Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Der Bundestrojaner hat mich heimgesucht

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.08.2011, 00:15   #1
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Es ist leider passiert, und da ich diesen Rechner beruflich nutze, bin ich ganz schön in der Klemme. Warum hat mein Antivir so gepennt?

Sofort habe ich (wohl im Reflex) den Rechner vom lokalen Netz genommen.

ich kann nur noch im abgesicherten Modus arbeiten, deshalb habe ich alle scans vom DOS_Fenster aus gestartet. Das Netzwerk wird im Moment durch einen USB-Stick ersetzt.

ich habe, wie Ihr wünscht,

den DEFOGGER ausgeführt
OLT laufen lassen
und mit GMER gescant

Die log-files sind gezippt und angehängt.

Alt 09.08.2011, 12:31   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Zitat:
Warum hat mein Antivir so gepennt?
Die Frage taucht häufig auf, denn vielen ist einfach unklar, dass Virenscanner keinen 100%igen Schutz bieten können! Ein Virenscanner allein garantiert niemals, dass ein Rechner fortan sicher virenfrei bleibt!


Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Ibrahim\Anwendungsdaten\jashla.exe) - C:\Dokumente und Einstellungen\Ibrahim\Anwendungsdaten\jashla.exe (Riviera Knoxville Rowland Dominican Tarbell Byrd)
O21 - SSODL: eqvwamkl - {359F2E6C-97F8-438F-A41B-0DA66AA877EF} - CLSID or File not found.
O21 - SSODL: wnslvxtf - {9B08F400-DB12-4BFB-AC05-EC33764E8CEE} - CLSID or File not found.
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Prüfe anschließend den normalen Modus von Windows und melde den Status hier zurück. Wenn der wieder funktioniert, sind wir aber noch NICHT durch!
__________________

__________________

Alt 09.08.2011, 15:16   #3
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Hallo Arne
erstmal Danke für Deine Antwort und Deine Mühe.
Den Fix habe ich durchgeführt, allerdings kann ich nur mit DOS-Fenstern arbeiten, copy-paste geht da nicht und ich musste die paar Zeilen abtippen.
Ich habe den Rechner neu gestartet, Windows fuhr auch hoch, aber der Virus ist wieder da.
Das ist das Logfile:
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Ibrahim\Anwendungsdaten\jashla.exe deleted successfully.
File C:\Dokumente und Einstellungen\Ibrahim\ Anwendungsdaten\jashla.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\eqvwamkl deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{359F2E6C-97F8-438F-A41B-0DA66AA877EF}\ not found.
File CLSID or File nor found. not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\\wnslvxtf deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9B08F400-DB12-4BFB-AC05-EC33764E8CEE}\ not found.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.26.1 log created on 08092011_155846
__________________

Alt 09.08.2011, 15:30   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Beim Abtippen ist dir auch ein Fehler passiert.
Warum machst du das ganze nicht mit OTLPE?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 09.08.2011, 17:00   #5
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Gerne mache ich das mit OTLPE,

was ist das?
Und wo kriege ich das her?

Gruß
Regina


Alt 09.08.2011, 18:14   #6
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Zwischeninfo

bin beim Brennen der OTLPENet
Melde mich dann wieder

Alt 09.08.2011, 19:09   #7
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



So, jetzt aber:

Hat alles soweit funktioniert mir der OTLPENet-CD.

Windows startet und sieht "normal" aus.

Das logfile ist angehängt

wie geht es weiter?


Regina
Angehängte Dateien
Dateityp: txt 08092011_204542.txt (1,9 KB, 171x aufgerufen)

Alt 09.08.2011, 19:33   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!


Danach OTL-Custom (im normalen Windows, KEIN OTLPE!)


CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.08.2011, 09:23   #9
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Guten Morgen Arne,
ich hoffe, Dein Kaffee schmeckt *g*

Ich habe jetzt also gescannt, es sind 4 Files angehängt
MBAM einmal ohne LAN, dafür mit nicht aktuellem Scanner
MBAM dann mit Netz und aktualisiertem Scanner
OTL mit AVIRA (sorry, ich bin ein Schussel)
OTL ohne AVIRA, dafür wieder ausgestöpselt

Die OTL_rar.zip ist eine RAR-Datei, mein Zip läuft irgendwie nicht. Bitte umbenennen. Anders konnte ich nicht hochladen.

