Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Bundestrojaner - Log Files

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2012, 22:06   #1
modul123
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



Hallo,

Habe das Problem, dass mein Rechner (Win Vista SP2) durch den Bundestrojaner gesperrt ist. Habe im abgesicherten Modus folgende Logfiles gezogen.

Bitte um eure Unterstützung zur Behebung. Danke.
Angehängte Dateien
Dateityp: txt OTL.Txt (70,4 KB, 161x aufgerufen)

Alt 07.10.2012, 23:03   #2
Swisstreasure
/// Malwareteam
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files





Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Bitte lasse die Datei aus der Code-Box bei Virustotal überprüfen.
  • Klicke auf Durchsuchen
  • Kopiere nun folgendes in die Suchleiste.
    Code:
    ATTFilter
    C:\ProgramData\GAMYGtCx.exe
             
  • und klicke auf Öffnen.
  • Klicke auf Send File.
Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende Meldung bekommen.
Zitat:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2
  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O4 - HKCU..\Run: [rgphoqnzewtrnby] C:\ProgramData\rgphoqnz.exe ()
[2012.10.07 13:08:14 | 000,074,135 | ---- | M] () -- C:\ProgramData\ppzepmfmayzptix
[2012.10.07 13:08:08 | 000,103,424 | ---- | M] () -- C:\ProgramData\rgphoqnz.exe
[2012.10.07 13:08:08 | 000,103,424 | ---- | M] () -- C:\Users\Thomas\ms.exe
[2012.10.07 13:08:13 | 000,103,424 | ---- | C] () -- C:\ProgramData\rgphoqnz.exe
[2012.10.07 13:08:08 | 000,074,135 | ---- | C] () -- C:\ProgramData\ppzepmfmayzptix
[2012.10.07 13:08:07 | 000,103,424 | ---- | C] () -- C:\Users\Thomas\ms.exe
:Commands
[purity]
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 4

Bitte poste die Logs NICHT als Anhang sondern direkt hier in den Thread.
__________________


Alt 08.10.2012, 20:41   #3
modul123
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



Hi,

Schritt 1:
https://www.virustotal.com/file/94cfc59ee56081e7a67475c79800a2d1ef3a2378d28591d60a759c7bb4b7520b/analysis/1349720865/

Schritt 2:
Code:
ATTFilter
 
All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\rgphoqnzewtrnby deleted successfully.
C:\ProgramData\rgphoqnz.exe moved successfully.
C:\ProgramData\ppzepmfmayzptix moved successfully.
File C:\ProgramData\rgphoqnz.exe not found.
C:\Users\Thomas\ms.exe moved successfully.
File C:\ProgramData\rgphoqnz.exe not found.
File C:\ProgramData\ppzepmfmayzptix not found.
File C:\Users\Thomas\ms.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41666 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 830106 bytes
->Temporary Internet Files folder emptied: 145379977 bytes
->FireFox cache emptied: 51275254 bytes
->Flash cache emptied: 42908 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 2354862271 bytes
->Temporary Internet Files folder emptied: 4038195252 bytes
->Java cache emptied: 3051543 bytes
->FireFox cache emptied: 66012551 bytes
->Flash cache emptied: 110485 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 155648 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 509688150 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6.838,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 10082012_201820
         

Schritt 3:
Code:
ATTFilter
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.10.08.07

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
Thomas :: THOMAS-PC [Administrator]

08.10.2012 20:30:51
mbam-log-2012-10-08 (20-30-51).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225335
Laufzeit: 3 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
__________________

Alt 10.10.2012, 00:39   #4
Swisstreasure
/// Malwareteam
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



  • Starte bitte die OTL.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Kopiere nun den Inhalt in die Textbox.
Code:
ATTFilter
:OTL
[2012.10.01 20:43:49 | 000,180,297 | ---- | C] (Deep side) -- C:\ProgramData\GAMYGtCx.exe
[2012.10.01 20:46:38 | 000,000,112 | ---- | M] () -- C:\ProgramData\q5MvC2.dat
[2012.10.01 20:43:49 | 000,000,001 | ---- | M] () -- C:\ProgramData\GAMYGtCx.exe_.b
[2012.10.01 20:43:49 | 000,000,001 | ---- | M] () -- C:\ProgramData\GAMYGtCx.exe.b
[2012.10.01 20:43:46 | 000,180,297 | ---- | M] (Deep side) -- C:\ProgramData\GAMYGtCx.exe
[2012.10.01 20:44:03 | 000,000,112 | ---- | C] () -- C:\ProgramData\q5MvC2.dat
[2012.10.01 20:43:49 | 000,000,001 | ---- | C] () -- C:\ProgramData\GAMYGtCx.exe_.b
[2012.10.01 20:43:49 | 000,000,001 | ---- | C] () -- C:\ProgramData\GAMYGtCx.exe.b
:Commands
[purity]
[emptytemp]
         
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Alt 10.10.2012, 21:45   #5
modul123
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



