Trojaner-Board - 0Access, Ransom und mehr

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - 0Access, Ransom und mehr (https://www.trojaner-board.de/130724-0access-ransom-mehr.html)

0Access, Ransom und mehr

Hallo liebe Trojaner Board Mitglieder,

ich habe mir vor ein paar Tage eine Variante des GVU Trojaner eingefangen, konnte diesen mit MalwareBytes im abgesicherten Modus aber mehr oder weniger entfernen.
Als ich heute mal wieder einen Fullscan gemacht habe hat dies allerdings noch einiges mehr zu Tage gebracht.
Unter anderem wurde mehrere male 0Access, 2 Varianten von Ransom, Zbot und mehr gefunden.

Wobei ich die Dateien die im Mülleimer liegen wohl selbst verursacht habe, da ich vor kurzem meine Zertifikate gelöscht habe, da das Zertifikat für Zune wegen eines Passwortwechsels ungültig geworden war und nicht mehr mit meinem Phone syncen konnte. Dazu musste ich auch den Ordner unter D:\Users\Admin\AppData\Roaming\Microsoft\Crypto\RSA löschen.
Warum einige der Funde dort liegen kann ich nur vermuten, legt Malwarebytes dort evtl. verschlüsselt die Quarantäne Dateien ab?

Außerdem scheinen unter C:\ProgramData\ noch Reste vom GVU Trojaner zu liegen.

Ich würde mich sehr über Unterstützung freuen wie ich alles möglichst sauber und komplett entfernen kann.

P.S.: Musste die OTL.TXT aufsplitten da leider knapp über der erlaubten Größe.

:hallo:

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo und danke schonmal für die schnelle Hilfe.
Unten angehängt die log Dateien.
Ich habe im Anschluss auch nochmal einen Komplett-Scan mit Malwarebytes Anti-Malware gemacht. Dort wird noch ein Eintrag im Papierkorb gefunden und die Eintrage im Java Cache. Die Dateien in C:\ProgramData kann ich auch noch finden.

Sehr gut! :daumenhoc

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

____________ NOTIZ __________________________

Zitat:

HackTool.GamesCheat

D:\$RECYCLE.BIN\S-1-5-21-190892016-662341056-3972724351-1001\$RC4NHHY.exe

Trojan.Ransom.NUM

D:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31\7b6bbdf-50c832c8

Trojan.Zbot.CBCGen

D:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\31de18e0-1bc1d0c2

Trojan.Ransom.Gen

D:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\52d9863c-3bbc7687

Hijack.Trojan.Siredef.C

HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}
HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}

Trojan.0Access

HKCU\SOFTWARE\CLASSES\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\INPROCSERVER32|

Trojan.Siredef.C

c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48\U
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48\L
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\L
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48
c:\$Recycle.Bin\S-1-5-18\$0619aea1582a93e916a593a200989b48\@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\00000004.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\00000008.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\000000cb.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\80000000.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\U\80000064.@
c:\$Recycle.Bin\S-1-5-21-190892016-662341056-3972724351-1001\$0619aea1582a93e916a593a200989b48\L\00000004.@

So soweit problemlos durchgelaufen, im Anschluß mal wieder der obligatorische Malwarebytes Anti-Malware Fullscan.
Laut letzterem sind die Funde im Java Cache noch vorhanden.
Außerdem finde ich in C:\ProgramData noch:

Zitat:

fiewufj1.js
fiewufj1.reg
ezsidmv.dat
dsgsdgdsgdsgw.js

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

:Files

c:\programdata\fiewufj1.js

c:\programdata\fiewufj1.reg

c:\programdata\dsgsdgdsgdsgw.js

:Commands

[emptytemp]

[emptyjava]

[CLEARALLRESTOREPOINTS]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

danach:

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Und hier die nächste Runde Log-Files ;)

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL
 

[2011.11.29 17:14:47 | 000,000,000 | ---D | M] -- D:\Users\Admin\AppData\Roaming\xmldm 

[2011.11.29 17:14:47 | 000,000,000 | ---D | M] -- D:\Users\Admin\AppData\Roaming\UAs 

[2011.11.28 04:11:25 | 000,000,000 | ---D | M] -- D:\Users\Admin\AppData\Roaming\kock 

[2012.07.27 22:06:48 | 000,000,356 | ---- | C] () -- C:\Windows\Cmicnfg8.ini.imi 

[2012.07.27 22:06:48 | 000,011,118 | ---- | C] () -- C:\Windows\Cmicnfg8.ini.cfg 

[2012.07.27 22:06:56 | 000,166,635 | ---- | C] () -- C:\Windows\Cmicnfg8.ini.cfl 

@Alternate Data Stream - 1062 bytes -> C:\ProgramData\Temp:966F7784 

@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:05EE1EEF 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\Admin\*.tmp

C:\Users\Admin\AppData\Local\Temp\*.exe

C:\Users\Admin\AppData\LocalLow\Sun\Java\Deployment\cache

ipconfig /flushdns /c

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.