Hildegard

Man in the middle attack!

Recommended Posts

Sehr geehrtes Emsisoft Support Team.   :ph34r:

 

Ich beschäftige mich schon länger mit der ausfindig machung, bw. benennung des mir auferlegten Trojaner Systems (Erfolglos). :angry:

 

Um so glücklicher bin ich endlich bei euch angekommen zu sein   :D   :D   :D

 

Bei mir läuft ein wirklich mieses Spyware System, doch lange rede kurzer Sinn, im Anhang die Log Dateien. 

 

Ich würde, bzw. kann direkt eine Lizenz erwerben, jedoch bin ich aktuell froh das die Konfiguration jetzt erstmal läuft und ohne Supportanweisung ändere ich daran nur ungern etwas.

 

  

 

Das Programm lässt sich nicht updaten (Es konnte keine Verbindung zum Update Server.....)

 

Die Firewall gibt beim Programmstart eine "Host Fehler", Fehlermeldung aus.

 

Leider habe ich bisher das Emergency Kit ausgeführt, ohne "Desktop" Überlagerung + gefundene Dateien in Qarantäne verschoben.  <_<

 

Freue mich auf euer Feedback!

 

:ph34r:  

 

Share this post


Link to post
Share on other sites

Hi und Herzlich Willkommen beim Emsisoft Support Forum!

Systemscan mit FRST

Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop: FRST 32-Bit | FRST 64-Bit

(Wenn du nicht sicher bist: Start > Computer (Rechtsklick) > Eigenschaften)

  • Starte jetzt FRST.
  • Ändere ungefragt keine der Checkboxen und klicke auf Scan.
  • Die Logdateien werden nun erstellt und befinden sich danach auf deinem Desktop.
  • Beide Logfiles bitte in der nächsten Antwort anhängen.

Share this post


Link to post
Share on other sites

Moin Supporter.

 

Also, Log`s im Anhang. 

 

Weil ich das Passwort für Avast unschön vergessen habe aufzuschreiben, habe ich es vorhin deinstallieren müssen.

 

Oh Wunder, siehe da, auf einmal "funktioniert" Update + Registrierung und Online Amor....  :rolleyes:  :rolleyes:  :rolleyes:

 

Die Flachzange hat aber immer noch "Zugriff"   :wub:  :wub:  :wub:

 

Ein neuer Scan heute hat, "oh Wunder" 13 cookies gefunden, siehe ebenfalls angehängte Log.....

 

Danke!!

 

 

Share this post


Link to post
Share on other sites

Die Flachzange hat aber immer noch "Zugriff"

Versteh ich nicht :)

 

Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

ProxyEnable: Internet Explorer proxy is enabled.
ProxyServer: localhost:21320
 
 
Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).
  • Starte nun FRST erneut und klicke den Fix Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.
       

Share this post


Link to post
Share on other sites

Fix mit FRST

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

ProxyEnable: Internet Explorer proxy is enabled.

ProxyServer: localhost:21320

Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

  • Starte nun FRST erneut und klicke den Fix Button.
  • Das Tool erstellt eine Fixlog.txt.
  • Poste mir deren Inhalt.

 

Erledigt..... und nun?   :ph34r:  :ph34r:  

 

 

 

****

 

 

Versteh ich nicht  :)

 

Ja mei, da legst di nieder.....  :wub:   :D   :wub:  :D  :wub:

 

 

Grüße,

 

:ph34r:  :ph34r:  :ph34r:

Share this post


Link to post
Share on other sites

Aah, ich versteh doch kein bayrisch :D

Mach bitte nen frischen Scan mit FRST und häng das Log an. Und bitte noch ne genaue Beschreibung welche Probleme aktuell noch vorhanden sind :)

Share this post


Link to post
Share on other sites

So, zurück von der Messdienerversammlung  :ph34r:  :ph34r:

 

Hab da schon noch ein zwei Fragen....  :blush:

 

Also, z.B.:

 

1. Sind mir diese Ordner, bzw. Systemrelevanten Dateipfade "neu", sprich unbekannt für mich " winsxs syswow64 appdata amd64 Roaming shell32 "

- Siehe Beispielhaft 1.1 bis 1.3

 

2. Diese Form von Fehlermeldungen, bzw. "Warnungen", insbesondere geladene Module und Dateipfade sind mir auch "neu".

 

Siehe restliche Screenshots und Log Dateien von Hitman, sowie Aufrufe mich mal im Forum zu melden ( Foto 2), davon gab es übrigens diverse....