Hi,

Hier der Output:
Code:
ATTFilter
 All processes killed
========== OTL ==========
C:\ProgramData\GAMYGtCx.exe moved successfully.
C:\ProgramData\q5MvC2.dat moved successfully.
C:\ProgramData\GAMYGtCx.exe_.b moved successfully.
C:\ProgramData\GAMYGtCx.exe.b moved successfully.
File C:\ProgramData\GAMYGtCx.exe not found.
File C:\ProgramData\q5MvC2.dat not found.
File C:\ProgramData\GAMYGtCx.exe_.b not found.
File C:\ProgramData\GAMYGtCx.exe.b not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
 
User: Thomas
->Temp folder emptied: 40551 bytes
->Temporary Internet Files folder emptied: 101776170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 27756625 bytes
->Flash cache emptied: 971 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4212 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 124,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 10102012_213129

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
Danke für die Hilfe!


Alt 11.10.2012, 00:14   #6
Swisstreasure
/// Malwareteam
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files




ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset




Noch Meldungen?
Läuft die Kiste wieder?

Alt 13.10.2012, 11:30   #7
modul123
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



Code:
ATTFilter
C:\ProgramData\ulrjavhreragudb\main.html	HTML/Ransom.B trojan
C:\Users\All Users\ulrjavhreragudb\main.html	HTML/Ransom.B trojan
C:\_OTL\MovedFiles\10082012_201820\C_ProgramData\rgphoqnz.exe	a variant of Win32/Injector.XKY trojan
C:\_OTL\MovedFiles\10082012_201820\C_Users\Thomas\ms.exe	a variant of Win32/Injector.XKY trojan
C:\_OTL\MovedFiles\10102012_213129\C_ProgramData\GAMYGtCx.exe	a variant of Win32/Kryptik.AMOC trojan
         
Danke

Alt 14.10.2012, 16:20   #8
Swisstreasure
/// Malwareteam
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



Lösche die beiden Ordner:
C:\ProgramData\ulrjavhreragudb
C:\Users\All Users\ulrjavhreragudb

Bestehen noch Probleme?

Alt 22.10.2012, 20:37   #9
modul123
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



der erste ordner ist gelöscht, den zweiten ordner gibt es allerdings nicht. ist das ein problem?

Alt 22.10.2012, 21:20   #10
Swisstreasure
/// Malwareteam
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



Nein Hast Du noch Beschwerden?

Alt 22.10.2012, 23:01   #11
modul123
 
Bundestrojaner - Log Files - Standard

Bundestrojaner - Log Files



nein, alles in ordnung!
herzlichen dank nochmal für die tolle hilfe. hat echt gut funktioniert!
danke

Antwort

Themen zu Bundestrojaner - Log Files
abgesicherte, abgesicherten, abgesicherten modus, bundes, bundestrojaner, file, files, folge, folgende, gesperrt, log, log file, log files, logfiles, modus, problem, rechner, sp2, unterstützung, vista, win, win vista



Ähnliche Themen: Bundestrojaner - Log Files


  1. Log Files Beurteilung: insb. Vorgehen bei Meldung in Log Files "Files to move or delete:..."
    Log-Analyse und Auswertung - 20.05.2014 (15)
  2. O4 - HKLM..\Run: [SearchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSetting
    Mülltonne - 02.07.2012 (0)
  3. Meine Log Files
    Log-Analyse und Auswertung - 07.05.2011 (21)
  4. My Log files ( doppelt )
    Mülltonne - 07.05.2011 (2)
  5. *.exe files auf Wechseldatenträgern
    Plagegeister aller Art und deren Bekämpfung - 16.07.2009 (4)
  6. C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
    Log-Analyse und Auswertung - 31.05.2009 (1)
  7. HJT Log-Files
    Log-Analyse und Auswertung - 17.06.2008 (2)
  8. Log Files
    Log-Analyse und Auswertung - 08.01.2008 (1)
  9. Hijack Lo Files
    Log-Analyse und Auswertung - 08.04.2007 (5)
  10. zip files
    Plagegeister aller Art und deren Bekämpfung - 15.08.2006 (3)
  11. Entpacken von *.da_-Files?
    Alles rund um Windows - 30.01.2006 (10)
  12. .xxx - Files
    Plagegeister aller Art und deren Bekämpfung - 16.11.2005 (1)
  13. hilfe mit den log files
    Log-Analyse und Auswertung - 04.05.2005 (4)
  14. alles *.ink files
    Plagegeister aller Art und deren Bekämpfung - 04.04.2005 (6)
  15. PAR-Files
    Alles rund um Windows - 10.09.2004 (1)

Zum Thema Bundestrojaner - Log Files - Hallo, Habe das Problem, dass mein Rechner (Win Vista SP2) durch den Bundestrojaner gesperrt ist. Habe im abgesicherten Modus folgende Logfiles gezogen. Bitte um eure Unterstützung zur Behebung. Danke. - Bundestrojaner - Log Files...
Archiv
Du betrachtest: Bundestrojaner - Log Files auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.