| |
| |||||||
Log-Analyse und Auswertung: GVU / Bundestrojaner auf Win7-PC (Standrechner)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
24.07.2013, 00:50
| #8 |
| |  GVU / Bundestrojaner auf Win7-PC (Standrechner) Hello, bin leider die ganze Woche wieder unterwegs, insofern wirds in den kommenden Tagen wohl nix mit dem FRST scan  Da unser Timing betreffend der online-Zeiten am Wochenende ein bisschen unglücklich verlaufen ist, hab ich am Montag noch ein paar Scans mit hier oft verwendeten Programmen durchgeführt, die keine custom-Fixes verlangen.. AdwCleaner: Code:
ATTFilter # AdwCleaner v2.306 - Datei am 22/07/2013 um 11:45:00 erstellt
# Aktualisiert am 19/07/2013 von Xplode
# Betriebssystem : Windows 7 Home Premium Service Pack 1 (32 bits)
# Benutzer : admin - AKOYA
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\admin\Desktop\adwcleaner.exe
# Option [Löschen]
**** [Dienste] ****
***** [Dateien / Ordner] *****
Ordner Gelöscht : C:\Program Files\Common Files\DVDVideoSoft\TB
Ordner Gelöscht : C:\ProgramData\boost_interprocess
***** [Registrierungsdatenbank] *****
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
***** [Internet Browser] *****
-\\ Internet Explorer v10.0.9200.16635
[OK] Die Registrierungsdatenbank ist sauber.
*************************
AdwCleaner[R1].txt - [1382 octets] - [22/07/2013 11:29:49]
AdwCleaner[R2].txt - [1442 octets] - [22/07/2013 11:38:19]
AdwCleaner[S1].txt - [1375 octets] - [22/07/2013 11:45:00]
########## EOF - C:\AdwCleaner[S1].txt - [1435 octets] ##########
MBAM: Code:
ATTFilter Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Datenbank Version: v2013.07.22.02 Windows 7 Service Pack 1 x86 NTFS Internet Explorer 10.0.9200.16635 admin :: AKOYA [Administrator] 22.07.2013 11:59:15 mbam-log-2013-07-22 (11-59-15).txt Art des Suchlaufs: Quick-Scan Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 274269 Laufzeit: 8 Minute(n), 32 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 2 C:\Users\Birgit\AppData\Local\Temp\rpdoknktsnwamqdunws.bfg (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. C:\Users\Birgit\AppData\Local\Temp\ineydeqhkhiaapdyrre.bfg (Trojan.FakeMS) -> Erfolgreich gelöscht und in Quarantäne gestellt. (Ende) und dann noch GMER drüberlaufen gelassen, natürlich nix in Eigenregie gelöscht und genau nach Anleitung (IAT/EAT und "show all" unchecked, quickscan) keine Warnmeldung beim Starten des Programms. GMER log Code:
ATTFilter GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-07-22 13:50:24
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 WDC_WD15EARS-00Z5B1 rev.80.00A80 1397,27GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\admin\AppData\Local\Temp\ugtdrpob.sys
---- Kernel code sections - GMER 2.1 ----
.text ntkrnlpa.exe!ZwRollbackEnlistment + 140D 8305A9F5 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 830941F2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text C:\Windows\system32\DRIVERS\atipmdag.sys section is writeable [0x9260E000, 0x2D293E, 0xE8000020]
---- User code sections - GMER 2.1 ----
.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1896] kernel32.dll!SetUnhandledExceptionFilter 7754F4FB 4 Bytes [C2, 04, 00, 00]
---- Devices - GMER 2.1 ----
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys
AttachedDevice \FileSystem\fastfat \Fat eamon.sys
---- Disk sectors - GMER 2.1 ----
Disk \Device\Harddisk0\DR0 unknown MBR code
---- EOF - GMER 2.1 ----
Ich hoffe, mit meinem eigenständigen Vorgehen nicht irgendwie Deine "Autorität untergraben" oder irgendwas verbockt zu haben... dachte mir halt, mit MBAM, AdwClnr und GMER im reinen Lesebetrieb kann nicht wirklich viel schief gehen und hab ein paar Logs aufm Stick, die wir ohnehin vielleicht noch benötigen werden, und geht ja auch nicht gerade im Handumdrehen... also vielleicht kannst Du's Dir ja kurz durchsehen, bis ich den FRST hab. Vielen Dank + LG hot |
| Themen zu GVU / Bundestrojaner auf Win7-PC (Standrechner) |
| adobe, adobe reader xi, antivirus, autorun, bho, bonjour, browser, computer, defender, desktop, error, eset nod32, excel, firefox, flash player, format, ftp, helper, home, install.exe, logfile, photoshop, plug-in, realtek, registry, rundll, security, server, software, tablet |
Baum-Darstellung