HijackThis Log: PaymentSolution Mail "Ihre Rechnung Februar" geöffnet |
||
---|---|---|
#0
| ||
23.02.2016, 15:20
Gesperrt
Beiträge: 3 |
||
|
||
25.02.2016, 08:42
Member
Beiträge: 4730 |
#2
Port 1900 gehört zum SSDP, das ist im Prinzip UPnP und vollkommen normal. Port 137 per UDP wird von NetBIOS verwendet, was zur Namensauflösung im lokalen Netzwerk genutzt wird. Das ist auch vollkommen ok.
Wenn der Mail-Anhang ein Word-Dokument war und Du beim Öffnen entweder was anderes als Microsoft Word verwendet hast (bspw. LibreOffice) oder Du die Makros in der Word-Datei nicht aktiviert hast, dann geht keine Gefahr für Dich aus. Wenn es ein PDF war und Dein Adobe Reader aktuell ist, ist die Gefahr auch relativ gering, dass Du Dir was eingefangen hast. Auch wenn der Anhang eine ZIP-Datei war und Du den Inhalt nicht ausgeführt hast, besteht keine Gefahr. Kannst Du ein paar mehr Infos zum Anhang übermitteln und was genau Du damit gemacht hast? Hast Du ihn evtl. bei virustotal.com mal prüfen lassen? Unter welchem Pfad werden die Samca-Trojaner gefunden? Das Log von HijackThis sieht jedenfalls sauber aus. Allerdings hast Du wohl zwei Virenscanner (Avast und Avira) installiert. Das geht oft nicht gut (die können sich gegenseitig bei der Arbeit behindern und die Systemperformance runterziehen). __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
25.02.2016, 14:56
Gesperrt
Themenstarter Beiträge: 3 |
#3
Hallo Gool,
Danke für Deine schnelle Antwort. Die besagte Mail enthielt ein RAR Archiv in dem sich eine "Ihre Rechnung.exe" befand, die ich dummerweise auch noch angeklickt habe. Was sonst gar nicht meine Art ist. Dabei wurde sie von Avast überprüft und für nicht bedrohlich befunden. Weil sich nichts tat wurde ich stutzig und habe im Netz nach PaymentSolution gesucht. Da fand ich, das das ganze eine gefährliche Angelegenheit ist. Daraufhin habe ich den Avira PC-Cleaner geladen, meinen Rechner vom Netz getrennt und den PC Cleaner laufen lassen. Der fand zunächst 20 Bedrohungen von denen 12 zum löschen angeboten wurden. Es wurden allerdings nur 10 gelöscht. Eiine erneute Prüfung nach Neustart des Systems erbrachte dann das oben erwähnte Ergebnis. Es wurde eben kein vollständiger Pfadnahme angezeigt sondern nur diese Kurzform. Damit weiß ich auch nicht wo ich danach suchen soll. Ich habe mir dann mit meinem alten Notebook mit Windows XP Die kostenlosen Rettungs- CD's von Kasperski und Avira gezogen und gebrannt und nach einander mein System getestet. Dazu habe ich den Rechner wieder mit dem Netz verbunden um die jeweils neueste Virendefinition zu erhalten. Während Kasperski keinen Fehler fand meldete Avira 10 Bedrohungen und bot drei davon zum Löschen an allerdings ohne Namen zu nennen. Meldete aber dann 0 gelöschte Dateien. Eine Wiederholung des Testes kam dann zum gleichen Ergebnis. Nun weiss ich wirklich nicht weiter und kann nur um Hilfe bitten Gruß Wanderhans PS.: Den Avira Virenscanner habe ich erst nach den Ereignissen installiert, weil ich dem eine Bessere Erkennungsfunktion zutraue. Avast werde ich dann irgendwann löschen. |
|
|
||
25.02.2016, 16:47
Member
Beiträge: 4730 |
#4
Gerade wenn es neuere Malware ist, versagen oftmals die besten Virenscanner. HijackThis bildet leider nicht alles ab. Ich würde deshalb vorschlagen, Du gehst nach dieser Anleitung (Schritt 2 + 3) vor: http://board.protecus.de/t40183.htm
Und postest das Ergebnis dann hier in den Thread. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
26.02.2016, 11:41
Gesperrt
Themenstarter Beiträge: 3 |
#5
Danke für Hinweise. Habe alles nach Anleitung durchgeführt und sehr lange Listen erhalten. Um Alle zu Posten wäre der Beitrag zu lang geworden. Beim Versuch das gmer.log in einer zweiten Antwort zu posten bekam ich trotz zwei Zeilen Anschreiben die Fehlernachricht der Beitrag sei zu kurz.
