Trojaner-Board
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   sbcvvhost_win86 Trojaner (https://www.trojaner-board.de/107125-sbcvvhost_win86-trojaner.html)

Mosk 28.12.2011 22:09
sbcvvhost_win86 Trojaner
 
Hallo Leute,

hoffe es sitzt noch gerade jmd am PC und kann mir bei meinem kleinem großem Problem helfen. Ich hab mir nen Trojaner eingefangen und komm nicht mehr ins System.
nun bin ich genau im Klausurenblock und brauch so schnell wie möglich meine Daten wieder....

ich hab das selbe Problem schon bei euch gefunden: http://www.trojaner-board.de/106759-...blockiert.html

kann damit aber reichlich wenig anfangen.
Folgendes hab ich schon gemacht:

hab mir die OTL.EXE auf nen stick gepackt. hab den pc mit eingabeaufforderung gestartet hab "copy E:\OTL.EXE" eingegeben (1 Datei(en) kopiert.) und nun ja, jetzt steh ich absolut auf dem schlauch wie ich die datei starten soll....

mfg Peter

EDIT: habs nun starten können, und nach der Anleitung Gescant. Alles Schön und gut, nur sind die dateien die ich bekommen LEER :/

Chris4You 29.12.2011 09:11
Hi,

einfach starten durch Eingabe von otl in dem Fenster... Er sollte sie dahin kopiert haben, wo die Eingabekonsole steht (im selben Verzeichnis)...

Du kannst Otl auch durch die Eingabe von E:\otl direkt starten...
Das Log sollte dann auf dem Stick landen...

chris

Mosk 29.12.2011 09:45
Hey guten morgen,

danke für die Antwort. Scheinen ja einige sich mit dem Trojaner rumzuschlagen....
okay hab die OTL.EXE gestartet bekommen (danke :D). Nun hab ich alles so eingestellt wie es in dem anderen Thread beschrieben war. Nur leider sind die 2 txt dateien ohne inhalt :/

Chris4You 29.12.2011 10:08
Hi,

wo hat er sie abgelegt?
Wie hast Du otl eingestellt?
  • Doppelklick auf die OTL.exe
  • Vista/Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt (OTL.TXT und EXTRAS.TXT)
  • Poste die Logfiles hier in den Thread


chris

Mosk 29.12.2011 10:11
nunja da ich ja kein klassisches windows menu hab sondern nur die eingabeaufforderung hab ich keine ahnung wo er das ablegt....
ich habe alle auf "Benutze Safelist" stehen dann die LOP Prüfung und Purity Prüfung an. dann Scan und es öffnen sich 2 leere txt dokumente im bildschirm :/

Chris4You 29.12.2011 10:28
Hi,

probieren wir es nochmal, Du hst Windowsin den abgesicherten Modus mit Eingabeaufforderung gestartet, E-ist Dein USB-Stick

mit copy E:\OTL.exe . (beachte den Punkt) wir die Exe auf die Festplattekopiert (gib mal cd in dei Eingabeaufforderung ein, dann zeigt er dir Laufwerk und Verzeichns, mit dir kannst Du dir den Inhalt anzeigen lassen, da sollte dann auch die otl.exe angezeigt werden.

Jetzt die OTL.exe starten und so einstellen wie angegeben...

chris

Mosk 29.12.2011 10:38
Zitat:
Zitat von Chris4You (Beitrag 743631)
Hi,

probieren wir es nochmal, Du hst Windowsin den abgesicherten Modus mit Eingabeaufforderung gestartet, E-ist Dein USB-Stick
das ist richtig

Zitat:
Zitat von Chris4You (Beitrag 743631)
mit copy E:\OTL.exe . (beachte den Punkt) wir die Exe auf die Festplattekopiert
hab ich gemacht, dann steht da ersetzen? ja nein vielleicht :D
ich hab ja eingegeben, er hats ersetzt.

Zitat:
Zitat von Chris4You (Beitrag 743631)
(gib mal cd in dei Eingabeaufforderung ein, dann zeigt er dir Laufwerk und Verzeichns
C:\windows\system32

Zitat:
Zitat von Chris4You (Beitrag 743631)
, mit dir kannst Du dir den Inhalt anzeigen lassen, da sollte dann auch die otl.exe angezeigt werden.
nunja da ekomm ich ne suuuuuper lange Liste welche alphabetisch geordnet ist (leider kann ich nur bis "X" hoch scrollen und somit OTL nicht finden)

Zitat:
Zitat von Chris4You (Beitrag 743631)
Jetzt die OTL.exe starten und so einstellen wie angegeben...
Eingestellt hab ich:
Inklusive 64 bit scans
Prozesse, Module, Dienste, Treiber, Standart-Regestrierung, Extra-Registrierung auf "Benutze SafeList"
Datei Scans:
Alter 30Tage
Use No-Company-Name Ehitelist
Dateien Erstellt innerhalb "Datei Alter"
Dateien verändert innehalt "Datei-Alter"

LOP Prüfung an
Purity Prüfung an.

und minimal Ausgabe

Peter

PS Version von OTL: 3.2.31.0

TXT Datei nach wie vor Leer :/

PSS: liegt es daran dass die OTL exe nicht auf dem desktop ist und somit die TXT dateien im system32 ordner gespeichert werden? wenn ja wüsst ich auch nicht wie ich den speicherpfad vom stick auf den desktop mache (also wegen der eingabeaufforderungssache)

Mosk 29.12.2011 10:59
Okay lag daran dass es nicht auf dem Desktop war. hab etwas rumprobiert und geschafft es vom Desktop zu starten (etwas stolz :D)
ich lade die 2 dateien gleich mal hoch

