Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.08.2012, 11:44   #1
ToolStoi
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Frage

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



Malware-report: Gefunden: System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

Hallo,

auf einem Windows 7 64bit SP1 Rechner wurde die Dateien gefunden.
Nach einigen Forenbeiträgen soll es sich um einen Trojaner, ggf. Scareware-GVU- oder -BKA-Trojaner handeln. Oder aber diese Datei ist Teil eines "Droppers"/ Keyloggers, da ich keinerlei Scareware/(Fehler-)meldungen erhalte.

Was gegen einen einfachen komprimierten und gespeicherten Datentrom (Archive) spricht ist die hohe Entropie der Datei, sie spricht für Vollverschlüsselung, ggf. eines Keyloggers?

Zu den Symptomen: Der Rechner ist langsamer geworden, Speicher läuft schneller "voll" und benötigt etwas häufigere Neustarts. Aber keine gravierenden Veränderungen oder eindeutigen Hinweise oder Fehlermeldungen. Andere Symptome wie Browser-Redirects treten nicht auf.

Ich habe vor ein paar Wochen IT-Equipment mit Treiber-CDs aus China importiert und jene, die ich nicht im Orginal von der Website laden konnte, von Mini-CD installiert, nachdem ein VirusTotal-Scan keine Malware erkannt hat. Das kann auch nur Zufall sein. COMODO IS läuft immer.

Zitat:
C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
C:\windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
Zitat:
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 10:27 on 01/08/2012 (xxx)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-
Alle anderen Logs: hxxp://home.arcor.de/sirafil/misc/dl/scan-logs.zip
Zip-Passwort: 'trojaner-+-board.de'

Stimmt es, dass GMER noch nicht unter 64bit "läuft"?
Und wie sieht es mit COMBOFIX aus, ist das wieder nutzbar (win7, 64bit) und sinnvoll?

Und noch das ausführliche MBAM-log. Die gefundene Datei ist wahrscheinlich keine Malware, sondern von der Entwicklerseite heruntergeladen und mit VirusTotal gescannt, ein WLAN-Tool.

https://www.virustotal.com/file/3ecb78ee0fce434f97f31b35d1bdd88320518d6f664bdb3581fffde3a0472e81/analysis/

Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.08.01.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
[xxx] :: [yyy] [Administrator]

01.08.2012 10:22:20
mbam-log-2012-08-01 (12-22-34).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 561402
Laufzeit: 1 Stunde(n), 58 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\NirSoft\WirelessNetView\WirelessNetView.exe (PUP.WirelessNetworkTool) -> Keine Aktion durchgeführt.

(Ende)

Vielen Dank.

Geändert von ToolStoi (01.08.2012 um 12:39 Uhr) Grund: typo + link

Alt 04.08.2012, 14:19   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________

__________________

Alt 06.08.2012, 12:08   #3
ToolStoi
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



Hallo Arne,

nein, das ist das einzige Logfile.
Habe gerade festgestellt, dass CCleaner auch die Logs von MBAM und SuperAS löscht.
Das ist nun deaktiviert.
__________________

Alt 06.08.2012, 13:30   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



Bitte erstmal routinemäßig einen neuen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:
ATTFilter
 hier steht das Log
         
__________________
Logs bitte immer in CODE-Tags posten

Alt 06.08.2012, 16:57   #5
ToolStoi
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



jetzt ist dieser Vollscan fertig:
Zitat:
Malwarebytes Anti-Malware 1.62.0.1300
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2012.08.06.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
xxx :: yyy

06.08.2012 13:52:17
mbam-log-2012-08-06 (16-52-54).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 562204
Laufzeit: 2 Stunde(n), 47 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Program Files (x86)\NirSoft\WirelessNetView\WirelessNetView.exe (PUP.WirelessNetworkTool) -> Keine Aktion durchgeführt.

(Ende)
WirelessNetView.exe ist keine Malware, schon getestet.

und das zweite Log:

Zitat:
C:\Program Files (x86)\NirSoft\WirelessNetView\WirelessNetView.exe Win32/PSWTool.WirelessNetView.A application
C:\Users\[xxx]\AppData\Local\Temp\60377607-a0fb-49b0-adba-9c435df33687\winamp563_full_emusic-7plus_en-us.exe Win32/OpenCandy application
C:\Users\[xxx]\AppData\Local\Temp\ICReinstall\cnet2_copernicdesktopsearch-home_exe.exe a variant of Win32/InstallCore.D application
C:\Users\[xxx]\AppData\Local\Temp\is1598539481\MyBabylonTB.exe Win32/Toolbar.Babylon application
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\a28d1efdd6820000a7800a70f4c53ed6.new JS/Iframe.EX trojan
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\a28d1efdd6820000a7800a70f4c53ed6.old JS/Iframe.EX trojan
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\e6ae2b838a79258acd1ddd00427fb1a2.new JS/Iframe.EX trojan
C:\Users\[xxx]\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\updatescanner\e6ae2b838a79258acd1ddd00427fb1a2.old JS/Iframe.EX trojan
SHA256: 38615621239677224d4ff592dc91df1164d700be52a346e81df91f37a648b91c
File name: MyBabylonTB.exe
Detection ratio: 6 / 41
Analysis date: 2012-08-06 15:33:33 UTC ( 0 Minuten ago )

https://www.virustotal.com/file/38615621239677224d4ff592dc91df1164d700be52a346e81df91f37a648b91c/analysis/
Die Ergebnisse:
Emsisoft Riskware.Win32.Toolbar.Babylon.AMN!A2
TrendMicro-HouseCall TROJ_GEN.F47V0723 20120803
ViRobot Trojan.Win32.A.Agent.67584.F
Antiy-AVL Trojan/Win32.Agent.gen
Norman W32/BabylonToolbar.I


