Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   GVU Trojaner windows 7 und backdoor.dorkbot (https://www.trojaner-board.de/126925-gvu-trojaner-windows-7-backdoor-dorkbot.html)

zickzackmann 13.11.2012 02:55
GVU Trojaner windows 7 und backdoor.dorkbot
 
Hallo zusammen,

ich habe mir die Regeln durchgelesen und hoffe es klappt soweit. Gestern Abend habe ich mir einen sogenannten GVU-Trojaner eingefangen. Ich hab das Lan-Kabel umgehend gezogen, somit war der Rechner noch nicht blockiert, allerdings habe ich nach einenm Neustart mit Kaspersky WindowsUnlocker wieder die Herstellung zum Internet hergesellt. Heute Morgen habe ich das System von Malwarebytes Anti-Maleware scannen lassen:

Malwarebytes Anti-Malware (Trial) 1.65.1.1000
www.malwarebytes.org

Database version: v2012.11.12.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Schwarz :: SCHWARZ-PC [administrator]

Protection: Disabled

12.11.2012 10:54:41
mbam-log-2012-11-12 (10-54-41).txt

Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 356506
Time elapsed: 1 hour(s), 3 minute(s), 48 second(s)

Memory Processes Detected: 1
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1984 -> No action taken.

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 5
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> No action taken.
C:\Users\Schwarz\ms.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Schwarz\AppData\Local\Temp\5491001.Uninstall\Uninstall.exe (Adware.InstallCore) -> Quarantined and deleted successfully.
C:\Users\Schwarz\AppData\Roaming\msconfig.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\plugins\npmieze.dll (PUP.LoadTubes) -> Quarantined and deleted successfully.

Nachdem die betroffenen Datein entfernt wurden, letzter Scan heute:

Malwarebytes Anti-Malware (Trial) 1.65.1.1000
www.malwarebytes.org

Database version: v2012.11.12.02

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Schwarz :: SCHWARZ-PC [administrator]

Protection: Disabled

13.11.2012 01:19:56
mbam-log-2012-11-13 (01-19-56).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 195808
Time elapsed: 6 minute(s), 16 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

In der Zwischenzeit haben sich meinen beiden externen Fesplatten infiziert, die mit dem PC verbunden waren. In beiden Fällen sind die Ordner verschwunden und nur noch Verknüpfungen sichtbar, allerdings kann man über die adresszeile auf die Ordner zugreifen. AVG Internet Security 2013 hat die Verknüpfungen als backdoor.dorkbot identifiziert. die externen Platten habe ich nicht mehr angerührt bzw. angeschlossen. Nun hoffe ich, dass ihr mir helfen könnt und ich meine Daten retten kann. Im Anhang: OTL, Extra und Gmer. Danke im Voraus für eure Mühe

t'john 13.11.2012 03:36
:hallo:

Zitat:
C:\Windows\KMService.exe (RiskWare.Tool.CK) -> No action taken.
Die Benutzung von Cracks und Keygens verstoesst gegen unseren Kodex.

Schon mal darueber nachgedacht, warum es Cracks gibt?
Mit Cracks & Co installiert man sich Hintertueren auf dem Rechner.
Kriminelle nutzen solche Rechner als Botnetz fuer ihre Machenschaften. Dein System ist als nicht vertrauenswuerdig einzustufen und du solltest keine sensiblen Sachen wie Homebanking an dem PC betreiben.

Anleitungen zum Neuaufsetzen (bebildert) > Windows 7 neu aufsetzen > Vista > XP

1. Datenrettung:



2. Formatieren, Windows neu instalieren:



3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.

zickzackmann 13.11.2012 11:52
Danke für die schnelle Antwort. leider müssen manche erst richtig auf die Schnauze fliegen um etwas zu begreifen. Das war mit Sicherheit mein letzter Crack bzw. Keygen. Ich hoffe wirklich sehr, dass ihr mir dennoch helfen könnt.