 

3. Sind das etwa "Augen" in der Namensbezeichnung ("Hitman - Befunde_Sind das ...png) ???  :D  :D  Da legst di echt nieda.....  :D  :D

 

4. Das virtuelle Keyboard bootet sicherlich auch nicht aus langeweile, ah ja, die Ordnungsnummer Fehlermeldung kommt seit kurzem regelmäßig

....   <_<  <_<  <_<

 
5.  Ich war ja auch fleissig und habe mich mal mit Hitman und VirusTotal beschäftigt  :ph34r:  :ph34r:  :ph34r:  und was OnlineAmor so durchwinkt..... und so  :ph34r:  :ph34r:
Siehe " *txt und *log Dateien".
 
6. Installierte Programme "uninstall list", auch "kurios" in meinen Augen. Dazu kommt das ich "Microsoft Visual C" Komponenten nicht deinstallieren kann, er verlangt nach einem Datenträger....  :mad:  Genau so wie "Catalyst Control Center" usw.....
 
 
 
Und wer noch Zeit und Lust hast findet hier noch ein paar "ältere" Screenshots....: https://plus.google.com/photos/117179433350802152239/albums/5958107339085443745
 
 

 

 

 

 

 

Share this post


Link to post
Share on other sites

Hi,

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1

WICHTIG - Speichere Combofix auf deinem Desktop

  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Share this post


Link to post
Share on other sites

Moin, "wieder" ausgeführt wie aufgegeben.... 

 

Combofix ist ohne Fehlermeldung durchgelaufen, lediglich der Moment wo der cmd Bildschirm "blau" wird hat sich über 30 Min hingezogen.....

 

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

 

Auch diese ist "ausgeblieben".....  :ph34r:  :ph34r:

 

 

Zeitlich bist du vermutlich ziemlich unter Druck, doch bitte ich Dich bei passender Gelegenheit ein kurzes Feedback rüberkommen zu lassen.

Ich mein das ganze geht mir schon derbe an die Nieren..... 

 

Auch wenn ich nicht dein Fachwissen vorweisen kann, bin ich verglichen mit "Otto normal" schon "fähig" und meine häusliche IT liegt mir mindestens genau so am Herzen wie dir deine.

 

Na ja, zurück zum Thema...

 

Ich finde die unstimmigkeit über den format c: Befehl als Allheilmittel sollten wir ggf. weiter ausführen....

 

Wenn ich dir doch schreibe unzählige male, auf unterschiedlichste Art und Weise die Festplatte formatiert zu haben, (gewiped (schnell und lang (über Nacht also)), intern, extern, über Linux und von Dateiformat A, nach B und zurück und und und..... 

 

Und du sagst, format c funktioniert, dann muss das doch signifikant den Radius von möglichen Schädlingen eingrenzen???

 

Falls nicht, bleiben doch nur folgende Schritte sofern man das ganze hier Ernst nimmt.

 

Mich formatieren lassen, OS neuaufsetzen und Log Dateien anfordern.

 

- Bleibt es bei meiner Aussage, dann entschuldige bitte meine direkte Ansprache, "sollte deine Neugierde bezüglich der bei mir platzierten Schadsoftware eigentlich "geweckt sein". 

 

- Bleibt es bei Deiner Aussage, bist du mich "los" und alle sind zufrieden.

 

Danke für deinen Support nochmal, bin dir dafür echt dankbar und empfinde das alles nicht als selbverständlich das du das machst!!

 

:ph34r:  :ph34r:  :ph34r:  :ph34r:

 

Anhänge:

 

Prozesse.PNG - Screenshot der laufenden Prozesse beim ausführen von Combofix.

jo.jo + 2.PNG + Zertifikat 1 + Zertifikat 2 = ist mir so aufgefallen  

dateiscreen: Habe ich mal ausgeführt.... 

