Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: 0Access, Ransom und mehr

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 06.02.2013, 22:51   #1
groundhog
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Hallo liebe Trojaner Board Mitglieder,

ich habe mir vor ein paar Tage eine Variante des GVU Trojaner eingefangen, konnte diesen mit Malwarebytes im abgesicherten Modus aber mehr oder weniger entfernen.
Als ich heute mal wieder einen Fullscan gemacht habe hat dies allerdings noch einiges mehr zu Tage gebracht.
Unter anderem wurde mehrere male 0Access, 2 Varianten von Ransom, Zbot und mehr gefunden.

Wobei ich die Dateien die im Mülleimer liegen wohl selbst verursacht habe, da ich vor kurzem meine Zertifikate gelöscht habe, da das Zertifikat für Zune wegen eines Passwortwechsels ungültig geworden war und nicht mehr mit meinem Phone syncen konnte. Dazu musste ich auch den Ordner unter D:\Users\Admin\AppData\Roaming\Microsoft\Crypto\RSA löschen.
Warum einige der Funde dort liegen kann ich nur vermuten, legt Malwarebytes dort evtl. verschlüsselt die Quarantäne Dateien ab?

Außerdem scheinen unter C:\ProgramData\ noch Reste vom GVU Trojaner zu liegen.

Ich würde mich sehr über Unterstützung freuen wie ich alles möglichst sauber und komplett entfernen kann.

P.S.: Musste die OTL.TXT aufsplitten da leider knapp über der erlaubten Größe.
Angehängte Dateien
Dateityp: txt Extras.Txt (45,7 KB, 168x aufgerufen)
Dateityp: txt MBAM-log-2013-02-06 (21-29-36).txt (4,4 KB, 153x aufgerufen)
Dateityp: txt gmer.txt (90,0 KB, 147x aufgerufen)
Dateityp: txt OTL_Teil2.Txt (97,6 KB, 183x aufgerufen)
Dateityp: txt OTL_Teil1.Txt (1,2 KB, 146x aufgerufen)

Alt 07.02.2013, 00:08   #2
t'john
/// Helfer-Team
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr





Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


danach:

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).
__________________

__________________

Alt 09.02.2013, 16:41   #3
groundhog
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Hallo und danke schonmal für die schnelle Hilfe.
Unten angehängt die log Dateien.
Ich habe im Anschluss auch nochmal einen Komplett-Scan mit Malwarebytes Anti-Malware gemacht. Dort wird noch ein Eintrag im Papierkorb gefunden und die Eintrage im Java Cache. Die Dateien in C:\ProgramData kann ich auch noch finden.
__________________
Angehängte Dateien
Dateityp: txt AdwCleaner[S1].txt (1,4 KB, 138x aufgerufen)
Dateityp: txt MBAM-log-2013-02-09 (17-14-20).txt (2,7 KB, 146x aufgerufen)
Dateityp: txt mbar-log-2013-02-09 (15-37-20).txt (5,9 KB, 157x aufgerufen)
Dateityp: txt mbar-log-2013-02-09 (16-03-44).txt (2,0 KB, 130x aufgerufen)
Dateityp: txt mbar-log-2013-02-09 (16-21-19).txt (1,8 KB, 150x aufgerufen)

Alt 09.02.2013, 19:15   #4
t'john
/// Helfer-Team
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Sehr gut!


Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



____________ NOTIZ __________________________
Zitat:
HackTool.GamesCheat
D:\$RECYCLE.BIN\S-1-5-21-190892016-662341056-3972724351-1001\$RC4NHHY.exe
Trojan.Ransom.NUM
D:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\7b6bbdf-50c832c8
Trojan.Zbot.CBCGen
D:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\31de18e0-1bc1d0c2
Trojan.Ransom.Gen
D:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\52d9863c-3bbc7687
Hijack.Trojan.Siredef.C
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}
Trojan.0Access
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32|
Trojan.Siredef.C
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48\U
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48\L
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\L
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48\@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\00000004.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\00000008.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\000000cb.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\80000000.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\80000064.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\L\00000004.@
__________________
Mfg, t'john
Das TB unterstützen

