Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Trojaner TR/Gendal

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 28.10.2011, 15:29   #1
maximus0815
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Hallo,

habe mir leider ein paar Trojaner eingefangen und bekomme ihn nicht mehr los.

TR/Gendal67...
JAVA/Dldr.Scuds.C

etc.

Bevor ich eine Formatierung durchführe, wollte ich hier nochmal mein Glück versuchen. Kann mir jemand helfen??

Hier das Log-File des full scans:


28.10.2011 15:21:36
mbam-log-2011-10-28 (15-21-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 266130
Laufzeit: 56 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Agent) -> Bad: (C:\Users\Master\AppData\Roaming\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Users\Master\AppData\Roaming\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\Master\AppData\Local\temp\0.539638889779132.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Users\Master\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Quarantined and deleted successfully.

Geändert von maximus0815 (28.10.2011 um 15:37 Uhr)

Alt 28.10.2011, 15:42   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Log ist unvollständig, im Kopf fehlt die Infos über den Versionsstand von MBAM.

Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle posten, die in Malwarebytes im Reiter Logdateien sichtbar sind.
__________________

__________________

Alt 28.10.2011, 16:47   #3
maximus0815
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Ok, hier alle Log-Files, ab wann es Warnungen gab:


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6634

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

02.10.2011 09:36:17
mbam-log-2011-10-02 (09-36-17).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 142207
Laufzeit: 13 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Users\Master\AppData\Roaming\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7845

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

02.10.2011 14:01:07
mbam-log-2011-10-02 (14-01-07).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 162481
Laufzeit: 4 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4C87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Master\AppData\Roaming\acroiehelpe042.dll (Trojan.Banker) -> Quarantined and deleted successfully.

-------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7909

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

09.10.2011 22:11:16
mbam-log-2011-10-09 (22-11-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 289231
Laufzeit: 1 Stunde(n), 48 Minute(n), 58 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Agent) -> Bad: (C:\Users\Master\AppData\Roaming\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (userinit.exe,C:\Users\Master\AppData\Roaming\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Master\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Delete on reboot.

------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 8027

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

28.10.2011 15:21:36
mbam-log-2011-10-28 (15-21-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 266130
Laufzeit: 56 Minute(n), 40 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{C689C99E-3A8C-4c87-A79C-C80DC9C81632} (Trojan.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Agent) -> Bad: (C:\Users\Master\AppData\Roaming\appconf32.exe) Good: () -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\Windows\system32\userinit.exe,C:\Users\Master\AppData\Roaming\appconf32.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Users\Master\AppData\Local\temp\0.539638889779132.exe (Exploit.Drop.2) -> Quarantined and deleted successfully.
c:\Users\Master\AppData\Roaming\appconf32.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
__________________

Alt 28.10.2011, 20:46   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Führ bitte auch ESET aus, danach sehen wir weiter:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 29.10.2011, 15:35   #5
maximus0815
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Hallo,

hier das Log File:

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=54294c51d801524bba2e458be2c0db51
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-29 08:31:11
# local_time=2011-10-29 10:31:11 (+0100, Mitteleuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=6.0.6001 NT Service Pack 1
# compatibility_mode=512 16777215 100 0 31956516 31956516 0 0
# compatibility_mode=1797 16775165 100 100 67544 94769667 174029 0
# compatibility_mode=5892 16776573 100 100 508 157405831 0 0
# compatibility_mode=8192 67108863 100 0 153 153 0 0
# scanned=117543
# found=1
# cleaned=0
# scan_time=3969
C:\Users\Master\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\28ad768a-39aa21f9 a variant of Java/Agent.DU trojan (unable to clean) 00000000000000000000000000000000 I


Alt 29.10.2011, 17:17   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet
Code:
ATTFilter
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
         
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Klick auf .
  • Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread
__________________
--> Trojaner TR/Gendal

Alt 29.10.2011, 20:27   #7
maximus0815
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Hallo,

erst Mal vielen Dank für Deine Hilfe.

