. Dies lehnte ich zweimal ab, danach war Ruhe. Dann stellte ich die Verbindung zum Internet her und öffnete Firefox. Nach dem Öffnen des Browsers öffnete sich automatisch der Tab: h**p://054ss.com/index.php Zudem meldete sich Antivir, weil es eine Malware entdeckt hatte: null0.2564442964624869.exe, dies ist der Trojaner TR/SpyAgent.NH Das von Antivir angebotene in Quarantäne verschieben habe ich durchgeführt. Gruß Kai |
Dann bitte jetzt CF ausführen: ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
http://saved.im/mtm0nzyzmzd5/cofi.jpg
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat! |
Moinmoin Arne, zwischendurch schon mal ein großes Danke für Deine Hilfe!!! Hier nun der Log von Combofix: Code: ComboFix 11-04-03.03 - *** 04.04.2011 13:15:55.1.2 - x86Kai |
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten. GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen. Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst. Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
|
Moinmoin Arne, GMER ging wie erwartet nicht. Hier also das OSAM-Log. Code: Report of OSAM: Autorun Manager v5.0.11926.0Gruß Kai |
Und hier das MBRCheck-Log Code: MBRCheck, version 1.2.3Kai |
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs. Denk dran beide Tools zu updaten vor dem Scan!! |
Hier ist schon mal das SAS-Log, MalwareBytes folgt, weil das schon beim letzten Mal deutlich länger dauerte. Code: SUPERAntiSpyware Scan LogKai |
Moin Arne, Hier das MalwareBytes-Log von gestern Abend. Code: Malwarebytes' Anti-Malware 1.50.1.1100Nachdem MalwareBytes abgeschlossen war, habe ich noch einen Full-Scan mit AntiVir gemacht, wodurch o.g. Trojaner erneut festgestellt wurde. Diesen habe ich dann wie vorgeschlagen in Quarantäne verschoben. Nachstehend das AntiVir-Log Code: Kai |
Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des Systems durch einen Wiederherstellungspunkt wahrscheinlich wieder eine Infektion nach sich ziehen würde. Ansonsten nur Cookies. Rechner wieder ok? |
Moinmoin Arne, Systemwiederherstellung habe ich deaktiviert. Wann kann ich die denn wieder aktivieren? Oder sollte ich die deaktiviert lassen? Ansonsten läuft der Rechner wieder so wie vor dem Befall. Lediglich das mit dem von AntiVir (aber nicht von Malwarebytes) gefundenen Trojaner TR/Drop.Clons.nvj irritiert mich noch ein bißchen. Ich hoffe, der ist tatsächlich deaktiviert. Heute Mittag lief zumindest mein täglicher Check mit AntiVir, der nichts mehr ergeben hat. Sofern Du meinst, daß wieder alles in Ordnung sein dürfte, habe ich noch ein paar Fragen. Wie kann ich mich erkenntlich zeigen? Wo bekomme ich die besten Tipps, um meinen Rechner besser abzuschirmen? Was mache ich mit den ganzen Analyseprogrammen? Gruß Kai |
Zitat:
Zitat:
Zitat:
Halte Dich am besten grob an diese fünf Regeln: 1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!! 2) Halte Windows und alle verwendeten Programme immer aktuell 3) Führe regelmäßig Backups auf externe Medien durch 4) Arbeite mit eingeschränkten Rechten 5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar? Dann wären wir durch! :abklatsch: Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern. Microsoftupdate Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Windows Vista/7: Anleitung Windows-Update PDF-Reader aktualisieren Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader. Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink: Mozilla und andere Browser => http://filepony.de/?q=Flash+Player Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe Java-Update Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es. |
Soooo Arne, ich habe Deine letzten Hinweise noch ausgeführt und werde in Zukunft noch vorsichtiger sein. Ich werde mir aber auch die zahlreichen Hinweise zur Absicherung des Rechners hier im Forum noch näher anschauen. Dir danke ich ganz herzlich für Deine tolle Unterstützung, die offenbar hundertprozentig geholfen hat. Danke, Danke, Danke. Eine kleine Spende habe ich dem Forum natürlich auch zukommen lassen. Und ich werde das Forum all jenen empfehlen, die sich besser schützen wollen oder bei denen das Kind schon in den Brunnen gefallen ist. Dir wünsche ich weiterhin viel Erfolg, privat und auch hier im Forum. LG Kai |
Zitat:
Und vllt sieht man sich hier in der Taverne wieder :party: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board