Share this post


Link to post
Share on other sites

Hallo,
 

 

Ich finde die unstimmigkeit über den format c: Befehl als Allheilmittel sollten wir ggf. weiter ausführen....

Welche Unstimmigkeit?

Wenn ich dir doch schreibe unzählige male, auf unterschiedlichste Art und Weise die Festplatte formatiert zu haben, (gewiped (schnell und lang (über Nacht also)), intern, extern, über Linux und von Dateiformat A, nach B und zurück und und und.....

Sorry, das lese ich hier in diesem Thema zum ersten Mal.

 

Und du sagst, format c funktioniert, dann muss das doch signifikant den Radius von möglichen Schädlingen eingrenzen???

Wann habe ich das geschrieben?

 

 

Ich habe das Gefühl ich verpasse hier gerade etwas. Ich hab auch jetzt nochmal geschaut ob wir vielleicht früher schon mal ein Thema zusammen hatten, aber dem ist nicht so. Also kläre mich bitte mal auf, damit ich wieder auf Kurs bin :).

Share this post


Link to post
Share on other sites

:D :D :D :D :D LOOOL  http://www.trojaner-board.de/145631-windows7-spyware-infekt-komplette-traffic-umleitung-versteckte-images-eventueller-hardwaregestuetzter-backdoor-3.html

 

:P :P  :P  :P Meister, bei deinem Humor könnte man glatt auf die Idee kommen dein Name sei Markus und du vertikkst die "blauen Pillen" von Joanna Rutkowska.

 

;)  ;)  ;)

 

 

Zitat:
meine Oma ist am Montag gestorben und ich brauchte eine Auszeit.
Mein Beileid.
Zitat:
Was ist nur aus dem guten alten Format C: geworden
Das hilft auch weiterhin tadellos

 

 

Anyway,

 

Die hundertzwanzigste Nachtschicht war nicht ganz umsonst wie du eventuell aus Zeile 2 entnehmen konntest  :ph34r:  :ph34r:.

 

Was denkst du, könnte das bei mir hier ein Virtual Machine Based Rootkit (VMBR) sein? :ph34r: :ph34r:

 

 

Gruß aus dem Dschungel :D :D

 

 

 

Anhänge: Eigentlich selbsterklärend bis auf DSCN0702.JPG. Dieser Screenshot ist beim Ladevorgang der S&D2 Boot CD entstanden.... 

 

Share this post


Link to post
Share on other sites

Ahja, mein Lieblings-Thema. Du kannst aber doch auch nicht einfach an irgend nem anderen Forum ein Thema zum Gleichen Problem aufmachen und davon ausgehen, dass ich direkt weiß das es um das gleiche Thema geht.

 

Ich bin an mehreren Foren unterwegs, habe derzeit circa 300 aktive user gleichzeitig, da soll ich mir jeden einzelnen merken können und solche Anspielungen direkt verstehen? ;)

 

 

Format C: ist Format C:, da überlebt auch kein MBR.

Lade dir bitte Emsisoft MBR Master herunter und speichere es auf den Desktop.

  • Führe die mbrmastr.exe aus.
  • Drücke auf Backup MBR und speichere es als emsi auf den Desktop.
  • Schliesse dann das Programm wieder.
  • Packe die erstellte emsi.mbr in ein zip-Archiv (Rechtsklick -> Senden an -> Zip-komprimierten Ordner) und hänge die Datei hier an.
  • Auf dem Desktop wird ebenfalls eine Textdatei MBRMastr_<date>_<time>.txt erstellt. Poste deren Inhalt bitte hier.

Share this post


Link to post
Share on other sites

Autsch,

 

gleich Ihr "Lieblingsthema"....... :wub:  :wub:  :wub:

 

Anyway, es bleibt dabei, anderenfalls bin ich reif für die Klinik..... :ph34r: :ph34r: :ph34r:

 

Es wurde intern wie extern, rauf und runter formatiert, schnell und langsam gewiped und das alles mit diversen Tools innerhalb und ausserhalb von Windows, von mir und zwecks Kontrolle auch von meinem Nachbarn.

