| |
| |||||||
Log-Analyse und Auswertung: PC-Sperrung, System ist sehr infiziert, 50 € für die FreischaltungWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
07.02.2012, 14:55
| #1 |
| |  PC-Sperrung, System ist sehr infiziert, 50 € für die Freischaltung ALS INFO VORAB: Ich möchte nur sicherstellen, dass ihr das wisst. Ich habe schon vorab einen Thread eröffnet, vermute nur,dass dieser nicht bearbeitet wurde, da ich nicht genau gelesen habt, wie ernst ihr es nimmt, keine Themen wo Cracks im Spiel sind, zu bearbeiten. Ich habe nun den einen, den ich hatte (KMSActivator), um MS Office ausserhalb der Testzeit zu benutzen, komplett gelöscht. Also, BITTE, berücksichtigt das, bevor ihr mein Thema wieder ignoriert. Hallo zusammen, ich habe mir gestern morgen den Trojaner der Version mit den deutschen Flaggenfarben eingeheimst, samt der Bitte 50 € zu überweisen. Das Problem ist ja hier anscheinend sehr bekannt. Ich habe im Folgenden schonmal die Foren durchstöbert und ein zwei generelle Schritte übernommen. 1. Im abgesicherten Modus mit Netzwerk Malwarebytes drüber laufen lassen, was mir 4 Funde auspuckte,die dann gelöscht wurden. Das hat schonmal das grobe Problem behoben,dass die Meldung nicht mehr auftauchte, hier der Log dazu. Code:
ATTFilter Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.06.01 Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.7601.17514 Win 7 :: WIN7-PC [Administrator] 06.02.2012 10:59:04 mbam-log-2012-02-06 (11-06-52).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 197114 Laufzeit: 5 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe -> Keine Aktion durchgeführt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Keine Aktion durchgeführt. C:\Users\Win 7\AppData\Local\Temp\ms0cfg32.exe (Trojan.Ransom) -> Keine Aktion durchgeführt. C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Keine Aktion durchgeführt. (Ende) Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Datenbank Version: v2012.02.06.01 Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig) Internet Explorer 8.0.7601.17514 Win 7 :: WIN7-PC [Administrator] 06.02.2012 10:59:04 mbam-log-2012-02-06 (10-59-04).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 197114 Laufzeit: 5 Minute(n), 1 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Firefox helper (Trojan.Ransom) -> Daten: C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe -> Erfolgreich gelöscht und in Quarantäne gestellt. Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 3 C:\Users\Win 7\AppData\Local\Mozilla\Firefox\firefox.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Win 7\AppData\Local\Temp\ms0cfg32.exe (Trojan.Ransom) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) Code:
ATTFilter ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=68d0229c03436744b4538823cc0a956e
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-02-06 04:47:30
# local_time=2012-02-06 05:47:30 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=1792 16777215 100 0 7331230 7331230 0 0
# compatibility_mode=5893 16776573 100 94 230078 80164072 0 0
# compatibility_mode=8192 67108863 100 0 3764 3764 0 0
# scanned=131330
# found=1
# cleaned=0
# scan_time=12628
C:\Users\Win 7\Desktop\KMS Activator\mini-KMS_Activator_v1.053.exe a variant of Win32/HackKMS.A application (unable to clean) 00000000000000000000000000000000 I
Als Drittes habe ich nun mal mein Avira-Antivir-Programm übers System geschickt, der mir nun jedoch wiederum 4 Funde gemeldet hat, die es wohl im Java-Programm befallen hat. Hier der Bericht dazu. Code:
ATTFilter
Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 7. Februar 2012 12:08
Es wird nach 3429616 Virenstämmen gesucht.
Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.
Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows 7 x64
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : WIN7-PC
Versionsinformationen:
BUILD.DAT : 12.0.0.872 41826 Bytes 15.12.2011 16:24:00
AVSCAN.EXE : 12.1.0.18 490448 Bytes 19.10.2011 15:55:49
AVSCAN.DLL : 12.1.0.17 65744 Bytes 19.10.2011 15:56:10
LUKE.DLL : 12.1.0.17 68304 Bytes 19.10.2011 15:55:59
AVSCPLR.DLL : 12.1.0.21 99536 Bytes 08.12.2011 12:13:37
AVREG.DLL : 12.1.0.27 227536 Bytes 10.12.2011 13:33:53
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 19:18:34
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 10:07:39
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 19:46:03
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 17:02:07
VBASE004.VDF : 7.11.21.239 2048 Bytes 01.02.2012 17:02:07
VBASE005.VDF : 7.11.21.240 2048 Bytes 01.02.2012 17:02:07
VBASE006.VDF : 7.11.21.241 2048 Bytes 01.02.2012 17:02:07
VBASE007.VDF : 7.11.21.242 2048 Bytes 01.02.2012 17:02:08
VBASE008.VDF : 7.11.21.243 2048 Bytes 01.02.2012 17:02:08
VBASE009.VDF : 7.11.21.244 2048 Bytes 01.02.2012 17:02:08
VBASE010.VDF : 7.11.21.245 2048 Bytes 01.02.2012 17:02:08
VBASE011.VDF : 7.11.21.246 2048 Bytes 01.02.2012 17:02:08
VBASE012.VDF : 7.11.21.247 2048 Bytes 01.02.2012 17:02:08
VBASE013.VDF : 7.11.22.33 1486848 Bytes 03.02.2012 16:57:44
VBASE014.VDF : 7.11.22.56 687616 Bytes 03.02.2012 17:00:42
VBASE015.VDF : 7.11.22.92 178176 Bytes 06.02.2012 11:06:50
VBASE016.VDF : 7.11.22.93 2048 Bytes 06.02.2012 11:06:50
VBASE017.VDF : 7.11.22.94 2048 Bytes 06.02.2012 11:06:50
VBASE018.VDF : 7.11.22.95 2048 Bytes 06.02.2012 11:06:50
VBASE019.VDF : 7.11.22.96 2048 Bytes 06.02.2012 11:06:50
VBASE020.VDF : 7.11.22.97 2048 Bytes 06.02.2012 11:06:50
VBASE021.VDF : 7.11.22.98 2048 Bytes 06.02.2012 11:06:50
VBASE022.VDF : 7.11.22.99 2048 Bytes 06.02.2012 11:06:50
VBASE023.VDF : 7.11.22.100 2048 Bytes 06.02.2012 11:06:50
VBASE024.VDF : 7.11.22.101 2048 Bytes 06.02.2012 11:06:51
VBASE025.VDF : 7.11.22.102 2048 Bytes 06.02.2012 11:06:51
VBASE026.VDF : 7.11.22.103 2048 Bytes 06.02.2012 11:06:51
VBASE027.VDF : 7.11.22.104 2048 Bytes 06.02.2012 11:06:51
VBASE028.VDF : 7.11.22.105 2048 Bytes 06.02.2012 11:06:51
VBASE029.VDF : 7.11.22.106 2048 Bytes 06.02.2012 11:06:51
VBASE030.VDF : 7.11.22.107 2048 Bytes 06.02.2012 11:06:51
VBASE031.VDF : 7.11.22.109 9728 Bytes 07.02.2012 11:06:51
Engineversion : 8.2.8.48
AEVDF.DLL : 8.1.2.2 106868 Bytes 13.11.2011 17:54:43
AESCRIPT.DLL : 8.1.4.3 438649 Bytes 03.02.2012 17:01:26
AESCN.DLL : 8.1.8.2 131444 Bytes 26.01.2012 23:08:41
AESBX.DLL : 8.2.4.5 434549 Bytes 01.12.2011 17:36:06
AERDL.DLL : 8.1.9.15 639348 Bytes 08.09.2011 22:16:06
AEPACK.DLL : 8.2.16.2 799095 Bytes 26.01.2012 23:08:41
AEOFFICE.DLL : 8.1.2.25 201084 Bytes 08.01.2012 16:57:43
AEHEUR.DLL : 8.1.3.24 4387190 Bytes 03.02.2012 17:01:24
AEHELP.DLL : 8.1.19.0 254327 Bytes 21.01.2012 21:22:59
AEGEN.DLL : 8.1.5.21 409971 Bytes 03.02.2012 17:01:20
AEEMU.DLL : 8.1.3.0 393589 Bytes 01.09.2011 22:46:01
AECORE.DLL : 8.1.25.3 201079 Bytes 26.01.2012 23:08:38
AEBB.DLL : 8.1.1.0 53618 Bytes 01.09.2011 22:46:01
AVWINLL.DLL : 12.1.0.17 27344 Bytes 19.10.2011 15:55:51
AVPREF.DLL : 12.1.0.17 51920 Bytes 19.10.2011 15:55:48
AVREP.DLL : 12.1.0.17 179408 Bytes 19.10.2011 15:55:49
AVARKT.DLL : 12.1.0.19 208848 Bytes 08.12.2011 12:13:29
AVEVTLOG.DLL : 12.1.0.17 169168 Bytes 19.10.2011 15:55:47
SQLITE3.DLL : 3.7.0.0 398288 Bytes 19.10.2011 15:56:03
AVSMTP.DLL : 12.1.0.17 62928 Bytes 19.10.2011 15:55:50
NETNT.DLL : 12.1.0.17 17104 Bytes 19.10.2011 15:55:59
RCIMAGE.DLL : 12.1.0.17 4447952 Bytes 19.10.2011 15:56:14
RCTEXT.DLL : 12.1.0.16 98512 Bytes 19.10.2011 15:56:14
Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Beginn des Suchlaufs: Dienstag, 7. Februar 2012 12:08
Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Der Suchlauf nach versteckten Objekten wird begonnen.
