Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Facebook Virus 'TR/Crypt.EPACK.Gen2' und 'TR/ATRAPS.Gen' (https://www.trojaner-board.de/104120-facebook-virus-tr-crypt-epack-gen2-tr-atraps-gen.html)

EddiRockt 13.10.2011 19:54
Facebook Virus 'TR/Crypt.EPACK.Gen2' und 'TR/ATRAPS.Gen'
 
Hallo,
meine Frau hat gestern bei Facebook eine Nachricht mit einem Link zu einem Foto erhalten. Weil es von ihrer Cousine war, hat sie draufgeklickt und dann ging es los. Es war ein Trojaner...
Nun versuche ich schon die ganze Zeit, das Ding wieder loszuwerden. Ich hoffe, hier kann mir geholfen werden.
Der Trojaner zeigt sich so, dass er am Anfang Nachrichten über Facebook verschickt hat, auch mit einem Link, damit die Leute darauf klicken. Außerdem öffnen sich öfters andere Seiten als die, die ich in meinem Browser anklicke. Ich vermute, dass das auch von diesem Virus kommt. Bevor ich auf Trojaner-Board gestoßen bin, habe ich schon einige Dinge versucht (und hoffentlich nichts damit vertschlimmert). Ich habe einen vollständigen Scan mit Antivir machen lassen. Der aller erste Fund war: 'EXP/CVE-2011-2414.D'. Das habe ich in Quarantäne verschonben und gedacht es sei gut...
War es aber nicht. Deswegen habe ich SpyBot durchlaufen lassen, aber der hat nichts besonderes gefunden. Nur ein Cookie... Danach habe ich auch Malewarebytes durchlaufen lassen und das System damit bereinigt. Hier der Bericht:
Code:
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7934

Windows 6.1.7601 Service Pack 1
Internet Explorer 8.0.7601.17514

13.10.2011 08:27:39
mbam-log-2011-10-13 (08-27-39).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 178218
Laufzeit: 2 Minute(n), 36 Sekunde(n)

Infizierte Speicherprozesse: 2
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> 484 -> Unloaded process successfully.
c:\Users\Eddi\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> 2420 -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft® Windows Update (Trojan.Agent) -> Value: Microsoft® Windows Update -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\Windows\kmservice.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\Users\Eddi\AppData\Local\Temp\2077532.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Eddi\m-1-52-5782-8752-5245\winsvc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ich hoffe, ich habe das nicht zu übereilt gelöscht und es damit verschlimmert...

EddiRockt 13.10.2011 19:57
Hier ist der nächste Teil...


Irgendwann bin ich dann auf Trojaner-Board gestoßen und habe Superantispyware entdeckt. Das habe ich auch durchlaufen lassen und das System damit bereinigt. Der hatte einiges gefunden...
Hier wieder der Bericht:
Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/13/2011 at 09:52 AM

Application Version : 5.0.1132

Core Rules Database Version : 7790
Trace Rules Database Version: 5602

Scan type      : Quick Scan
Total Scan Time : 00:05:14

Operating System Information
Windows 7 Home Premium 32-bit, Service Pack 1 (Build 6.01.7601)
UAC On - Limited User

Memory items scanned      : 665
Memory threats detected  : 0
Registry items scanned    : 30395
Registry threats detected : 0
File items scanned        : 7859
File threats detected    : 118

Adware.Tracking Cookie
        .e-2dj6aekokidpmfo.stats.esomniture.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .e-2dj6wnmyoid5mgo.stats.esomniture.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        wstat.wibiya.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        counters.gigya.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .mediafire.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .imrworldwide.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        stat.aldi.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        stat.aldi.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .stat.youku.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .lstat.youku.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .lstat.youku.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        dc.tremormedia.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        track.webtrekk.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .dmtracker.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .s.clickability.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .s.clickability.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .liveperson.net [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .xiti.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        tracking.bmbfcluster.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        s2.trafficmaxx.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .checkstat.nl [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .checkstat.nl [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .gostats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .liveperson.net [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .oddsfinder.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .oddsfinder.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        secure.discountlens.ch [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        secure.discountlens.ch [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.discountlens.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .discountlens.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.discountlens.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .discountlens.ch [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        secure.discountlens.ch [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .e-2dj6wfl4aicpokp.stats.esomniture.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www9.addfreestats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .tracking.quisma.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        tracking.quisma.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .doubleclick.net [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        int.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        int.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        tracking.statravel.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .emeraldinsight.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .countomat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .insight.youtube.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .partypoker.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .partypoker.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .partypoker.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        stats.ringingspurs.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        s09.flagcounter.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        s03.flagcounter.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .phonestation.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .phonestation.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .liveperson.net [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .stats.paypal.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        ad.zanox.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .overture.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .overture.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .adfarm1.adition.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .4stats.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .4stats.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        clicks.pangora.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        clicks.pangora.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .zieltrack.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        11.zieltrack.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .ddl-warez.in [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .ddl-warez.in [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .liveperson.net [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .rambler.ru [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .yadro.ru [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .trackalyzer.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .histats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        de.sitestat.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .getclicky.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .static.getclicky.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        in.getclicky.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .webmasterplan.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .webmasterplan.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .tripod.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.qsstats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.qsstats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .histats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .histats.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        tracking.sim-technik.de [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .affiliates.commissionaccount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .affiliates.commissionaccount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        stats.justhost.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .mediafire.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .mediafire.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .mediafire.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        accounts.youtube.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        accounts.google.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.smsdiscount.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        accounts.google.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        accounts.google.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .invitemedia.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.pixeltrack66.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        www.pixeltrack66.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]
        .bizzclick.com [ C:\USERS\EDDI\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\766YNF74.DEFAULT\COOKIES.SQLITE ]