 

Ein Android Mini PC welcher ebenfalls infiziert wurde hat gemeldet, das sich Malware in den geschützten Speicher eingeschrieben hat.... wie weit das als "Schlupfloch" vor dem "format c:" Befehl dienen könnte bin ich fachlich nicht im stande zu beurteilen.....  <_<

 

Seit zwei Tagen beschäftige ich mich auch wieder mit dem Netbook meiner Mutter welches ebenfalls infiziert und auch formatiert wurde, doch dieses gehört nicht in diesen Thread und ich verkneif mir mal lieber mein laienhaftes Beobachtungs-, bzw. Erkenntnissprotokoll..... bis auf die Kleinigkeit das sich hier wie dort ein OS wechsel vollzieht, von Win7 nach WinXp, siehe Screenshot 1+2, und Hitman die gleichen Dateien "meldet" (Screenshot 3) und übrigens auch das Wort "geschützter Speicher" fällt..... <_<

 

Der Inder (Screenshot 4), hat mein 16 stelliges Facebook Passwort vermutlich von Gaya persönlich ins Ohr geflüstert bekommen, da legst die nieda  :D  :D  :D.

 

Die angeforderte Emsisoft MBR Master Aufgabe erledige ich jetzt im Anschluss, muss mich erstmal neu verkabeln da ich wieder einmal mit Tails unterwegs bin....

 

 

"Lieblingsthema" :P :P :P :P...... Wünsche auch "Frohe Weihnachten" ^_^.

Share this post


Link to post
Share on other sites

Detected Windows version: 6.1 Build 7601 Service Pack 1
Driver connection handle: 0x0000027C
1 valid drive(s) found.
 
Details for Disk 0 - KINGSTON SV300S37A60G Rev 505ABBF1:
  Device name              : \\.\PhysicalDrive0
  Geometry (C/H/S)         : 7297/255/63
  Boot loader reputation   : Known Good (Windows 7)
  Cross view comparison    : Passed
  Partition table integrity: Passed
 
  Boot loader hashes
    SHA-1                  : 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79
    MD5                    : A36C5E4F47E84449FF07ED3517B43A31
 
 

Share this post


Link to post
Share on other sites

Auch sauber. Jetzt haben wir leider das Ende des technisch Möglichen erreicht, was das Scannen des Systems angeht. Ich kann immer noch nicht ganz nachvollziehen, was auf den Systemen los sein soll, vor allem weil es sich ja auch um System ausserhalb des Netzwerks handelt.

Ich habe bis dato auch noch keine einzige Malware im Logfile gesehen (abgesehen von einem Proxy-Eintrag), geschweige denn einen Malwarefund irgend eines Programmes.

Alle Screenshots sind legitim, die "Ansicht" der Fenster sit das einzige sichtbare Indiz, wobei das nur eine Einstellungssache sein kann.

Share this post


Link to post
Share on other sites

Moin,

 

Na, den Beta Tester Preis des Jahres hab ich wohl sicher ;)

 

Wo nix ist, ist nix :D :D  Danke!!

 

 

Aber ein paar offene Fragen hätte ich noch, bestenfalls teile ich die in kleinere handliche Portionen :ph34r:

 

 

1. Sind das hier für mein System, genauer gefragt für mich und meine Nutzung legitime Einträge?

Genauer gefragt, warum auf einmal alles Syswow64,AMD64, Windows Shell usw... ?