Da sind schon noch einige Meldungen....
Schau bitte nochmal drauf

Gruß
Regina
Angehängte Dateien
Dateityp: txt mbam-log-2011-08-10 (08-26-44).txt (2,9 KB, 224x aufgerufen)
Dateityp: txt mbam-log-2011-08-10 (10-37-04).txt (2,0 KB, 182x aufgerufen)

Alt 10.08.2011, 10:50   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
PRC - [2011.01.28 18:36:42 | 000,526,336 | ---- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
PRC - [2011.01.28 18:10:28 | 000,387,072 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
O2 - BHO: (no name) - {AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A} - No CLSID value found.
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.6406.1642\swg.dll (Google Inc.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll ()
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\4.3\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {BF53502D-3BEF-4273-9925-89D7526A5F87} - No CLSID value found.
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
:Files
C:\Programme\Gemeinsame Dateien\Spigot
C:\Programme\Application Updater
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.08.2011, 11:11   #11
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Hallo Arne,

bitteschön.
Angehängte Dateien
Dateityp: txt OTL_08102011_3.txt (6,3 KB, 152x aufgerufen)

Alt 10.08.2011, 11:18   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Mein schmeckt mir immer!


Bitte nun dieses Tool von Kaspersky ausführen und das Log posten => http://www.trojaner-board.de/82358-t...entfernen.html

Das Tool so einstellen wie unten im Bild angegeben - also beide Haken setzen, auf Start scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.




Falls du durch die Infektion auf deine Dokumente/Eigenen Dateien nicht zugreifen kannst, Verknüpfungen auf dem Desktop oder im Startmenü unter "alle Programme" fehlen, bitte unhide ausführen:
Downloade dir bitte unhide.exe und speichere diese Datei auf deinem Desktop.
Starte das Tool und es sollten alle Dateien und Ordner wieder sichtbar sein. ( Könnte eine Weile dauern )
Windows-Vista und Windows-7-User müssen das Tool per Rechtsklick als Administrator ausführen!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.08.2011, 12:07   #13
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Hallo Arne,

negativ.....

Alt 10.08.2011, 13:18   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.08.2011, 14:09   #15
Regina_opfer
 
Der Bundestrojaner hat mich heimgesucht - Standard

Der Bundestrojaner hat mich heimgesucht



Hallo Arne,

seufz
Ich habe wirklich AVIRA ausgeschaltet, alle 3 Häkchen entfernt und das Schirmchen war ZU.
Warum Combo trotzdem meckert, dass es noch da ist, ist mir ein Rätsel.
Anbei die Log-Datei
Angehängte Dateien
Dateityp: txt Combofix.txt (28,4 KB, 137x aufgerufen)

Antwort

Themen zu Der Bundestrojaner hat mich heimgesucht
abgesicherte, abgesicherten, abgesicherten modus, angehängt, antivir, arbeiten, bundes, bundestrojaner, defogger, dos, fenster, gmer, laufe, laufen, log-files, lokale, lokalen, modus, netzwerk, nutze, rechner, scans, schön, usb-stick, warum



Ähnliche Themen: Der Bundestrojaner hat mich heimgesucht


  1. Der Bundestrojaner hat mich erwischt was soll ich tun?
    Plagegeister aller Art und deren Bekämpfung - 04.09.2013 (7)
  2. Bundestrojaner
    Log-Analyse und Auswertung - 29.07.2013 (22)
  3. Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 24.06.2013 (29)
  4. Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 14.06.2013 (9)
  5. Bundestrojaner
    Log-Analyse und Auswertung - 13.06.2013 (1)
  6. HILFE habe mir den Bundestrojaner eingefangen. Kann mich nicht mehr anmelden. Abgesicherter Modus geht auch nicht
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (21)
  7. Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 07.05.2013 (12)
  8. Bundestrojaner hat mich erwischt :(((
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (11)
  9. Virus hat mich erwischt und mich Infiziert
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (3)
  10. Der Bundestrojaner hat mich erwischt :-(
    Plagegeister aller Art und deren Bekämpfung - 05.12.2012 (6)
  11. UKASH-Bundestrojaner hat mich erwischt...
    Plagegeister aller Art und deren Bekämpfung - 18.10.2012 (9)
  12. Bundestrojaner 1.13
    Plagegeister aller Art und deren Bekämpfung - 08.10.2012 (1)
  13. Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 04.10.2012 (12)
  14. Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (1)
  15. Bundestrojaner
    Plagegeister aller Art und deren Bekämpfung - 23.07.2012 (1)
  16. Mich hats auch erwischt:( BUNDESTROJANER kein Abgesicherter Modus möglich
    Log-Analyse und Auswertung - 29.03.2012 (17)
  17. Fake Bundestrojaner hat mich erwischt...
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (1)

Zum Thema Der Bundestrojaner hat mich heimgesucht - Es ist leider passiert, und da ich diesen Rechner beruflich nutze, bin ich ganz schön in der Klemme. Warum hat mein Antivir so gepennt? Sofort habe ich (wohl im Reflex) - Der Bundestrojaner hat mich heimgesucht...
Archiv
Du betrachtest: Der Bundestrojaner hat mich heimgesucht auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.