Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bundesamt für Sicherheit in der Informationtechnologie virus

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 15.02.2013, 16:44   #1
s.leimberger
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Hallo,

ich habe das gleiche Problem, wie der User bobbl76. Ich habe den PC mit Malwarebytes Anti-Malware und OTS wie im Thread hxxp://http://www.trojaner-board.de/124803-...nik-virus.html beschrieben gescannt und folgende Logs erhalten:
(siehe Anhang)

Wie kann ich jetzt weiter verfahren?

Der PC ist ein HP Pavillion mit Windows 7

Besten Dank im voraus,

Sebastian

Alt 15.02.2013, 16:47   #2
markusg
/// Malware-holic
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Hallo
otl fix

Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:
ATTFilter
:OTL
O20 - HKU\S-1-5-21-2113933422-1980347601-2014844089-1000 Winlogon: Shell - (C:\Users\tim\AppData\Roaming\skype.dat) - C:\Users\tim\AppData\Roaming\skype.dat ()
[2013.02.15 11:43:02 | 000,000,004 | ---- | M] () -- C:\Users\tim\AppData\Roaming\skype.ini
:files
:Commands
[emptytemp]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread



starte in den normalen modus.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

http://www.trojaner-board.de/125889-...en-posten.html
öffne bitte Malwarebytes, poste Berichte mit Funden.
__________________

__________________

Alt 15.02.2013, 17:18   #3
s.leimberger
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Hallo,

danke erstmal, das mit dem Fix ging ja echt schnel

Der Upload der Movedfiles von OTL hat auch problemlos geklappt.

Code:
ATTFilter
All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2113933422-1980347601-2014844089-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\tim\AppData\Roaming\skype.dat deleted successfully.
C:\Users\tim\AppData\Roaming\skype.dat moved successfully.
C:\Users\tim\AppData\Roaming\skype.ini moved successfully.
========== FILES ==========
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: tim
->Temp folder emptied: 3731276692 bytes
->Temporary Internet Files folder emptied: 168766327 bytes
->Java cache emptied: 43446 bytes
->FireFox cache emptied: 236474349 bytes
->Flash cache emptied: 8228400 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 5126 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 542927724 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 17446648 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 755 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 68349 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 4.487,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02152013_170252

Files\Folders moved on Reboot...
C:\Users\tim\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
Das hat OTL ausgepuckt
__________________

Alt 15.02.2013, 17:20   #4
markusg
/// Malware-holic
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Hi
na so soll das ja auch sein :-)
schaun wir mal weiter:
Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 15.02.2013, 17:43   #5
s.leimberger
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Die Log enhält zu viele Zeichen, ich hab sie wieder auf dem Uploadchannel hochgeladen.

Oder soll ich die Logdatei lieber anhängen?

Danke weiterhin!


Alt 16.02.2013, 08:55   #6
s.leimberger
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Im Anhang ist nochmal die Logfile vom TDSSKILLER.

Alt 16.02.2013, 10:23   #7
s.leimberger
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.16.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
tim :: KAI [Administrator]

Schutz: Aktiviert

16.02.2013 08:57:41
MBAM-log-2013-02-16 (10-23-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 460740
Laufzeit: 1 Stunde(n), 23 Minute(n), 45 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 12
HKCR\CLSID\{C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCR\TypeLib\{1FDC0B61-91AC-4157-9B27-CAD9A09AB67E} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCR\BrowserConnection.Loader.1 (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCR\BrowserConnection.Loader (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCR\CLSID\{f34c9277-6577-4dff-b2d7-7d58092f272f} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 2
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{F34C9277-6577-4DFF-B2D7-7D58092F272F} (PUP.Datamngr) -> Daten: Search-Results Toolbar -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f34c9277-6577-4dff-b2d7-7d58092f272f} (PUP.Datamngr) -> Daten:  -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Program Files (x86)\Search Results Toolbar\Datamngr\BrowserConnection.dll (PUP.Datamngr) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\Search Results Toolbar\Datamngr\SRTOOL~1\searchresultsDx.dll (PUP.Datamngr) -> Keine Aktion durchgeführt.
C:\_OTL\MovedFiles\02152013_170252\C_Users\tim\AppData\Roaming\skype.dat (Trojan.Ransom.PEX) -> Keine Aktion durchgeführt.