Was für Daten benötigst Du von dem OTL.txt file?
Möchte hier ungerne meine Hosen runter lassen und jedem hier alle meine Programm etc. preisgeben..

Alt 30.10.2011, 00:19   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner TR/Gendal - Standard

Trojaner TR/Gendal



Zitat:
Möchte hier ungerne meine Hosen runter lassen und jedem hier alle meine Programm etc. preisgeben..
Jeder postet hier ein OTL-Log! Ohne diesem kann man nicht helfen.
Private Daten editierst du. Das steht aber alles im Strang für Hilfesuchende!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner TR/Gendal
132.exe, appdata, backdoor.agent, browser, c:\windows, dateien, exploit.drop.2, explorer, formatierung, gen, helper, hijack.userinit, keygen, log-file, malwarebytes, mas, microsoft, nicht mehr, roaming, software, system, system32, temp, trojaner, trojaner eingefangen, userinit, version, windows, winlogon



Ähnliche Themen: Trojaner TR/Gendal


  1. werde TR/Gendal.15360 nicht los
    Plagegeister aller Art und deren Bekämpfung - 16.09.2013 (17)
  2. Mehrere Trojaner durch Malwarebytes Anti Malware gefunden und ein Virus durch Avira gefunden (TR/Gendal.81920.6)
    Log-Analyse und Auswertung - 10.11.2012 (1)
  3. TR/Gendal.606105
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (2)
  4. Trojaner Gendal.2.4609 in autorun.inf / .scr Datei -> Logfiles
    Log-Analyse und Auswertung - 08.12.2011 (22)
  5. TR/Gendal.kdv 370119.1 Virus
    Plagegeister aller Art und deren Bekämpfung - 18.11.2011 (19)
  6. Avira meldet TR/gendal.a.6183
    Log-Analyse und Auswertung - 28.10.2011 (19)
  7. TR/Gendal.kdv.371931.1 und TR/FakeSysdef.506'
    Plagegeister aller Art und deren Bekämpfung - 11.10.2011 (1)
  8. Trojaner TR/Gendal.4987692 "amcap.exe" setzt Internetverbindung lahm!
    Plagegeister aller Art und deren Bekämpfung - 05.10.2011 (5)
  9. AntiVir meldet bei Systemprüfung TR/Gendal.A.375
    Plagegeister aller Art und deren Bekämpfung - 25.08.2011 (1)
  10. Trojanisches Pferd TR.Gendal.KD.319425.1
    Plagegeister aller Art und deren Bekämpfung - 21.08.2011 (25)
  11. Trojaner TR/Gendal gefunden und mit OTL gesvannt
    Plagegeister aller Art und deren Bekämpfung - 03.10.2010 (1)
  12. TR/Gendal.13945 - Immer noch da ?
    Plagegeister aller Art und deren Bekämpfung - 20.09.2010 (9)
  13. Trojaner Tr/Gendal. 35888 gefunden-was tun???
    Log-Analyse und Auswertung - 05.08.2010 (19)
  14. Trojaner TR/Gendal.45271
    Plagegeister aller Art und deren Bekämpfung - 27.07.2010 (1)
  15. Tr/gendal.45271
    Plagegeister aller Art und deren Bekämpfung - 23.07.2010 (1)
  16. TR/Gendal.86833 befall
    Plagegeister aller Art und deren Bekämpfung - 02.05.2009 (3)
  17. Trojaner TR/Gendal.2001550 Fund!
    Plagegeister aller Art und deren Bekämpfung - 21.07.2008 (1)

Zum Thema Trojaner TR/Gendal - Hallo, habe mir leider ein paar Trojaner eingefangen und bekomme ihn nicht mehr los. TR/Gendal67... JAVA/Dldr.Scuds.C etc. Bevor ich eine Formatierung durchführe, wollte ich hier nochmal mein Glück versuchen. Kann - Trojaner TR/Gendal...
Archiv
Du betrachtest: Trojaner TR/Gendal auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.