| |
| |||||||
Log-Analyse und Auswertung: 2 Trojaner aufm pc Turkojan und unbekannt :(Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
22.07.2009, 19:09
| #1 |
 |  2 Trojaner aufm pc Turkojan und unbekannt :( hier der neue In der Datei 'C:\programme\outlook express\xp14.exe' wurde ein Virus oder unerwünschtes Programm 'TR/Dialer.144691' [trojan] gefunden. Ausgeführte Aktion: Datei in Quarantäne verschieben |
|
22.07.2009, 19:20
| #2 | ||||
  | 2 Trojaner aufm pc Turkojan und unbekannt :(Zitat:
 Zitat:
 Zitat:
 Rufe den Taskmanager mit [Strg][Alt][Entf] auf => Klick auf Taskmanager => Karte Prozesse => Suche WindowsUpdate.exe => Mausklick rechts => Prozess beenden Lasse die Datei Zitat:
ciao, andreas
__________________ Geändert von john.doe (22.07.2009 um 19:29 Uhr) |
|
22.07.2009, 19:29
| #3 |
| | 2 Trojaner aufm pc Turkojan und unbekannt :( hier das malewarebytes log
__________________Malwarebytes' Anti-Malware 1.39 Datenbank Version: 2479 Windows 5.1.2600 Service Pack 1 22.07.2009 20:39:40 mbam-log-2009-07-22 (20-39-36).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 224538 Laufzeit: 1 hour(s), 53 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 2 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 1 Infizierte Dateien: 2 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken. HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken. Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Generic Host Process for Win32 Services (Backdoor.Bot) -> No action taken. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\Bifrost (Backdoor.Bifrose) -> No action taken. Infizierte Dateien: C:\WINDOWS\system32\WindowsMsgEx\WindowsUpdate.exe (Backdoor.Bot) -> No action taken. C:\WINDOWS\system32\win32\svchost.exe (Backdoor.Bifrose) -> No action taken. Datei checked: Datei WindowsUpdate.exe empfangen 2009.07.22 18:34:20 (UTC) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 1/41 (2.44%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 1. Geschätzte Startzeit ist zwischen 40 und 57 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.5.0.24 2009.07.22 - AhnLab-V3 5.0.0.2 2009.07.22 - AntiVir 7.9.0.222 2009.07.22 - Antiy-AVL 2.0.3.7 2009.07.22 - Authentium 5.1.2.4 2009.07.22 - Avast 4.8.1335.0 2009.07.22 - AVG 8.5.0.387 2009.07.22 - BitDefender 7.2 2009.07.22 - CAT-QuickHeal 10.00 2009.07.22 - ClamAV 0.94.1 2009.07.22 - Comodo 1733 2009.07.22 - DrWeb 5.0.0.12182 2009.07.22 - eSafe 7.0.17.0 2009.07.21 - eTrust-Vet 31.6.6634 2009.07.22 - F-Prot 4.4.4.56 2009.07.22 - F-Secure 8.0.14470.0 2009.07.22 - Fortinet 3.120.0.0 2009.07.22 - GData 19 2009.07.22 - Ikarus T3.1.1.64.0 2009.07.22 - Jiangmin 11.0.800 2009.07.22 - K7AntiVirus 7.10.799 2009.07.22 - Kaspersky 7.0.0.125 2009.07.22 - McAfee 5684 2009.07.22 - McAfee+Artemis 5684 2009.07.22 - McAfee-GW-Edition 6.8.5 2009.07.22 - Microsoft 1.4903 2009.07.22 - NOD32 4267 2009.07.22 - Norman 6.01.09 2009.07.22 - nProtect 2009.1.8.0 2009.07.22 - Panda 10.0.0.14 2009.07.22 - PCTools 4.4.2.0 2009.07.22 - Prevx 3.0 2009.07.22 - Rising 21.39.24.00 2009.07.22 - Sophos 4.43.0 2009.07.22 Mal/GamePSW-C Sunbelt 3.2.1858.2 2009.07.21 - Symantec 1.4.4.12 2009.07.22 - TheHacker 6.3.4.3.372 2009.07.21 - TrendMicro 8.950.0.1094 2009.07.22 - VBA32 3.12.10.8 2009.07.22 - ViRobot 2009.7.22.1847 2009.07.22 - VirusBuster 4.6.5.0 2009.07.22 - weitere Informationen File size: 73729 bytes MD5...: 4456aea8dfde1edfc05d7fa85780ba54 SHA1..: 190967915cb31dd2ec6256662a464c577a48411a SHA256: 09f3073e334661f75e5e0ae0bf4afe0ee50448be29a983d69cd0a4321f1f9c63 ssdeep: 384:mXI2oVXstkGV7RGhVUxbCR4jV/AB9a6kH/W1xq3UZU9w1xq3UZU9kw:etkU7 LFW4pAB9EfUZU9qZU9/ PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x224b timedatestamp.....: 0x4853c0e8 (Sat Jun 14 13:00:24 2008) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x176b 0x2000 5.02 dedc57697fa7b9189a307eb7d11812be .rdata 0x3000 0x10ca 0x2000 3.42 86b5561120136059778b8cb23148df2e .data 0x5000 0x4d4 0x1000 0.14 736e8bcc590ada821603a677ad2d0ab6 .rsrc 0x6000 0xbe0c 0xc000 4.37 ea973c4df23b679d7749055891235243 ( 6 imports ) > WININET.dll: InternetCloseHandle, FtpPutFileA, InternetConnectA, InternetOpenA > KERNEL32.dll: QueryPerformanceCounter, CreateThread, TerminateThread, Sleep, GetModuleHandleW, GetModuleFileNameA, GetSystemDirectoryA, CreateDirectoryA, CopyFileA, GetTickCount, TerminateProcess, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, GetStartupInfoW, InterlockedCompareExchange, InterlockedExchange, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime > USER32.dll: FindWindowA, GetAsyncKeyState, DefWindowProcW, KillTimer, EndPaint, BeginPaint, CreateWindowExW, RegisterClassExW, DispatchMessageW, TranslateMessage, GetMessageW, SetTimer, PostQuitMessage > ADVAPI32.dll: RegQueryValueExA, RegCloseKey, RegSetValueExA, RegOpenKeyExA > MSVCP80.dll: __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBDABV10@@Z, __$_HDU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_AV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@ABV10@PBD@Z, __$_9DU_$char_traits@D@std@@V_$allocator@D@1@@std@@YA_NABV_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@0@PBD@Z, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@ABV01@@Z, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __0_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@PBD@Z, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __4_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV01@PBD@Z > MSVCR80.dll: __p__commode, __p__fmode, __set_app_type, _crt_debugger_hook, _except_handler4_common, __CxxFrameHandler3, _controlfp_s, _invoke_watson, __3@YAXPAX@Z, fopen, fputs, fclose, fputc, atoi, __2@YAPAXI@Z, _unlock, _encode_pointer, __dllonexit, _lock, _onexit, _decode_pointer, _amsg_exit, __wgetmainargs, _cexit, _exit, _XcptFilter, exit, _wcmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv ( 0 exports ) PDFiD.: - RDS...: NSRL Reference Data Set - |
|
22.07.2009, 19:40
| #4 |
| | 2 Trojaner aufm pc Turkojan und unbekannt :( Bifrost ist auch ein RAT, der scheint euer komplettes Netzwerk gekapert zu haben. Den Rechner kannst du auch Neuaufsetzen. Lade die Datei bitte hoch und schicke mir den Link. Die Antivirenprogramme erkennen den nicht, ich werde die Datei an die AVP-Hersteller schicken, damit sie die in Zukunft erkennen. Du hast noch einen dritten Rechner erwähnt, den werden wir als nächstes kontrollieren. Erstelle zuerst die RSIT-Logs. ciao, andreas
__________________ Kein Support per PN! Das ist hier ein Forum und keine Privatbetreuung! Für alle NeuenPrivatbetreuung nur gegen Bezahlung und ich koste sehr teuer. Anleitungen Virenscanner Kompromittierung unvermeidbar? |
|
22.07.2009, 19:41
| #5 |
| | 2 Trojaner aufm pc Turkojan und unbekannt :( scheiße müssen wir den rechner wirklich neu aufsetzen geht das nicht anders? |
|
22.07.2009, 19:43
| #6 |
| | 2 Trojaner aufm pc Turkojan und unbekannt :( Wir können es versuchen, aber das wird mindestens 3 Tage dauern, eher länger. Lasse erstmal alle Funde von Malwarebytes löschen, nachdem du die Datei hochgeladen hast. Deine Eltern sollen sich vorher aber das hier durchlesen: http://en.wikipedia.org/wiki/Bifrost_(trojan_horse) ciao, andreas
__________________ --> 2 Trojaner aufm pc Turkojan und unbekannt :( |
|
22.07.2009, 19:52
| #7 |
| | 2 Trojaner aufm pc Turkojan und unbekannt :( Oh ne der 3 PC is nich so wichtig der is sau alt da is garnix drauf den kann ich neu aufsetzen oder müssen wir da noch was entfernen? Geändert von Luky-XXL (22.07.2009 um 20:00 Uhr) |
|
| Themen zu 2 Trojaner aufm pc Turkojan und unbekannt :( |
| adobe, auswerten, avira, bho, defender, desktop, explorer, fehler, firefox, firewall, hijack, hosten, internet, internet explorer, launch, mozilla, plug-in, programdata, programm, rundll, senden, software, system, trojaner, virus, vista, windows, wmp |
Hybrid-Darstellung