Ich hab noch ein paar Fragen zum Vorgehen, Alle Daten die ich brauche sind bereits auf den externen Festplatten, allerdings in blassen Ordnern. Muss ich trotzdem eine Datensicherung mit Partet Magic durchführen? Wenn ich Windows neu aufsetze wie kann ich am besten die externen Platten prüfen bzw. säubern ohne die Daten zu verlieren?

Viele Grüße

Michael

t'john 13.11.2012 19:34
Zitat:
Ich hab noch ein paar Fragen zum Vorgehen, Alle Daten die ich brauche sind bereits auf den externen Festplatten, allerdings in blassen Ordnern.
Das ist gut.


Zitat:
Muss ich trotzdem eine Datensicherung mit Partet Magic durchführen?
Nein.

Stoepsle die Platte an und fuehre aus:

ESET Online Scanner

Vorbereitung

  • Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
  • Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
  • Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.
Los geht's

  • Lade und starte Eset Smartinstaller
  • Haken setzen bei YES, I accept the Terms of Use.
  • Klick auf Start.
  • Haken setzen bei Remove found threads und Scan archives.
  • Klick auf Start.
  • Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Finish drücken.
  • Browser schließen.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset






Zitat:
Wenn ich Windows neu aufsetze wie kann ich am besten die externen Platten prüfen bzw. säubern ohne die Daten zu verlieren?
Mit einem normalen Virenscanner.
Das sollte kein Problem sein.

zickzackmann 14.11.2012 09:06
hier die logfile von ESET:


ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=db1484e06f2a4d4ab37378f1f70f4ba7
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-11-14 07:47:40
# local_time=2012-11-14 08:47:40 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT
# compatibility_mode=5893 16776573 100 94 4515 105293301 0 0
# compatibility_mode=8192 67108863 100 0 3697 3697 0 0
# scanned=138905
# found=2
# cleaned=2
# scan_time=24701
C:\Users\Schwarz\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\4BWKQ5G0\download[1].exe a variant of Win32/InstallCore.AY application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Users\Schwarz\AppData\Local\Temp\ICReinstall_download[1].exe a variant of Win32/InstallCore.AY application (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

t'john 14.11.2012 09:51
Hattest du die Platten auch dran?

zickzackmann 14.11.2012 10:18
Die Platten waren auch dran, allerdings hatte ich zuvor im Laufe des Tages beide Platten mit der Kaspersky Rescue Disc gescannt gehabt. Es gab einen Befund der entfernt wurde.

Was kannst du dem Logfile entnehmen?

Nun hab ich folgendes Problem mit den externen Platten: Die versteckten Ordner in denen die Daten waren bzw. sind werden nicht mehr unter Windows angezeigt. Wenn ich aber mit von der Kaspersky Rescue Disc boote, dann habe ich Zugriff auf alle Daten. Was soll ich nun tun?

t'john 14.11.2012 10:23
http://www.trojaner-board.de/59624-a...-sichtbar.html

zickzackmann 14.11.2012 10:34
Soweit so gut. Wenn ich Daten von den externen Platten nun wieder auf den Rechner ziehe , würdest du mir empfehlen die externen Platten zu formatieren oder ist das nicht notwendig?

Ist jetzt eigentlich alles überstanden?

t'john 14.11.2012 11:28
Nicht notwendig.

Zitat:
Ist jetzt eigentlich alles überstanden?
Nach dem Neuaufsetzen, ja!

zickzackmann 14.11.2012 11:41
Dann möchte ich mich hier an dieser Stelle ganz herzlichst bei dir bedanken!!!

Zum Schluß hätte ich noch eine Frage: Mir ist klar, dass es nicht das beste AV-Programm gibt und alle ihre Stärken und Schwächen haben. Dennoch bitte ich um eine Empfehlung. Ich möchte mir ein kostenpflichtiges Internet Security zulegen, und ich kann mich zwischen Kaspersky und Bitdefender nicht entscheiden. Könntest du mir einen Tip geben?

Viele Grüße

t'john 14.11.2012 11:55
Mein Tipp: Microsoft Security Essentials - Microsoft Windows

Es kommt immer auf ein gepflegtes und aktuelles System an, nicht auf den Virenscanner.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:57 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129