Alt 06.08.2012, 21:53   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



adwCleaner - Toolbars und ungewollte Start-/Suchseiten aufspüren

Downloade Dir bitte AdwCleaner auf deinen Desktop.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Search.
  • Nach Ende des Suchlaufs öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.
__________________
--> Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016

Alt 07.08.2012, 09:23   #7
ToolStoi
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



Zitat:
# AdwCleaner v1.800 - Logfile created 08/07/2012 at 09:10:20
# Updated 01/08/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : xxx |yyy
# Running from : D:\DOWNLOAD\adwcleaner.exe
# Option [Search]


***** [Services] *****


***** [Files / Folders] *****

Folder Found : C:\Users\xxx\AppData\Roaming\pdfforge

***** [Registry] *****


***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v14.0.1 (de)

Profile name : default
File : C:\Users\xxx\AppData\Roaming\Mozilla\Firefox\Profiles\md4nho9q.default\prefs.js

Found : user_pref("extensions.hxxps_everywhere.Blekko", true);
Found : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

*************************

AdwCleaner[R1].txt - [950 octets] - [07/08/2012 09:10:20]

########## EOF - C:\AdwCleaner[R1].txt - [1077 octets] ##########
'C:\Users\xxx\AppData\Roaming\pdfforge\' gehört zu PDFCreator und ist ok.

Aber das hier sieht sehr nach wirklichem Treffer aus:
{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
und ggf.
Found : user_pref("extensions.hxxps_everywhere.Blekko", true);
Found : user_pref("extensions.hxxps_everywhere.FeedMyInbox", true);

habe noch nichts geändert.

Ich hätte noch Prevx- und HJT-Logdateien.

sehr interessant, alle die 'HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}' gefunden haben, haben auch ein Sony VAIO Notebook mit Win7, 64bit.

Geändert von ToolStoi (07.08.2012 um 09:47 Uhr)

Alt 08.08.2012, 11:53   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Standard

Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016



adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen
  • Schließe alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Delete.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.
__________________
Logs bitte immer in CODE-Tags posten

Antwort

Themen zu Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016
anderen, archive, autostart, c:\windows, combofix, comodo, dateien, daten, erkannt, gmer, hohe, installiert, laden, langsamer, meldungen, pup.wirelessnetworktool, rechner, scan, scareware, scareware?, system, system32, trojaner, virus, win7, windows, windows 7



Ähnliche Themen: Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016


  1. URL:Mal in C:\Windows\System32\svchost.exe von avast gefunden
    Plagegeister aller Art und deren Bekämpfung - 11.03.2015 (11)
  2. W32/Patched.UC in C:\windows\system32\services.exe gefunden! (Avira)
    Plagegeister aller Art und deren Bekämpfung - 13.02.2013 (23)
  3. H1N1 nicht in system32.dll gefunden & wgsdgsdgdsgsd.exe
    Log-Analyse und Auswertung - 16.01.2013 (9)
  4. Virus(7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0)?
    Plagegeister aller Art und deren Bekämpfung - 22.10.2012 (22)
  5. Trojaner ? Datei: 7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
    Plagegeister aller Art und deren Bekämpfung - 16.08.2012 (4)
  6. TR/Sirefef.BP.1 in C:\Windows\system32 Dateien gefunden
    Plagegeister aller Art und deren Bekämpfung - 29.02.2012 (7)
  7. 'TR/Spy.Agent.acx.2' in 'C:\Windows\System32\tapi332.exe' gefunden
    Plagegeister aller Art und deren Bekämpfung - 24.01.2011 (13)
  8. TR/Agebt.ruo in 'C:\WINDOWS\system32\d3dsgn.dll' gefunden
    Plagegeister aller Art und deren Bekämpfung - 05.04.2010 (12)
  9. Trojaner TR/Agent.ruo in C:\Windows\system32\ntntlc.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 04.04.2010 (14)
  10. TR/Agent.ruo in C:\Windows\System32\ntnfbak.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 31.03.2010 (9)
  11. TR/Agent.ruo in C:\WINDOWS\system32\ntngh.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 30.03.2010 (9)
  12. TR/Agent.ruo gefunden in C:\WINDOWS\system32\d3dskmj.dll
    Plagegeister aller Art und deren Bekämpfung - 30.03.2010 (2)
  13. TR/Agent.ruo in C:\Windows\System32\kbdqtqvx.dll gefunden.
    Plagegeister aller Art und deren Bekämpfung - 27.03.2010 (7)
  14. TR/Dropper.Gen in system32/tdlwsp.dll gefunden
    Plagegeister aller Art und deren Bekämpfung - 09.11.2009 (11)
  15. C:\Windows\system32\twext.exe TR/Spy.ZBot.dp.6 Trojan gefunden
    Log-Analyse und Auswertung - 29.09.2009 (2)
  16. TR/Redol.B gefunden in C:\Windows\System32\hjgruirpharxti.dll
    Plagegeister aller Art und deren Bekämpfung - 26.08.2009 (9)
  17. system32/ceqfkafx.dll nicht gefunden
    Plagegeister aller Art und deren Bekämpfung - 07.10.2007 (1)

Zum Thema Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 - Malware-report: Gefunden: System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0 Hallo, auf einem Windows 7 64bit SP1 Rechner wurde die Dateien gefunden. Nach einigen Forenbeiträgen soll es sich um einen Trojaner, ggf. Scareware-GVU- oder -BKA-Trojaner handeln. Oder - Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016...
Archiv
Du betrachtest: Gefunden: Scareware? System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-6016 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.