(Ende)
         
Nochmal der MalwareScan Log

Alt 18.02.2013, 17:57   #8
markusg
/// Malware-holic
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



hi
falls nicht erledigt, malwarebytes Funde löschen.
Dann:
lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Alt 18.02.2013, 20:01   #9
s.leimberger
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



Hallo,

Danke für die Hilfe, der Laptop ist wieder bei seinem Besitzer, habe ihn mit Kaspersky Rescuedisk als Liveusbanwendung symptomfrei bekommen. Der Besitzer hat ihn mir nur über das Wochenende zur Verfügung stellen können.

Danke nochmals!

Viele Grüße,

Sebastian Leimberger

Alt 18.02.2013, 21:21   #10
markusg
/// Malware-holic
 
Bundesamt für Sicherheit in der Informationtechnologie virus - Standard

Bundesamt für Sicherheit in der Informationtechnologie virus



hi
du hast ihn vllt symptom frei damit aber vllt nicht malware frei bekommen.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu Bundesamt für Sicherheit in der Informationtechnologie virus
anhang, anti-malware, bundesamt, bundesamt für sicherheit, erhalte, erhalten, folge, folgende, formation, gescannt, information, malwarebytes, malwarebytes anti-malware, problem, sicherheit, thread, virus, windows



Ähnliche Themen: Bundesamt für Sicherheit in der Informationtechnologie virus


  1. GVU Virus - Bundesamt für Sicherheit und Informationstechnik - kein abgesicherter Modus möglich FRST.txt vorhanden
    Log-Analyse und Auswertung - 02.04.2015 (25)
  2. Bundesamt für Sicherheit in der Informationstechnik/GVU-Virus
    Plagegeister aller Art und deren Bekämpfung - 02.02.2014 (1)
  3. Bundesamt für Sicherheit und Informationstechnik.
    Log-Analyse und Auswertung - 13.10.2013 (8)
  4. Virus: Interpol Bundesamt für Sicherheit und Informationstechnik. 100 Euro-Forderung.
    Plagegeister aller Art und deren Bekämpfung - 01.09.2013 (9)
  5. Virus Bundesamt für Sicherheit in der Informaionstechnik
    Plagegeister aller Art und deren Bekämpfung - 28.06.2013 (4)
  6. Virus Bundesamt für Sicherheit in der Informaionstechnik
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (3)
  7. Virus Bundesamt für Sicherheit und Informationstechnologie
    Log-Analyse und Auswertung - 28.05.2013 (35)
  8. GVU / Bundesamt für Sicherheit Trojaner mit Webcam
    Plagegeister aller Art und deren Bekämpfung - 23.02.2013 (14)
  9. GVU Bundesamt für Sicherheit in der Informationstechnik Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.02.2013 (14)
  10. Bundesamt für Sicherheit in der Informationstechnik
    Log-Analyse und Auswertung - 29.01.2013 (9)
  11. Bundesamt für Sicherheit/Informationstechnologie
    Plagegeister aller Art und deren Bekämpfung - 11.01.2013 (13)
  12. Bundesamt für Sicherheit in der Informationstechnik Virus
    Plagegeister aller Art und deren Bekämpfung - 21.11.2012 (10)
  13. GVU Trojaner Bundesamt für Sicherheit
    Log-Analyse und Auswertung - 06.10.2012 (8)
  14. Bundesamt für Sicherheit in der Informationstechnik - GVU - Virus: Sperrung des Rechners
    Plagegeister aller Art und deren Bekämpfung - 17.09.2012 (23)
  15. Bundesamt für SIcherheit in der Informationstechnik - VIRUS
    Plagegeister aller Art und deren Bekämpfung - 19.08.2012 (2)
  16. Bundesamt für Sicherheit und Informationstechnik
    Plagegeister aller Art und deren Bekämpfung - 08.08.2012 (21)
  17. E-Mail Bundesamt für Sicherheit
    Log-Analyse und Auswertung - 29.08.2011 (3)

Zum Thema Bundesamt für Sicherheit in der Informationtechnologie virus - Hallo, ich habe das gleiche Problem, wie der User bobbl76. Ich habe den PC mit Malwarebytes Anti-Malware und OTS wie im Thread hxxp:// http://www.trojaner-board.de/124803-...nik-virus.html beschrieben gescannt und folgende Logs erhalten: - Bundesamt für Sicherheit in der Informationtechnologie virus...
Archiv
Du betrachtest: Bundesamt für Sicherheit in der Informationtechnologie virus auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.