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '62' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '46' Modul(e) wurden durchsucht
Durchsuche Prozess 'chrome.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlcomm.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'wlmail.exe' - '197' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'AVWEBGRD.EXE' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'WDC.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'KBFiltr.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'Updater.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcourier.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControlUser.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'DMedia.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'ATKOSD2.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'SonicFocusTray.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'sensorsrv.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '75' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dropbox.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '162' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'HControl.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'AsScrPro.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'GFNEXSrv.exe' - '10' Modul(e) wurden durchsucht
Durchsuche Prozess 'ASLDRSrv.exe' - '21' Modul(e) wurden durchsucht
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '2750' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\' <Mothership>
C:\Users\David\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\27abf983-19b0112a
[0] Archivtyp: ZIP
--> bpac/a$1.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.EG
C:\Users\David\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\c669a2-629f1266
[0] Archivtyp: ZIP
--> vload.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE.2008.5353.ZN.1
--> vmain.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE.2010.0094.EH.2
Beginne mit der Desinfektion:
C:\Users\David\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\c669a2-629f1266
[FUND] Enthält Erkennungsmuster des Exploits EXP/CVE.2010.0094.EH.7
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa687c4.qua' verschoben!
C:\Users\David\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\27abf983-19b0112a
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.EG
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52c4a85c.qua' verschoben!
Ende des Suchlaufs: Dienstag, 7. Februar 2012 14:30
Benötigte Zeit: 2:12:43 Stunde(n)
Der Suchlauf wurde vollständig durchgeführt.
24430 Verzeichnisse wurden überprüft
478203 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
478199 Dateien ohne Befall
5864 Archive wurden durchsucht
0 Warnungen
2 Hinweise
559578 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden
Nun wäre ich euch sehr dankbar, wenn ihr mir erklären könntet, wie ich nun weiter fortfahren könnte, da ich das Gefühl habe, dass es noch nicht ganz behoben ist das Problem. Das System läuft jedoch einwandfrei zu Zeit. Ich freue mich auf eure Tipps und Hilfe! Gruß und Dank, David |
|
08.02.2012, 14:12
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   | PC-Sperrung, System ist sehr infiziert, 50 € für die FreischaltungZitat:
Zitat:
 Siehe auch => http://www.trojaner-board.de/95393-c...-software.html Falls wir Hinweise auf illegal erworbene Software finden, werden wir den Support ohne jegliche Diskussion beenden. Cracks/Keygens sind zu 99,9% gefährliche Schädlinge, mit denen man nicht spaßen sollte. Ausserdem sind diese illegal und wir unterstützen die Verwendung von geklauter Software nicht. Somit beschränkt sich der Support auf Anleitung zur kompletten Neuinstallation!! Dass illegale Cracks und Keygens im Wesentlichen dazu dienen, Malware zu verbreiten ist kein Geheimnis und muss jedem klar sein! In Zukunft Finger weg von: Softonic, Registry-Bereinigern und illegalem Zeugs Cracks/Keygens/Serials
__________________ Geändert von cosinus (08.02.2012 um 14:17 Uhr) |
|
| Themen zu PC-Sperrung, System ist sehr infiziert, 50 € für die Freischaltung |
| .dll, administrator, avg, dateien, dateisystem, desktop, downloader, escan, explorer, farben, gfnexsrv.exe, helper, heuristiks/extra, heuristiks/shuriken, infiziert, log, malwarebytes, microsoft, mozilla, ms0cfg32.exe, netzwerk, nt.dll, ordner, pc-sperrung, problem, registry, rundll, sicherstellen, software, system, temp, trojaner, verweise, win32/hackkms.a |
Linear-Darstellung