Trojan.Agent/Gen-OnlineGames
        C:\USERS\EDDI\DESKTOP\PROGRAMME\TUNEUP UTILITIES 2010 V9.0.4600 GERMAN INKL.KEYGEN\TUNEUP2010-KEYGEN-PAKET\TUNEUP2010-CORE.EXE

markusg 13.10.2011 19:58
hi,
1. es ist nicht die schuld eurer verwanten, zumindest hat sie das nicht mit absicht gemacht.
ich möchte dich daher um folgendes bitten.
informiere sie bitte, dass sie malware auf dem pc hat (trojaner).
sie möge sich, wenn sie hilfe benötigt, hier melden.
außerdem muss sie alle ihre kontakte informieren, denn diese haben ebenfalls den selben link erhalten.
wenn einer dieser kontakte den link geöffnet hat bzw die datei ausgeführt ist er ebenfalls betroffen und kann sich hier melden, außerdem muss er seine kontakte informieren, usw.usw.
das heißt natürlich, auch du musst deinen kontakten bescheid sagen.
kannst du mal in den nachichtenverläufen prüfen, welche links du versendet hast, und mir diese als private nachicht zukommen lassen?
auch den original link von der verwanten deiner frau.

EddiRockt 13.10.2011 20:02
Den Rest schicke ich als Zip hinterher... Denn irgendwie klappt das nicht, ich glaube, das ist alles zu groß und zu lang

EddiRockt 13.10.2011 20:06
Zitat:
außerdem muss sie alle ihre kontakte informieren, denn diese haben ebenfalls den selben link erhalten.
Das habe ich gemacht. Die sollten wissen, dass Sie nicht da drauf klicken sollen und dass das ein Virus ist...

markusg 13.10.2011 20:09
ja, aber deine verwannte muss auch bescheid bekommen, und ihrer seits informieren.

EddiRockt 13.10.2011 20:12
Nach all dem ist es etwas besser geworden. Wenn ich bei Facebook online bin, werden keine Nachrichten merh verschickt. Das ist schon mal sehr gut. Doch Antivir hat mir ständig gemeldet, dass Trojaner da sind. 'TR/Crypt.EPACK.Gen2' und 'TR/ATRAPS.Gen'.
Doch auf einmal hat das aufgehört. Jetzt bin ich unsicher, woran das liegt. Ob Antivir das nicht mehr findet oder ob das wirklich weg ist oder ob nur die Symptome abgeklungen sind... Ich bin mir sehr unsicher und vermute, dass das Virus immer noch auf meinem Pc ist. Deswegen habe ich laut Anleitung die verschiedenen Analysen gemacht und hoffe, dass da einer draus schlau wird....

und zu guter letzt Gmer.txt. (dieser log ist aber nicht vollständig. ich habe das Ding 2,5 Stunden laufen lassen und das wurde nie fertig. das kam mir irgendwie komisch vor. deswegen habe ich abgebrochen...) Deswegen hier das, was Gmer bis dahin rausgefunden hat:


SO hier die log files. die waren wahrscheinlich zu groß...

EddiRockt 13.10.2011 20:15
So...jetzt hat alles geklappt...

markusg 13.10.2011 20:17
ok dann schau jetzt im nachichtenverlauf nach den links und send sie mir bitte als private nachicht.

EddiRockt 13.10.2011 20:19
Zitat:
Zitat von markusg (Beitrag 709156)
ja, aber deine verwannte muss auch bescheid bekommen, und ihrer seits informieren.
Das war wohl ein Missverständnis. Ich habe allen Bescheid gesagt und gewarnt. sogar bei Facebook gepostet, für alle sichtbar. Das Ding ist nämlich echt nervig und ich will nicht, dass das noch irgendwer bekommt...

markusg 13.10.2011 20:33
ja, ich versuche auch im moment die hoster zu informieren, nur bei der ersten url will keiner antworten :d bin da noch am suchen obs noch weitere stellen gibt die ich informieren kann.
häufig kann man die urls vom netz nehmen lassen, aber einigen hostern ist das wurscht.
macht ihr online einkäufe banking etc mit dem pc?

EddiRockt 13.10.2011 20:35
Zitat:
Zitat von markusg (Beitrag 709165)
macht ihr online einkäufe banking etc mit dem pc?
ja...habe aber seitdem nichts davon gemacht. Soll ich irgendwelche Sicherheitsmaßnahmen treffen?

markusg 13.10.2011 20:43
hi, da du nen backdoor auf dem system hast, würd ich daten sichern, formatieren, neu aufsetzen und den pc absichern.
zum neu aufsetzen bekommst du ne anleitung und auch zum absichern des pcs

EddiRockt 13.10.2011 20:45
Zitat:
Zitat von markusg (Beitrag 709168)
hi, da du nen backdoor auf dem system hast, würd ich daten sichern, formatieren, neu aufsetzen und den pc absichern.
zum neu aufsetzen bekommst du ne anleitung und auch zum absichern des pcs
Also gibt es keinen anderen Weg?

Und ach ja, wenn ich ne externe Festplatte anschließe, um die Sachen zu sichern, kann ich mir dann sicher sein, dass ich den Trojaner nicht mit da drauf kopiere?

EddiRockt 13.10.2011 20:58
Zitat:
Zitat von markusg (Beitrag 709168)
zum neu aufsetzen bekommst du ne anleitung und auch zum absichern des pcs
WO finde ich denn so ne Anleitung für Windows 7? Ich hab sowas nämlich noch nicht gemacht...


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:30 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131