Alt 10.02.2013, 12:27   #5
groundhog
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



So soweit problemlos durchgelaufen, im Anschluß mal wieder der obligatorische Malwarebytes Anti-Malware Fullscan.
Laut letzterem sind die Funde im Java Cache noch vorhanden.
Außerdem finde ich in C:\ProgramData noch:
Zitat:
fiewufj1.js
fiewufj1.reg
ezsidmv.dat
dsgsdgdsgdsgw.js

Angehängte Dateien
Dateityp: txt ComboFix.txt (16,1 KB, 173x aufgerufen)
Dateityp: txt MBAM-log-2013-02-10 (13-07-24).txt (2,5 KB, 136x aufgerufen)

Alt 10.02.2013, 18:16   #6
t'john
/// Helfer-Team
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL
:Files
c:\programdata\fiewufj1.js
c:\programdata\fiewufj1.reg
c:\programdata\dsgsdgdsgdsgw.js
:Commands
[emptytemp]
[emptyjava]
[CLEARALLRESTOREPOINTS]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread



danach:


Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers



danach:


Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

  • Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Wähle Scanne Alle Benuzer
  • Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
  • Unter Extra Registrierung, wähle bitte Benutze SafeList
  • Klicke nun auf Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles hier in den Thread.
__________________
--> 0Access, Ransom und mehr

Alt 11.02.2013, 16:02   #7
groundhog
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Und hier die nächste Runde Log-Files
Angehängte Dateien
Dateityp: log 02102013_205757.log (3,6 KB, 169x aufgerufen)
Dateityp: txt Extras.Txt (60,0 KB, 155x aufgerufen)
Dateityp: txt OTL1.Txt (9,9 KB, 176x aufgerufen)
Dateityp: txt OTL2.Txt (82,5 KB, 150x aufgerufen)
Dateityp: txt mbar-log-2013-02-10 (21-26-30).txt (1,8 KB, 137x aufgerufen)
Dateityp: txt mbam-log-2013-02-10 (22-05-35).txt (1,9 KB, 128x aufgerufen)

Alt 11.02.2013, 18:01   #8
t'john
/// Helfer-Team
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Fixen mit OTL

  • Starte bitte die OTL.exe.
  • Kopiere nun den Inhalt aus der Codebox in die Textbox.
Code:
ATTFilter
:OTL

[2011.11.29 17:14:47 | 000,000,000 | ---D | M] -- D:\Users\Admin\AppData\Roaming\xmldm 
[2011.11.29 17:14:47 | 000,000,000 | ---D | M] -- D:\Users\Admin\AppData\Roaming\UAs 
[2011.11.28 04:11:25 | 000,000,000 | ---D | M] -- D:\Users\Admin\AppData\Roaming\kock 
[2012.07.27 22:06:48 | 000,000,356 | ---- | C] () -- C:\Windows\Cmicnfg8.ini.imi 
[2012.07.27 22:06:48 | 000,011,118 | ---- | C] () -- C:\Windows\Cmicnfg8.ini.cfg 
[2012.07.27 22:06:56 | 000,166,635 | ---- | C] () -- C:\Windows\Cmicnfg8.ini.cfl 
@Alternate Data Stream - 1062 bytes -> C:\ProgramData\Temp:966F7784 
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:05EE1EEF 

:Files 
C:\ProgramData\*.exe
C:\ProgramData\*.dll
C:\ProgramData\*.tmp
C:\ProgramData\TEMP
C:\Users\Admin\*.tmp
C:\Users\Admin\AppData\Local\Temp\*.exe
C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache
ipconfig /flushdns /c
:Commands
[emptytemp]
         
  • Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
  • Schließe bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread



danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html
__________________
Mfg, t'john
Das TB unterstützen