 

 

0.6s C:\Windows\SysWOW64\ieframe.dll
0.0s C:\Windows\System32\ieframe.dll

 

          4.0s C:\Windows\winsxs\amd64_microsoft-windows-ie-antiphishfilter_31bf3856ad364e35_11.2.9600.16476_none_ddee586780c80950\
          4.0s C:\Windows\winsxs\x86_microsoft-windows-ie-antiphishfilter_31bf3856ad364e35_11.2.9600.16476_none_81cfbce3c86a981a\
          4.0s C:\Windows\winsxs\amd64_microsoft-windows-ie-htmlrendering_31bf3856ad364e35_11.2.9600.16476_none_f59f54ac3732f833\
          4.0s C:\Windows\winsxs\wow64_microsoft-windows-ie-htmlrendering_31bf3856ad364e35_11.2.9600.16476_none_fff3fefe6b93ba2e\

4.9s C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Package_for_KB2898785~31bf3856ad364e35~amd64~~11.2.1.0.cat

11.9s C:\Windows\winsxs\FileMaps\$$_system32_spp_tokens_ppdlic_0f09ba294211a24b.cdf-ms

 

 

 

2. Diese überschneidungen der Sprache im Betriebssystem, ich mein vor ein paar Wochen war die Mischung 80% Englisch, 20% Deutsch. :D

Heute ist es umgekehrt, also 80% deutsch, und 20% Englisch :ph34r:. Und diese dann recht stümperhaft übersetzt, siehe Screenshot 1 + 2.

 

Normal?

 

 

3. Die Keylogger (Screenshot Keylogger), hoffentlich auch kein Grund zur Sorge??  :ph34r:

 

 

4. Was hattest du erhofft zu finden in der MBR? (rein Intressenhalber :) :) :) )

 

 

 

Den Bayan.i.safe sehe ich eher als "Bauernopfer", will ich aber auch nicht vorenthalten....

 

 

Banyan.iSafe: [sBI $F8D66FFE] Program directory (Directory, nothing done)
  C:\Program Files (x86)\iSafe\
  Directory.subfile=C:\Program Files (x86)\iSafe\Log\bugreport.zip
  Directory.subfile.size=10243
  Directory.subfile.md5=73A8D3A94F3FC439E46671AD941146CC
  Directory.subfile.filedate=1387472981
  Directory.subfile.filedatetext=2013-12-19 18:09:40
  Directory.subfile=C:\Program Files (x86)\iSafe\Log\iSafeKrnlCall.log
  Directory.subfile.size=590
  Directory.subfile.md5=C3D1B9E615310008286BAE1DD32A2D1E
  Directory.subfile.filedate=1387472992
  Directory.subfile.filedatetext=2013-12-19 18:09:51
  Directory.subfile=C:\Program Files (x86)\iSafe\Log\iSafeSvc.LOG
  Directory.subfile.size=1566
  Directory.subfile.md5=FB71EBBF85190F40E8A331A8A45BD48F
  Directory.subfile.filedate=1387472986
  Directory.subfile.filedatetext=2013-12-19 18:09:46

 

 

 

Danke nochmal für den Support !!!

 

Grüße,

 

eure Hildegard ;)

 

Share this post


Link to post
Share on other sites

 

1. Sind das hier für mein System, genauer gefragt für mich und meine Nutzung legitime Einträge?

Genauer gefragt, warum auf einmal alles Syswow64,AMD64, Windows Shell usw... ?

Du hast ein 64Bit Betriebssystem, da gibt es relevante Unterschiede zu 32Bit, um das genau zu erklären würde es Wochen dauern :)

http://de.wikipedia.org/wiki/WOW64

 

Die anderen Files sind Sicherungskopien.

 

2. Diese überschneidungen der Sprache im Betriebssystem, ich mein vor ein paar Wochen war die Mischung 80% Englisch, 20% Deutsch. :D

Heute ist es umgekehrt, also 80% deutsch, und 20% Englisch :ph34r:. Und diese dann recht stümperhaft übersetzt, siehe Screenshot 1 + 2.

 

Normal?

Ist das auch frisch nach Neuaufsetzen so?

 

3. Die Keylogger (Screenshot Keylogger), hoffentlich auch kein Grund zur Sorge??

Ich seh da keinen Keylogger, nur 4 legitime Programme die eventuell deine Eingaben sichern könnten :)

 

4. Was hattest du erhofft zu finden in der MBR? (rein Intressenhalber

Schadcode, irgendwas was diese Symptome erklärt :)

 

 

Den ISafe Ordner einfach komplett löschen :)

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.