Chris4You 29.12.2011 11:04
Geht doch ;o)

Mosk 29.12.2011 11:05
OTL und Extras im Anhang

Chris4You 29.12.2011 11:26
Hi,

Fix für OTL (Ucash)
Script auf CD oder USB-Stick kopieren, OTL starten und wie folgt vorgehen...
(abgesicherter Modus mit Eingabeaufforderung OTL starten dann notepad aufrufen, Script laden und Inhalt der Codebox wie u. beschrieben in OTL kopieren)
  • Doppelklick auf die OTL.exe, um das Programm auszuführen.
  • Vista/Win7-User bitte per Rechtsklick und "Ausführen als Administrator" starten.
  • Kopiere den Inhalt der folgenden Codebox komplett in die OTL-Box unter "Custom Scan/Fixes"
http://oldtimer.geekstogo.com/OTL/OTL_Main_Tutorial.gif
Code:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [WBhXTAWuFpmNyON] C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe (sYhiglWP)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe (sYhiglWP)
O20 - HKCU Winlogon: Shell - (C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe (sYhiglWP)
O33 - MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\Shell - "" = AutoRun
O33 - MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\Shell\AutoRun\command - "" = "F:\WD SmartWare.exe" autoplay=true
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell - "" = AutoRun
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell\AutoRun\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell\configure\command - "" = E:\SETUP.EXE
O33 - MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\Shell\install\command - "" = E:\SETUP.EXE
[2011.12.28 21:13:11 | 000,381,100 | ---- | C] (sYhiglWP) -- C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe
[2011.12.10 00:30:19 | 000,000,000 | ---D | C] -- C:\Users\DevilTech\AppData\Roaming\LolClient
[2011.10.31 11:22:42 | 000,030,568 | ---- | C] () -- C:\Windows\MusiccityDownload.exe


:Commands
[emptytemp]
[Reboot]
  • Den roten Run Fixes! Button anklicken.
  • Bitte alles aus dem Ergebnisfenster (Results) herauskopieren.
  • Eine Kopie eines OTL-Fix-Logs wird in einer Textdatei in folgendem Ordner gespeichert:
  • %systemroot%\_OTL

Malwarebytes Antimalware (MAM)
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Falls der Download nicht klappt, bitte hierüber eine generische Version runterladen:
http://filepony.de/download-chameleon/
Danach bitte update der Signaturdateien (Reiter "Update" -> Suche nach Aktualisierungen")
Fullscan und alles bereinigen lassen! Log posten.

TDSS-Killer
Download und Anweisung unter: Wie werden Schadprogramme der Familie Rootkit.Win32.TDSS bekämpft?
Entpacke alle Dateien in einem eigenen Verzeichnis (z. B: C:\TDSS)!
Aufruf über den Explorer duch Doppelklick auf die TDSSKiller.exe.
Nach dem Start erscheint ein Fenster, dort dann "Start Scan".
Wenn der Scan fertig ist bitte "Report" anwählen. Es öffnet sich ein Fenster, den Text abkopieren und hier posten...

chris

Mosk 29.12.2011 11:54
Erstmal der OTL-Fix-Log

Code:
All processes killed
========== OTL ==========
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\10 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\WBhXTAWuFpmNyON deleted successfully.
C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe deleted successfully.
File \Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe deleted successfully.
File \Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe) -C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{27e4f9cd-1f00-11e1-a9de-0090f592c03d}\ not found.
File "F:\WD SmartWare.exe" autoplay=true not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
File E:\SETUP.EXE not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{d7f62846-c7ae-11de-8546-0090f592c03d}\ not found.
File E:\SETUP.EXE not found.
File C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe not found.
C:\Users\DevilTech\AppData\Roaming\LolClient\Local Store\#SharedObjects\mod_man.dat folder moved successfully.
C:\Users\DevilTech\AppData\Roaming\LolClient\Local Store\#SharedObjects folder moved successfully.
C:\Users\DevilTech\AppData\Roaming\LolClient\Local Store folder moved successfully.
C:\Users\DevilTech\AppData\Roaming\LolClient folder moved successfully.
C:\Windows\MusiccityDownload.exe moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: DevilTech
->Temp folder emptied: 75519068 bytes
->Temporary Internet Files folder emptied: 105332683 bytes
->Java cache emptied: 76233095 bytes
->FireFox cache emptied: 1084961121 bytes
->Flash cache emptied: 3095807 bytes
 
User: Public
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1533399 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1098279 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 67966 bytes
RecycleBin emptied: 326600905 bytes
 
Total Files Cleaned = 1.597,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 12292011_113140

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

Chris4You 29.12.2011 13:14
Hi,

ok, bitte noch MAM und Killer-Log oposten...

chris

Mosk 29.12.2011 13:17
MAM

Code:
Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2011.12.29.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
DevilTech :: DEVILTECH-PC [Administrator]

Schutz: Aktiviert

29.12.2011 11:58:09
mbam-log-2011-12-29 (11-58-09).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 372632
Laufzeit: 1 Stunde(n), 5 Minute(n), 4 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{6ScJzIf0-kevt-RkjF-pr7R-UIAZ3ihJ5KXN} (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iTunes.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WBhXTAWuFpmNyON (Trojan.Agent) -> Daten: C:\Users\DevilTech\AppData\Roaming\sbcvvhost_win86.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|HideIcons (PUM.Hidden.Desktop) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Public\winbrd.jpg (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
an dem anderen setz ich mich jetzt dran =D

Chris4You 29.12.2011 13:23
Hi,

ok...

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:45 Uhr.
Seite 1 von 3 1 23
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131