Alt 16.04.2013, 16:59   #9
t'john
/// Helfer-Team
 
0Access, Ransom und mehr - Standard

0Access, Ransom und mehr



Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html


Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu 0Access, Ransom und mehr
access, board, eingefangen, gelöscht, hacktool.gamescheat, hijack.trojan.siredef.c, komplett, komplett entfernen, malwarebytes, microsoft, nicht mehr, quarantäne, riskware.tool.ck, roaming, trojan.0access, trojan.dropper.bcminer, trojan.ransom.gen, trojan.ransom.num, trojan.siredef.c, trojan.zbot.cbcgen, trojaner, trojaner board, variante, verursacht, zbot, zertifikate



Ähnliche Themen: 0Access, Ransom und mehr


  1. Trojan.Siredef.C / Trojan.0Access / Rootkit.0Access
    Plagegeister aller Art und deren Bekämpfung - 12.05.2014 (9)
  2. Windows XP Professional: Computer bootet nicht mehr nach Mehrfachinfektion mit Ransom-Trojanern
    Plagegeister aller Art und deren Bekämpfung - 07.09.2013 (11)
  3. Win 7 64 Bit Trojan.0Access
    Log-Analyse und Auswertung - 10.08.2013 (9)
  4. Ransom-Trojaner eingefangen. Nichts geht mehr. Computer gesperrt.
    Plagegeister aller Art und deren Bekämpfung - 16.06.2013 (23)
  5. Trojan.Ransom.SUGen/PUM.Hijack.StartMenu/und Trojan Ransom
    Plagegeister aller Art und deren Bekämpfung - 16.04.2013 (2)
  6. Vista: Trojan.Ransom.Gen; Trojan.0Access; Trojan.Agent; Firewall inaktiv
    Plagegeister aller Art und deren Bekämpfung - 28.03.2013 (3)
  7. Rootkit.0Access was tun ?
    Plagegeister aller Art und deren Bekämpfung - 17.03.2013 (2)
  8. Trojaner ( TR/ransom.foreign.acdb.1) von Avira entdeckt, Outlook funktioniert nicht mehr, PC langsam
    Plagegeister aller Art und deren Bekämpfung - 19.02.2013 (2)
  9. Syshost, 0Access....
    Plagegeister aller Art und deren Bekämpfung - 06.12.2012 (9)
  10. Trojan.Ransom.ANC - Browser funktioniert nicht mehr - Virenprogramme funktionieren nicht mehr
    Log-Analyse und Auswertung - 30.10.2012 (2)
  11. Trojan.Banker, Trojan.0Access, Rootkit.0access in Malwarebytes- Log
    Log-Analyse und Auswertung - 24.10.2012 (5)
  12. Hilfe Virus! Internet tot!Trojan.Ransom.FGen Trojan.0Access
    Log-Analyse und Auswertung - 07.10.2012 (13)
  13. Bei Downloads 8 Trojaner eingefangen - "Siredef-Downloader-FakeMS-0Access-Ransom FGen
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (3)
  14. Rootkit.0Access
    Plagegeister aller Art und deren Bekämpfung - 01.09.2012 (1)
  15. Bekomme das Rootkit.0access nicht mehr weg
    Log-Analyse und Auswertung - 03.08.2012 (2)
  16. TR/Ransom.294912 (Antivir) / Trojan-Ransom.Win32.Gimemo.vyp (Kaspersky)
    Log-Analyse und Auswertung - 20.07.2012 (18)
  17. gema.exe, Ransom.EJ.110 und viele mehr
    Log-Analyse und Auswertung - 24.03.2012 (1)

Zum Thema 0Access, Ransom und mehr - Hallo liebe Trojaner Board Mitglieder, ich habe mir vor ein paar Tage eine Variante des GVU Trojaner eingefangen, konnte diesen mit Malwarebytes im abgesicherten Modus aber mehr oder weniger entfernen. - 0Access, Ransom und mehr...
Archiv
Du betrachtest: 0Access, Ransom und mehr auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.