Nach dem ich mal einen Blick in das gmer Protokoll geworfen habe bin ich zu dem Entschluss gekommen das ich mit derartig langen Listen keinen Mensch belasten kann. In der Registry sind ja noch Einträge von zwei längst vergangenen Prozessoren. Obwohl ich ständig Tuneup laufen lies Es wird also zeit das System neu aufzusetzen. Noch einmal Danke für die bisherige Hilfe. Aber so viel Arbeit kann ich keinem Zumuten. Dieser Beitrag wurde am 26.02.2016 um 12:13 Uhr von Wanderhans editiert.
|
|
|
||
26.02.2016, 15:22
Member
Beiträge: 4730 |
#6
Von TuneUp solltest Du sowieso Abstand nehmen. Die meisten Tools bekommst Du sowieso kostenlos oder sind schon in Windows eingebaut. Mit einigen Tools kannst Du Dir auch mehr Probleme verschaffen, als dass sie Probleme lösen.
Die Listen können sehr lang werden, wenn man aber geübt darin ist, diese zu analysieren, ist es nur halb so wild. Eine Neuinstallation ist aber sicherlich eine gute Idee, da über die Trojaner auch möglicherweise Backdoors ins System geschleust wurden. __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
||
in einem Zustand geistiger Umnachtung habe ich den Anhang der PaymentSolution Mail "Ihre Rechnung Februar" gestartet.
Von meinem Virenscanner "Avast free" wurde sie als ungefährlich eingestuft.
Trotzdem bekam ich Bedenken und habe daraufhin meinen Rechner mit der Avira Rescue CD untersuchen lassen.
Dabei wurden 20 Bedrohungen gefunden von denen 12 zum löschen gezeigt wurden. Eine erneute Untersuchung ergab dann noch 10 Bedrohungen von denen 3 zum Löschen angeboten wurden.
Diese wurden mit
TR/Samca.4616229
TR/Samca.4613734
TR/Samca.4616229
bezeichnet.
Sie werden aber nicht gelöscht und jede weitere Untersuchung kommt zum gleichen Ergebnis.
Andere Untersuchungen mit der Kasperski Rettungs CD bzw mit einem Norten Rettungstick dagegen zeigten keine Schadsoftware an. Ehe ich allerdings wieder uneingeschränkt das Internet nutzen will möchte ich gern Sicherheit haben.
Bitte helft mir bei der Auswertung des hijackthis Protokolls.
Nach dem ich mich im Forum angemeldet habe findet Avira nun 11 Bedrohungen.
Aus dem oben genannten TR/Samca.4613734 ist inzwischen TR/Injektor.45056.104 geworden.
Irgendwie scheint sich im Hintergrund etwas zu tun.
Meine Firewall meldet auch ständig zwei blockierte Ereignisse:
Hostprozess für Windowsdienste UDP 239.255.255250:1900 Outgoing
System UDP 192.168.12.255:137 Outgoing
Obwohl ich beiden den Zugang zur Webbrowser Zone bzw. Web+FTP-Zone gestattet habe.
Sicher fühle ich mich jedenfalls im Netz nicht mehr und vermeide seit dem Ereignis mich irgendwo ein zu loggen.
Nur in diesem Forum tue ich das, weil es nicht anders geht.
Vielen Dank für Eure Hilfe im Voraus.
Mit meinen 72 Jahren bin ich zu alt um die Geheimnisse von Windows zu verstehen.